Microsoft äußert sich zur Logindaten-Übertragung im neuem Outlook


Microsoft hat sich nun zu den Vorwürfen der Weitergabe von Anmeldedaten an die Microsoft Cloud im neuen Outlook für Windows geäußert. Wir hatten von dem Verhalten bereits letzten Freitag berichtet. Auf Nachfrage von heise online hat das Unternehmen erklärt: „Das Synchronisieren der IMAP-Konten der Nutzer hilft, eine konsistente Nutzererfahrung für alle in Outlook hinzugefügte Konten zu liefern. Dazu gehört, dass die Mail-Suche für hinzugefügte Konten E-Mails als gelesen oder ungelesen markieren kann“.

Weiter antwortete Microsoft gegenüber Heise: „Zugangsdaten zu IMAP-Anbietern, deren Server Microsoft mit dem BasicAuth-Verfahren kontakiert, speichern wir als Benutzertoken in verschlüsselter Form in der Mailbox der Anwender“. Dies bedeutet, dass die Zugangsdaten für IMAP-Anbieter verschlüsselt bei Microsoft gespeichert werden.

Es wird also, wie vermutet, eine Kopie des Postfachs / der Mails in die Microsoft Cloud geladen, um schnellere und genauere Suchergebnisse und andere Komfortfunktionen zu ermöglichen. Microsoft verweist hier auch auf einen Artikel, in dem alle Funktionen aufgeführt sind, die diese Synchronisierung benötigen. Neu sind diese Informationen aber nicht. Die mobile Version von Outlook nutzt schon von Anfang an einen Server für die im Artikel genannten Funktionen.

Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir ei­ne kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Als ehrenamtlicher First-Level-Support und quasi Apple-Jünger, der gerne seine Lebenszeit in Tech-Blogs verbrennt, stehe ich auch gerne für hitzige Diskussionen zur Verfügung.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

42 Kommentare

  1. „Nutzererfahrung“ ist für mich das Unwort der letzten Jahre

    • jo, zusammen mit „wir hören euch“!

      kann man sogar beides gut kombinieren, zB wenn man mal wieder die Leute abgezockt hat, und dann den backlash runter spielen muss!

    • Wenn nachträglich rauskommt, dass meine Daten, die ich lokal oder allenfalls auf dem jeweiligen IMAP Server erwarte, in irgendeine Cloud hochgeladen werden, empfinde ich das nicht gerade als positive Benutzerfahrung.

    • Bei so viel Nutzererfahrung müssten die Programme doch alle richtig großartig sein.

    • Sie wollen halt alles über die „Nutzer“ „erfahren“. Man muss kein Aluhut mehr sein, um argwöhnisch zu sein.

  2. Naja, mit dieser „Nutzererfahrung“ arbeiten auf iOS fast alle Email-Clients. Ich hatte beim Umsteig von Android echt Mühe, überhaupt einen zu finden, bei dem die Zugangsdaten auf dem Gerät bleiben (Richtige Einstellung vorausgesetzt). Und ich habe nur Preside Mail gefunden. Alle anderen haben die Zugangsdaten auf die Server der Betreiber geschoben.

    Merkwürdigerweise, haben Apple-User bisher kein Problem damit, dass die Zugangsdaten an Dritte weiter zu geben, Denn beliebte Clients wie Spark, Airmail, Bluemail speichern die auf ihren Servern, nicht mal bei Apple. Und bisher hat niemand groß geschriehen. Auch Heise nicht.

    • Apple muss sich ja nun dem Sideload Thema öffnen, wie ich gelesen habe. Damit ist vllt Besserung in Sicht. Dann kann man spgar eine echte Browser Alternative zum Safari installieren, nicht nur die „Safari-Skins“, die aktuell möglich sind.

    • Das ist spannend, kannst du irgendwie belegen, dass „die Anderen“ insbesondere Apple das auch so machen?
      Danke

    • Das interessiert mich jetzt auch. Wohin verschiebt z.B. K9-Mail (Android) die Zugangsdaten?

