Neues Outlook: Microsoft erklärt Weitergabe von Zugangsdaten.
Microsoft hat kürzlich Stellung bezogen und erklärt, warum die neue Outlook-App Zugangsdaten zu IMAP- und SMTP-Servern auf Microsoft-Cloud-Server überträgt und dort die Mails der Nutzerinnen und Nutzer spiegelt. Dieser Vorgang hat für Aufsehen gesorgt und wurde von c’t und heise online genauer unter die Lupe genommen.
Das Unternehmen betont, dass das neue Outlook die Nutzer durch eine Benachrichtigung über die Datensynchronisation informiert. Dabei verweist Microsoft auf einen Artikel mit weiteren Details, der in der Benachrichtigung verlinkt ist. Die Übertragung und Speicherung von Zugangsdaten wird in diesem Artikel jedoch noch nicht explizit behandelt.
Microsoft erklärt, dass die Synchronisation von IMAP-Konten dazu dient, eine konsistente Benutzererfahrung in Outlook zu gewährleisten. Dazu gehören Funktionen wie die Möglichkeit, E-Mails bei der Mailsuche für hinzugefügte Konten als gelesen oder ungelesen zu markieren.
Hinsichtlich der Übertragung von Zugangsdaten zu IMAP-Providern, die das BasicAuth-Verfahren verwenden, versichert Microsoft, dass diese Daten verschlüsselt als User-Token im Postfach des Nutzers gespeichert werden. Dies soll die Sicherheit der Daten gewährleisten. Für E-Mail-Anbieter, die OAuth unterstützen (wie Gmail und Yahoo Mail), erklärt Microsoft, dass der Dienst keinen Zugriff auf die Klartext-Passwörter hat, da er lediglich ein OAuth-Token vom Client erhält.
Es wird jedoch darauf hingewiesen, dass der Microsoft-Dienst das Token mit den IMAP-Zugangsdaten entschlüsseln kann, um vollen Zugriff zu erhalten. Dies wurde durch eine Verifizierung auf einem IMAP-Server bestätigt, der vom Microsoft Cloud Server kontaktiert wurde.
Microsoft führt weiter aus, dass Nutzer der neuen Outlook-Anwendung für Windows die Möglichkeit haben, zu wählen, ob sie Konten aus dem klassischen Outlook importieren möchten. Dabei erhalten sie einen Hinweis und müssen aktiv entscheiden, ob sie die Daten mit der Microsoft Cloud synchronisieren möchten. Die Umstellung auf die Cloud-Synchronisierung erfolgt also nicht automatisch, sondern der Nutzer kann sich dafür oder dagegen entscheiden.
In Bezug auf Datenschutzbedenken weist Microsoft darauf hin, dass die Informationen so lange gespeichert werden, wie die Nutzerinnen und Nutzer den E-Mail-Client aktiv nutzen. Bei Inaktivität werden die Zugangsdaten gemäß dem Account Lifecycle Process gelöscht. Die Nutzer haben auch die Möglichkeit, die Löschung der Daten, einschließlich der Zugangsdaten, auf Anfrage zu beantragen, indem sie das Konto löschen und die Option „Von allen Geräten löschen“ auswählen.
