11 Min.
Aufgeräumter iMac-Arbeitsplatz mit Tastatur und Lampe — Thunderbird sicher und DSGVO-konform für IT-Leiter konfiguriert

Sicherheit und Datenschutz mit Thunderbird: Ein Leitfaden für IT-Leiter

KI
Karl Isler in IT-Insights

Inhalt in Kürze

  • Ist Thunderbird sicher? Ja — wenn Sie ESR-Version, automatische Updates, OAuth2 und Master-Passwort einsetzen sowie OpenPGP oder S/MIME aktivieren. Der Open-Source-Code wird durch die Mozilla-Community auditiert, Sicherheitslücken werden in der Regel binnen Tagen gepatcht.
  • Datenschutz: Thunderbird selbst sendet ohne Telemetrie-Zustimmung keine Daten — Crash-Reporter, Telemetrie und Phishing-Schutz lassen sich abschalten. DSGVO-Konformität hängt am Mailserver, nicht am Client.
  • Verschlüsselung: OpenPGP nativ seit Version 78 (kein Enigmail nötig), S/MIME ebenso. Empfehlung — S/MIME für internen Verkehr über zentrale PKI, OpenPGP für Austausch mit Externen.
  • Enterprise: policies.json für Unternehmen — ausrollbar via Microsoft Intune, GPO oder Skript. Add-on-Whitelist, automatische Updates, Mail-Auto-Discovery, zentrale S/MIME-Verteilung.
  • Schwachpunkte: Keine native Exchange-MAPI-Verbindung, keine Sensitivity Labels von Microsoft 365, eingeschränkte Compliance-Features für Behörden.

Sie sollen entscheiden, ob Thunderbird sicher genug für Ihre 30, 50 oder 200 Arbeitsplätze ist — und ob die DSGVO-Vorgaben einhaltbar sind. Wir bekommen diese Frage in jedem zweiten Erstgespräch mit Hamburger Mittelständlern. Dieser Leitfaden gibt Ihnen die Antwort aus der Praxis: konkrete Settings, ehrliche Schwächen, ein Roll-out-Plan und die wichtigsten OpenPGP- und S/MIME-Schritte.

Ist Thunderbird sicher? Die kurze Antwort

Ja, Mozilla Thunderbird ist im Unternehmenseinsatz sicher — wenn Sie ihn richtig konfigurieren. Open Source bedeutet, dass der Quellcode öffentlich auditiert wird; Sicherheitslücken werden in der Regel binnen Tagen gepatcht und die Mozilla Foundation veröffentlicht alle Advisories transparent. Die aktuelle Sicherheits-Advisory-Liste gibt Ihnen jederzeit den Stand.

Der Knackpunkt liegt nicht in der Software, sondern in der Konfiguration — und genau hier sehen wir bei IT-Audits in Hamburg die meisten Probleme: alte Versionen, deaktivierte Updates, IMAP-Klartext-Passwörter, kein Master-Passwort, ungeprüftes Add-on-Sammelsurium.

Empfehlung in einem Satz:

Setzen Sie immer die ESR-Version, aktivieren Sie automatische Updates, nutzen Sie OAuth2 statt Klartext-Passwörtern und rollen Sie eine policies.json zentral aus — dann ist Thunderbird sicher genug für Mittelstand und Behörden.

Was Thunderbird sicherheitstechnisch mitbringt

Thunderbird 128 ESR (Stand 2026, Codename Nebula) ist seit Juli 2024 verfügbar und wird mindestens bis August 2026 mit Sicherheits-Patches versorgt. Die ESR-Schiene (Extended Support Release) liefert ausschließlich Sicherheits- und Stabilitäts-Updates ohne Feature-Sprünge — das ist für Unternehmen die richtige Wahl.