      • Nirgendwo hin. Darum geht es ja. Für Android gibt’s sowas, nur eben nicht für iOS (so zumindest die Theorie, Belege dass Apple Mail das macht sind mir auch noch nicht untergekommen.

    • >> Naja, mit dieser „Nutzererfahrung“ arbeiten auf iOS fast alle Email-Clients. <> Denn beliebte Clients wie Spark, Airmail, Bluemail speichern die auf ihren Servern, nicht mal bei Apple. Und bisher hat niemand groß geschriehen. <<
      Das liegt möglicherweise daran, dass das im Gegensatz zu Microsoft kleine Fische sind?!
      …und bei Spark gab es durchaus kräftige Kritik. Findet man im Netz.

    • Mike Leitner says:

      iOS eigener Client, canary mail und noch paar machen das nicht. Es gibt also schon mehr als einen

    • „Merkwürdigerweise, haben Apple-User bisher kein Problem damit, dass die Zugangsdaten an Dritte weiter zu geben, Denn beliebte Clients wie Spark, Airmail, Bluemail speichern die auf ihren Servern, nicht mal bei Apple.“

      Also ich bin Apple-User und habe genau aus diesem Grund einen Bogen um diese Apps (wie auch Outlook für iOS) gemacht.

      Also wie kommst du darauf, dass „Apple-User bisher kein Problem damit haben? Zumal es kein reines Apple-User-Problem, auch unter Android finden sich solche Apps (bspw auch Bluemail).

    • Pssssst, bloss nicht erwähnen, das das seit Jahren normal ist, einfach nur niemanden trotz Warnungen interessierte. Das will (leider) keiner hören.

  3. Wow. Weil man nicht in der Lage ist, eine funktionierende Suche zu schaffen (die von Windows wird nur immer schlechter, insbesondere seit 11) müssen natürlich sämtliche Mails mitgelesen werden und die Zugangsdaten nur mit einer (wahrscheinlich nicht Mal gut konfiguriert, was zB TLS 1.3, ECH etc bedeuten würde) Transportverschlüsselung gesichert durch die gegend geblasen werden.

    Das beste ist sowieso die Aussage „eren Server Microsoft mit dem BasicAuth-Verfahren kontakiert, speichern wir als Benutzertoken in verschlüsselter Form in der Mailbox der Anwender“. Ich will jetzt nicht beurteilen, wie weit Basic Auth verbreitet ist, aber Basic Auth bedeutet, dass Nutzername und Passwort einzig in Base64 codiert übertragen werden. Kein Hashing, keine Verschlüsselung.

    Und dass Wikipedia als Anwendungsbeispiele nur einfache Webformulare sieht, spricht für mich Bände. Da wäre es interessant, welche anderen Methoden hier gängig sind und ob BasicAuth nicht Serverseitig unterbunden werden sollte. Und da Microsoft so explizit auf BasicAuth eingeht, lese ich daraus entweder können sie für IMAP nichts anderes oder bei den anderen Methoden wird in der Tat das Passwort im Klartext gespeichert. Und dass Microsoft nicht im geringsten etwas von Sicherheit versteht, beweisen sie ja mit erschreckender Regelmäßigkeit. Verwunderlich, dass Microsoft Produkte nicht in Unternehmen und Behörden verboten wird, weil sie grundlegende Sicherheits-Level nicht erfüllen. Ein Unternehmen, dass sich Schulterzuckend die Hauptschlüssel für weite Teile ihrer Infrastruktur klauen lassen, kann wohl kaum auch nur die Sicherheitsstufe „Nur für den Dienstgebrauch“ erfüllen. Also die unterste Sicherheitsstufe. Für Unternehmen gilt das gleiche, denn sonst könnten sie alle ihre Daten auch offen ins Internet stellen, wenn sie Industriespionage nicht stört.

    • Für Basic Auth brauchst auch keine Verschlüsselung weil das ja eh verschlüsselt über https übertragen wird. Wenns http wär, dann wärs ein Problem.

