Gibt MS Outlook Ihre Passwörter weiter?

Die deutsche Tech-Webseite Heise löste im November 2023 einen Skandal aus, indem sie enthüllte, dass das neue Outlook, das die Mail-App unter Windows ersetzt, die Passwörter der Benutzer mit den amerikanischen Servern von Microsoft teilt.

Dies hat die Behörden auf den Plan gerufen, da die Warnungen vor der Weitergabe von Passwörtern und anderen sensiblen Informationen durch das neue Outlook für Windows aufgrund der schwerwiegenden Sicherheitsauswirkungen nicht ignoriert werden konnten. Dies ist besonders besorgniserregend, auch für die nationale Sicherheit, wenn man bedenkt, dass fast jede Regierungsorganisation von Deutschland bis hin zu den USA die Windows Unternehmenssoftware verwendet. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Ulrich Kelber, hat deshalb auf Mastodon erklärt:

“Die Meldungen über ein vermutetes Datensammeln von MS über Outlook sind alarmierend. Wir werden am Dienstag beim Treffen der europäischen Datenschutzaufsichtsbehörden die rechtlich dafür federführenden irischen Datenschutzbeauftragten um einen Bericht bitten”

Auch wenn die irischen Behörden bisher noch keine Stellungnahme zu Microsofts E-Mail-Passwortsicherheitsproblem abgegeben haben, lohnt es sich, einen genaueren Blick darauf zu werfen, wie das neue Outlook für Windows Ihre Passwörter weitergibt, was dies für Ihre Sicherheit bedeutet und wie Sie sich vor der allzu aggressiven Datensammlung durch Microsoft schützen können.

Werfen wir also einen genaueren Blick auf das Outlook-Update: Wie könnte das neue Outlook für Windows eine Bedrohung für unsere Privatsphäre und Online-Sicherheit darstellen?

Aggressive Datensammlung

Mit dem jüngsten Update tritt Outlook in die Fußstapfen von Tech-Giganten aus dem Silicon Valley wie Google (Alphabet), Facebook (Meta) und Apple: Es sammelt immer mehr Daten. Offensichtlich hat Microsoft erkannt, dass Daten das neue Öl sind und dass es seinen Umsatz enorm steigern kann, wenn es das nutzt, was es bereits hat: riesige Datenmengen von seinen Milliarden von Privat- und Geschäftskunden auf der ganzen Welt.

Das Sammeln und Analysieren von Nutzerdaten ist immer lukrativer geworden, vor allem jetzt, da Microsoft stark in OpenAI, das derzeit bekannteste Unternehmen für künstliche Intelligenz, investiert hat.

Als Google 2012 seine Datenschutzrichtlinien änderte, die es dem großen Technologiekonzern erlaubten, Nutzerdaten zu sammeln, bezahlte Microsoft noch für Zeitungsanzeigen, um seinen eigenen Datenschutz im Vergleich zu Google zu unterstreichen.

Jetzt, mehr als ein Jahrzehnt später, hat Microsoft gelernt, dass Datenschutz kein Geld einbringt, Datenerfassung, Nutzerprofilerstellung und personalisierte Werbung hingegen schon. Es ist traurig zu sehen, dass Unternehmen wie Microsoft und Apple, die sich früher für den Schutz der Privatsphäre eingesetzt haben (siehe diese iPhone-Werbung aus dem Jahr 2020), sich nun ebenfalls dem exzessiven Datensammeln zuwenden, um ihre Einnahmen zu steigern.

In der Technologiebranche scheint nur die Steigerung des Shareholder Value zu zählen. Und wenn diese Unternehmen in einem gesättigten Markt wie den USA und Europa nicht mehr iPhones oder Windows-Computer verkaufen können, müssen sie auf Datenerfassung und personalisierte Werbung zurückgreifen.

Wachsendes Partnernetzwerk

So ist es nicht verwunderlich, dass das neue Outlook für Windows Daten mit Hunderten von Drittanbietern teilt, wie in der Datenschutzerklärung angegeben.

Dank der europäischen Datenschutz-Grundverordnung (DAGVO) kann Microsoft die Informationen über seine exzessive Datenweitergabe nicht vor europäischen Nutzern verbergen. Wenn Sie sich in der EU befinden und das neue Outlook für Windows zum ersten Mal auf einem neuen PC verwenden, werden Sie über eine Cookie-Anfrage auf diese Informationen hingewiesen:

Wir und 772 Drittanbieter verarbeiten Daten, um: Informationen auf Ihrem Gerät zu speichern und/oder darauf zuzugreifen, Produkte zu entwickeln und zu verbessern, Anzeigen und Inhalte zu personalisieren, Anzeigen und Inhalte zu messen, Erkenntnisse über die Zielgruppe zu gewinnen, genaue Geolokalisierungsdaten zu erhalten und Benutzer durch Scannen von Geräten zu identifizieren. Einige Dritte können Ihre Daten auf der Grundlage ihrer berechtigten Interessen verarbeiten. Sie können Ihr Recht auf Zustimmung oder Widerspruch jederzeit ausüben, indem Sie den Link Einstellungen verwalten unten oder die Outlook-Einstellungen anklicken. Indem Sie auf die Schaltfläche Alles akzeptieren klicken, stimmen Sie der Verwendung dieser Technologien und der Verarbeitung Ihrer Daten für diese Zwecke bei der Verwendung von Outlook zu.

Wenn Sie diese Aufforderung sehen, ist es wichtig, dass Sie sie nicht schnell wegklicken und versehentlich auf “Alles akzeptieren” klicken. Wenn Sie dies tun, erlauben Sie Microsoft, viele Ihrer persönlichen Daten für verschiedene Zwecke an sein wachsendes Partnernetzwerk weiterzugeben, von denen einige jede datenschutzfreundlich eingestellte Person in Schrecken versetzen könnten. Wenn Sie den Banner mit ‘Alles akzeptieren’ bestätigen, erlauben Sie umfassende Datenanalyse und Tracking, inklusive:

• Personalisierte Werbung anzeigen
• Einblicke in die Zielgruppe erhalten
• Speichern Ihrer Geolokalisierungsdaten
• Zugriff auf Daten auf Ihrem Gerät
• Sie über Geräte-Scans zu identifizieren

Wenn Sie diese Aufforderung zur Freigabe von Daten sehen, klicken Sie unbedingt auf Alle ablehnen!

Erstens werden Sie nicht wollen, dass Microsoft Ihre sensiblen persönlichen Daten an Hunderte von Werbetreibenden und Datenmaklern weitergibt, und zweitens wächst das Partnernetzwerk von Microsoft ständig. Microsofts Datenweitergabe an Dritte scheint ein recht lukrativer Schritt zu sein, denn die Cookie-Warnung wurde jetzt auf die Weitergabe von Daten an “813 Partner” aktualisiert. Wer weiß, wie viele weitere Partner in Zukunft Ihre Daten in die Hände bekommen werden, wenn Sie der Weitergabe zustimmen?

Beitritt zu den Top 5 Werbetreibenden

Mit diesem zunehmenden Datenaustausch ist eines klar geworden: Microsoft ist auf dem Weg, einer der fünf größten Online-Werber zu werden.

Bereits im Jahr 2022 plante der US-Tech-Gigant seine Werbeeinnahmen auf 20 Milliarden Dollar verdoppeln, wie Rob Wilk, Chef von Microsoft Ads, in einem Interview erklärte. Jetzt wird dieser Plan in die Tat umgesetzt.

Mit der Veröffentlichung des neuen Outlook für Windows im September 2023 hat Microsoft den letzten Schritt getan, um zu den fünf größten Werbetreibenden aufzuschließen: Alphabet (Google), Meta (Facebook), Apple, Amazon, und nun auch Microsoft.

Schon vorher haben sich Leute auf Reddit darüber beschwert, dass Outlook Werbung als E-Mails tarnt - so wie Gmail jetzt Werbung direkt im Posteingang anzeigt:

Das ist zwar nichts Neues, aber die Werbemaschine wird mit dem neuen Outlook noch umfassender werden. Die Werbung, die den Outlook-Benutzern vor die Nase gehalten wird, bezieht sich entweder auf Microsofts eigene Produkte oder auf Produkte von Drittanbietern, die von Microsoft an seine Partner verkauft werden.

Microsoft lässt Sie Outlook zwar kostenlos nutzen, verkauft aber Ihre Zeit und Aufmerksamkeit an Dritte, um damit Geld zu verdienen. Dies ist vergleichbar mit dem, was andere große Tech-Dienste wie Google und Facebook tun, aber mit dem neuen Outlook stößt die Datenweitergabe in ganz neue Dimensionen vor.

