Die neue Outlook-App für Windows gibt unter anderem IMAP-Zugangsdaten an Microsoft weiter. Nun hat sich das Bundesamt für Sicherheit in der Informationstechnik (BSI) gegenüber c't kritisch zu dem Fall geäußert: "Passwörter sollten in der Regel geheim gehalten und somit Dritten nicht zugänglich gemacht werden. In Ausnahmefällen sollten Nutzende aktive und informierte Entscheidungen treffen können, ob sie einem Diensteanbieter vertrauen und mit diesem Zugangsdaten für andere Dienste teilen möchten", erklärte ein Sprecher des BSI.
Wer IMAP-Konten mit der neuen Outlook-App nutzen möchte, muss der Microsoft-Cloud Zugriff gewähren. Dabei verschickt die App auch das Passwort des Mailkontos.
Doch ob eine solche aktive und informierte Entscheidung stattfinden kann, ist fraglich. Die App macht bei der Einrichtung eines IMAP-Mailkontos darauf aufmerksam, dass E-Mails synchronisiert werden müssen, klärt aber nicht ausreichend darüber auf, dass hierzu die eingegebenen Konfigurationsdaten einschließlich Benutzernamen und Passwörtern an Microsoft übertragen werden. Das ist sehr problematisch, da der Nutzer durch die Weitergabe der sensiblen Daten
Die neue Outlook-App taucht nach dem Update auf die aktuelle Windows-11-Version 23H2 im Startmenü auf, zudem lädt Microsoft die Nutzer der klassischen Outlook-Software über einen Schalter "Testen Sie das neue Outlook" zum Ausprobieren ein.
Mit einem TLS-Proxy konnten wir die Übertragung der Zugangsdaten dokumentieren.
Diesen Umweg hält das BSI für kritisch: "Aus technischer Sicht besteht keine Notwendigkeit, die Synchronisierung oder den Abruf von E-Mails über einen (Cloud-)Dienst abzuwickeln, der zwischen Client und eigentlichem E-Mail-Server geschaltet ist und der Zugriff auf E-Mail-Inhalte oder sogar E-Mail-Konten-Passwörter/-Zugangstokens erhält. Generell sieht das BSI einen Kontrollverlust durch einen Cloudzwang, bei dem Nutzende nicht mehr die Möglichkeit haben, frei zu entscheiden, ob sie Softwarefunktionen nur auf herkömmliche Weise lokal oder via Cloud nutzen möchten, kritisch.
Nutzern, die aktuell mit der Outlook-App konfrontiert werden, rät das BSI allgemein, sich "stets bewusst machen, welche Risiken mit der Nutzung eines Dienstes verbunden sein können, und für sich in jedem Einzelfall erneut entscheiden, ob sie bereit sind, die entsprechenden Risiken zu tragen."
Auf unsere Frage, ob der Einsatz der App den Maßnahmen des durch das BSI definierten
Auch Datenschützer haben sich nach unserem Bericht besorgt über das Vorgehen der Outlook-App geäußert. Der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI) Lutz Hasse
Quelle: c‘t
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
Wer IMAP-Konten mit der neuen Outlook-App nutzen möchte, muss der Microsoft-Cloud Zugriff gewähren. Dabei verschickt die App auch das Passwort des Mailkontos.
Doch ob eine solche aktive und informierte Entscheidung stattfinden kann, ist fraglich. Die App macht bei der Einrichtung eines IMAP-Mailkontos darauf aufmerksam, dass E-Mails synchronisiert werden müssen, klärt aber nicht ausreichend darüber auf, dass hierzu die eingegebenen Konfigurationsdaten einschließlich Benutzernamen und Passwörtern an Microsoft übertragen werden. Das ist sehr problematisch, da der Nutzer durch die Weitergabe der sensiblen Daten
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
.Die neue Outlook-App taucht nach dem Update auf die aktuelle Windows-11-Version 23H2 im Startmenü auf, zudem lädt Microsoft die Nutzer der klassischen Outlook-Software über einen Schalter "Testen Sie das neue Outlook" zum Ausprobieren ein.
Kontrollverlust durch Cloudzwang
Nutzer der neuen Outlook-App haben derzeit keine Möglichkeit, Mails von einem IMAP-Konto direkt abzurufen, stattdessen verwendet die Microsoft-Cloud die Zugangsdaten, um die Mails für den Nutzer abzuholenDu musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
Mit einem TLS-Proxy konnten wir die Übertragung der Zugangsdaten dokumentieren.
Diesen Umweg hält das BSI für kritisch: "Aus technischer Sicht besteht keine Notwendigkeit, die Synchronisierung oder den Abruf von E-Mails über einen (Cloud-)Dienst abzuwickeln, der zwischen Client und eigentlichem E-Mail-Server geschaltet ist und der Zugriff auf E-Mail-Inhalte oder sogar E-Mail-Konten-Passwörter/-Zugangstokens erhält. Generell sieht das BSI einen Kontrollverlust durch einen Cloudzwang, bei dem Nutzende nicht mehr die Möglichkeit haben, frei zu entscheiden, ob sie Softwarefunktionen nur auf herkömmliche Weise lokal oder via Cloud nutzen möchten, kritisch.
Nutzern, die aktuell mit der Outlook-App konfrontiert werden, rät das BSI allgemein, sich "stets bewusst machen, welche Risiken mit der Nutzung eines Dienstes verbunden sein können, und für sich in jedem Einzelfall erneut entscheiden, ob sie bereit sind, die entsprechenden Risiken zu tragen."
Zweitschlüssel zum Briefkasten
Um die Entscheidungsfindung zu erleichtern, führt das BSI einen Vergleich aus der analogen Welt an: "Würde ich einem zusätzlichen Postzustelldienst einen Zweitschlüssel zu meinem Briefkasten geben - in dem ich offene Kopien meiner gesendeten und empfangenen Briefe lagere -, obwohl dieser zusätzliche Postzustelldienst in der Hauptsache meine unverschlossene Post lediglich mit dem eigentlichen Postdienstleister austauscht? Oder vermeide ich diesen Umweg, behalte meinen Briefkastenschlüssel für mich und tausche meine unverschlossene Post lieber auf direktem Weg mit meinem eigentlichen Postdienstleister aus?"Auf unsere Frage, ob der Einsatz der App den Maßnahmen des durch das BSI definierten
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
widerspricht, antwortete die Behörde wie folgt: "Der IT-Grundschutz fordert, dass Passwörter geheim gehalten werden müssen und nur den Benutzenden persönlich bekannt sein dürfen. Ein Passwort, das unautorisierten Personen bekannt geworden ist oder bekannt geworden sein könnte, muss gewechselt werden. Die Umsetzung des IT-Grundschutzes ist aber immer Einzelfall-bezogen."Auch Datenschützer haben sich nach unserem Bericht besorgt über das Vorgehen der Outlook-App geäußert. Der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI) Lutz Hasse
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
auf die neue App und der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Professor Ulrich Kelber bezeichnete "die Meldungen über ein vermutetes Datensammeln"
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
.Quelle: c‘t
