Werbung wird bei GMX großgeschrieben
"GMX FreeMail": Starke HTTPS-Startseitenverschlüsselung bei fehlender Verschlüsselung von E-Mail-Inhalten
Tatsache, dass zwischen den Teilnehmern der Initiative "E-Mail made in Germany verschlüsselt wird, nicht aber bei E-Mails an Empfänger, die einen anderen Provider gewählt haben, ist ein weiteres Problem
(11.11.14) - Der kostenfreie E-Mail-Dienst "GMX FreeMail verspricht Sicherheit, genügend Speicherplatz und ergänzende Services. Was an den Versprechen der United Internet AG-Tochter dran ist, haben sich die IT-Sicherheitsexperten der PSW Group genauer angesehen. Denn neben kostenlosen und kostenpflichtigen Angeboten wirbt GMX mit der E-Mail made in Germany sowie der De-Mail. Seit dem 29. April 2014 gehört GMX zu den Freemailern, die ihre Transportwege verschlüsseln.
GMX setzt auf ihrer HTTPS-Startseite auf eine starke Verschlüsselung, konkret die Cipher-Suite TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA inklusive Perfect Forward Secrecy (PFS). "Das ist lobenswert. Wir empfehlen, auch nur die HTTPS-Version der Startseite zu nutzen, damit bereits Passwort und E-Mail-Adresse bei Login verschlüsselt übertragen werden. Allerdings nutzt GMX dann wieder SSL-Zertifikate, deren Signaturen mit dem als problematisch geltenden Hash-Algorithmus SHA-1 erstellt wurden. Zudem greift die an sich hochgradige Verschlüsselung nicht bei allen Seiteninhalten: Sowohl im Posteingang des E-Mail Kontos als auch im Menü "E-Mail schreiben" erscheint der Hinweis, dass nicht alle Elemente der Seite SSL-verschlüsselt sind", informiert Christian Heutger, Geschäftsführer der PSW Group. Dies trifft mit hoher Wahrscheinlichkeit die Werbung, die in Flash über den rechten Bildrand flackert. Auch die Deaktivierung von Flash änderte im Übrigen nichts: Der Browser warnt weiterhin: "Die Verbindung zu dieser Website ist nicht vollständig sicher, da sie unverschlüsselte Elemente enthält .
Bei der Transportverschlüsselung verwendet der Freemail-Anbieter TLS in Version 1.0 und setzt auf 256-bit-AES-Verschlüsselung. "Für den Versandweg ist das gut. Jedoch werden die Daten inklusive aller E-Mail-Inhalte auf den GMX-Servern nicht verschlüsselt und persönliche Daten der Nutzer ohnehin an die Muttergesellschaft übertragen. Dort liegen sie zwar auf deutschen Servern, dürfen aber konzernintern weitergereicht werden", kritisiert Christian Heutger. Er verweist in diesem Zusammenhang auf die Datenschutzbestimmungen und AGB. Diese sind bis auf eine Ausnahme eindeutig formuliert: Die Konzernfamilie darf die persönlichen Daten ihrer Nutzer bei "berechtigtem Interesse" haben. Hier mangelt es an einer Definition von "berechtigt"! Die Tatsache, dass zwischen den Teilnehmern der Initiative "E-Mail made in Germany" verschlüsselt wird, nicht aber bei E-Mails an Empfänger, die einen anderen Provider gewählt haben, ist ein weiteres Problem.
Insgesamt offeriert GMX ein sehr reichhaltiges Angebot für Verbraucher, die für ihren E-Mail-Account nichts zahlen möchten. Werbung allerdings wird bei GMX großgeschrieben: Überall finden sich Flash-Inhalte und nur wenige Felder im Login-Bereich sind thematisch relevant. Die meisten von ihnen sind mit Werbung gefüllt. Man sollte in diesem Zusammenhang sehr genau hinsehen, was man anklickt, möchte man nicht versehentlich zum zahlungspflichtigen abo-Kunden werden: Bereits der Registrierungsprozess ist vollgepackt mit Werbung in eigener Sache und vermeintlichen Gratis-Angeboten. Leider ist auch das lautstark beworbene De-Mail-Angebot nicht im kostenfreien FreeMail-Service enthalten. "Dass immer wieder Werbung bei Nutzung des kostenfreien Service aufblitzt, ist an sich nachvollziehbar. Etwas mehr Sensibilität in der Werbeplatzierung und die Möglichkeit, sich vom Post- und E-Mail-Werbeversand zu befreien, wäre allerdings wünschenswert", so Heutger. (PSW Group: ra)
PSW Group: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.