Neben der Datenweitergabe an Dritte - der Sie aktiv widersprechen können - gibt das neue Outlook auch sensible Daten wie Passwörter an seine Cloud-Server weiter, wenn Sie die Synchronisierungsfunktion von Microsoft nutzen. Dies ist umso besorgniserregender, als es ein ernsthaftes Sicherheitsrisiko birgt, das zu Credential Stuffing-Angriffen führen könnte, da alle Ihre Passwörter auf einem zentralen Server gespeichert werden: Dem von Microsoft.

Diese Information war ein ziemlicher Schock für sicherheitsbewusste Menschen, und das Löschen von Outlook-Konten ist mittlerweile zum Trend geworden.

Doch bevor Sie sich entscheiden, ob Sie Microsoft Ihr persönliches Postfach noch anvertrauen können, sollten Sie einen Blick darauf werfen, wie Outlook Ihre Daten weitergibt, um zu verstehen, was genau da vor sich geht!

Sicherheitsproblem: Wie das neue Outlook Daten weitergibt

Das neue MS Outlook für Windows ist nicht mehr der lokale E-Mail-Client, wie wir ihn früher kannten. Die neue Version fungiert als Gateway zur Cloud-Umgebung von Microsoft. Damit Ihre E-Mails von E-Mail-Anbietern, die nicht zu Microsoft gehören, mit Ihren Geräten synchronisiert werden können, fordert Microsoft Ihre IMAP- und SMTP-Anmeldedaten für jedes E-Mail-Konto an und speichert sie auf seinen Servern.

Beim Hinzufügen eines Kontos zum neuen Outlook werden die Benutzer mit einer etwas einschüchternden Warnung über die Freigabe ihrer Informationen begrüßt. Die Meldung besagt, dass Outlook E-Mails mit der Microsoft-Cloud synchronisieren muss, um ein IMAP-Konto zu verbinden. Bestehende Kontakte und Kalendereinträge werden zwar nicht mit Microsoft geteilt, aber alle neuen Einträge, die Sie in Outlook vornehmen, werden auch in der Microsoft-Cloud gespeichert.

Im Detail lautet die in Outlook angezeigte Meldung:

“Was passiert, wenn ich mein Konto mit der Microsoft Cloud synchronisiere? Die Synchronisierung Ihres Kontos mit der Microsoft Cloud bedeutet, dass eine Kopie Ihrer E-Mails, Ihres Kalenders und Ihrer Kontakte zwischen Ihrem E-Mail-Anbieter und den Rechenzentren von Microsoft synchronisiert wird. Wenn Sie Ihre Postfachdaten in der Microsoft Cloud haben, können Sie die neuen Funktionen des Outlook-Clients (New Outlook für Windows, Outlook für i0S, Outlook für Android, Outlook.com oder Outlook für Mac) mit Ihrem Nicht-Microsoft-Konto genauso nutzen wie mit Ihren Microsoft-Konten.”

Die Warnung besagt, dass die geteilten Daten sogar Ihre Anmeldedaten wie Passwörter enthalten können - was dem amerikanischen Tech-Giganten den Schlüssel auf Ihr digitales Leben in die Hände spielt. Mit dem neuen Outlook verschafft sich Microsoft weitreichende Befugnisse über alle Ihre E-Mail-Daten, die Sie über IMAP verbunden haben. Microsoft kann jederzeit Ihr Postfach durchsuchen und sensible Daten an Dritte weitergeben - und das alles, ohne dass Sie es bemerken.

Nicht nur Ihre Anmeldedaten und E-Mails werden von Outlook an Microsoft-Server weitergegeben, sondern auch alle zukünftigen Kontakte oder Kalendereinträge, die Sie in der Anwendung erstellen. Wenn Sie sich bei dem neuen Outlook anmelden, geben Sie Microsoft unbegrenzten Zugriff auf Ihr E-Mail-Konto.

Wie XDA Developers schreiben: Der neue Outlook-Client ist kein “Client” mehr, sondern ein Wrapper um die Cloud-Dienste von Microsoft. Ihre Daten, einschließlich Ihrer Passwörter, werden nicht mehr lokal im Outlook-Client gespeichert, sondern auf Microsofts Servern abgelegt und lokal abgerufen.

