Microsoft krallt sich Zugangsdaten: Achtung vor dem neuen Outlook
Das neue kostenlose Outlook ersetzt Mail in Windows, später auch das klassische Outlook. Es schickt geheime Zugangsdaten an Microsoft.
(Bild: IB Photography/Shutterstock.com)
- Dirk Knop
- Ronald Eikenberg
- Stefan Wischner
(This article is also available in English)
Das neue Outlook ist nicht, was es auf den ersten Blick scheint: ein Ersatz für das Outlook von Microsoft Office – jedenfalls noch nicht. Was es aber auf jeden Fall ist: entschieden zu neugierig.
Microsoft lobt das neue Outlook in höchsten Tönen und will Nutzerinnen und Nutzer zum Umstieg bewegen. Doch Achtung: Wer das neue Outlook ausprobiert, riskiert die Übertragung seiner IMAP- und SMTP-Zugangsdaten zu Mailkonten sowie sämtlicher Mails an Microsoft-Server. Zwar erklärt Microsoft, der Wechsel zurück auf die bisherigen Apps sei jederzeit möglich – die Daten liegen dann aber schon beim Unternehmen. Microsoft kann dadurch die Mails mitlesen.
(Bild: Screenshot / rei)
Im Windows-Startmenü von Windows-11-Geräten mit 2023-Update taucht inzwischen das neue Outlook als empfohlene App auf. Auch der Outlook-Client selbst bietet den Test der neuen Outlook-Version mit einem Schalter "Das neue Outlook" an. Die befindet sich noch in der Entwicklung, soll aber 2024 in Windows etwa das Mail-Programm und den mitgelieferten Kalender in Windows ersetzen. In einem aktuellen Techcommunity-Beitrag erklärt die Microsoft-Angestellte Caitlin Hart zudem, dass auch das klassische Outlook damit ersetzt werden soll. Anders als bei den Windows-Apps Mail und Kalender steht der Zeitplan dafür jedoch noch nicht.
Neues Outlook: Warnung vor Datenübertragungen
Beim Hinzufügen eines Mail-Kontos im neuen Outlook, das nicht von Microsoft gehostet wird, sondern etwa auf Firmen-Mail-Servern liegt, zeigt das Programm einen Hinweis. Er verlinkt auf einen Support-Artikel, der lediglich ausformuliert, dass Nicht-Microsoft-Konten mit der Microsoft-Cloud synchronisiert werden, wobei bislang Gmail-, Yahoo-, iCloud- und IMAP-Konten unterstützt werden. Das macht das neue Outlook auch in den Fassungen für Android, iOS und Mac. Das bedeutet demnach, dass Kopien der "E-Mails, Kalender und Kontakte zwischen Ihrem E-Mail-Anbieter und Microsoft-Rechenzentren synchronisiert" werden. Damit erhält das Unternehmen vollen Zugriff auf alle Mails und kann diese lesen und auswerten. Damit wolle Microsoft Funktionen bereitstellen, die Gmail und IMAP nicht bieten würden.
(Bild: Screenshot / rei)
Der Hinweis macht stutzig: Was überträgt Microsoft dadurch wohin? Beim Anlegen eines IMAP-Kontos konnte die c't mitschneiden, dass Ziel-Server, Log-in-Name und Passwort an Microsofts Server übertragen werden. Zwar TLS-geschützt, aber im Tunnel laufen die Daten im Klartext zu Microsoft. Ohne darüber zu informieren oder nachzufragen, genehmigt sich Microsoft selbst Vollzugriff auf die IMAP- und SMTP-Zugangsdaten von Nutzern des neuen Outlooks.
(Bild: Screenshot)
Andere Zugänge
Bei dem Schwenk vom alten Outlook auf das neue wird es parallel dazu installiert. Bislang eingerichtete IMAP-Konten werden nicht übernommen, aber das in Windows hinterlegte Konto schon. Bei der Prüfung mit Google-Konten kam die Authentifizierung mit OAuth2 zum Zuge. Dabei erhalten Nutzerinnen und Nutzer eine Authentifizierungsrückfrage und es landen immerhin keine konkreten Zugangsdaten bei Microsoft, sondern ein Zugriffstoken, den Nutzer auch wieder zurückziehen können.
Die Antwort auf unsere Anfrage zu einer Stellungnahme von Microsoft steht noch aus. Zum jetzigen Zeitpunkt müssen wir jedoch davor warnen, unbedacht das neue Outlook auszuprobieren. Neben den ganzen Mails landen dadurch teils sogar Zugangsdaten bei Microsoft.
Microsoft fiel bereits Anfang des Jahres mit solchen dreisten Datenumleitungen auf. Nach Office-Updates auf Mac-Rechnern leitete das Outlook dort die Daten ohne etwaige Rückfragen auf Microsofts Cloud-Server um. Damals schaffte Abhilfe, IMAP-Konten zu löschen und neu einzurichten. Das ist mit dem neuen Outlook derzeit offensichtlich jedoch nicht mehr hilfreich.
(dmk)