Diese Sicherheits-Bausteine sind nativ eingebaut:

  • OpenPGP — End-to-End-Verschlüsselung seit Version 78, kein Enigmail mehr nötig. Schlüsselgenerierung, -import und -verwaltung direkt im Client.
  • S/MIME — Zertifikatsbasierte Verschlüsselung und Signatur, kompatibel mit Outlook und allen gängigen S/MIME-Clients.
  • OAuth2 — für Microsoft 365 und Google Workspace nativ seit Version 77; löst Klartext-Passwort-Login ab.
  • Master-Passwort — verschlüsselt die lokale Passwort-Datenbank mit AES-256.
  • Phishing-Schutz — markiert verdächtige Links und Header (lässt sich abschalten, wenn Datenschutz wichtiger ist als der Schutz).
  • Junk-Filter — bayessches Spam-Filter-Modell, lernt mit jedem markierten Spam.
  • TLS 1.3 — für alle Server-Verbindungen, Klartext-Verbindungen werden in den Standardeinstellungen abgelehnt.
  • Enterprise Policies — JSON-basierte Konfiguration über GPO, Intune oder Profile-Loader, vergleichbar mit den Firefox-Policies.
Geschredderte Papierstreifen — Thunderbird Datenschutz und DSGVO-konforme Löschung sensibler E-Mails
Datenschutz endet nicht beim Verschlüsseln — auch das Löschen alter Mails gehört zur DSGVO-Hygiene. Thunderbird unterstützt automatische Aufbewahrungsregeln pro Ordner.

OpenPGP in Thunderbird einrichten — Schritt für Schritt

OpenPGP ist seit Thunderbird 78 nativ eingebaut. Wer noch das alte Enigmail-Add-on installiert hat, sollte es deinstallieren — die Schlüssel migriert Thunderbird beim ersten Start automatisch.

  1. Konten-Einstellungen öffnen: über das Hamburger-Menü (Drei-Striche oben rechts) und das gewünschte E-Mail-Konto auswählen. Im linken Menü erscheint Ende-zu-Ende-Verschlüsselung — anklicken.
  2. OpenPGP-Schlüssel hinzufügen: Klicken Sie auf den Button OpenPGP-Schlüssel hinzufügen. Wählen Sie Neuen OpenPGP-Schlüssel erzeugen, wenn Sie noch keinen haben — sonst Importieren und die .asc-Datei oder den Schlüsselbund auswählen.
  3. Schlüssel-Parameter setzen: RSA 4096 Bit (Goldstandard), Ablaufdatum 2 Jahre, Passwort-Schutz aktivieren. Generierung dauert je nach CPU 10 bis 60 Sekunden.
  4. Schlüssel als Standard markieren: Im OpenPGP-Schlüsselmanager (Extras-Menü) Rechtsklick auf den neuen Schlüssel und als persönlich markieren auswählen. Gleichzeitig den öffentlichen Schlüssel über Datei-Export an Ihre Kommunikationspartner verteilen oder auf keys.openpgp.org hochladen.
  5. Standardverhalten konfigurieren: In den Konten-Einstellungen unter Ende-zu-Ende-Verschlüsselung wählen Sie Verschlüsseln aktivieren wenn möglich und Digital signieren standardmäßig — so passiert das automatisch bei jeder Mail.
  6. Test-Mail an sich selbst senden: Verfassen-Fenster öffnen, im Menü Optionen sicherstellen, dass Verschlüsseln und Digital signieren aktiv sind. Eingang prüfen — die Mail muss als verschlüsselt und signiert markiert sein.

„OpenPGP scheitert in der Praxis fast nie an der Technik — sondern an der Schlüsselverteilung. Wenn Mitarbeiter A den Schlüssel von Mitarbeiter B nicht hat, liegt die Mail auf dem Server unverschlüsselt. Wir bauen deshalb für jeden Kunden ein internes Web Key Directory, dann findet Thunderbird die Schlüssel automatisch."

