Testberichte

E-Mail-Anbieter-Test: eclipso

25. Januar 2017 von Admin PSW GROUP Blog WP

E-Mail-Anbieter-Test Eclipso
© Rido - Fotolia.com

4.4
(12)

eclipso möchte die Gratwanderung bestehen und schafft ein Freemail-Angebot, das sich Datenschutz auf die Fahnen schreibt. Ob das bei einem werbefinanzierten Angebot funktionieren kann? Bei unserem ersten Test vor zwei Jahren fielen uns sichere Verschlüsselung, jedoch mit veralteten Hashalgorithmen, deutsche Serverstandorte, aber eben auch Werbung auf. Wir sind gespannt, was sich getan hat!

eclipso mit geändertem Anbieter

Wie schon aikQ hat sich auch bei eclipso etwas bezüglich des Anbieters getan, jedoch nicht so weitschweifend wie bei aikQ: Ende 2014 war eclipso ein Angebot des Unternehmens webconcept+. Dieses Unternehmen ist in der Zwischenzeit aus dem Impressum verschwunden, jedoch ist der Inhaber Claus-Peter Beringer ebenfalls Inhaber von webconcept+. In den AGB wird webconcept+ hier und da auch noch genannt.

Einstiegshürden bei eclipso

Einstiegshürden Eclipso 1 von 5 Punkten
© lightwavemedia – Fotolia.com

eclipso möchte zunächst, dass Sie sich auf dieser Site registrieren. Gleich zu Beginn wird sichtbar, dass eclipso mehr wissen möchte als unsere letzten beiden Testkandidaten. Zudem zeigt die Adressleiste des Browsers, dass die Registrierung nicht ganz so anonym abläuft:

Die Site enthält Inhalte, die uns tracken möchten. Wir entdecken einen Werbebanner am Ende der Site und glauben, den trackenden Übeltäter bereits ausgemacht zu haben. Wir aktivieren entsprechenden Schutz – und die Werbung verschwindet.

Ansonsten ist die Registrierungssite stimmig: Es sind keine besonderen Berechtigungen vonnöten. Auch die Verschlüsselung ist gut (TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, 128-Bit-Schlüssel, TLS 1.2). Haben Sie die Aktivitätenverfolgung deaktiviert, können Sie Ihre Daten eingeben, ohne ein schlechtes Gefühl haben zu müssen.

Datenumfang beim Registrieren

eclipso möchte mehr wissen als unsere letzten beiden Testkandidaten – aus dem Ersttest wissen wir noch, dass eclipso auf Klarnamen bestanden hat. Da auf der Registrierungssite auf die AGB und Datenschutzerklärung verlinkt wird, können wir dies zügig prüfen. Beim Querlesen findet sich nichts derart; wir lesen noch mal sehr gründlich, wenn wir uns den AGB später widmen. Folgende Informationen möchte eclipso haben:

  • Anrede (also Geschlecht)
  • Vor- und Nachname
  • Straße, Hausnr.
  • PLZ, Ort
  • Land
  • Secret Key – entspricht einem Zweitpasswort, welches Sie zur Passwortwiederherstellung nutzen können, wenn Sie keine alternative E-Mail-Adresse angeben möchten
  • Passwort

Web.de wollte zusätzlich noch das Geburtsdatum wissen, ansonsten entspricht dieser Datenumfang dem des Freemail-Anbieters. Dass das besser geht, wissen wir spätestens seit den mailbox.org- und aikQ-Tests.

Passwortsicherheit: was hat sich bei eclipso getan?

„Unterirdisch“ – dieses Wort haben wir 2014 verwendet, um die Passwortsicherheit bei eclipso zu beschreiben. Wir werden darauf hingewiesen, dass ein „sicheres Passwort […] aus mindestens 10 Zeichen, Groß- und Kleinbuchstaben bestehen, Zahlen von 0 – 9 und Sonderzeichen wie z.B. #, * oder ? enthalten sollte“. Wie immer probieren wir:

  • Bei „Passwort“ schrillen die Alarmglocken: „sehr schwach“ zeigt die in rot gefärbte, alarmierende Sicherheitsschranke an.
  • Glücklicherweise zeigen sich „123456“, „12345678“ sowie „12345678!“ ebenfalls als „sehr schwach“ – ein warnendes Rot taucht auch hier auf.
  • Schön: mit „P4sswort“ gewinnen wir auch keinen Blumentopf – die Sicherheitsampel bleibt erbarmungslos rot.
  • Wir machen fast einen Freudenhüpfer, als „Mayerin83“ die Passwortprüfung auch nicht beeindrucken kann: die Ampel bleibt rot, kein Durchkommen! Wunderbar, denn bislang war Yahoos Passwortprüfung die einzige, die etwas gegen Bestandteile der E-Mail-Adresse hat. Sogar aikQ und mailbox.org ließen dieses Passwort als vordersten Teil unserer Test-E-Mail-Adresse durchgehen!

