BSI-Analyse 2026: Warum die Wahl des E-Mail-Programms für KMUs zur Sicherheitsfrage wird

Ein E-Mail-Programm ist weit mehr als eine reine Benutzeroberfläche. Es verwaltet Zugangsdaten, bündelt verschiedene Konten und strukturiert die gesamte Kommunikation auf verschiedenen Geräten. Für ein KMU fungiert es als Archiv und Schaltzentrale. Das BSI hat im zweiten Quartal 2025 insgesamt 26 Produkte am Markt identifiziert und die 12 relevantesten – von Apple Mail bis Tuta Mail – einer tiefgehenden Analyse unterzogen.

Das Ziel dieser Untersuchung ist die Schaffung einer Grundlage für den digitalen Verbraucherschutz. Dabei zeigt sich: Die Sicherheit einer E-Mail endet nicht beim Versand, sondern beginnt bei der Auswahl des Werkzeugs, mit dem sie verarbeitet wird.

Die Vertraulichkeit von Nachrichten ist das oberste Gebot. Das BSI unterscheidet hier strikt zwischen Transport- und Inhaltsverschlüsselung.

Transportverschlüsselung (TLS)

Alle 12 untersuchten Programme beherrschen die Transportverschlüsselung via TLS. Diese sichert den Weg der Daten zwischen Programm und Server ab (Punkt-zu-Punkt). Ohne diese Basis wäre jede E-Mail wie eine Postkarte, die von jedem Postboten gelesen werden könnte.

Ende-zu-Ende-Verschlüsselung (E2EE)

Echte Sicherheit für sensible Daten bietet nur E2EE. Hierbei wird der Inhalt bereits auf dem Gerät des Senders verschlüsselt und kann erst beim Empfänger wieder entschlüsselt werden – selbst der E-Mail-Anbieter hat keinen Zugriff.

• S/MIME: Ein zertifikatsbasierter Standard, der vor allem in kommerziellen Umgebungen für Authentizität und Integrität sorgt.
• OpenPGP: Ein dezentrales Modell („Web of Trust“), das ohne zentrale Autorität auskommt.

Das BSI stellte fest, dass 9 von 12 Programmen eine E2EE-Nutzung ermöglichen, wobei die Integration (nativ vs. Plugin) stark variiert. Programme wie Thunderbird, Betterbird und eM Client bieten hier eine vorbildliche native Unterstützung.

Phishing zielt auf Identitätsdiebstahl und die Installation von Schadsoftware ab. Während Spam oft nur lästig ist, ist Phishing eine existenzielle Bedrohung für KMU.

Die Untersuchung ergab, dass fast alle Programme (11 von 12) über Junk Filter verfügen. Doch die Qualität der Warnhinweise bei verdächtigen Links oder Anhängen unterscheidet sich massiv:

• Warnmechanismen: Nur ein Teil der Programme scannt eingehende Mails aktiv auf bekannte Betrugsmuster und warnt den Nutzer explizit vor dem Öffnen eines riskanten Links.
• Anhangsprüfung: Lediglich 3 von 12 Programmen prüfen Anhänge (z. B. auf Dateityp oder schädliche Muster) und zeigen Warnhinweise an oder nutzen Quarantäne-Ordner.

KMU sollten Programme bevorzugen, die Metadaten in den Kopfzeilen auswerten, um gefälschte Absenderadressen besser zu identifizieren.

Ein oft unterschätzter Aspekt ist der Speicherort der E-Mails und Zugangsdaten.

„Der gewählte Speicherort bestimmt die Sicherheitsverantwortung. Lokale Speicherung erfordert eigene Schutzmaßnahmen, während bei Cloud-Lösungen die Abhängigkeit vom Anbieter steigt.“

• Lokale Speicherung: Die Mehrheit der Programme (z. B. Thunderbird, Apple Mail, eM Client) legt E-Mails lokal ab. Dies ermöglicht volle Kontrolle, setzt aber voraus, dass das KMU selbst für Festplattenverschlüsselung und Virenschutz sorgt.
• Cloud-Verarbeitung: Programme wie das neue Outlook nutzen eine Cloud-Infrastruktur. Hier werden E-Mail-Inhalte und Kontodaten auf den Servern des Anbieters verarbeitet. Dies bietet Vorteile bei der Synchronisation, birgt aber Risiken hinsichtlich des Datenschutzes und der Abhängigkeit.