Ist das Daten Teilen durch Verschlüsselung gesichert?

Als Sicherheitsexperten würden wir natürlich erwarten, dass das Teilen dieser Daten sicher verschlüsselt wird, also Ende-zu-Ende. Wie deutsche Technikjournalisten herausgefunden haben, ist dies beim neuen Outlook jedoch nicht der Fall.

Die Daten werden zwar TLS-geschützt an Microsofts Server gesendet, aber im Klartext. Das deutsche Technikmagazin c’t des Heise-Verlags hat bei der Konfiguration einer neuen IMAP/SMTP-Verbindung einen Test durchgeführt und das folgende erschreckende Bild der Ergebnisse veröffentlicht:

Screenshot des Codes: Outlook teilt Ihre Daten unverschlüsselt mit der Microsoft-Cloud.

Das Team von Heise.de hat Microsoft um eine Stellungnahme zu den schwerwiegenden Sicherheitsproblemen des neuen Outlooks gebeten, aber es gab keine Antwort vom Campus in Redmond, WA.

Für die IT-Experten von Heise war dies ein echter Schock. Wenn es Ihnen ebenso geht, können Sie sich nach einem neuen E-Mail-Anbieter umsehen, indem Sie den Vergleich zwischen Outlook und Gmail oder - noch besser für Ihre Privatsphäre und Sicherheit - den Vergleich zwischen Outlook und Tuta Mail lesen.

Warum Sie alarmiert sein sollten

Abgesehen davon, dass die Übermittlung von Kennwörtern an einen zentralen Server eine schreckliche Idee und die schlechteste Sicherheitspraxis ist, stellt sich die Frage, welche Gefahren die Synchronisierung all Ihrer E-Mails, Kalendereinträge und Kontakte mit den Servern von Microsoft mit sich bringt.

Zunächst einmal ist dies eine Frage des Vertrauens. Microsoft ist ein amerikanisches Unternehmen und unterliegt der amerikanischen Rechtsprechung. Inwieweit das Unternehmen mit Strafverfolgungsbehörden und Geheimdiensten zusammenarbeitet, ist nicht bekannt, aber es gibt bereits Anzeichen dafür, dass große Technologieunternehmen gerne mit Regierungsbehörden zusammenarbeiten. Dies ist äußerst besorgniserregend, da die USA Teil der Five Eyes Alliance sind.

In den USA sind mehrere Skandale bekannt, bei denen große Tech-Unternehmen sensible Nutzerdaten nur allzu bereitwillig an die Behörden weitergegeben haben. So schockierte 2016 die Nachricht, dass Yahoo den US-Behörden Zugang zu all seinen E-Mail-Konten gewährte, und in den frühen 2000er Jahren baute und betrieb AT&T Berichten zufolge in seinen Einrichtungen einen Raum zum Abhören von Telekommunikation für die NSA, bekannt als Raum 641A.

Dies ist die Tür zu Raum 641A bei AT&T, in dem die NSA Kommunikationsdaten abhörte.

Wir wissen nicht, ob Microsoft in ähnlicher Weise vorgeht, aber ohne strenge Datenschutzgesetze und eine Ende-zu-Ende-Verschlüsselung kann niemand sicher sein, dass sensible Kundendaten auf den US-Servern von Microsoft sicher sind.

Abgesehen von der Bedrohung durch staatliche Überwachung wissen wir auch nicht, inwieweit Microsoft mit Datenmaklern zusammenarbeitet, um Nutzerdaten zu sammeln und zu verkaufen. Aber nach dem neuen Datenschutz-Pop-up zu urteilen, das europäischen Kunden im neuen Outlook für Windows angezeigt wird, ist die gemeinsame Nutzung von Daten weit verbreitet und wird noch weiter zunehmen.

In den Vereinigten Staaten von Amerika lohnt sich auch ein Blick auf die “Third-Party-Doctrine”. Die Third-Party-Doktrin in den USA besagt, dass Sie, wenn Sie freiwillig Informationen an Dritte, z. B. E-Mail-Anbieter, weitergeben, keine “angemessene Erwartung an die Privatsphäre” in Bezug auf diese Informationen haben können. Da es in den USA keine mit der europäischen Datenschutz-Grundverordnung vergleichbare Gesetzgebung gibt - die den Europäern garantiert, dass ihre persönlichen Daten von Technologieunternehmen geschützt werden müssen - sind die Daten, die die Nutzer an Microsoft weitergeben, nicht vor den US-Behörden sicher. Sie können möglicherweise sogar ohne richterliche Anordnung erlangt werden.

