Kopiert Microsoft nun IMAP- und SMTP-Zugangsdaten? – Update

Microsoft macht seit geraumer Zeit nicht nur positiv von sich reden, unter anderem durch die ungefragte und teilweise sogar ungewollte Installation von Software. Auch vor den LTSC-Versionen von Windows 10 sowie Windows Server 2022 schreckt der Konzern nicht zurück. Nun folgt der nächste Vorwurf, der zu Recht für Aufregung sorgt.

Microsoft soll ungefragt Zugangsdaten kopieren

Microsoft selbst lobt die neueste Version seines Groupware-Clients Outlook in den höchsten Tönen. Gleichzeitig sollen die Anwender zum Umstieg auf die neue Version animiert werden. Ein Rollback zur Vorgängerversion sei jederzeit möglich. Was Microsoft aber offenbar bewusst verschweigt: Das Unternehmen kopiert die Zugangsdaten der Konten auf die eigenen Server und erhält so Zugriff auf die E-Mail-Konten. Nutzer von Windows 11 mit dem aktuellen Update erhalten die Anwendung automatisch. Zu erkennen ist die neue Version am „New“-Logo. Bisher befindet sich das „neue Outlook“ noch in der Entwicklung, soll aber ab 2024 die bisherige Mail-App sowie den in Windows mitgelieferten Kalender ablösen. Auch das klassische Outlook soll laut Caitlin Hart abgelöst werden. Im Gegensatz zur App-Version gibt es hierfür jedoch noch keinen Zeitplan.

Schwerer Vorwurf gegen den Software-Giganten

Beim Hinzufügen eines Kontos, welches nicht bei Microsoft, sondern bei Drittanbietern gehostet wird, zeigt das Programm lediglich einen Hinweis an. Dieser verlinkt auf einen Support-Artikel, welcher lediglich auf die Synchronisation mit der Microsoft-Cloud verweist. Dies geschieht nun auch mit dem neuen Outlook in den Versionen für Android, iOS und Mac. Das bedeutet also, dass Kopien von „E-Mails, Kalendern und Kontakten zwischen Ihrem E-Mail-Anbieter und den Rechenzentren von Microsoft synchronisiert werden“. Mit dem vollen Zugriff auf alle E-Mails will man dann Funktionen bereitstellen, die GMail und IMAP nicht bieten.

Wie die Kollegen von Heise dann herausfanden, werden die Daten zwar per TLS geschützt, die Anmeldedaten aber unverschlüsselt an die Microsoft-Server übertragen. Damit muss sich Microsoft bis zur Klärung den Vorwurf des illegalen Abgreifens von Daten gefallen lassen.

OAuth2 macht Microsoft einen Strich durch die Rechnung

Zumindest Nutzer von GMail können das neue Outlook fast unbeschwert verwenden, nutzt Google zum Login ja das OAuth2-Protokoll. Darüber wird der Nutzer nur über einen Token authentifiziert, welchen er jedoch jederzeit wieder entziehen kann. Nutzer anderer Dienste, wie zum Beispiel mailbox.org oder GMX, müssen sich jedoch aktuell – sofern sie kein App-Passwort verwenden, dem ausgelieferten Zugang gegenüber konfrontiert sehen.

Solange Microsoft keine Klarheit schafft, lässt sich von der Nutzung der neuen Version – insbesondere bei beruflichen Mail-Accounts, nur abraten.

Update vom 16. November 2023:

Inzwischen hat sich Microsoft auf Nachfrage zu den vorgebrachten Beschuldigungen mehr oder weniger geäußert. Man erklärt das eigene Vorgehen wie folgt:

„Das Synchronisieren der IMAP-Konten der Nutzer hilft, eine konsistente Nutzererfahrung für alle in Outlook hinzugefügte Konten zu liefern. Dazu gehört, dass die Mail-Suche für hinzugefügte Konten E-Mails als gelesen oder ungelesen markieren kann. Zugangsdaten zu IMAP-Anbietern, deren Server Microsoft mit dem BasicAuth-Verfahren kontakiert, speichern wir als Benutzertoken in verschlüsselter Form in der Mailbox der Anwender. Für E-Mail-Anbieter, die OAuth unterstützen (Gmail und Yahoo Mail), erhalten wir nie Zugriff auf die Zugangsdaten der Nutzer, da der Dienst einen OAuth-Token vom Client erhält. Das bedeutet, dass Microsoft keinen Zugriff auf das Klartext-Passwort hat. Nur die Nutzer und der Microsoft-Dienst, der mit den Zielservern interagiert, haben Zugriff auf diese [IMAP-]Benutzertoken. Nutzer der neuen Outlook-App für Windows können auswählen, ob sie Konten aus dem klassischen Outlook importieren, wenn sie „Das neue Outlook testen“ auswählen. Ein Wechsel zur Cloud-Synchronisation erfolgt nicht automatisch.“

Was man nun davon halten möchte, muss man wohl für sich selbst entscheiden. Die ungefragte Aktivierung des Sync-Dienstes wäre jedoch ein komplettes No-Go.

Kopiert Microsoft nun IMAP- und SMTP-Zugangsdaten? – Update
zurück zur Startseite

72 Kommentare zu “Kopiert Microsoft nun IMAP- und SMTP-Zugangsdaten? – Update

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hiermit akzeptiere ich die Datenschutzerklärung für diesen Kommentar.

Aktuelle News auf Deskmodder.de
alle News anzeigen
Deskmodder