Neues Outlook: Microsoft bezieht Stellung zur Übertragung von Zugangsdaten
Auf Nachfrage hat Microsoft jetzt erklärt, warum das neue Outlook etwa Zugangsdaten auf Microsoft-Server überträgt und Mails dorthin kopiert.
(Bild: Volodymyr Kyrylyuk/Shutterstock.com)
Die neue Outlook-App, die Windows Mail, Windows Kalender und später das Outlook aus Office beerben soll, schickt Zugangsdaten zu IMAP- und SMTP-Servern an Microsoft-Cloud-Server, die damit die Mails der Nutzer spiegeln. Auf Nachfrage von c't und heise online hat das Unternehmen nun Stellung dazu bezogen.
Im Wesentlichen verweist Microsoft darauf, dass das neue Outlook mit einer Benachrichtigung auf die erfolgende Datensynchronisation hinweise und Details in dem Microsoft-Artikel stünden, die die Benachrichtigung verlinkt. Der Hersteller erklärt zudem die Gründe dafür, die diese Datenübertragung nötig machen würden.
Microsoft: Datensynchronisation für konsistente Nutzererfahrung
Microsoft erklärt: "Das Synchronisieren der IMAP-Konten der Nutzer hilft, eine konsistente Nutzererfahrung für alle in Outlook hinzugefügte Konten zu liefern. Dazu gehört, dass die Mail-Suche für hinzugefügte Konten E-Mails als gelesen oder ungelesen markieren kann". Die Funktionen beschreibe der in der Benachrichtigung von Outlook verlinkte, vorgenannte Microsoft-Artikel. Dort steht jedoch bislang etwa nichts von der Übertragung und Speicherung von Zugangsdaten.
Weiter antwortete Microsoft kryptisch: "Zugangsdaten zu IMAP-Anbietern, deren Server Microsoft mit dem BasicAuth-Verfahren kontakiert, speichern wir als Benutzertoken in verschlüsselter Form in der Mailbox der Anwender". Hinter BasicAuth steckt die unsichere Anmeldung mit Nutzername und Passwort in HTTP, für IMAP-Anmeldungen eine unübliche Beschreibung. Am Ende bedeutet das, dass die Zugangsdaten für IMAP-Anbieter verschlüsselt bei Microsoft gespeichert werden.
"Für E-Mail-Anbieter, die OAuth unterstützen (Gmail und Yahoo Mail), erhalten wir nie Zugriff auf die Zugangsdaten der Nutzer, da der Dienst einen OAuth-Token vom Client erhält. Das bedeutet, dass Microsoft keinen Zugriff auf das Klartext-Passwort hat", ergänzt das Unternehmen gegenüber heise online, "nur die Nutzer und der Microsoft-Dienst, der mit den Zielservern interagiert, haben Zugriff auf diese [IMAP-]Benutzertoken".
(Bild: heise Security /cku)
Dem ist entgegenzuhalten, dass Microsofts Dienst zu Microsoft gehört und der das Token mit den IMAP-Zugangsdaten entschlüsselt, um es für den vollen Zugriff zu verwenden. Dies konnten wir auch auf unserem IMAP-Server verifizieren, den Microsoft-Cloud-Server, wahrscheinlich in London beheimatet, kontaktiert und sich mit Nutzernamen und Passwort angemeldet hatten. Die IPs 52.98.204.101 sowie 52.98.207.109 gehören zu dem Outlook365-IP-Bereich. Microsoft hat die Log-in-Daten, kann diese verwenden und tut das auch. Nach wie vor gibt es dazu jedoch nirgends einen Hinweis, sondern lediglich die schwammige Nachricht, dass Daten synchronisiert würden.
Kein automatischer Datenimport
"Nutzer der neuen Outlook-App für Windows können auswählen, ob sie Konten aus dem klassischen Outlook importieren, wenn sie "Das neue Outlook testen" auswählen", erläutert das Unternehmen. Für jedes importierte Gmail-, Yahoo Mail-, iCloud- oder IMAP-Konto erhielten Nutzer den Hinweis und müssten auswählen, die Daten mit der Microsoft Cloud zu synchronisieren, um fortzufahren. "Nutzer, die ihre Konten nicht mit der Microsoft Cloud nutzen wollen, können abbrechen und zum klassischen Outlook zurückwechseln. Der "Wechsel zur Cloud-Synchronisation" erfolgt also nicht automatisch, Nutzer müssen auswählen, ob sie diese Konten hinzufügen wollen", erklärt Microsoft weiter.
Bezüglich der Frage, ob das bedeute, dass alle Daten durch Microsofts Cloud laufen und der Hersteller alle Zugangsdaten einheimsen werde, antwortete Microsoft: "Diese Informationen werden gespeichert, solange Nutzer den E-Mail-Client aktiv nutzen. Sofern es Inaktivität gibt, werden die Zugangsdaten gemäß dem Account Lifecycle Process entfernt. Die Nutzer haben zudem die Möglichkeit, die Entfernung der Daten (einschließlich Zugangsdaten) auf Anfrage zu verlangen, indem sie das Konto löschen und die "Von allen Geräten entfernen"-Option auswählen".
Unsere Einschätzung
Es mag technische Gründe geben, wieso Microsoft auf das Kopieren und Speichern von Zugangsdaten und E-Mails von anderen Anbietern setzt. In der derzeitigen Form ist das für Nutzer jedoch kaum nachvollziehbar. Das zeigen auch die Reaktionen, die belegen, dass vielen gar nicht klar ist, dass das neue Outlook Zugangsdaten an Microsoft überträgt und tatsächlich E-Mails auf seine Cloud-Server kopiert. Dies dürfte insbesondere die Nutzer überraschen, die Outlook ohne Microsoft-Konto einrichten, denn selbst dann zieht Microsoft die Mails in seine Cloud.
(dmk)