Das ist inakzeptabel.

Was dies für Unternehmen bedeutet

Jedes Unternehmen hat seine eigenen Anwendungsfälle und Sicherheitsanforderungen. Was bedeutet die Verwendung des neuen Outlook für Unternehmen?

Es ist unwahrscheinlich, dass jeder Geschäftskunde, der seit langem eine Software-Suite für Geschäftskunden nutzt, Microsoft Office zugunsten einer freien und quelloffenen Lösung wie LibreOffice aufgibt. Einige Unternehmen, insbesondere solche, die mit sensiblen Informationen umgehen, müssen sich überlegen, was diese Änderungen von Microsoft’s Outlook für den Datenschutz ihrer Kunden oder Klienten bedeuten.

Für Unternehmen und Organisationen, die in der EU tätig sind, müssen die Datenschutzgesetze der DSGVO sorgfältig geprüft werden, um festzustellen, ob dieses Upgrade mit den Datenschutzstandards der EU vereinbar ist.

Für Arztpraxen, die in den USA tätig sind, wird die Einhaltung des HIPAA ein großes Problem darstellen. Wenn Sie Ihre E-Mail-Anmeldedaten an Microsoft weitergeben, gewähren Sie dem Tech-Giganten potenziell Zugang zu sensiblen Patientendaten.

Auch der Diebstahl von geistigem Eigentum (IP) stellt eine interessante Bedrohung dar: Wenn sensible IP-Informationen in den Inhalten enthalten sind, die Sie in der Cloud-Umgebung von Microsoft speichern, muss Ihr Unternehmen das Risiko abschätzen, das ein Verstoß gegen die Datenschutzbestimmungen oder die Offenlegung von Unternehmensdaten darstellt.

Zusammenfassend lässt sich sagen, dass wir uns fragen müssen, ob Outlook-E-Mails privat und sicher sind. Microsoft rühmt sich zwar mit verschiedenen Verschlüsselungsfunktionen zum Schutz Ihrer Outlook-E-Mails, insbesondere für Geschäftskunden, aber mit diesem neuen Update kann Outlook nicht mehr als privat und sicher angesehen werden.

Denken Sie immer daran, dass ein Cloud-Server nur der Computer einer anderen Person ist. Wenn Ihre Daten bei der Übertragung und im Ruhezustand nicht Ende-zu-Ende verschlüsselt sind, sind sie auch auf diesem Server nicht sicher.

Switch On Privacy

Was kann der durchschnittliche Internetnutzer angesichts dieser einschneidenden Veränderungen, die nicht nur seine Sicherheit, sondern auch seine Privatsphäre betreffen, tun?

Unser erster Schritt wäre, Outlook für den persönlichen Gebrauch nicht mehr zu nutzen. Es gibt zahlreiche Open-Source-Lösungen zum Schutz Ihrer E-Mails, Kalendereinträge und Kontaktlisten.

Tuta Mail bietet all diese Funktionen und mehr mit einer vollständigen Ende-zu-Ende-Verschlüsselung all Ihrer Daten und wir haben niemals Zugang zu Ihren Anmeldedaten.

Mit Tuta Mail können Sie eine unbegrenzte Anzahl von E-Mail-Adressen mit Ihrer eigenen Domain verwenden, während Outlook für Privatanwender keine benutzerdefinierten Domains mehr unterstützt.

Der nächste Schritt wäre, diese Bedenken bei Freunden, Kollegen und in Ihrer Arztpraxis anzubringen. Indem wir die Information verbreiten, dass es großartige, die Privatsphäre respektierende Alternativen zu Big Tech gibt, können wir alle dafür kämpfen, dass unsere digitale Zukunft ein sicherer und freier Raum wird.

Wir von Tuta setzen uns für ein besseres Internet ein - eines, in dem Ihre Privatsphäre standardmäßig geschützt ist.

Registrieren Sie jetzt ein privates und sicheres E-Mail-Konto.