Vor wenigen Wochen war es so weit: Microsoft hat sein neues Outlook für Windows vorgestellt. Seit dem aktuellen Windows-11-Update für 2023 wird dieses gar im Startmenü beworben, es soll mittelfristig nicht nur die alte Version, die ein Teil von Microsoft Office ist, sondern auch das bisherige Windows-Mail-Programm ersetzen. Auch sonst bewirbt Microsoft die Meriten seiner neuen Software ausführlich.

Outlook
"Alle Konten an einem Ort", so bewirbt Microsoft das neue Outlook. Was vielen nicht klar sein dürfte: Dieser Ort ist in der Cloud von Microsoft.
Microsoft

Was man dabei nicht erwähnt: Das neue Outlook ist auch äußerst neugierig, für manche wohl gar zu neugierig. Wie das "c't-Magazin" aufzeigt, sammelt die Software nämlich allerlei Daten – darunter äußerst sensible. Das sollte allen bewusst sein, die die neue Version ausprobieren wollen.

Alles geht an Microsoft

Wer beim neuen Outlook ein Konto eines anderen Herstellers – also etwa ein IMAP-Konto oder auch Zugänge von Anbietern wie Gmail, Yahoo und Apple – hinzufügt, sollte sich bewusst sein, dass Microsoft damit einen vollständigen Zugriff auf diese Daten bekommt und sie auch allesamt auf die Server in der eigenen Cloud kopiert.

Betont werden muss, dass das Unternehmen prinzipiell sogar über diesen Umstand informiert, auch wenn der zugehörige Dialog mit dem Hinweis auf eine Synchronisierung der Daten eher vage bleibt. Zudem ist dieses Vorgehen nicht ganz neu, in der Vergangenheit hat so etwas schon bei den Outlook-Versionen für iPhones, Android und Mac für Diskussionen gesorgt. Microsoft argumentiert, dass man diesen Zugriff braucht, um den vollen Funktionsumfang bieten zu können.

Selbst Passwörter ...

Wirklich problematisch ist aber, was "c't" bei einer Analyse des Datenverkehrs herausgefunden hat. Microsoft überträgt nämlich nicht einfach Datensätze, es holt sich im Falle eines IMAP-Servers einen vollständigen Zugriff auf diesen – ohne die User zu informieren. In der Auswertung ist zu sehen, wie Servername, Login und Passwort an Microsoft übertragen werden.

The new Outlook for Windows is here
Windows

Etwas besser sieht es bei der Analyse eines verbundenen Gmail-Kontos aus. Dort erhält Microsoft zumindest keine Login- und Passwortkombinationen, stattdessen wird über OAuth2 ein Token zur Authentifizierung geliefert. Das hat den Vorteil, dass so ein Token jederzeit leicht zurückgezogen werden kann, ohne gleich das Passwort ändern und alle Clients aussperren zu müssen. Dass Microsoft sämtliche bei Gmail gespeicherten Daten kopiert, ändert das aber nicht.

Eine Stellungnahme von Microsoft gibt es zu dem Bericht bislang noch nicht. (apo, 10.11.2023)