Es wurde berichtet, dass die neueste Version der Outlook-Anwendung verschiedene Datentypen an Microsoft-Server sendet. Dazu gehören u. a. die E-Mail-Inhalte der Nutzer und potenziell sensible Anmeldedaten. Mit der Umstellung auf das aktualisierte Outlook gibt es eine stillschweigende Zustimmung, die es Microsoft erlaubt, auf die E-Mail-Informationen der Nutzer zuzugreifen.
Heise Online hat aufgedeckt, dass die Anwendung nicht nur E-Mail-Inhalte, sondern auch IMAP- und SMTP-Zugangsdaten versendet, die mit Benutzerkonten verknüpft sind. Beim Hinzufügen neuer E-Mail-Konten macht Outlook deutlich, dass es die Daten mit den Cloud-Diensten von Microsoft synchronisiert: "Alles, was du in Outlook erstellst, wird in der Microsoft Cloud gespeichert." Wer weitere Informationen sucht, wird auf einen Support-Artikel von Microsoft verwiesen.
Microsoft möchte mit dieser Synchronisierung ein nahtloses Nutzererlebnis bieten, heißt es in der Erklärung. Das aktualisierte Outlook wurde entwickelt, um Nicht-Microsoft-Konten wie E-Mails, Kontakte und Kalendereinträge mit der Microsoft Cloud zu synchronisieren. Diese Funktion ist mit verschiedenen Konten wie Gmail, Yahoo, iCloud und anderen IMAP-Diensten kompatibel, und zwar über verschiedene Outlook-Anwendungen hinweg. Ziel ist es, bestimmte Funktionen, die bisher nur für Microsoft 365- oder Microsoft Exchange Online-Konten verfügbar waren, einem breiteren Nutzerkreis zugänglich zu machen. Diese Synchronisierung stellt sicher, dass E-Mails, Kalendereinträge und Kontakte zwischen dem E-Mail-Dienst des Nutzers und den Rechenzentren von Microsoft konsistent sind.
Der Umfang von Microsofts Datensammlung geht jedoch darüber hinaus. Laut Heise Online ist das neue Outlook so konfiguriert, dass es Anmeldedaten, einschließlich Benutzernamen und Passwörter, an Microsoft-Server sendet. Obwohl diese Übertragung mit TLS gesichert ist, werden die Anmeldedaten innerhalb des geschützten Kanals im Klartext übertragen. Dies zeigt, dass Microsoft die Möglichkeit hat, auf IMAP- und SMTP-Anmeldedaten zuzugreifen, ohne die Nutzer/innen explizit zu informieren oder eine direkte Zustimmung einzuholen. Die Verwendung eines Google-Kontos mit Outlook scheint eine etwas andere Datenschutzlandschaft zu bieten. Bei der Authentifizierung über OAuth2 wird lediglich ein Zugriffstoken an Microsoft übertragen, das die Nutzer/innen widerrufen können. In solchen Fällen werden sensible Anmeldedaten wie Nutzernamen und Passwörter nicht an Microsoft weitergegeben.
Update - Microsoft bezieht Stellung
Als Antwort auf die Heise Anfrage hat Microsoft erklärt, warum die neue Outlook Version Zugangsdaten auf Microsoft-Server überträgt und E-Mails auf deren Server kopiert.
Microsoft: "Zugangsdaten von IMAP-Anbietern, deren Server von Microsoft mit der BasicAuth-Methode kontaktiert werden, werden in Form von Benutzer-Tokens in verschlüsselter Form im Postfach des Benutzers gespeichert". BasicAuth basiert auf einer unsicheren Anmeldung über HTTP mit einem Benutzernamen und einem Passwort, eine ungewöhnliche Beschreibung für IMAP-Anmeldungen. Letztlich bedeutet dies, dass die Zugangsdaten der IMAP-Anbieter von Microsoft in verschlüsselter Form gespeichert werden.
Alles weitere dazu kannst du im Artikel bei Heise lesen.