Tracking-Pixel in HTML-Mails erlauben es Absendern zu erfahren, wann, wie oft und von wo aus eine E-Mail geöffnet wurde. Dies ist nicht nur ein Datenschutzrisiko, sondern kann auch für gezielte Social-Engineering-Angriffe genutzt werden.

Das BSI empfiehlt Programmen, externe Bilder standardmäßig zu blockieren oder eine Proxy-Verbindung zu nutzen, um die IP-Adresse des Empfängers zu verschleiern. Zudem bietet das reine Textformat (Plain Text) einen signifikanten Sicherheitsvorteil, da es eingebettete Skripte und Tracking von vornherein unterbindet.

Die Entscheidung für eine Software ist eine Entscheidung über das Schutzniveau der gesamten Firma. Ineffektive Sicherheitsmaßnahmen führen zu:

• Wirtschaftlicher Druck: Datenverluste ziehen hohe Compliance-Kosten und Bußgelder nach sich.
• Reputationsschäden: Ein erfolgreicher Phishing-Angriff, der über die Firmen-E-Mail weiter verbreitet wird, schädigt das Vertrauen bei Partnern und Kunden.
• Verlust der Datensouveränität: Werden E-Mails ungeprüft in Cloud-Infrastrukturen synchronisiert, verliert das KMU unter Umständen die exklusive Hoheit über sensible Informationen.

Für die Auswahl eines sicheren E-Mail-Programms im geschäftlichen Kontext sollten folgende Kriterien erfüllt sein:

• Verschlüsselung fordern: Nutzt E2EE (S/MIME oder OpenPGP) für die interne und externe Kommunikation sensibler Inhalte.
• Security by Default: Wählt Programme, die externe Inhalte standardmäßig blockieren.
• Account-Schutz: Nutzt Programme, die moderne Authentifizierungsverfahren wie OAuth2 unterstützen und so eine Multi-Faktor-Authentisierung (MFA) ermöglichen.
• Masterpasswort nutzen: Falls Zugangsdaten lokal gespeichert werden, ist ein Masterpasswort zwingend erforderlich, um das Auslesen durch Schadsoftware zu erschweren.
• Aktualität sicherstellen: Aktiviert automatische Updates, um von kontinuierlichen Sicherheitsverbesserungen der Hersteller zu profitieren.

Der BSI-Bericht 2026 macht deutlich: Es gibt kein „perfektes“ Programm, aber es gibt informierte Entscheidungen. Während Cloud-basierte Dienste Komfort bieten, ermöglichen lokal installierte Open-Source-Lösungen wie Thunderbird oder KMail eine höhere Datensouveränität. Für KMUs ist Transparenz über die Datenflüsse die Voraussetzung für Sicherheit. Wer seine Hausaufgaben bei der Wahl des E-Mail-Programms macht, schafft ein robustes Fundament für die digitale Zukunft seines Unternehmens.

Warum ist die Unterscheidung zwischen Transport- und Inhaltsverschlüsselung wichtig?

Die Transportverschlüsselung sichert nur den Weg ab. Nur die Inhaltsverschlüsselung (E2EE) stellt sicher, dass die Nachricht auch auf dem Server und beim Anbieter geschützt bleibt.

Müssen auch Bestandsmitarbeiter über neue Sicherheitsvorgaben informiert werden?

Ja, technische Schutzmaßnahmen können durch Social Engineering überwunden werden. Regelmäßige Sensibilisierung ist ebenso wichtig wie die Software-Konfiguration.

Sind Open-Source-Programme sicherer?

Open-Source-Programme (wie Thunderbird oder KMail) ermöglichen eine unabhängige Überprüfung des Quellcodes auf Sicherheitslücken, was die Transparenz und das Vertrauen erhöht.

Was passiert, wenn mein Programm keine E2EE unterstützt?

In diesem Fall müssen Nutzer oft auf externe Zusatzsoftware oder browserbasierte Lösungen ausweichen, was die Bedienerfreundlichkeit (Usability) einschränken kann.