Jens HagelJens HagelGeschäftsführer, hagel IT-Services GmbH

S/MIME in Thunderbird einrichten

S/MIME ist die Alternative zu OpenPGP — zertifikatsbasiert und mit Outlook und Apple Mail interoperabel. Für Unternehmen mit zentralem Zertifikats-Rollout über Microsoft Active Directory Certificate Services oder einen externen Anbieter wie Sectigo ist S/MIME die pragmatische Wahl.

So aktivieren Sie S/MIME:

  1. Zertifikat besorgen — entweder über die interne PKI oder bei einem öffentlichen Anbieter (Sectigo Email Certificate, GlobalSign Personal Sign, DigiCert).
  2. Zertifikat in Thunderbird importieren — Einstellungen, Datenschutz und Sicherheit, Zertifikate, Zertifikate verwalten, Importieren. Das Zertifikat muss als .p12-Datei mit Passwort vorliegen.
  3. Konto-Konfiguration — Konten-Einstellungen, gewünschtes Konto, Ende-zu-Ende-Verschlüsselung, Abschnitt S/MIME. Zertifikat für Verschlüsselung und für digitale Signatur auswählen (kann dasselbe Zertifikat sein).
  4. Standardverhalten — Verschlüsseln und Digital signieren wie bei OpenPGP standardmäßig aktivieren.

Für den Empfang verschlüsselter Mails müssen Sie das Zertifikat des Absenders kennen — Thunderbird sammelt diese automatisch aus signierten Mails ein und legt sie im lokalen Speicher ab. Bei zentral verwalteten Umgebungen lassen sich Zertifikate über LDAP oder Active Directory automatisch verteilen.

Datenschutz mit Thunderbird — DSGVO in der Praxis

Thunderbird selbst speichert E-Mails lokal auf dem Endgerät — die DSGVO-Verantwortung liegt damit am Mailserver und an Ihrer eigenen Konfiguration. Hier die fünf wichtigsten DSGVO-Stellschrauben:

  • Telemetrie und Crash-Reporter abschalten — Einstellungen, Datenschutz und Sicherheit, Telemetrie deaktivieren. Per Enterprise Policy: DisableTelemetry: true.
  • Automatischer Bilder-Abruf aus — Einstellungen, Datenschutz und Sicherheit, Externe Inhalte erst nach manuellem Klick laden. Verhindert Tracking-Pixel und IP-Adressen-Leaks.
  • Konten-Passwörter mit Master-Passwort schützen — Einstellungen, Datenschutz und Sicherheit, Master-Passwort verwenden. Verhindert, dass jemand mit physischem Zugriff alle gespeicherten IMAP-Passwörter auslesen kann.
  • Lokale Verschlüsselung der Mailstore — Thunderbird verschlüsselt den Profilordner nicht selbst. Nutzen Sie BitLocker (Windows), FileVault (macOS) oder LUKS (Linux) auf dem gesamten Gerät — Pflicht nach DSGVO Art. 32.
  • Aufbewahrungsregeln pro Ordner — Rechtsklick auf einen Ordner, Eigenschaften, Tab Aufräumrichtlinie. Löschen oder ins Archiv verschieben nach X Tagen. Wichtig für steuerliche Aufbewahrungsfristen und DSGVO-Löschpflichten.

Dokumentieren Sie diese Einstellungen in Ihrem Verarbeitungsverzeichnis — bei einer Datenschutz-Prüfung will der Auditor genau das sehen. Wenn Sie hier Unterstützung brauchen, lesen Sie unsere Datenschutz-Checkliste für 2026 oder buchen Sie ein Erstgespräch mit unserem Team.

Lead-Magnet: Cybersicherheits-Leitfaden

Wenn Sie Ihre IT-Sicherheit jenseits von Thunderbird einmal sauber durchchecken wollen, holen Sie sich unseren 47-seitigen Cybersicherheits-Leitfaden für KMU. Drin: Checklisten zu Patch-Management, Backup-Strategie, MFA, Awareness, Incident Response — also alles, was ein Mail-Client allein nicht abdeckt.

