BSI warnt vor unsicheren E-Mail-Apps für Android

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt Millionen Nutzer vor beliebten E-Mail-Apps. In einer großen Vergleichsstudie schnitten viele Anwendungen bei Datenschutz und Verschlüsselung schlecht ab. Gleichzeitig mahnt die Behörde zur sofortigen Aktualisierung von Android.

Die Cyber-Sicherheitsexperten untersuchten zwölf kostenlose E-Mail-Clients für Android. Ihr Urteil: Während die Transportverschlüsselung mittlerweile Standard ist, klaffen bei der Ende-zu-Ende-Verschlüsselung (E2EE) und der Speicherung von Zugangsdaten teils gravierende Lücken. Besonders Apps, die mit „smarten“ Funktionen werben, fallen durch.

Im Fokus der Kritik stehen sogenannte Wrapper-Apps. Sie leiten E-Mails über eigene Drittserver und speichern Daten oft unverschlüsselt in die Cloud. Das ermöglicht zwar Funktionen wie „Snooze“ oder „Smart Reply“, öffnet aber Tür und Tor für Datenlecks.

Passend zum Thema E-Mail-Sicherheit: Aktuell nutzen Angreifer gezielt manipulierte E-Mails und unsichere Apps, um Schadcode einzuschleusen oder Zugangsdaten zu stehlen. Wer seine Identität und Konten schützen will, sollte Phishing-Taktiken kennen und gezielt abwehren. Das kostenlose Anti-Phishing-Paket erklärt in einer klaren 4‑Schritte-Anleitung, wie Sie gefälschte Mails erkennen, verdächtige Links prüfen und CEO-Fraud stoppen. Inkl. Checklisten und Praxis-Tipps für sofortige Umsetzung. Anti-Phishing-Guide jetzt herunterladen

Zu den Verlierern der Untersuchung zählen laut BSI:
* BlueMail
* Spark Mail
* Mailbird

Als sichere Alternativen empfiehlt die Behörde Apps, die offene Standards wie S/MIME oder OpenPGP nativ unterstützen. Dazu gehören:
* Thunderbird (bzw. dessen mobile Portierung)
* eM Client
* KMail
* Betterbird

„Wer sensible Daten austauschen möchte, muss auf offene Standards setzen“, erklärt eine BSI-Sprecherin. Nur so sei eine echte Ende-zu-Ende-Verschlüsselung garantiert, bei der Nachrichten wirklich nur Sender und Empfänger lesen können.

Parallel zur App-Warnung schlägt das BSI auch beim Betriebssystem Alarm. Zwei kritische Schwachstellen in Android-Versionen 13 bis 16 werden derzeit aktiv ausgenutzt. Angreifer könnten so Schadcode aus der Ferne einschleusen, etwa über manipulierte E-Mails.

„Das Zusammenspiel aus einer unsicheren E-Mail-App und einem nicht gepatchten Android-System ist ein offenes Tor für Identitätsdiebstahl“, warnt das BSI. Die Gefahr sei in der Vorweihnachtszeit besonders hoch, da das E-Mail-Aufkommen durch Bestellbestätigungen stark ansteige.

Ein weiteres Risiko: die „Cloud-Falle“. Viele Nutzer geben ihre Zugangsdaten in Apps ein, ohne zu wissen, dass diese auf Servern des App-Entwicklers landen. Das BSI fordert hier mehr Transparenz und rät zur Zwei-Faktor-Authentifizierung (2FA).

Was Nutzer jetzt tun müssen

Die BSI-Empfehlungen leiten sich aus aktualisierten Technischen Richtlinien (TR-03108 und TR-03182) ab. Sie definieren Standards für sicheren E-Mail-Transport und Authentifizierung. Für Android-Nutzer ergeben sich drei klare Handlungsaufforderungen:

1. App prüfen: Nutzer kritischer Apps wie BlueMail oder Spark sollten einen Wechsel zu empfohlenen Alternativen erwägen.
2. System updaten: Unter „Einstellungen -> System -> Softwareupdate“ sollte das Sicherheits-Patch-Level idealerweise Dezember 2025 anzeigen.
3. Verschlüsselung aktivieren: Das BSI rät, sich mit PGP-Keys oder S/MIME-Zertifikaten vertraut zu machen. Das sei die einzige Antwort auf immer raffiniertere Phishing-Angriffe.

Die Zeiten, in denen man bedenkenlos jede Mail-App aus dem Play Store laden konnte, sind laut BSI vorbei. Sicherheit erfordere heute aktive Entscheidungen.

PS: Viele BSI-Empfehlungen lassen sich mit einfachen Maßnahmen sofort umsetzen – etwa 2FA, sichere Passworthygiene und überprüfte App-Berechtigungen. Dieses kostenlose Paket zeigt praxisnah, wie Sie 2FA einrichten, Phishing‑Mails analysieren, verdächtige Anhänge identifizieren und Backup‑Strategien anwenden, bevor ein Angreifer Erfolg hat. Ideal für Privatpersonen und kleine Firmen, die schnelle, wirksame Schutzschritte suchen. Jetzt Anti-Phishing-Paket sichern