      • HTTPS ist kein Garant für Sicherheit. Dazu muss man schon in der Lage sein, seine Server sinnvoll zu konfigurieren. Dieses Können spreche ich Microsoft eindeutig ab, aus guten Gründen.

        • Sprach Richard. Internet- und Sicherheitsexperte.
          Aber generell ist hier ja wieder solides Halbwissen am Start.

          Basic Auth ist Authentifizierung mit Username und Kennwort, also ohne zweiten Faktor, Zertifikate, Tokens oder ähnliches. Microsoft nutzt das, weil IMAP an sich erstmal nicht mehr kann. Es gibt Implementierungen für IMAP mit oAUTH, das nutzt aber kaum einer. IMAP wurde lange vor modernen Authentifzierungsmethoden erfunden, da war eben Username/Kennwort der Standard. Mehr als IMAPs, also IMAP über TLS ist halt einfach nicht drin.

          Und naja, am Ende wird die Suche in den Mails halt schneller, weil Microsoft die Mails vor Ort hat und nicht bei jeweiligen Provider suchen muss. Und all das steht halt a) am Outlook auch dran, wenn ich das Postfach einrichte (kann es also auch sein lassen) und b) kommt das Prinzip schon seit X Jahren zum Einsatz, eben bei der iOS App bei der das damals Acompli erfunden hat.

          Ja, kann man jetzt drüber streiten, ob man das nicht auch einfach abschalten und eine „ordinäre Suche“ akzeptieren können müsste, aber: es ist Outlook, das ist für „hier und da eine Mail lesen“ eh schon völliger Overkill. Herrje, nehmt halt einen anderen Client, gibt ja dann doch genug.

          • Wow, mir Halbwissen vorwerfen und dann das abliefern. Du musst echt Eier haben.

            Basic Auth läuft zunächst einmal über HTTP. Nicht über IMAP, das ist ein ganz anderes Protokoll. Und natürlich kann IMAP auch Kerberos. Und dass es älter ist als andere Techniken ist irrelevant. als HTTP geschaffen wurde, gab es auch noch kein HTTPS. Und?

            Außerdem, mit der schwachsinnigen Aussage „weil Microsoft die Mails vor Ort hat und nicht bei jeweiligen Provider suchen muss“ entlarfst du dich ebenfalls als wahlweise völlig Ahnungslos oder als von Microsoft bezahlter Jubelsklave. Was jedes Mailprogramm als einziges tun sollte ist offline zu suchen. Denn natürlich soll es bei Einrichtung alle Mails vom Server herunterladen, um Offline suchen zu können. Dazu müssen die Mails zu keiner Zeit in irgendeiner Cloud liegen. Und Geräte mit unter 64 GB Speicher sind inzwischen ohnehin eher die Seltenheit, gerade unter Windows. Und wenn man doch einzelne Ordner nicht herunterladen will, der soll dann eben in der Suche eine Option haben, auch auf dem Server suchen zu lassen. Auch dafür braucht es keine Cloud.

    • Microsoft ist wirklich sehr sehr gut darin, auf mehreren Ebenen in Unternehmen Einfluss zu nehmen. Wenn es dann Unstimmigkeiten auf der Arbeitsebene gibt, weil z.B. etwas nicht funktioniert oder unsicher ist, wird das in der Hierarchie so lange nach oben eskaliert, bis jemand den Fachexperten überstimmt. Im Falle von notwendiger Risk Acceptance im obersten Management wird das so schwammig formuliert, dass im Schadensfall niemand die Verantwortung übernehmen muss.

  4. Microsoft erklärt: „Das Synchronisieren der IMAP-Konten der Nutzer hilft, eine konsistente Nutzererfahrung für alle in Outlook hinzugefügte Konten zu liefern. Dazu gehört, dass die Mail-Suche für hinzugefügte Konten E-Mails als gelesen oder ungelesen markieren kann“
    Wollen die uns Kunden für dumm verkaufen? Am besten einen großen Bogen um diese Firma machen.