Enterprise Policies — Thunderbird zentral konfigurieren

Für Unternehmen ist das wichtigste Sicherheits-Feature die zentrale Steuerung über policies.json. Diese Datei legt fest, was Mitarbeiter ändern dürfen — und was nicht.

Ein Praxis-Beispiel für eine Hamburger Steuerkanzlei mit 25 Arbeitsplätzen:

{
  "policies": {
    "AppAutoUpdate": true,
    "DisableAppUpdate": false,
    "DisableTelemetry": true,
    "DisableMasterPasswordCreation": false,
    "DisableDeveloperTools": true,
    "BlockAboutAddons": false,
    "ExtensionSettings": {
      "*": {
        "installation_mode": "blocked"
      },
      "ImportExportToolsNG@example.net": {
        "installation_mode": "force_installed",
        "install_url": "https://addons.thunderbird.net/.../latest.xpi"
      }
    },
    "SearchSuggestEnabled": false,
    "PasswordManagerEnabled": true,
    "Preferences": {
      "mail.shell.checkDefaultClient": {
        "Value": false,
        "Status": "locked"
      }
    }
  }
}

Diese Datei legen Sie unter Windows in C:\Program Files\Mozilla Thunderbird\distribution\policies.json ab — auf macOS unter Thunderbird.app/Contents/Resources/distribution/. Ausrollen über Microsoft Intune, GPO via Login-Skript oder PDQ Deploy. Eine vollständige Liste aller Policies pflegt das Thunderbird-Team in der offiziellen Policies-Dokumentation.

128 ESR aktuelle Unternehmens-Version 2026, Support bis August 2026
48 Stunden durchschnittliche Reaktionszeit auf kritische CVEs
700+ aktive Add-ons im offiziellen Verzeichnis
0 Euro Lizenzkosten — auch im kommerziellen Einsatz

Phishing- und Malware-Schutz

Thunderbird allein verhindert keinen Phishing-Angriff — aber er kann ihn deutlich entschärfen. Drei Settings sind dabei entscheidend:

  1. Phishing-Schutz aktivieren — Einstellungen, Datenschutz und Sicherheit, Mich warnen, wenn die Nachricht im Verdacht steht. Vergleicht URL-Hashes mit der Mozilla-Datenbank.
  2. Externe Inhalte blockieren — kein automatischer Bilder-Abruf, keine Remote-CSS, keine eingebetteten Scripts. Tracking-Pixel von Marketing-Tools wie HubSpot oder Mailchimp werden so unschädlich.
  3. Anhänge nicht automatisch öffnen — Einstellungen, Anhänge, immer fragen vor dem Öffnen. Verhindert, dass infizierte .doc- oder .pdf-Dateien direkt ausgeführt werden.

Für den darunterliegenden Schutz brauchen Sie zusätzliche Bausteine. Welche Architektur wir in unseren Managed Security und Managed Workplace Services einsetzen, hat unser Kollege im Artikel zur E-Mail-Sicherheit und Verschlüsselung in Thunderbird detailliert beschrieben. Eine zweite Schutzschicht ist immer sinnvoll: Mail-Gateway-Scanner wie Securepoint UTM oder Microsoft Defender for Office 365.

Thunderbird im Vergleich zu Outlook — kurze Sicherheits-Sicht

Wer sich fragt, ob Thunderbird oder Outlook die sicherere Wahl ist, sollte den ausführlichen Vergleich Thunderbird vs. Outlook für IT-Leiter lesen. In Kurzform aus Sicherheits-Sicht:

KriteriumThunderbird 128 ESROutlook (Microsoft 365)
OpenPGP nativJaNein (Add-in nötig)
S/MIME nativJaJa
Sensitivity LabelsNeinJa
Zentrale PoliciesJSON via GPO/IntuneGPO/Intune-ADMX
Open-Source-AuditJaNein
Telemetrie deaktivierbarVollständigTeilweise
DSGVO-AVV mit AnbieterMailserver-abhängigMicrosoft AVV
Sicherheits-UpdatesZentral via ESRMit M365-Lifecycle

Für reine Datenschutz-Anforderungen — Behörden, Kanzleien, Gesundheitswesen — hat Thunderbird die Nase vorn, weil sich der Datenfluss vollständig kontrollieren lässt. Für Microsoft-365-Umgebungen mit Teams, SharePoint und Compliance-Anforderungen ist Outlook der pragmatischere Weg.

