Schon beim Öffnen einer E-Mail riskierst Du deine Privatsphäre

E-Mails: Aufgrund zahlreicher Sicherheitsmängel eher Postkarte als verschlossener Brief. CC-BY-NC-ND 2.0 Sarah Everson

In einem gestern veröffentlichten Longread zeigt das Wired Magazine mit anschaulichen Beispielen, wie leicht E-Mail-Tracking funktioniert. Mit Online-Inhalten, die in die Mails eingebunden werden, verrät der Empfänger der E-Mail nicht nur, wann er die E-Mail öffnet, sondern auch seine IP-Adresse und damit seinen ungefähren Standort. Auch welches Gerät er zum Lesen der E-Mail nutzt, wird für den Tracker sichtbar.

Möglich machen das vor allem sogenannte Tracking-Pixel. Diese transparenten Bilddateien, die oft nur 1×1 Pixel klein sind, sind in der E-Mail gar nicht sichtbar, müssen aber von externen Servern geladen werden.

Soweit dürfte das für die meisten keine Überraschung sein: Tracker dieser Art werden seit Jahren vielfältig eingesetzt, vor allem von Spam- und Werbesendern, die damit überprüfen, ob die erreichten Mailkonten überhaupt genutzt werden. Wired verdeutlicht darüber hinaus aber, dass fast jede fünfte private Mail mittlerweile getrackt würde. Browser-Addons ermöglichen es auch Laien, an dieser zweifelhaften Praxis teilzunehmen.

Was im Artikel leider unter den Tisch fiel, hier aber nicht vorenthalten werden soll: Man kann sich sehr leicht gegen diese Art des Trackings wehren. Bessere Mailanbieter blockieren standardmäßig jegliche externen Inhalte, das gleiche gilt für manche E-Mail-Clients wie Mozilla Thunderbird. Wer ganz sicher gehen will, lässt sich Mails nur als reinen Text anzeigen.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

10 Ergänzungen

  1. > Möglich machen das vor allem sogenannte Tracking-Pixel. Diese transparenten
    > Bilddateien, die oft nur 1×1 Pixel klein sind, sind in der E-Mail gar nicht sichtbar,
    > müssen aber von externen Servern geladen werden.

    Müssen sie nicht, wenn der Email-Client ein Nachladen von Web-Inhalten nicht erlaubt. Das sollte jeder gute(sic) Client als „Minimal-Invasiv-Schutz“ beherrschen.

  2. Ein Blick auf privacy-handbuch.de könnte nützlich sein. Hilft bei der richtigen Einrichtung von Thunderbird. Wobei e-mails, die (wie fast alle) unverschlüsselt durch das Netz gehen, natürlich von diversen Interessenten abgeschnorchelt werden.

  3. Tipp für Thunderbirduser: Im Ansicht-Menu für die Darstellung „vereinfachstes HTML“ auswählen. HTML-EMails sehen noch halbwegs ordentlich aus, aber jede Menge potentiell gefährliches (ggf. sogar Scripte u.ä.) wird gar nicht erst dargestellt.

  4. ich halte es ja für guten Stil nur plaintext mails zu schreiben, und zu lesen.

    Auf die Einstellungen im Mail Client kann man sich nicht verlassen:
    oft genug setzt das Firefox Update meine Einstellungen auf „bessere“ zurück. Warfum sollte das bei einem Mail Client besser sein? Als User bekomme ich es ausserdem nicht mit wenn sich die Einstellungen gändert haben.

    Wenn die Mail nur einen HTML-Teil hat dann frage ich beim Absender nach.

  5. Ist es in den Standard Einstellungen von Thunderbird nicht so, dass externe Inhalte von HTML-E-Mails immer angezeigt werden? Unbedarften Leuten dürfte das nicht bewusst sein, dass sich unter Einstellungen / Datenschutz das abstellen lässt. Doch wer verwaltet dann schon Ausnahmeregeln.
    Deshalb wird seit Jahren das Add-On https://www.thunderbird-mail.de/lexicon/entry/14-allow-html-temp/ genutzt, das prinzipiell alle E-Mails plain anzeigt, jedoch per Klick die HTML Darstellung erlaubt.
    Und für Android hat sich K-9 Mail bewährt, wenn mobil Mail denn sein muss, denn da werden externe Inhalte auch unterbunden, außer man gibt sie nach einem Klick temporär frei.

    1. Allos Tipp mit „vereinfachten HTML“ übersehen, super Hinweis. Dazu ergänzend dann noch das Add-On, ohne weitere Einstellungen. Ergänzt sich prima.

  6. Hallo zusammen,
    ich möchte nur kurz darauf hinweisen, dass es auch die Möglichkeit gibt, sich von https://www.emailprivacytester.com/ eine E‐Mail (zzgl. die E‐Mail zur Adressbestätigung) zuschicken zu lassen und dann zu schauen, was da so alles „ausgelesen“ werden kann. Das würde dann auch bedeuten, dass man gar keine Lesebestätigung senden müsste und der/die Absender/‐in trotzdem sehen kann, ob der/die Empfänger/‐in die Nachricht erhielt bzw. auch geöffnet hat.

  7. „Wer ganz sicher gehen will, lässt sich Mails nur als reinen Text anzeigen.“

    Das würde ich so oder so machen! Diese ganze Bling-Bling-Html-Zeug ist doch sowieso nur Werbung oder Blickfang und damit unnötig. Der seriöse Kram gehört in den plan text bzw. wird auch angezeigt, wenn man plain text eingestellt hat.

    1. Hat auch oft noch den Vorteil, dass nicht alle Anhänge gleich geladen werden, wenn man mal wenig Bandbreite hat.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.