Neues Outlook übermittelt Zugangsdaten an Microsoft

Mal wieder ein Daten-GAU. Aber weil es ja Microsoft ist, ist ja alles OK.

Neues Outlook übermittelt Zugangsdaten an Microsoft
Photo by Johannes Plenio / Unsplash

Seit Microsoft das neue Outlook bewirbt und Nutzer dazu ermutigt, auf die aktualisierte Version umzusteigen, gibt es besorgniserregende Entwicklungen im Bereich Datenschutz. Die jüngsten Enthüllungen lassen uns erschauern: Microsoft erstellt eigenmächtig Accounts für Nicht-Kunden, eignet sich Zugangsdaten zu Firmen-Mailservern an und kopiert sogar Mails auf die eigenen Server. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schaut zu, und unser Datenschutz hängt weiterhin in der Schwebe.

Ein fragwürdiger Zwangsumstieg

Microsofts Push für das neue Outlook ist unübersehbar, aber was auf den ersten Blick wie eine verbesserte Version erscheint, entpuppt sich als Datenschutz-Albtraum. Nutzer, die das neue Outlook ausprobieren, laufen Gefahr, nicht nur ihre IMAP- und SMTP-Zugangsdaten zu privaten und dienstlichen Mailkonten zu verlieren, sondern auch sämtliche Mails, die unverblümt auf Microsoft-Server kopiert werden. Der Wechsel zurück zu den bewährten Apps ist zwar möglich, aber zu spät – die sensiblen Daten liegen bereits in den Händen von Microsoft.

Die heimliche Datensammlung von Microsoft

Beim Hinzufügen eines Mail-Kontos, das nicht von Microsoft gehostet wird, offenbart das neue Outlook sein wahres Gesicht. Es synchronisiert Nicht-Microsoft-Konten mit der Microsoft-Cloud und gibt damit dem Unternehmen uneingeschränkten Zugriff auf Mails, Kalender und Kontakte und könnte damit sogar die Nutzer impersonifizieren. Dies geschieht nicht nur auf Windows-Geräten, sondern auch auf Android, iOS und Mac. Die sogenannte "Synchronisierung" erfolgt also nicht nur in den Mailclient, sondern ermöglicht es Microsoft, die Mails zu lesen und seinen Servern auszuwerten – ein eklatanter Eingriff in die Privatsphäre der Nutzer.

Microsofts Datenklau in Aktion

Besonders besorgniserregend ist der Prozess beim Hinzufügen von IMAP-Konten. Bei genauerer Untersuchung konnte nachgewiesen werden, dass die Zugangsdaten und Serverinformationen an Microsoft übertragen werden. Zwar mögen die Daten TLS-geschützt sein, aber im Tunnel laufen sie im Klartext zu Microsoft. Ohne Einverständnis oder Benachrichtigung eignet sich Microsoft so den Vollzugriff auf die IMAP- und SMTP-Zugangsdaten der Nutzer an.

BSI sieht Cloudzwang kritisch, aber untätig

Das BSI hat sich zu dieser Datenschutzkatastrophe geäußert, indem es den Cloudzwang kritisierte und darauf hinwies, dass Nutzer bewusst die Risiken abwägen sollten. Allerdings fehlt bisher eine klare Handlungsanweisung oder ein Eingreifen seitens des BSI, um dieses bedenkliche Vorgehen von Microsoft zu unterbinden. Die Nutzer sind auf sich allein gestellt, wenn es darum geht, ihre sensiblen Daten zu schützen.

Datenschutz geht anders

Die neuesten Entwicklungen rund um das neue Outlook von Microsoft werfen einen bedrohlichen Schatten auf den Datenschutz. Die heimliche Datensammlung, das ungenehmigte Kopieren von Mails und der automatische Account-Erstellung für Nicht-Kunden sind klare Verstöße gegen die Privatsphäre der Nutzer. Es ist an der Zeit, dass Microsoft nicht nur seine Nutzer über die Konsequenzen informiert, sondern auch transparente Optionen für Datenschutz bietet. Das BSI sollte aktiv werden und klare Richtlinien für den Umgang mit sensiblen Daten in Outlook durchsetzen. Datenschutz darf nicht länger ein Lippenbekenntnis sein – es ist an der Zeit, dass Unternehmen und Behörden die Privatsphäre ihrer Nutzer ernst nehmen.

Fazit

Das Microsoft einfach angibt, dass es den Nutzern ja frei stehe, ob sie Outlook nutzen wollen oder nicht, ist mehr als bedenklich.

Heise.de schätzt die Situation so ein: "Es mag technische Gründe geben, wieso Microsoft auf das Kopieren und Speichern von Zugangsdaten und E-Mails von anderen Anbietern setzt. In der derzeitigen Form ist das für Nutzer jedoch kaum nachvollziehbar. Das zeigen auch die Reaktionen, die belegen, dass vielen gar nicht klar ist, dass das neue Outlook Zugangsdaten an Microsoft überträgt und tatsächlich E-Mails auf seine Cloud-Server kopiert. Dies dürfte insbesondere die Nutzer überraschen, die Outlook ohne Microsoft-Konto einrichten, denn selbst dann zieht Microsoft die Mails in seine Cloud."

Es bleibt also schwierig seine persönlichen Daten der Cloud vorzuenthalten. Eine Mail, die ich versende, liegt ja nicht nur in meinem "Gesendet"-Ordner, sondern auch im Posteingang beim Empfänger. Und meist ist einer der Gesprächspartner Nutzer von Microsoft-Produkten.