Das Bundesamt für Sicherheit in der Informationstechnik mit Sitz in Bonn hat am 15. Dezember 2025 eine umfassende Untersuchung zur Sicherheit von E-Mail-Programmen veröffentlicht. Im Fokus der Analyse standen weit verbreitete E-Mail-Clients, die täglich zum Lesen, Schreiben und Verwalten elektronischer Post eingesetzt werden und dabei regelmäßig hochsensible Informationen verarbeiten.
Untersuchungsschwerpunkte und Methodik
Die Untersuchung betrachtete zentrale sicherheitsrelevante Eigenschaften moderner E-Mail-Programme. Dazu zählten Transport- und Inhaltsverschlüsselung, Mechanismen zum Schutz vor Spam, Phishing und Tracking sowie die Umsetzung von Usable-Security-Prinzipien. Darüber hinaus analysierte das BSI, wie E-Mails und Zugangsdaten lokal oder serverseitig gespeichert werden und wie die jeweiligen Anbieter mit bekannt gewordenen Sicherheitslücken umgehen.
Unterschiede bei Verschlüsselung und Datenablage
Die Ergebnisse zeigen teils deutliche Unterschiede zwischen den untersuchten Programmen. Während einige E-Mail-Clients konsequent auf Ende-zu-Ende-Verschlüsselung setzen, verzichten andere ganz oder teilweise auf diese Schutzmaßnahme. Auch beim Umgang mit verdächtigen E-Mails und Dateianhängen variierten die Sicherheitskonzepte erheblich.
Ein Großteil der getesteten Programme speichert E-Mails lokal auf dem Endgerät. Dabei wurden sowohl verschlüsselte als auch unverschlüsselte Ablageformen festgestellt. Unverschlüsselt gespeicherte Nachrichten stellen ein erhöhtes Risiko dar, da sie bei einem erfolgreichen Angriff vergleichsweise leicht ausgelesen werden können.
Erfüllung grundlegender Sicherheitsanforderungen
Trotz der identifizierten Schwachstellen erfüllte die Mehrheit der zwölf untersuchten E-Mail-Programme die gängigen Sicherheitsanforderungen. Alle getesteten Anwendungen verfügten über nutzerfreundliche Updatefunktionen, die eine zeitnahe Bereitstellung von Sicherheitsaktualisierungen ermöglichen. Zudem bieten die meisten Programme integrierte Spam- und Phishing-Filter, die einen Basisschutz vor bekannten Angriffsmethoden gewährleisten.
Forderungen des BSI an Anbieter
Caroline Krohn, Fachbereichsleiterin für digitalen Verbraucherschutz beim BSI, betonte die besondere Verantwortung der Anbieter von E-Mail-Clients. E-Mail-Programme enthalten häufig private Nachrichten, geschäftliche Korrespondenz, Rechnungen, Verträge oder Termine. Entsprechend hoch seien die Anforderungen an den Schutz dieser Daten.
Das BSI fordert die Hersteller auf, technische Prozesse im Hintergrund konsequent nach den Prinzipien von Usable Security und Security-by-Default zu gestalten. Sicherheitsfunktionen sollen demnach standardmäßig aktiviert und für Anwenderinnen und Anwender verständlich umgesetzt sein, ohne zusätzliche Konfigurationshürden zu schaffen.
Mehr Transparenz für Markt und Verbraucher
Die Studie mit dem Titel „IT-Sicherheit auf dem digitalen Verbrauchermarkt: Fokus E-Mail-Programme“ soll zu mehr Transparenz im Markt beitragen und Anbieter zur Nutzung etablierter Sicherheitsstandards bewegen. Gleichzeitig dient sie als Orientierungshilfe für Verbraucherinnen und Verbraucher bei der Auswahl eines geeigneten E-Mail-Programms.
Empfehlungen für Anwenderinnen und Anwender
Ergänzend zur Bewertung der Programme weist das BSI auf grundlegende Schutzmaßnahmen hin. Dazu gehört die Verwendung starker, einzigartiger Passwörter für E-Mail-Konten. Da Phishing weiterhin eine der größten Bedrohungen für die E-Mail-Kommunikation darstellt, empfiehlt das BSI, eingehende Nachrichten kritisch zu prüfen und hierfür die bereitgestellte Checkliste zu nutzen. Zusätzlich veröffentlicht die Behörde weiterführende Hinweise und Tipps zur Erhöhung der E-Mail-Sicherheit.