    • Selbstverständlich. Und das mit Erfolg möchte ich anmerken.

    • Eines verstehe ich bei der ganzen Aufregung nicht:
      warum nutzt ihr das Windows-Outlook (Nachfolger der „Mail-App“, hat nichts mit Office Outlook zu tun) überhaupt und warum installiert ihr euch nicht Mozilla Thunderbird oder was ähnliches????

    • Mike Leitner says:

      Naja ne. Die Suche ist über diesen Weg tatsächlich merkbar besser, und das nicht nur ein kleines bisschen. Besonders bei großen Postfächern findet Outlook Mobile überhaupt etwas ohne 10 Minuten suche. Dann gibt’s ja auch noch Rückstellungen von Mails, das geht ohne extra Server gar nicht. So schwarz weiß ist das ganze halt nicht

      • Verzögertes Versenden ist das einzige, was extra Server braucht. Wenn die Offline Suche so extrem schlecht ist, sind nicht Server die Lösung, sondern kompetente Programmierer.

        Und in keinem Fall muss alles über Microsoft Server laufen. Eher sollte Verzögertes Versenden sein optionales Feature als Opt-in sein, bei dem explizit darauf hingewiesen wird, dass die Mail samt Zugangsdaten auf Microsofts Server hochgeladen müssen. Außerdem gibt es keine Notwendigkeit, beides länger zu speichern, als die Verzögerung.

  5. Die Äußerung von Microsoft und die Antwort die Microsoft an Heise gegeben hat, ist reiner Bullshit. Schreibt Heise Online in seinem Artikel nicht so direkt, aber man spürt deutlich, dass es so gemeint ist. Nur mal so: BasicAuth gibt es bei IMAP gar nicht, das ist ein einfaches HTTP-Authentifizierungsverfahren und IMAP ist nicht HTTP, das sind zwei völlig verschiedene Protokolle. Microsoft legt hier nur Nebelkerzen aus. Auch wenn der Artikel bei Heise Online ziemlich wischiwaschi ist, lohnt es sich doch ihn zu lesen.

  6. So ein Quark mal wieder. IMAP an sich markiert und synchronisiert Mails ans gelesen / ungelesen. Nämlich direkt auf den Mailserver.

    Und wie Microsoft passender Weise auslässt, werden bei einem IMAP Server ohne BasicAuth eben NICHT die Daten gehasht, sondern die klardaten gespeichert, die nun auf Microsoft Servern liegen. Da muss der Autor des Artikels mal richtig lesen, was Microsoft da schreibt. Was meine Emails bei MS in der Cloud sollen ist mir auch schleierhaft. Da schreibt Microsoft auch nix von E2E Verschlüsselung oder so. Wie auch. Dann könnten sie die „Komfortfunktionen“ ja nicht anbieten.

    Hier sollte jetzt auch jede Firma aufhorchen, die MicroCrap benutzt. Stichwort Wirtschaftsspionage.

    Outlook ist ein verdammter E-Mail Client. Soll sich auch so verhalten und meine Daten nicht sonstwohin senden. Jetzt muss man also nicht nur aufpassen, welchen E-Mail Anbieter man nutz, sondern welchen Client (ja, auf mobilen Endgeräten ist das leider schon länger so…)

    • 1. warum loggst du dich unter Windows über einen Microsoft-Account ein bzw. nutzt einen überhaupt unter Windows?
      2. warum nutzt du Windows-Outlook?

  7. Blacky Forest says:

    „Dazu gehört, dass die Mail-Suche für hinzugefügte Konten E-Mails als gelesen oder ungelesen markieren kann“
    Ja, klar, „Nutzererfahrung“, seltsam nur, dass das andere seit Jahrzenten anders hinbekommen.