Von der „unterirdischen“ Passwortprüfung von vor 2 Jahren ist nichts mehr über – wir sind begeistert und überlegen uns nun ein wirklich sicheres Passwort, welches die Ampel auf grün springen lässt.

Secret Key zum Generieren neuer Passwörter

Diese Passwortprüfung wäre ja so schön, wenn … ja, wenn da nicht der Secret Key wäre. Was eigentlich als Sicherheitstool gedacht ist, erweist sich als nicht sonderlich clever. Der Secret Key wird wie folgt beschrieben: „Als Secret Key können Sie einen speziellen Begriff, ein geheimes Wort oder eine spezielle Buchstaben-/Zahlenkombination angeben. Sollten Sie Ihr Passwort einmal vergessen haben und z. B. Ihre hinterlegte, alternative E-Mailadresse nicht mehr gültig sein oder keine Handy-Nr. In Ihrem Account hinterlegt haben, können Sie den Secret Key nutzen um ein neues Passwort anzufordern. Ihr persönlicher Sekret Key muss eine Mindestlänge von drei Zeichen haben.“

Heißt: da überlegen Sie ewig, um ein wirklich sicheres Passwort zu finden – wie es der Service erfreulicher Weise vorschreibt. Und dann können Sie mit einem „Geheimschlüssel“, der mindestens gigantische drei Zeichen lang sein soll, diesen tollen Passwortschutz aushebeln. Mit „123“ beispielsweise können Eindringlinge extrem einfach Ihr Passwort ändern. Ein mehr als fragwürdiger Schutz!

Es tauchen Schwierigkeiten auf

Wir registrieren positiv, dass den AGB und der Datenschutzerklärung aktiv zugestimmt werden muss. Als wir allerdings auf „Jetzt E-Mailkonto anlegen“ gehen möchten, werden wir darauf hingewiesen, dass PLZ und Ort nicht zusammenstimmen. Wir prüfen, wissen allerdings, dass das die korrekte PLZ des Ortes ist. Als wir zur schnellen Lösung des Problems eine andere passende PLZ-Ort-Kombination angeben, gelingt die Registrierung.

Nun sollte man sich 48 Stunden nach der Registrierung auch einloggen, da der Account andernfalls wieder gelöscht wird. Aus Sicherheitsgründen ist das durchaus sinnvoll.

Zusammenfassung Einstiegshürden:

  • Einfachheit: einfach wirkend, allerdings kann es Probleme mit PLZ-Orts-Kombinationen geben, auch wenn sie derart tatsächlich existieren. Auch das Durchblicken der mit vielen Eingabefeldern gespickten Registrierungssite gelingt nicht sofort und einfach, 0 Punkte
  • Sicherheit/ Seitenverschlüsselung: zwar gute Verschlüsselung, jedoch kann Aktivitätentracking durch Werbeanzeigen stattfinden; nicht jede Website nimmt die Bitte, das Tracken zu unterlassen, an, deshalb 0 Punkte
  • Passwortvergabe: für das tatsächliche Passwort: grandios! Da jedoch durch den Secret Key, der nur 3 Zeichen haben muss und damit auch mit „123“ funktioniert, ein neues Passwort angefordert wird, können Eindringlinge die Passworthürde sehr leicht durchbrechen, deshalb 0 Punkte
  • notwendiger Datenumfang: verhältnismäßig umfangreich, 0 Punkte
  • vorgekreuzte Checkboxen: nein, 1 Punkt

Damit erreicht das Angebot von eclipso bei den Einstiegshürden 1 von 5 Punkten.

Usability bei eclipso

Usability bei Eclipso 6 von 11 Punkten
© Tyler Olson – Fotolia.com

Nach der Registrierung eröffnet sich uns ein übersichtliches Dashboard. Eine Tour durch das Backend wird uns nicht angeboten. Wir entdecken jedoch eine Begrüßungsmail in unserem Posteingang:

Nachdem wir darin willkommen geheißen wurden, wird das Importieren von Kontakten und E-Mails angeregt; außerdem finden wir Hinweise, wie wir unser E-Mail-Programm oder unser Smartphone mit POP3 einrichten können. Zuletzt wird uns die Hilfedatenbank vorgestellt und wir erfahren, dass Neuerungen sowie Ankündigungen für Wartungsarbeiten übers Blog laufen.

Rechts blinkt uns derweil Werbung zu, während über dem Posteingang unauffälligere Werbung eingesetzt wird. Als störend empfinden wir den rechten Banner, jedoch ist so ein ungewollter Klick auf die unauffälligere Werbung oben wahrscheinlicher. Haben wir keine E-Mail ausgewählt, wird auch dieser Platz für Werbebotschaften genutzt. Somit haben wir nun, wo wir keine Mail ausgewählt haben, mehr Werbung als E-Mail-Postfach im Blick.

Umfangreiche Einstellungen bei eclipso

Dass die Einstellungen in der linken Navigation alphabetisch und nicht logisch sortiert sind, verwirrt. Wir hatten zunächst „allgemeine Einstellungen“ erwartet, beginnen jedoch mit dem Abwesenheitsagenten, bevor Account-Upgrade und Alias-Adressen noch vor den allgemeinen Einstellungen kommen.

Darin entdecken wir den Menüpunkt „Verschlüsseln“ und danach eine Checkbox mit „standardmäßig aktivieren“. Wir bestätigen mit „OK“ und sind nun gespannt auf den Versand unserer Test-E-Mails. Wie zu erwarten, wäre das nun zu einfach gewesen. Als wir unsere erste Test-E-Mail versenden möchten, erklärt uns ein Popup:

„Sie möchten diese Nachricht verschlüsselt versenden, Ihr Schlüsselbund enthält aber nicht die nötigen öffentlichen Zertifikate eines oder mehrerer E-Mail-Empfänger. Bitte fügen Sie die öffentlichen Zertifikate folgender Empfänger Ihrem Schlüsselbund hinzu und versuchen Sie es erneut: <Empfänger-E-Mail-Adresse>“

Man versetze sich nun in die Lage eines Verschlüsselungslaien: Mehr als Fragezeichen auf der Stirn des Lesenden wird dieser Text nicht auslösen. Klickt man „OK“, passiert gar nichts. Der nicht versierte User wird also keinesfalls an die Hand genommen. Er wird jedoch die Checkbox vor dem Wort „verschlüsseln“ sehen, die hinter dem Empfänger steht, und dieses Feld deaktivieren, um die E-Mail doch endlich zu versenden.

Immerhin wird die E-Mail transportverschlüsselt (TLS1.2:ECDHE_RSA_AES_256_GCM_SHA384:256). Der Satz „Ihre E-Mail-Postfächer zentral an einem Ort. Jetzt wechseln und alte E-Mail-Adresse mitnehmen! https://www.eclipso.de.“ wirbt am Ende der Test-E-Mails in eigener Sache.

Leistungen eines eclipso-Accounts

eclipso offeriert drei verschiedene Pakete: das kostenfreie eclipso FreeMail, eclipso Connect mit 12-monatiger Mindestlaufzeit, welches 12 € jährlich kostet, sowie eclipso Premium, das für eine 6-monatige Laufzeit mit 29,95 € zu Buche schlägt. Für die konkreten Leistungen und Preise der Pakete schauen Sie bitte auf die Tarifseite des Anbieters.

Wir vergleichen diese Tarifseite, die sehr eingeschränkte Funktionen im Freemail-Tarif zeigt, mit der, die wir eingeloggt in unseren Einstellungen unter „Account-Upgrade“ finden. Hier gehen die Angaben leider auseinander. So finden wir u. a. folgende Unstimmigkeit:

Laut Tarifsite ist S/MIME genauso unmöglich wie das Verschlüsseln per System- und eigenem Zertifikat. Die Upgrade-Tarifsite im Backend besagt, dass S/MIME natürlich möglich sei und dass es genauso möglich wäre, Zertifikate hochzuladen – um somit mit eigenem Zertifikat zu verschlüsseln.

Dass weder IMAP noch automatische E-Mail-Weiterleitungen mit dem FreeMail-Account möglich sind, zeigt die eingeschränkten Funktionalitäten. Man bekommt also Werbung vorgesetzt, woraus folgend die Seitensicherheit leidet (dazu mehr unter „Sicherheit“). Dann bekommen User zwar Zusatzfunktionen wie SMS- und Faxversand oder auch Fotoalben, Bildbetrachter und Cloudspeicher. Aber an Grundlegendem mangelt es dann wieder. Mit 20 MB Anhang-Größe bewegen wir uns wieder auf dem Niveau von Web.de.

Werbung ausblenden verboten

Zum Testen der jeweiligen Angebote verwenden wir bewusst verschiedene Browser: Chrome, Firefox und Opera (mit aktiviertem VPN & Werbeblocker; die anderen beiden ohne gesonderte Einstellungen). Denn die Browser zeigen Sicherheitsmerkmale verschieden an und zeigen auch in den Quelltexten Interessantes auf.

Als wir uns mit Opera einloggen – wie erwähnt: VPN und Werbeblocker sind aktiviert – erscheint ein Popup: „Bitte deaktiveren Sie Ihren Werberblocker!“ steht dort in vier verschiedenen Sprachen. Wir können schnöde auf „OK“ gehen oder aber unseren Account upgraden – für nur 12 € jährlich. Wir entscheiden uns für das „OK“ und nichts passiert. Unsere Verbindung zur Site ist laut Opera sicher.

Nach wie vor schützen uns domainvalidierte SSL-Zertifikate. Zumindest fast: Wir entdecken SHA1 als Fingerabdruckalgorithmus. Warum dies nicht in Ihrem Sinne sein kann, lesen Sie bitte hier nach. Wir tummeln uns noch etwas in den unterschiedlichen Browsern. Immer mal wieder entdecken wir, dass unsere Aktivitäten getrackt werden und dass es gemischte Inhalte gibt:

Teile der Website werden nicht richtig verschlüsselt. Dies hängt häufig mit Werbebannern zusammen, die unverschlüsselt ausgegeben werden. Moderne Browser warnen vor solchen gemischten Inhalten. Weitere Informationen zum Thema entnehmen Sie bitte den Beiträgen der Serie „Browser-Sicherheit“, deren Ergebnisse wir in diesem Beitrag zusammengefasst haben.