Praxis-Checkliste: Sicherheits-Audit in 30 Minuten

Wenn Sie Thunderbird-Installationen in Ihrem Unternehmen schnell prüfen wollen, gehen Sie diese acht Punkte durch — pro Arbeitsplatz dauert das nicht länger als 30 Minuten:

  • Version prüfen — Hilfe, Über Thunderbird. Muss 128 ESR oder neuer sein.
  • Automatische Updates aktiv — Einstellungen, Allgemein, Updates automatisch installieren.
  • Master-Passwort gesetzt — Einstellungen, Datenschutz und Sicherheit, Master-Passwort verwenden.
  • OAuth2 für M365 oder Google Workspace — Konten-Einstellungen, Server-Einstellungen, Authentifizierungsmethode.
  • OpenPGP oder S/MIME konfiguriert — Konten-Einstellungen, Ende-zu-Ende-Verschlüsselung.
  • Telemetrie aus — Einstellungen, Datenschutz, Telemetrie an Mozilla senden ist deaktiviert.
  • Externe Inhalte blockiert — Einstellungen, Datenschutz, Externe Inhalte erst nach Klick.
  • policies.json vorhanden und aktuell — auf den Endgeräten unter dem distribution-Ordner.

Wann Sie professionelle Unterstützung brauchen

Thunderbird selbst ist gut dokumentiert — der Roll-out in einer Mittelstands-Umgebung mit Active Directory, Mailserver-Migration und S/MIME-PKI ist es nicht. Wir übernehmen das für unsere Hamburger Kunden als Festpreis-Projekt: Konfigurations-Profil, Intune-Paket, S/MIME-Zertifikate, Migration der bestehenden Outlook-Postfächer und Schulung Ihrer Mitarbeiter.

Ein typisches Projekt für 30 Arbeitsplätze mit Outlook-zu-Thunderbird-Migration dauert bei uns drei bis vier Wochen und kostet zwischen 4.500 und 7.500 Euro brutto. Inkludiert sind Roll-out, Test, Cut-over am Wochenende und 14 Tage Hypercare.

Thunderbird sicher im Unternehmen einführen?

Buchen Sie ein 15-minütiges Erstgespräch mit unserem Team. Wir prüfen Ihre Anforderungen, sagen Ihnen ehrlich, ob Thunderbird die richtige Wahl ist — und nennen Ihnen einen verbindlichen Festpreis.

Erstgespräch buchen oder +49 40 228 664 320

Takeaway

Thunderbird ist im Unternehmen sicher — wenn Sie ESR-Version, automatische Updates, OAuth2, Master-Passwort und OpenPGP oder S/MIME konsequent einsetzen. Die zentrale Steuerung über policies.json und der Roll-out via Microsoft Intune oder GPO machen ihn auch für 30 bis 200 Arbeitsplätze beherrschbar. Datenschutz-rechtlich ist er Outlook überlegen, weil Sie den Datenfluss vollständig kontrollieren können — DSGVO-Konformität hängt am Mailserver, nicht am Client. Schwach ist Thunderbird bei Microsoft-365-spezifischen Compliance-Features (Sensitivity Labels, Teams-Integration) — wer diese braucht, bleibt bei Outlook. Für alle anderen ist Thunderbird die solide, kostengetriebene und datenschutz-freundliche Wahl. Wir setzen ihn seit Jahren bei Hamburger Mittelständlern, Steuerkanzleien und Architekturbüros ein.

