Im Windows-Startmenü von Windows-11-Geräten mit 2023-Update taucht inzwischen das neue Outlook als empfohlene App auf. Auch der Outlook-Client selbst bietet den Test der neuen Outlook-Version mit einem Schalter "Das neue Outlook" an. Die befindet sich noch in der Entwicklung, soll aber 2024 in Windows etwa das Mail-Programm und den mitgelieferten Kalender in Windows ersetzen. In einem aktuellen Techcommunity-Beitrag erklärt die Microsoft-Angestellte Caitlin Hart zudem, dass auch das klassische Outlook damit ersetzt werden soll. Anders als bei den Windows-Apps Mail und Kalender steht der Zeitplan dafür jedoch noch nicht.
Neues Outlook: Warnung vor Datenübertragungen
Beim Hinzufügen eines Mail-Kontos im neuen Outlook, das nicht von Microsoft gehostet wird, sondern etwa auf Firmen-Mail-Servern liegt, zeigt das Programm einen Hinweis. Er verlinkt auf einen Support-Artikel, der lediglich ausformuliert, dass Nicht-Microsoft-Konten mit der Microsoft-Cloud synchronisiert werden, wobei bislang Gmail-, Yahoo-, iCloud- und IMAP-Konten unterstützt werden. Das macht das neue Outlook auch in den Fassungen für Android, iOS und Mac. Das bedeutet demnach, dass Kopien der "E-Mails, Kalender und Kontakte zwischen Ihrem E-Mail-Anbieter und Microsoft-Rechenzentren synchronisiert" werden. Damit erhält das Unternehmen vollen Zugriff auf alle Mails und kann diese lesen und auswerten. Damit wolle Microsoft Funktionen bereitstellen, die Gmail und IMAP nicht bieten würden.
Der Hinweis macht stutzig: Was überträgt Microsoft dadurch wohin? Beim Anlegen eines IMAP-Kontos konnte die c't mitschneiden, dass Ziel-Server, Log-in-Name und Passwort an Microsofts Server übertragen werden. Zwar TLS-geschützt, aber im Tunnel laufen die Daten im Klartext zu Microsoft. Ohne darüber zu informieren oder nachzufragen, genehmigt sich Microsoft selbst Vollzugriff auf die IMAP- und SMTP-Zugangsdaten von Nutzern des neuen Outlooks.
Andere Zugänge
Bei dem Schwenk vom alten Outlook auf das neue wird es parallel dazu installiert. Bislang eingerichtete IMAP-Konten werden nicht übernommen, aber das in Windows hinterlegte Konto schon. Bei der Prüfung mit Google-Konten kam die Authentifizierung mit OAuth2 zum Zuge. Dabei erhalten Nutzerinnen und Nutzer eine Authentifizierungsrückfrage und es landen immerhin keine konkreten Zugangsdaten bei Microsoft, sondern ein Zugriffstoken, den Nutzer auch wieder zurückziehen können.
Die Antwort auf unsere Anfrage zu einer Stellungnahme von Microsoft steht noch aus. Zum jetzigen Zeitpunkt müssen wir jedoch davor warnen, unbedacht das neue Outlook auszuprobieren. Neben den ganzen Mails landen dadurch teils sogar Zugangsdaten bei Microsoft.
Microsoft fiel bereits Anfang des Jahres mit solchen dreisten Datenumleitungen auf. Nach Office-Updates auf Mac-Rechnern leitete das Outlook dort die Daten ohne etwaige Rückfragen auf Microsofts Cloud-Server um. Damals schaffte Abhilfe, IMAP-Konten zu löschen und neu einzurichten. Das ist mit dem neuen Outlook derzeit offensichtlich jedoch nicht mehr hilfreich.
(dmk)