Usability darf bei eclipso besser werden

Selten haben wir beim Testen so häufig das fragende Geräusch „Häää?“ vernommen wie heute. Wie kann es sein, dass hervorragende Features wie großzügiger Speicher (Startvolumen 5 GB für E-Mails + 5 GB für Fotos & Dateien; kostenfreie Erhöhung alle 180 Tage möglich) oder Free-SMS inklusive sind, Einfachheiten wie Weiterleitungen oder IMAP erst eingekauft werden müssen? Vor allem, wenn sich das Angebot über Werbung finanziert – eclipso Sync und Spam Protect Plus sind erst für wirklich teure 29,95 € pro Halbjahr inklusive.

Die Weboberfläche lässt sich hier und da anpassen. Mit intuitivem Handling hat das Backend aber insgesamt wenig gemein. Anstelle logischer Sortierungen erleben wir alphabetische Sortierungen – was nicht weiter stören würde, würde man sämtliche Begrifflichkeiten des Anbieters kennen. Beispiel gefällig?

Der Menüpunkt „Twitter“ ist nicht nur nichtssagend, sondern auch noch sicherheitsbedenklich. Sie können nämlich Ihren Twitter-Account verknüpfen, um eclipso zu erlauben, Tweets aus Ihrer Timeline zu lesen, neuen Leuten zu folgen, Ihr Profil zu aktualisieren und Tweets für Sie veröffentlichen. Behalten wir den weniger versierten User im Kopf, ist das eine ungünstige Konstellation.

Dass die Tarifangaben auf verschiedenen Seiten auseinandergehen, geht gar nicht! Auch dass der einzige Ausgang aus Werbebelästigung und Pflichtnewsletter das Account-Upgrade ist, geht in unseren Augen nicht: wenn man schon kostenfrei anbietet, dann darf das bitte vollumfänglich funktionieren. Es nervt beim Arbeiten im Account, hier und da immer wieder zum Upgrade aufgefordert zu werden. Unsere Tester sind sich einig: dann lieber 12 € jährlich zahlen, diese Unstimmigkeiten von vornherein weglassen und gut ist.

Zusammenfassung Usability:

  • Preis-Leistungsverhältnis: kostenfrei (FreeMail) (1 Punkt), Standardfunktionen nicht vollumfänglich vorhanden (0 Punkte), Zusatzfunktionen vorhanden (1 Punkt) – also 2 Punkte
  • Werbeeinblendungen auf der Seite: recht üppig, zuweilen mehr Werbung als Postfach auf dem Monitor, 1 Punkt
  • Anmeldung/ Login-Prozess: einfach, 2 Punkte
  • E-Mail-Versand & -Empfang: grundsätzlich einfach, zuweilen jedoch verwirrend für weniger versierte User (E-Mail-Verschlüsselung), 1 Punkt
  • (Pflicht-)Newsletter: ja, 0 Punkte

Damit erreicht eclipso bei der Usability 6 von 11 Punkten.

Rechtstexte von eclipso

Rechtstexte bei Eclipso 7 von 9 Punkten
© sepy – Fotolia.com

Die Nutzungs- bzw. Allgemeinen Geschäftsbedingungen wurden zuletzt am 01.10.2015 geändert, nach unserem Test aus 2014. Auf der unsicher verschlüsselten Site, die wieder unverschlüsselte Inhalte zeigt und damit nicht als sicher gelten kann, müssen Sie glücklicherweise keine Eingaben tätigen.

Änderungen der AGB, des Angebots oder der Funktionalitäten werden ohne Ankündigungsfrist durchgeführt. Möchten Sie den Änderungen widersprechen, müssen Sie dies rechtzeitig sehen, denn Sie haben nach der Änderung lediglich 4 Wochen Zeit zum Widerspruch. Bei Widerspruch kann eclipso den Vertrag kündigen.

In Punkt 2.3 erklärt eclipso, dass Sie durch Ihre Registrierung „dem Erhalt von Werbung mittels Banneranzeigen im Kundenmenü, E-Mail und ggf. Kurznachrichten (SMS) sowie Newslettern (ebenfalls via E-Mail) uneingeschränkt“ zustimmen. Sie können Premiumpakete kaufen, um Werbeanzeigen sowie Werbeerhalt abzubestellen.

Es folgen übliche Paragrafen: Sie dürfen keine falschen/ täuschenden Angaben zum Durchführen krimineller Aktivitäten machen. Überhaupt sollten Sie illegalen Aktivitäten nicht auf eclipso nachgehen; die AGB verbieten dies.

Offenbar sind auch die Zusatzfeatures werbefinanziert: Unter 3.9.1. erklärt ecplipso zu den SMS, dass Nutzer „ausdrücklich die eingeblendete Werbung, sowie die eventuell automatische Weiterleitung auf die Internetseite des aktuellen Werbepartners“ akzeptieren müssen.

