16. Dezember 2025, 16:14 Uhr | Lesezeit: 3 Minuten
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat untersucht, wie sicher verbreitete E-Mail-Programme sind. Das Ergebnis fällt insgesamt positiv aus – doch ein Detail sorgt für Verwunderung: Ausgerechnet das neue Outlook von Microsoft, bleibt in einer zentralen Frage ohne kritische Bewertung. Dabei nutzt es eine Funktion, die laut Fachexperten heikel ist.
Die Studie zeigt zwar, dass viele Programme solide Sicherheitsstandards unterstützen. Transportverschlüsselung, Spam-Filter, Verhindern von Tracking-Pixeln und teils auch Ende-zu-Ende-Verschlüsselung gehören bei vielen Clients inzwischen zur Grundausstattung. Doch beim Umgang mit Zugangsdaten zeigt sich ein auffälliger Ausreißer.
Outlook leitet Zugangsdaten weiter
Wie „heise“ berichtet, hat das BSI zwölf E-Mail-Programme getestet, die in Deutschland besonders häufig genutzt werden. Dazu gehören Apple Mail, Betterbird, Blue Mail, eM Client, Gmail, KMail, Mailbird, Outlook (neu), Proton Mail, Spark Mail, Thunderbird und Tuta Mail. Die Fachleute des BSI prüfen, wie zuverlässig die Programme verschlüsselte Verbindungen aufbauen, Spam und Phishing erkennen, Tracking blockieren, lokale Daten schützen und auf Sicherheitslücken reagieren.
Das Testfeld erfüllt diese Anforderungen größtenteils. Auffällig ist jedoch, dass Outlook Zugangsdaten für IMAP-Konten an Microsoft weiterleitet. Laut einer anderen Meldung von „heise“ lässt Microsoft eigene Cloud-Server sämtliche eingehenden und ausgehenden Nachrichten scannen, um KI-Funktionen bereitzustellen. Dadurch liegt ein erheblicher Teil der Kommunikation nicht mehr nur auf dem Endgerät oder beim eigenen E-Mail-Anbieter, sondern zusätzlich bei Microsoft.
Genau an dieser Stelle hätte man eine Bewertung durch das BSI erwartet – etwa, ob diese Praxis datenschutz- oder sicherheitsrelevant ist. Doch im Bericht findet sich dazu keine kritische Einordnung. Die Behörde bewertet andere Merkmale wie Verschlüsselung oder Tracking-Schutz, lässt diesen Punkt aber komplett außen vor.
Outlook gibt offenbar Zugangsdaten weiter – das sagt Microsoft dazu
Das sind die fiesen Tricks der Phishing-Betrüger
Weitere Ergebnisse des Tests
Positiv fällt auf, dass die meisten getesteten Programme grundlegende Sicherheitsfunktionen bieten. Schwächer schneidet Spark Mail ab, das im Test weder eigene E-Mail-Verschlüsselung noch Phishing- oder Spam-Schutz bereitstellt. Insgesamt vermeldet das BSI dennoch: Die Sicherheitsanforderungen werden größtenteils erfüllt.
Das BSI testet die Programme unter den Betriebssystemen macOS, Windows 11 und Ubuntu und lässt sie dabei in den jeweiligen Standardeinstellungen laufen, um ein praxisnahes Ergebnis zu erzielen. Für die Prüfungen starten die Fachleute die Windows- und Linux-Systeme von einem Offline-Medium, damit keine fremde Software den Test beeinflussen kann. macOS untersuchen sie hingegen direkt im laufenden Betrieb.
Auch interessant: Wer nicht reagiert, kann auf Gmail bald keine E-Mails mehr abrufen
Empfehlung des BSI
Nutzer sollen bei der Auswahl ihres Mail-Clients nicht nur auf Bedienung und Optik achten, sondern gezielt auf zusätzliche Sicherheitsfunktionen wie Tracking-Schutz, eine nachvollziehbare Verschlüsselung und den Umgang mit Zugangsdaten.
Das BSI weist außerdem darauf hin, dass der Schutz vor Phishing und Identitätsdiebstahl bei vielen Web-Mail-Diensten weiterhin Lücken hat. Erst kürzlich veröffentlicht die Behörde ein Whitepaper zu diesem Thema und legt zusätzlich einen Bericht zu Passwort-Managern vor, in dem sie weiteren Verbesserungsbedarf aufzeigt.