Weiterführende Artikel

Karl Isler
IT-Experte & Autor, hagel IT-Services GmbH

Karl Isler ist ein erfahrener IT-Experte und Autor. Seine Fachkenntnisse in den Bereichen IT-Strategie, Cloud Computing und Datensicherheit ermöglichen es ihm, fundierte Artikel für unseren IT-Entscheider-Blog zu verfassen.

Thorsten Eckel

„Mit Hagel IT haben wir einen erfahrenen Partner, auf den wir uns jederzeit zu 100 % verlassen können.“

Thorsten Eckel
Geschäftsführer · Hanse Service
Deutschlands beste IT-Dienstleister 2026 — brand eins / Statista
Bester IT-Dienstleister
2026 — brand eins / Statista
Fallstudie: IT-Betreuung Spedition Hamburg – Vom Ein-Mann-Risiko zur stabilen Struktur
Fallstudie · Logistik
IT-Betreuung Spedition Hamburg – Vom Ein-Mann-Risiko zur stabilen Struktur
Ausgezeichnete Bewertung
Basierend auf 46 Bewertungen

„Wir arbeiten seit einiger Zeit mit hagel IT zusammen und sind absolut zufrieden. Das Team ist kompetent, freundlich und immer schnell zur Stelle, wenn Hilfe gebraucht wird. Besonders schätzen wir die individuelle Beratung, den zuverlässigen Support und die modernen IT-Lösungen, die perfekt auf unsere Bedürfnisse abgestimmt sind. Ein rundum professioneller Partner, den wir uneingeschränkt weiterempfehlen können!"

Robin Koppelmann
Kostenlos & unverbindlich

IT-Herausforderungen? Wir helfen.

Sprechen Sie mit unseren Experten — 15 Minuten, kostenlos, kein Vertriebsdruck.

Häufig gestellte Fragen

Ja, Thunderbird ist im geschäftlichen Einsatz sicher — wenn Sie die ESR-Version, automatische Updates und ein Master-Passwort einsetzen, OAuth2 statt Klartext-Passwort für Microsoft 365 oder Google Workspace nutzen und OpenPGP oder S/MIME aktivieren. Der Open-Source-Code wird durch die Mozilla-Community auditiert, Sicherheitslücken werden in der Regel binnen Tagen gepatcht. Kritisch sind drei Punkte: konsequente Update-Politik (Enterprise Policies via JSON), zentrale Konfiguration (GPO oder Intune) und Mitarbeiter-Schulung. Ohne diese drei Bausteine ist Thunderbird genauso unsicher wie jeder andere Mail-Client.

OpenPGP ist seit Thunderbird 78 nativ eingebaut — kein Enigmail-Add-on mehr nötig. Vorgehen: 1) Konten-Einstellungen öffnen, gewünschtes Konto auswählen. 2) Unter Ende-zu-Ende-Verschlüsselung auf OpenPGP-Schlüssel hinzufügen klicken. 3) Neuen Schlüssel erzeugen lassen (RSA 4096 Bit, Ablaufdatum 2 Jahre empfohlen) oder bestehenden Schlüssel importieren. 4) Schlüssel als Standard für das Konto markieren. 5) Im Standardmenü Verfassen die Optionen Verschlüsseln und Digital signieren aktivieren. Öffentliche Schlüssel von Empfängern landen im Schlüsselbund, automatischer Abruf von keys.openpgp.org lässt sich in den Einstellungen aktivieren.

Thunderbird selbst speichert E-Mails lokal auf dem Endgerät — die DSGVO-Verantwortung hängt am Mailserver, nicht am Client. Wenn Sie einen deutschen IMAP-Provider (z.B. mailbox.org, Posteo, IONOS) oder einen lokalen Mailserver nutzen, sind Sie in der Regel DSGVO-konform. Bei Microsoft 365 oder Google Workspace gelten die jeweiligen Auftragsverarbeitungsverträge. Thunderbird selbst sendet ohne Telemetrie-Zustimmung keine Daten nach Hause — der Crash-Reporter, die Telemetrie und der Phishing-Schutz lassen sich abschalten, das ist für Behörden und Kanzleien Pflicht. Dokumentieren Sie diese Einstellungen in Ihrem Verarbeitungsverzeichnis.