Gut finden wir, dass kostenpflichtige Accounts nach einem Jahr nicht automatisch um ein weiteres Jahr verlängert werden, sondern dass sich User aktiv erneut für ein Abonnement entscheiden müssen. Das verhindert unnütze Geldausgaben und dieses Vorgehen ist das positive Gegenteil einer Abo-Falle.

Umgang mit Daten bei eclipso

Unter 4.2 erfahren wir, dass sich eclipso das Recht vorbehält, „rechtswidrige, diskriminierende, sexistische, moralisch verwerfliche oder sonst bedenkliche Inhalte zu löschen, oder deren Weiterverbreitung zu verhindern, wenn diese bekannt werden. eclipso ist gesetzlich dazu verpflichtet, auf gerichtliche oder behördliche Anordnung Daten des Nutzers an die Strafverfolgungsbehörden weiter zu geben“.

Der Verpflichtung, auf Anordnung Daten weiterzugeben, entgegnet mailbox.org begeisternd: ohne Daten keine Herausgabe. Dass Inhalte durch eclipso gelöscht werden können oder deren Weiterverbreitung verhindert werden kann, zeigt, dass der Anbieter Einsicht in die Daten haben könnte.

Unter 4.8.1 wird das sogenannte eclipso PIN Nutzerprofil geregelt, das wir bislang noch nicht erwähnt hatten. Diese PIN ist eine weitere Account-Zusatzleistung, die die Teilnahme an der eclipso Community gestattet. Sie können einen Nicknamen angeben oder aber Ihren Klarnamen dafür nutzen. Möchten Sie Ihren Klarnamen freiwillig verwenden, sichern Sie zu, „dass der angegebene Name keine Rechte Dritter verletzt, kein Fake-Name ist oder ein Name verwendet wird, der nicht dem des Nutzers entspricht“. Tragen Sie nun zufällig denselben Namen wie eine berühmte Persönlichkeit, haben Sie also möglicherweise Pech und können Ihren Klarnamen, wenn dieser die Rechte Dritter verletzt, nicht verwenden.

In Punkt 5.5 widmet sich eclipso noch mal geistigen Eigentumsrechten. Hier wird es im Zusammenhang mit der eben erwähnten Community spannend: „eclipso sichert zu, Content und/oder Daten des Nutzers nur dann für Werbezwecke oder weitere Veröffentlichungen auf eclipso zu verwenden, wenn diese öffentlich zugängig vom Nutzer selbst zur Verfügung gestellt wurden (z.B. beim öffentlich zugängigen eclipso PIN-Profil des Nutzers).“ Passen Sie also auf, was Sie öffentlich anzeigen lassen – womöglich sind Ihre Angaben schon bald Aufhänger der nächsten Marketingkampagne!

Datensicherung unterliegt der Nutzer-Verantwortung

Wie so oft, ist es in Ihre alleinige Verantwortung gelegt worden, auf Ihr Passwort zu achten. Dasselbe gilt für regelmäßige Datenbackups.

Punkt 7.1 lässt uns staunen: Möchten Sie Ihren kostenpflichtigen Account ordentlich kündigen, gibt es Rückerstattungen nur dann, wenn Ihr Guthaben 10 € übersteigt und ausschließlich durch Einzahlungen entstanden ist. Es fällt eine Bearbeitungsgebühr von sagenhaften 7,50 € an – das erscheint uns sehr hoch! Angenommen, Sie verfügen noch über ein Restguthaben von 10,50 €. So würden doch nur Menschen, die mit Sätzen wie „Da geht’s mir ums Prinzip!“ um sich werfen, das Guthaben von nunmehr 3,00 € anfordern, oder? Diese Gebühr empfinden wir als überzogen.

Jetzt entdecken wir den Hinweis auf Klarnamenpflicht bei der Registrierung: In 7.2 steht geschrieben, dass eine außerordentliche Kündigung dann denkbar ist, „wenn der Kunde bei der Anmeldung falsche Angaben gemacht hat“. Spulen wir zurück zur Registrierung: es war uns nicht möglich, PLZ und Ort der Wahrheit entsprechend anzugeben, da die Eingabe nicht angenommen wurde. Ein klarer Verstoß also gegen diesen Passus.

Nutzen Sie Ihren Account 365 Tage nicht, wird Ihr Account gesperrt. Nach maximal 550 Tagen nach dem letzten Login wird Ihr Account aufgelöst und Ihre Daten werden gelöscht. Möchte der Nutzer selbst kündigen, gelingt dies über die Accounteinstellungen. Dann werden sämtliche Daten „beim Beenden der Mitgliedschaft unwiderruflich und unwiderbringbar gelöscht“.

Datenschutz in den AGB

Unter Punkt 8 wird der Datenschutz innerhalb der AGB geregelt. 8.1 erklärt, dass „die gesetzlichen Bestimmungen […] zudem durch das Gesetz bzw. die Richtline zur sog. „Vorratsdatenspeicherung“ geregelt“ werden. Die Vorratsdatenspeicherung wird in den Datenschutzrichtlinien nicht einmal erwähnt.

