Der Heise-Verlag testete die verschiedenen Webmailer der großen deutschen E-Mail-Provider mit dem Umgang von Tracking-Grafiken. Das Ergebnis zeigt viel Nachholbedarf beim Thema Sicherheit und bei der Gewährleistung eines ausreichenden Datenschutzes für die Nutzer.
Oft landen in unseren E-Mail-Postfächern verschiedene Newsletter und Spam-Mails. In der Regel verschicken die meisten Unternehmen ihre Newsletter im HTML-Format. Dabei können HTML-Formatierungen zur verbesserten Darstellung verwendet werden. Dem Kunden sagen diese Mails besser zu und Inhalte können für eine bessere Wahrnehmung optimiert werden. Werden Bilder verwendet, so sind diese nicht in der Mail enthalten und müssen bei der Anzeige nachgeladen werden. Die beschriebenen Punkte verschrecken den gut informierten Internet-Nutzer nicht. Es gibt an dieser Praxis auch nicht viel zu kritisieren.
Findige Werbefirmen nutzen im Bereich der Besucheranalyse einer Internetseite oftmals sogenannte Tracking-Methoden. Damit ist gemeint, dass bestimmte eindeutige Informationen eindeutig zugeordnet werde können und das Verhalten des Nutzers auf der Seite genau analysiert werden kann. Von der Verweilzeit bis hin zum Klickpfad, der den Weg durch die Internetseite repräsentiert. Für all diese Features wird oftmals JavaScript benötigt. Hat ein Nutzer gezielt JavaScript deaktiviert, bieten sich weitere Möglichkeiten. Diese sind nicht so genau und informationsreich, lassen aber immer noch Schlüsse auf den Nutzer zu.
Die gängigste Methode ist das sogenannte Pixel-Tracking. Dabei wird ein 1×1 großer Pixel in die HTML-Mail eingebettet und bei dem Nutzer angezeigt. Bei dem Laden dieser Minigrafik stellt der verwendete Client (beim Webmailer der Browser) eine Serveranfrage bezüglich dieser Grafik. Dabei werden die Browserinformationen (User-Agend-Data) übermittelt. Damit lässt sich sagen, welchen Browser in welcher Version auf welchem Betriebssystem in welcher Version genutzt wird. Auch die IP-Adresse kann zur Lokalisierung des Standortes genutzt werden.
Im Gegensatz zu Google und Yahoo versagen hier die deutschen Anbieter 1und1, Telekom, GMX und Web.de. Hier werden Grafiken ohne Rücksprache des Benutzers nachgeladen und ungewollt Informationen an die Tracking-Unternehmen übermittelt. Es sind allerdings nicht nur Webmailer betroffen auch gewöhnliche E-Mail-Clients erwiesen sich im Test als unsicher. Thunderbird und Windows Mail stellen, wie Google und Yahoo, ebenfalls die Frage ob Inhalte nachgeladen werden sollten. Nur Apple fiel hier aus der Reihe, der hauseigene E-Mail-Client (iOS) lud ohne Nachfrage Informationen nach. Das Problem existiert auch bei Android-Geräten, allerdings betrifft das nur bestimmte Elemente, die noch nicht aktiv zum Nutzer-Tracking eingesetzt werden.
Diese Lücke muss schnellstmöglich von den betroffenen Firmen in den Softwareprodukten korrigiert werden, oder ein Opt-Out-Verfahren zur Anzeige von externen Inhalten möglich gemacht werden. Initiative „E-Mail made in Germany“ hat also eine volle Aufgabenliste, bis das übliche Sicherheitslevel für die Nutzer erreicht ist.