E-Mail Dienst aikQ: Solider Sicherheitsanbieter mit Nachholbedarf
Fulda – Anonym und für wenig Geld können Kunden des E-Mail-Dienstes aikQ verschlüsselt kommunizieren. So lautet das Versprechen des britischen Sicherheitsanbieters. Die deutschen IT-Sicherheitsexperten der PSW GROUP haben sich das Angebot in einem Test nun genauer angesehen.
Ausgerechnet bei den Sicherheitsparametern schießt sich aikQ selbst ins Aus: Der Anbieter verwendet seit über drei Monaten ein ungültiges Sicherheitszertifikat für die Hilfeseiten auf support.aikq.de. Bereits seit September 2016 abgelaufen, vermeldet der Webbrowser: „Diese Verbindung ist nicht sicher“. „Für einen Sicherheitsanbieter ist das ein echter Fauxpas, der angesichts der Dauer schon an Fahrlässigkeit grenzt. Dass das Zertifikat bereits seit Mitte September nicht erneuert wurde, lässt vermuten, dass Teile des Service nicht aktuell gehalten werden. Das ist schade, denn an und für sich hinterließ aikQ einen guten Gesamteindruck“, sagt Christian Heutger, Geschäftsführer der PSW GROUP.
Aber der Reihe nach: Nutzer können sich einfach und anonym registrieren, ebenso ist die Bezahlung des kostenpflichtigen Services anonym möglich. Weder werden Aktivitäten verfolgt, noch möchte die Site irgendwelche Berechtigungen. Geschützt werden Logindaten durch eine gute Verschlüsselung (TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, 128-Bit-Schlüssel, TLS 1.2). Lediglich die Passwortsicherheit lässt noch zu wünschen übrig: Es findet eine Passwortprüfung mit Hilfe von Smiley-Symbolen statt – durch Grünfärbung wird angezeigt, ob das gewählte Passwort Kleinbuchstaben, Großbuchstaben, Zahlen und Sonderzeichen enthält. „Die Idee ist an und für sich gut, wiegt aber Nutzer in trügerischer Sicherheit. Denn beispielsweise wird das Wort „P4sswort“ als sicher angezeigt. Hier bleibt nur das Smiley für „Sonderzeichen“ schwarz, die restlichen Bestandteile sowie der Sicherheitsbalken färben sich grün. Leider akzeptiert aikQ zudem Bestandteile der E-Mail-Adresse als sicheres Passwort“, bemängelt Christian Heutger.
Mit Verzicht auf Werbung und Pflicht-Newsletter, dafür mit einfacher Anmeldung und Bedienung in einem übersichtlichen Web-Interface punktet aikQ auch bei der Usability. Die Featureliste von aikQ kann mit denen der meisten Freemail-Anbieter mithalten: Neben den gängigen Funktionen, die ein E-Mail-Account zu haben hat, sind Zusatzleistungen wie Kalender, Aufgaben, Onlinefestplatte, SMS- und Fax-Versand inklusive. „Dafür lohnen sich die 12 Euro Jahresgebühr, die der Anbieter erhebt, im Grunde genommen schon. Aufgrund eines veralteten Zertifikats sind jedoch nicht alle angekündigten Features nutzbar. Mit modernen Browsern ist nämlich der Online-Support nicht erreichbar. aikQ sollte hier schnellstens nachbessern“, meint der IT Sicherheitsexperte.
Dass Anonymität gelebt wird, auch bei der Registrierung und der Bezahlung, ist ein guter Sicherheitsaspekt. So richtig begeistern können die Sicherheitsfeatures die Experten allerdings nicht. Zwar ist die Seitenverschlüsselung der Login-Site und des Interfaces gut, allerdings werden in den FAQ dazu andere Angaben gemacht als der Browser in der Zertifikateansicht anzeigt. Zudem sind weder 2-Faktor-Authentifizierung noch eine wirklich gute Passwortvergabe oder sonstige Sicherheitsfeatures vorhanden. Lediglich die Logout-Zeit und das Passwort können Anwender in den Einstellungen ändern.
Immerhin: E-Mails werden gut transportverschlüsselt (TLS1.2:ECDHE_RSA_AES_256_GCM_SHA384:256). „Diese können vom Anwender auch digital signiert werden, um dessen Identität zu beweisen. Dafür müssen sie allerdings ein digitales Zertifikat erwerben und dies in ihren Einstellungen hochladen“, ergänzt Heutger. Dass die Server des britischen Anbieters in Görlitz stehen, vermittelt ein beruhigendes Gefühl – eine Datenspeicherung auf den Servern findet kaum statt.
Quelle: PSW GROUP GmbH & Co. KG