Weiter ist eclipso „berechtigt, die personenbezogenen Daten des Kunden im Rahmen ihrer Werbeverträge mit den Sponsoren zu verarbeiten und zur Kategorisierung einzelner Zielgruppen zu nutzen, wobei keine Weitergabe der Daten an Dritte erfolgt“.

In der nun folgenden Widerrufsbelehrung steht webconcept+ als Ansprechpartner. Die Widerrufsbelehrung entspricht den gesetzlichen Vorgaben; ein angehängtes Formular macht den Widerruf schön einfach. Auch die Schlussbestimmungen entsprechen dem Standard.

Datenschutzerklärung von eclipso

Leider enthält die Datenschutzerklärung, die ebenfalls leicht auffindbar ist, kein Änderungsdatum. Wir erfahren, dass einige vom Browser übermittelten Daten (Browsertyp & -version, OS, Referrer-URL, IP-Adresse & Uhrzeit der Serveranfrage) keinen Personen zuordenbar sind und keinerlei Zusammenführung mit Daten aus anderen Quellen stattfindet. „…, die Daten werden zudem in unbestimmten Zeiträumen, nach einer statistischen Auswertung gelöscht“.

Wie üblich werden Cookies einschließlich häufig verwendeter Session-Cookies erklärt. Möchten Sie nicht, dass eclipsos Werbepartner Cookies auf Ihrem Rechner ablegen, können Sie die Cookie-Annahme in den Browsereinstellungen deaktivieren.

Eclipso drückt sich klar und eindeutig aus: „Eine Trennung von kostenlosem Angebot und dem Verzicht auf Newsletter ist nicht möglich. Sofern Sie keine Newsletter erhalten möchten, bitten wir von einer Registrierung auf unseren Internetseiten abzusehen oder das entsprechende Werbe- und Newsletterfreie Premium-Paket zu buchen.“ Zahlen oder komplett verzichten – Sie haben die Wahl!

Zur Nutzung oder Weitergabe Ihrer persönlichen Daten schreibt der Anbieter: „Ihre personenbezogenen Daten werden an Dritte nur weitergegeben oder sonst übermittelt, wenn dies zum Zwecke der Vertragsabwicklung – insbesondere Weitergabe von Bestelldaten an Lieferanten, Banken, Abrechnungsfirmen – erforderlich ist, dies zu Abrechnungszwecken erforderlich ist oder Sie zuvor eingewilligt haben. Sie haben das Recht, eine erteilte Einwilligung mit Wirkung für die Zukunft jederzeit zu widerrufen.“

Bank- bzw. Zahlungsdaten geben Sie bei eclipso nirgends ein, weshalb auch keine Verbindung von Zahlungs- zu Nutzerdaten entstehen kann. Je nach von Ihnen bevorzugter Zahlungsmethode werden Sie zum Dienst geleitet, tätigen dann Ihre Zahlung und werden danach wieder auf eclipso geleitet.

Datenlöschung bei eclipso

Möchten Sie die Löschung Ihrer persönlichen Daten veranlassen, so können Sie „Ihre Einwilligung zur Speicherung widerrufen, wenn ihre Kenntnis zur Erfüllung des mit der Speicherung verfolgten Zwecks nicht mehr erforderlich ist oder wenn ihre Speicherung aus sonstigen gesetzlichen Gründen unzulässig ist“.

Nun gibt eclipso einen wertvollen Hinweis zur Sicherheit: „Bei der Kommunikation per E Mail kann die vollständige Datensicherheit von uns nicht gewährleistet werden, so dass wir Ihnen bei vertraulichen Informationen den Postweg empfehlen.“ Es ist mutig, zuzugeben, dass der Postversand sicherer ist als der E-Mail-Versand über eclipso. Die Ehrlichkeit diesbezüglich halten wir jedoch für nötig und kundenfreundlich.

Möchten Sie vom Auskunftsrecht Gebrauch machen, können Sie Informationen zu Herkunft sowie Zweck der über Sie gespeicherten Daten einholen. Die Datenschutzerklärung verweist dafür auf diese Site, auf der Sie auch persönliche Daten eingeben müssen. Blöderweise ist diese Site durch Mixed Content, also wieder gemischte Inhalte, nicht vollständig sicher. Vielleicht sollten Sie lieber per Post anfragen …

Auf dieser Kontaktsite jedenfalls begegnet uns der Secret Key wieder – Sie wissen schon: das Passwort fürs Passwort, sozusagen. Unsere alles andere als sicheren drei Zahlen (123) genügen, um unser wirklich sicheres Passwort zurückzusetzen – und damit jeden in unseren Account zu lassen, der sich dafür interessiert.

Es wird noch auf den Analysedienst Piwik hingewiesen, weiter folgen die üblichen standardisierten Hinweise zu den Social Media-Plugins.