Für den geschäftlichen E-Mail-Verkehr empfehlen wir S/MIME, weil sich Zertifikate zentral über die interne PKI oder einen externen Anbieter wie Sectigo, GlobalSign oder DigiCert ausrollen lassen — perfekt für 30 bis 200 Arbeitsplätze. OpenPGP ist stärker bei kleinen Teams, Journalisten und Whistleblower-Szenarien, weil keine Zertifikatsstelle dazwischensteht. In der Praxis: Nutzen Sie S/MIME für interne Kommunikation und mit Geschäftspartnern, OpenPGP für den Austausch mit Externen, die kein S/MIME-Zertifikat haben. Thunderbird unterstützt beide Verfahren parallel pro Konto.

Den Roll-out planen Sie in vier Schritten: 1) Konfigurations-Profil erzeugen — eine policies.json mit erlaubten Add-ons, Server-Adressen, Update-Verhalten und Verschlüsselungs-Defaults. 2) Verteilung über Microsoft Intune (Win32-App), Group Policy oder ein Skript via PDQ Deploy. 3) Mailserver-Auto-Discovery konfigurieren (DNS-Eintrag _autoconfig oder eigene autoconfig.example.com), damit Mitarbeiter nur ihre Mailadresse eingeben müssen. 4) S/MIME-Zertifikate über die interne PKI ausrollen, OpenPGP-Schlüsselverteilung über einen internen Web-Key-Directory-Server. Wir übernehmen das für unsere Hamburger Kunden in der Regel als Festpreis-Projekt — Schreiben Sie uns einfach.

In der policies.json setzen Sie die Schlüssel AppAutoUpdate auf true und DisableAppUpdate auf false. Damit zieht Thunderbird Sicherheits-Updates innerhalb weniger Stunden nach Veröffentlichung. Für ESR-Releases empfiehlt Mozilla zusätzlich die Konfiguration eines internen Update-Servers, damit Sie Updates erst nach internen Tests freigeben — relevant für Behörden und kritische Infrastrukturen. Praxis-Tipp: Wir schalten AppAutoUpdate immer ein, planen aber einen monatlichen Wartungs-Sonntag, an dem unsere Techniker stichprobenartig prüfen, ob die Updates sauber durchgelaufen sind.

Wir empfehlen ausschließlich Add-ons aus dem offiziellen Add-on-Verzeichnis (addons.thunderbird.net) und pflegen eine Whitelist über die Enterprise Policies. Bewährte Business-Add-ons sind: ImportExportTools NG (PST/Mbox-Migration), Provider for Google Calendar (Kalender-Sync), CardBook (CardDAV-Adressbuch), Mail Redirect (Weiterleitung mit Original-Header), Quote and Reply (saubere Zitate). Für Sicherheit gilt: Add-ons können Mailinhalte mitlesen — installieren Sie nur, was Sie wirklich brauchen, und prüfen Sie bei jedem Update die angeforderten Berechtigungen.

Die Lizenz ist kostenlos. Realistische Projektkosten für einen sauberen Roll-out (30 Arbeitsplätze, Migration von Outlook, S/MIME-Setup, policies.json, Schulung und Dokumentation) liegen bei uns zwischen 4.500 und 7.500 Euro brutto — abhängig von Komplexität und Mailserver-Migration. Im Vergleich: Microsoft 365 Business Standard kostet bei 30 Arbeitsplätzen rund 4.500 Euro pro Jahr — Thunderbird amortisiert sich also bereits im ersten Jahr, wenn Ihr Mailserver bereits steht oder ein günstiger IMAP-Provider genutzt wird. Buchen Sie ein 15-minütiges Erstgespräch, dann erstellen wir Ihnen ein konkretes Angebot.