Ist das neue Outlook (2023) unsicher? Antworten auf die wichtigsten Fragen zum kritisierten Update
Microsoft hat ein neues Update für das noch in der Beta-Phase befindliche "New Outlook (2023)" ausgerollt, welches Drittanbieter-Zugangsdaten (Nutzername und Kennwort) in die Microsoft Cloud synchronisiert. In diesem Artikel versuchen wir, das tatsächliche Risiko zu erläutern und einzuordnen.
Das wichtigste kurz zusammengefasst:
- Das Update betrifft die Vorschau-Version des persönlichen Outlook-Clients auf Windows 11 Home Geräten
- Es betrifft nicht die Business Version von Outlook, die im Rahmen eines Microsoft 365 Plans eingesetzt wird
- Es handelt sich hierbei um ein Risiko der Kategorie "It's not a bug, it's a feature"
Im Detail
Was ist das "New Outlook (2023)"?
Windows Home Geräte kommen in der Grundkonfiguration mit einem vorinstallierten "Mail"-Programm, welches einfach nur "Mail" heißt. Dies wird voraussichtlich im Jahr 2024 durch das "New Outlook" abgelöst, das Mail-Programm wird dann von Windows Rechnern verschwinden und Outlook das neue Standard-Mail-Programm auf jedem Windows Home Gerät. Experimentierfreudige Menschen können das neue Outlook jetzt schon im Zuge des Vorschaukanals testen. Wer das nicht aktiv aktiviert hat oder einen anderen Mail-Client nutzt (z.B. Thunderbird) ist also aktuell nicht von dem Update betroffen.
Was ist passiert?
Im "New Outlook" gibt es eine Funktion, die es Nutzern erlaubt, ihre bestehenden Drittanbieter-Mails (z.B. Gmail, Mailbox.org, Strato, 1&1 und Co.) mit der Microsoft Cloud zu synchronisieren. Der Ankündigungs-Artikel von Microsoft dazu findet sich hier.
Im neuesten Update des Outlook-Clients ist diese Funktion nicht mehr optional, sondern wird automatisch bei allen neu hinzugefügten Mail-Adressen aktiviert.
Warum ist das ein "Sicherheitsrisiko"?
Durch die Aktivierung dieser Funktion werden die Zugangsdaten für SMTP & IMAP Mailadressen im Klartext an Microsoft übertragen, wodurch Microsoft Vollzugriff auf alle E-Mails und Kalender dieser Adressen bekommt. Weiterhin lässt sich dieser Übertragung aktuell nicht widersprechen, es lassen sich also keine neuen Mailadressen mehr ausschließlich lokal einbinden. Neben den Datenschutzrechtlichen Bedenken ist das auch ein Problem, wenn die Übertragung abgefangen wird, da so auch unbefugte Dritte theoretisch die Zugangsdaten erhalten könnten (Voraussetzung hierfür wäre natürlich, dass diese auf anderem Wege bereits unbefugt im Netzwerk eingedrungen sind).
Warum tut Microsoft so etwas?
Zum einen Benutzerfreundlichkeit. Der größte Vorteil für den Benutzer ist, dass er seine Mail-Accounts nicht mehr neu einbinden muss, wenn er das Gerät wechselt oder aus dem Browser heraus auf seine Mails zugreift.
Zum anderen ist das neue Outlook als PWA konzipiert. PWA steht für "Progressive Web App" und entspricht grob installierbaren Webseiten. Die Applikation (in diesem Fall Outlook) ist also eigentlich eine Online-App, die vorrangig webbasiert betrieben wird und nur aus Benutzerfreundlichkeit noch zur "Installation" angeboten wird. Der Vorteil an PWAs ist, dass die App unabhängig vom Betriebssystem (Windows, MacOS, Linux, Android, usw. oder im Browser) immer identisch aufgebaut werden kann und immer gleich aussieht. Hierdurch müssen zukünftige Updates nicht mehr an die einzelnen Betriebssysteme angepasst werden und können zeitgleich für alle freigegeben werden.
Damit eine PWA, die benutzerbezogene Daten bereitstellt, überall gleich funktioniert, müssen diese Benutzerdaten aber natürlich zentral abgelegt werden, in diesem Fall der Microsoft Cloud.
Welche Mail-Accounts sind betroffen?
Zum aktuellen Zeitpunkt sind ausschließlich neu hinzugefügt Mail-Accounts, welche per IMAP und/oder SMTP angebunden werden, betroffen. Bereits hinzugefügte Accounts werden nicht synchronisiert, wenn man die Funktion nicht aktiv einrichtet.
Weiterhin ist die reine Anbindung von Mail-Accounts per IMAP inzwischen nicht mehr empfohlen und wurde inzwischen von größeren Mailanbietern (Microsoft, Google, Yahoo) erweitert. Moderner und sicherer ist die Anbindung per OAuth, die Tokenbasiert funktioniert (also nicht mehr mittels Nutzername & Kennwort) und zusätzlich MFA-Funktionalität bietet. Dieses Verfahren wird beispielsweise bei Gmail-Accounts oder Postfächern von Microsoft selbst umgesetzt, welche daher nicht von der ungewollten Datenübertragung betroffen sind.
Unser Fazit
Die Funktion an sich, Postfachzugriffe mit dem Account zu synchronisieren, um bei einem Gerätewechsel die Mail-Postfächer nicht erneut einbinden zu müssen, finden wir durchaus sinnvoll. Dass der Übertragung allerdings nicht widersprochen werden kann geht gar nicht. Wir gehen aber (auch aufgrund der aktuellen eher kritischen Berichterstattung und der ausstehenden Datenschutz-Bewertung) davon aus, dass Microsoft diese Funktion in der Form nicht in das Produktiv-Update für alle Nutzer übernehmen wird. Eher ist davon auszugehen, dass man bei der finalen Ablösung des alten "Mail"-Programms im Jahr 2024 die Option haben wird, den Account entweder nur lokal einzubinden oder in die Cloud zu synchronisieren.
Insgesamt finden wir die Diskussion über Feature des Vorschaukanals aber stark übertrieben, vor allem weil der Großteil der Nutzer davon überhaupt nicht betroffen ist. Vor allem für Business Kunden von Microsoft hat das Update keinerlei Auswirkungen, da es sich A) um eine andere Version handelt und B) Unternehmen völlig unabhängig von einer eventuellen Übertragung der Daten auf OAuth-basierte Anmeldungen setzen sollten (wie Sie bei Exchange Online inzwischen glücklicherweise im Standard eingestellt ist). Das zugrundeliegende Problem ist hier eher, dass viele Mail-Anbieter nach wie vor auf klassische Authentifizierung mittels Nutzername & Passwort setzen, obwohl OAuth seit 2015 ein international anerkannter und dokumentierter Standard ist.
Wenn Sie als Unternehmen weitere Fragen zu E-Mails in der geschäftlichen Kommunikation und deren Sicherheit haben melden Sie sich gerne oder vereinbaren Sie einen kostenlosen Beratungstermin über Bookings.
PS: Das Titelbild dieses Artikels wurde von Bing for Enterprise, dem datenschutzfreundlichen und sicheren KI-Bot für kleine Unternehmen generiert. Wenn Sie mehr über Bing for Enterprise erfahren möchten empfehlen wir diesen News-Beitrag.