Zusammenfassung Rechtstexte:

  • Auffindbarkeit: gut, 2 Punkte
  • Verständlichkeit: gut, 2 Punkte
  • Klarheit/ Eindeutigkeit: größtenteils klar & verständlich, zuweilen werden Fragen aufgeworfen (z. B. zu der Tatsache, dass eclipso andeutet, E-Mails zu analysieren), 1 Punkt
  • Inhalt: kleinere Mängel in den AGB, Datenschutzerklärung völlig in Ordnung, 2 Punkte

Damit erreicht der Anbieter 7 von 9 Punkten.

Sicherheit bei eclipso

Sicherheit bei Eclipso 7 von 14 Punkten
© Mikko Lemola – Fotolia.com

Eclipso hat seine Sicherheits-Site zum Herzeigen der hauseigenen Features aufbereitet. Leider ist dem, was wir dort lesen, nur bedingt zuzustimmen: Ja, eclipso bemüht sich sicherlich, die Privatsphäre zu schützen. Allerdings versucht der Service auch, Einnahmen zu generieren. Wie eingangs erwähnt, ist dieser sichere + kommerzielle Ansatz eine Gratwanderung.

Und auf dieser Wanderung sind wir vielfach auf Mixed Content-Sites gestoßen. Die Werbeanzeigen werden zu großen Teilen unverschlüsselt ausgeliefert, während eclipso selbst verschlüsselt – nicht umwerfend, aber doch gut (Domainvalidierung). Das Verwenden von TLS in der aktuellen Version 1.2, PFS gegen das nachträgliche Entschlüsseln und HSTS, um HTTPS-Zugriff festzulegen, sind extrem gute Tools. Sie nützen allerdings nur wenig, wenn nicht-verschlüsselte (HTTP-)Inhalte unter den verschlüsselten (HTTPS-)Inhalten gemixt werden.

eclipso lobt sich selbst

Auch lesen wir die folgende Passage ungern: „Kostenlos und hohe Sicherheitsstandards schließen sich nicht aus. eclipso bietet maximale E-Mail-Sicherheit auch bei unseren kostenlose E-Mail-Angeboten.“ Das entspricht nicht der vollen Wahrheit:

Im kostenfreien Mailangebot können Sie laut Tarifbeschreibung kein eigenes Zertifikat hochladen und damit auch den E-Mail-Verkehr nicht vollends absichern. Eclipso selbst rät deshalb in den Datenschutzbedingungen zum Postversand bei sensiblen Inhalten.

Auch ist es kein „hoher Sicherheitsstandard“, wenn die Werbebanner unverschlüsselt und nicht gerade zaghaft im Backend eingesetzt werden. Ausschließlich auf Transportverschlüsselung zu setzen, kann E-Mail-Verkehr tatsächlich nicht vor Zugriffen Dritter schützen. Spätestens, wenn die E-Mails auf dem Server liegen, können Sie gelesen werden – und wie die AGB vermuten lassen, werden sie das auch von ecplipso selbst (oder können zumindest – so klar sind die Aussagen leider nicht).

Am Ende dieser Sicherheitssite lesen wir: „Als weiteres Feature können Nutzer E-Mail mittels S/Mime und eigenen SSL-Zertifikaten vor dem Zugriff Unbefugter verschlüsseln. Unser Server befinden sich ausschließlich in deutschen Rechenzentren“. Wieder nur die halbe Wahrheit, denn als User des FreeMail-Angebots können Sie Ihre eigenen Zertifikate eben nicht hochladen. Dass die Server ausschließlich hierzulande stehen, erfreut uns; eine konkrete Angabe über den oder die Orte würden uns aber noch mehr erfreuen.

Zusammenfassung Sicherheit:

  • Seitenverschlüsselung (Login-Site & Mail-Interface): theoretisch gute Verschlüsselungsparameter, allerdings Mixed Content mit unverschlüsselten (Werbe-)Inhalten. Deshalb kein Schutz gegeben, für den Versuch gibt es noch 1 Punkt.
  • E-Mail-Verschlüsselung: ausschließlich transportverschlüsselt, kein Zertifikate-Upload im Freemail-Tarif möglich, 1 Punkt
  • sonstige Sicherheitsfeatures: Secret Key soll Sicherheit erweitern, macht jedoch die großartige Passwortprüfung unnütz, 0 Punkte
  • Serverstandorte: Deutschland, 3 Punkte
  • Serververschlüsselung: gut (SHA256wirthRSA, HSTS, PFS, Passwörter als gesaltete Hashs gespeichert), 2 Punkte
  • Datenspeicherung auf Servern: zu viel, die Konkurrenz speichert deutlich weniger, 0 Punkte

Damit erreicht das eclipso-Angebot bei der Sicherheit 7 von 14 Punkten.

eclipso: Fazit

In unseren E-Mail-Tests spüren wir zwei Dinge: zum einen, wie sich die Angebote der Anbieter erweitern (oder eben nicht), zum anderen auch, wie sich die Technik seither verändert hatte. Beim Ersttest von vor zwei Jahren warnten wir beispielsweise bereits vor SHA-1, jedoch hatten die Browser noch keine Darstellung für schlechte Algorithmen. Auch waren die Browser noch weit davon entfernt, uns Aktivitätenverfolgung, Mixed Content und sonstige Sicherheits-beeinflussende Faktoren zu zeigen.

