Leute, festhalten. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mal wieder einen rausgehauen. Normalerweise sind deren Berichte so trocken wie ein Keks aus der Notration, aber der neue Bericht „IT-Sicherheit auf dem digitalen Verbrauchermarkt: Fokus E-Mail-Programme“ ist pures Gold. Oder besser gesagt: Ein Horrorfilm für jeden, der seine Daten liebt.

Wir schreiben das Jahr 2025. Man sollte meinen, wir hätten das mit der E-Mail-Sicherheit langsam mal im Griff. Pustekuchen.

Das BSI hat sich 12 gängige E-Mail-Clients zur Brust genommen. Das Ergebnis? Ein paar Lichtblicke und ganz viel Schatten. Wer immer noch glaubt, dass „Benutzerfreundlichkeit“ wichtiger ist als „nicht nackt im Internet stehen“, der sollte jetzt ganz genau lesen.

Der Elefant im Raum: Die Cloud-Falle (Microsoft, was tust du?!)
Fangen wir mit dem dicksten Ding an. Das BSI hat Outlook (new) getestet. Das ist dieser neue Web-Wrapper-Kram, den Microsoft euch unterjubeln will.

Schaut euch die Tabelle an. Bei der Zeile „E-Mail-Speicher“ steht bei fast allen: „Lokal“. Und was steht bei Outlook (new)? „Cloud“.

Lass dir das auf der Zunge zergehen. Wenn du lokale E-Mails hast, liegen die auf deiner Platte. Wenn du das neue Outlook nutzt, zieht Microsoft den Kram in seine Cloud. Das BSI formuliert das diplomatisch: „Werden externe E-Mail-Postfächer über ein E-Mail-Programm direkt in die Cloud des Anbieters eingebunden […] erfolgt die Verarbeitung und Speicherung der E-Mails nicht mehr ausschließlich lokal“.

Im Klartext: Deine Zugangsdaten und deine Mails wandern auf die Server des Anbieters. Das ist der ultimative Privacy-GAU. Wer das nutzt, hat die Kontrolle über sein digitales Leben abgegeben. Punkt.

Ende-zu-Ende-Verschlüsselung (E2EE): Das Trauerspiel
Das BSI sagt ganz klar: „Achte darauf, dass dein E-Mail-Programm eine Ende-zu-Ende-Verschlüsselung (E2EE) unterstützt“. Das ist der einzige Weg, damit nicht jeder Admin auf der Leitung mitlesen kann. S/MIME oder OpenPGP sind hier die Standards.

Und wie sieht die Realität aus? Hier ist die Hall of Shame aus der BSI-Tabelle:

Blue Mail: E2EE? „keine“.

Mailbird: E2EE? „keine“.

Spark Mail: E2EE? „keine“.

Ernsthaft? Wir sind im Jahr 2025 und diese „hippen“ Clients bieten nicht mal die Option an, seine Mails vernünftig zu verschlüsseln? Das ist grob fahrlässig. Wer Spark oder Blue Mail für vertrauliche Kommunikation nutzt, kann seine Mails auch gleich auf eine Postkarte schreiben und an die Litfaßsäule kleben.

Die Guten? Thunderbird, Betterbird, KMail und eM Client unterstützen nativ S/MIME und OpenPGP. So muss das sein.

Tracking & Pixel-Seuche: Wer beobachtet dich beim Lesen?
Marketing-Fuzzis lieben Tracking-Pixel. Du machst die Mail auf, und zack – weiß der Absender, wann du wo warst (IP-Adresse).

Das BSI hat geprüft, ob die Clients das blocken. Die gute Nachricht: Der überwiegende Teil der Programme blockiert externe Bilder standardmäßig oder fragt nach. Einige nutzen sogar eine Proxy-Verbindung. Das heißt, der Client lädt das Bild über einen Zwischenserver, damit deine IP-Adresse nicht beim Spammer landet.

Pro-Tipp vom BSI: „Die Beschränkung auf reine Text-E-Mails ist ebenfalls ein wirkungsvolles Mittel“. Klingt nach 1990? Ist aber sicherheitstechnisch King. Kein HTML, keine Skripte, kein Tracking. Thunderbird und Betterbird können das exzellent („einfacher Textmodus“). Schaltet das an, wenn ihr nicht wollt, dass euch der Newsletter-Versender bis ins Schlafzimmer verfolgt.

Open Source vs. Proprietäre Blackboxen
Das BSI hat auch geschaut, wer den Quellcode offenlegt. Warum ist das wichtig? Weil ich bei Proprietärer Software (Closed Source) dem Hersteller blind vertrauen muss, dass er keine Backdoors eingebaut hat. Bei Open Source kann jeder nachschauen.

Der BSI-Vergleich:

🟢 Open Source: Betterbird, KMail, Thunderbird. (Ehrenmänner).

🟡 Teils/Teils: Proton Mail, Tuta Mail (Clients oft Open Source, Server-Side ist Vertrauenssache, aber immerhin verschlüsselt).

🔴 Proprietär: Apple Mail, Blue Mail, eM Client, Mailbird, Spark Mail.

Fazit: Was du jetzt tun musst
Das BSI empfiehlt, Clients zu nutzen, die Sicherheitslücken zeitnah schließen und keine Daten unnötig in die Cloud blasen.

Wenn man die Tabelle und den Text zusammenfasst, bleibt eigentlich nur eine vernünftige Wahl für den Desktop, wenn man die volle Kontrolle haben will:

Thunderbird oder sein schnellerer Bruder Betterbird. Open Source, volle Verschlüsselung, lokale Speicherung. Das ist der Goldstandard. Sogar das BSI nutzt Thunderbird als Referenzwert für die Marktrelevanz.

Für Linux-User: KMail. Solide, Open Source, kann alles.

Wer es einfach will, aber sicher: Proton oder Tuta. Die verschlüsseln alles weg, bevor es auf deren Server landet (Herstellerspezifisch oder PGP).

Finger weg von: Outlook (new), Spark Mail und Blue Mail. Die Kombination aus fehlender E2EE und (bei Outlook) Cloud-Zwang für Zugangsdaten ist ein absolutes No-Go.

Installiert euch Updates! Das BSI warnt: „Nur so stellst du sicher, dass eventuelle Sicherheitslücken zeitnah geschlossen werden“.

Denkt mal drüber nach. Euer Postfach ist euer digitales Zuhause. Lasst nicht jeden rein.