  8. Schon in anderer Hinsicht ist die Kontrolle über die eigenen Daten bei Microsoft Produkten sehr fraglich.

    Hier aber eine Funktion quasi heimlich durch die Hintertür durchsetzen zu wollen, mit der man eine fast vollständige Kontrolle über Kommunikationswege erhält und nirgends eine einfache Auswahl bereitzustellen, dies zu verhindern, ist kaum fassbar.

    Was gäbe das für ein Aufschrei – auch gerade in Medien und Politik -, wäre Micrsosoft eine chinesische Firma.
    Aber so, wenn interessiert es?!? außer uns Nutzer.

  9. Dann hilft nur S/MIME & PGP vor neugierigen Blicken. Natürlich sollte man seinen privaten Key dann auch nicht in eine Cloud oder Browsererweiterung laden.

    • Nein, es geht weitaus einfacher: nutze einfach keinen Microsoft-Account unter Windows und nutze kein Windows-Outlook (Office-Outlook ist was anderes)

      • Einfach grundsätzlich nichts von Microsoft nutzen. Die wenigsten sind so sehr auf deren Produkte angewiesen, wie sie sich einreden.

        PS: das Office-Outlook soll aber eben durch dieses abgemagerte Outlook mittelfristig ersetzt werden. Also gleich Thunderbird nutzen, bevor in zwei Jahren das Gejammer wieder los geht.

  10. Ich kann mich an Diskussionen erinnern, das Outlook auf MacOS und iOS die Anmeldedaten schon immer zu Microsoft geschickt hat – ist also nicht wirklich neu das Thema.

  11. Datensicherheit vor Komfort – ist meine Devise.
    Und es fängt schon damit an, keinen Client von Microsoft -geschweige einen Email – oder Online-Benutzeraccount von Microsoft zu benutzen.
    Wenn ich einmal überlege was das für ein Kampf ist / war, Leute auf PGP einzutrimmen, e2ee zu nutzen, datenschutzfreundliche Messanger, Passwortmanager, Aufteilung Fun, wichtig, sehr wichtig auf mehrere Emailaccounts etc pp.

    Weil hier jemand „Spark“ nannte:
    diese App nutzte ich auch einmal. Dann fiel mir auf das nach löschen der App, wieder installieren und eintragen / einrichten der „Generalemailadresse“, alle anderen vorher integrierten und mitgenutzten Emailadressen automatisch wieder da waren; inkl. Zugangsdaten.

    Das war natürlich bequem, aber wie funktioniert das? Nachdenken.

  12. Die Erklärung ist mir eigentlich egal, damit ist Outlook für mich nun auch auf dem PC gestorben.

  13. Nur zur Sicherheit: es geht nur um Outlook für Windows? Bei Outlook in Office (365) bleibt alles bei der lokalen Speicherung der Pasdwörter?

    • Bisher ja. Aber ich meine dass der Plan existiert, es durch dieses Outlook zu ersetzen.

    • Nicht ganz. Denn dieses „neue Outlook“ soll bald das alte/klassische Outlook Desktop (also das aus dem Office Paket) ersetzen.
      Somit: Ja, es bleibt erstmal dabei, …jedenfalls solange Outlook Desktop funktioniert. 😉

  14. Ich persönlich würde die neue Outlook-Version nicht installieren und verwenden.
    Wie so viele andere hier, die jetzt aber auch in den Kommentaren über Microsoft herziehen.
    Mich würde mal interessieren, wie viele User davon einen der sehr weit verbreiteten Email-Clients wie „Spark“ oder „Blue Mail“ verwenden, denn da ist dieses Verhalten schon seit Jahren Praxis. Also nichts neues… was das Thema aber auch absolut nicht besser macht.
    Wen es interessiert, der wird auf dem Blog von Kuketz oder z.B. bei Mailbox.org (https://kb.mailbox.org/de/privat/sicherheit-privatsphaere-artikel/zugangsdaten-bei-nutzung-von-mailapps-in-gefahr-stand-2020) zu diesem Thema fündig.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor. In jedes Thema Politik einbringen ist nicht erwünscht.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.