Genau das ist nun bei eclipso spürbar. Als Inhaber Claus-Peter Beringer beim Vortest auf unsere Kritiken antwortete, freuten wir uns darüber sehr – und tatsächlich: die damals erwähnten Mängel in der Passwortprüfung sind angegangen worden, wie seinerzeit versprochen. Auch wurden die AGB überarbeitet, um für mehr Klarheit zu sorgen – einige Kritikpunkte fanden wir auch diesmal. Um die Post- und Briefdienste haben wir uns beim aktuellen Test gar nicht gekümmert.

Und doch werden wir nicht so richtig grün mit dem Service. Die Eingabemaske beim Registrieren erschlägt uns, nachdem wir nun bereits zwei datensparsame Sicherheitsanbieter getestet haben. Sie ist vergleichbar mit denen anderer Freemail-Anbieter, die sich jedoch weniger mit Sicherheit rühmen.

Es darf auch nicht sein, dass die Seitenverschlüsselung davon abhängig ist, ob eine Website hinter einem Werbebanner drauf reagiert, uns bitte nicht zu tracken, oder nicht – das ist leider Website-abhängig, auch wenn Ihr Browser anordnet, dass Sie nicht verfolgt werden. Da hieraus Mixed Content entsteht, sind die Sites in ihrer Sicherheit nicht verlässlich.

Wäre es nicht so bitter, würden wir es als größten Witz überhaupt empfinden, was aus der Passwortprüfung geworden ist: die ist wirklich gut, in keinem anderen Anbietertest fanden wir eine solch starke Prüfung! Das wird jedoch durch den Secret Key komplett nichtig gemacht: nur 3 Stellen sind für diesen Key erforderlich; abc geht genauso durch wie 123. Menschen, die sich „123456“ als Passwort trauen würden, machen auch vor solchen Keys nicht Halt. Dieser Key kann zum Generieren eines neuen Passworts herhalten – und das öffnet Tür und Tor für Kriminelle. Die großartige Passwortprüfung ist völlig umsonst.

Auffindbarkeit und Verständlichkeit der Rechtstexte sind prima! Inhaltlich bzw. von ihrer Klarheit werfen jedoch insbesondere die AGB Fragen auf: wir lesen Vorratsdatenspeicherung (VDS) – jedoch nur in den AGB, in der Datenschutzerklärung kommt die VDS nicht mehr vor. Auch lesen wir, dass bestimmte Inhalte nicht gestattet sind und eclipso bei Bekanntwerden solcher Inhalte Maßnahmen ergreift. Das kann man als indirektes Eingeständnis dafür sehen, dass eclipso die Mails seiner User zumindest stichprobenartig liest. Wenn dem so ist, möchten wir das genau so in den Datenschutzvereinbarungen lesen. Ist dem nicht so, wäre eine andere, eindeutigere Formulierung sicher angebracht.

Die gut gemeinte Verschlüsselung ist weder im Website- noch im E-Mail-Bereich gut umgesetzt, denn immer wieder werden verschlüsselte mit unverschlüsselten (Werbe-)Inhalten gemixt. Die Aussagen auf der Sicherheitssite sind nur bedingt richtig, auch existieren widersprüchliche Aussagen auf der offiziellen Tarifseite und der in unseren Einstellungen.

Auf uns wirkt das Angebot, als wolle man mit dem Freemail-Tarif eben Kunden anziehen, die nicht bereit sind, für E-Mail-Accounts zu zahlen. Wir sind der Meinung, dass diese Zielgruppe natürlich völlig in Ordnung ist, dass dann aber nicht von Sicherheit gesprochen werden darf. Würde sich eclipso entweder als werbender Freemail-Anbieter oder als kostenpflichtiger Sicherheitsanbieter etablieren, wäre uns dies deutlich lieber, als dieser unausgereifte Versuch, bei beiden Zielgruppen anzukommen. Das ist, als wenn es Yahoo und mailbox.org unter einem Anbieter gäbe – irgendwie undenkbar. Wohl auch deshalb müssen wir die Umsetzung des Angebots von eclipso so stark kritisieren.

Tatsächlich hat noch schlechter bislang nur Yahoo mit 18 von 39 Punkten abgeschlossen. Mit 21 von 39 Punkten bleibt das Angebot von eclipso sogar noch hinter Web.de und GMX, die es immerhin auf 22 Punkte schafften. Bevor wir aber zu einem endgültigen Ranking kommen, testen wir kommende Woche noch Posteo als letzten Sicherheitsanbieter.

Wie hat Ihnen dieser Artikel gefallen?

Average rating 4.4 / 5. Vote count: 12


9 Kommentar(e)

Schreibe einen Kommentar

* Die DSGVO-Checkbox ist ein Pflichtfeld

*

Ich stimme zu

Auf dieses Thema gibt es 9 Reaktionen