Microsofts neue Outlook-App für Windows gibt unter anderem IMAP-Zugangsdaten an das Unternehmen weiter. Gegenüber c't hat sich das Bundesamt für Sicherheit in der Informationstechnik (BSI) nun kritisch zu dem Fall geäußert.

Ein Sprecher des BSI erklärte: "Passwörter sollten in der Regel geheim gehalten und somit Dritten nicht zugänglich gemacht werden. In Ausnahmefällen sollten Nutzende aktive und informierte Entscheidungen treffen können, ob sie einem Diensteanbieter vertrauen und mit diesem Zugangsdaten für andere Dienste teilen möchten".

Bei der Einrichtung eines IMAP-Mailkontos macht die neue Outlook-App darauf aufmerksam, dass E-Mails synchronisiert werden müssen. Allerdings klärt sie nicht ausreichend darüber auf, dass hierzu die eingegebenen Konfigurationsdaten einschließlich Benutzernamen und Passwörtern an Microsoft übertragen werden. Durch die Weitergabe der sensiblen Daten kann der Nutzer einen Rechtsverstoß begehen.

Nach dem Update auf die aktuelle Windows-11-Version 23H2 erscheint die neue Outlook-App im Startmenü. Zudem läd Microsoft die Nutzer der klassischen Outlook-Software über einen Schalter "Testen Sie das neue Outlook" zum Ausprobieren ein.

Die neue Outlook-App bietet derzeit keine Möglichkeit, Mails von einem IMAP-Konto direkt abzurufen. Die Zugangsdaten werden stattdessen von der Microsoft-Cloud verwendet, um die E-Mails für den Nutzer abzuholen

Das BSI hält diesen Umweg für kritisch: "Aus technischer Sicht besteht keine Notwendigkeit, die Synchronisierung oder den Abruf von E-Mails über einen (Cloud-)Dienst abzuwickeln, der zwischen Client und eigentlichem E-Mail-Server geschaltet ist und der Zugriff auf E-Mail-Inhalte oder sogar E-Mail-Konten-Passwörter/-Zugangstokens erhält."

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE