Aufregung um das neue Outlook – Ein Sachstand und Reaktionen

Seit einigen Tagen gibt es Vorwürfe gegen Microsoft in Bezug auf das neue Outlook und dessen Funktionsweise Benutzernamen und Passwörter zu Microsoft zu übertragen, um die Funktionsweise, also den Abruf von Emails samt Anhänge an Outlook zu gewährleisten. Die Vorwürfe stammen aus einem Heise Beitrag.

ACHTUNG: Entwurf! Ich warte noch auf das Gespräch persönlich in Redmond!
////////

Der Beitrag

Heise geht mit einem reisserischen Titel und Beitrag am 9. November 2023 gegen 16:18 Uhr online. Der Artikel wurde geschrieben von

Konkret heißt es dann:

Wer das neue Outlook ausprobiert, riskiert die Übertragung seiner IMAP- und SMTP-Zugangsdaten zu Mailkonten sowie sämtlicher Mails an Microsoft-Server. Zwar erklärt Microsoft, der Wechsel zurück auf die bisherigen Apps sei jederzeit möglich – die Daten liegen dann aber schon beim Unternehmen. Microsoft kann dadurch die Mails mitlesen.

Funktionsweise richtig verlinkt auf:

https://support.microsoft.com/de-de/office/synchronisieren-ihres-kontos-in-outlook-mit-der-microsoft-cloud-985f9e19-d308-4e85-9d1d-0c6f32f8e981?ui=de-de&rs=de-de&ad=de

Quelle des Heise Beitrages:

https://www.heise.de/news/Microsoft-krallt-sich-Zugangsdaten-Achtung-vorm-neuen-Outlook-9357691.html

Reaktion des Bundesdatenschutzbeauftragten

In diesem auf Mastodon veröffentlichten Beitrag kündigt der Bundesdatenschutzbeauftragte eine Prüfung und ein Gespräch mit dem für Microsoft zuständigen irischen Datenschutzbeauftragten an.

Quelle: 

Sachstand

Hier fasse ich einmal zusammen was wir wissen.

Das neue Outlook

Das neue Outlook for Windows gibt es nun als neue Mail App für Anwender und auch für eine Desktop App für Windows und Mac. Wichtig zu wissen ist, dass das neue Outlook mehr als App fungiert an statt als klassische Desktop App. So ist die Suche wesentlich verbessert worden, da die Online Suche, bekannt auf OWA und SharePoint Online nun integriert wurde und man diese Ergebnisse erhält. Ebenso wurde

Die neue Outlook App kann heute schon in Preview getestet werden.

Feedback-Kultur: Ich arbeite mit einem anderen MVP seit einigen Monaten sehr intensiv an der Mac Outlook App und auch an der Windows App und geben reichlich Feedback zu Verbesserungen. Hier kamen wir immer wieder auf verschiedenste Themen. Auch dieses Thema bereden wir seit einigen Tagen schon.

Die iOS Outlook App

Am 1. Dezember 2014  erwarb Microsoft das Unternehmen Acompli, welches eine iOS Outlook App als Konkurrenz aufgebaut hatte. Diese Mail App war nicht nur bekannter, sondern hatte auch die wesentlich besseren Funktionen, lief stabiler und war im Markt besser verbreitet. Deshalb erwarb Microsoft das Unternehmen samt App.

https://blogs.microsoft.com/blog/2014/12/01/microsoft-acquires-acompli-provider-innovative-mobile-email-apps/

Die App wurde dann zur neuen Outlook App und Microsoft integrierte die App auch von der Infrastruktur in Ihre Rechenzentren ein. Die Funktionen und Architektur bliebt gleich. Heute im Jahr 2023 ist die iOS App 100% in die Microsoft Infrastruktur integriert.

Der Vorwurf von Heise und die iOS App

Die Funktionen, die von Heise hier angeprangert wird, gibt es seit Beginn an schon bei Acompli und deren Mail App und auch seitdem dann in der neuen Outlook App, als Microsoft ihre App einstampfte zu Gunsten der Acompli Mail App. Das neue Outlook basiert in diesem Teil nun auf dieser aus der mobilen App bewährten Architektur.

Die neue Outlook App betrifft

  • Outlook für Mac
    • Kalender
    • Mail
    • Aufgaben
  • Outlook für Windows (Consumer & Enterprise)
    • Kalender
    • Mail
    • Aufgaben

Datenfluss Outlook

Hier ein Datenflussdiagramm einer hybriden Umgebung.

Konkret für einen deutschen Tenant

  • Datenverarbeitung innerhalb von Deutschland
  • EUPI -> USA bis Ende 2023, dann nur EU und anonyme Daten in die USA

 

Hinweis zu IMAP

Ein guter Hinweis kam noch von meinem MVP Kollegen Thomas. Er wies daraufhin, dass Heise die IMAP Methode beschreibt. Diese beschreibt den Zugriff auf IMAP Benutzername/Kennwort im Klartext innerhalb von TLS. Den IMAP nutzt Klartext (https://de.wikipedia.org/wiki/Internet_Message_Access_Protocol). Dies ist unabhängig, ob ich Outlook oder einen anderen E-Mail Client einsetze. Im Grunde sollte man IMAP nicht mehr nutzen, ähnlich wie POP3, sondern auf moderne Authentifizierungsmethoden setzen. Alternativ kann der IMAP-Client zu Exchange Online genutzt werden, der zumindest OAuth unterstützt. 

Vertragliche Sicht auf die Outlook Apps (noch nicht fertig!)

Konkret schauen wir in die Product Terms (https://www.microsoft.com/licensing/terms/product/PrivacyandSecurityTerms/all) also die AGB von Microsoft. Hier heißt es zu den Anwendungen:

Office 365 Services do not include Microsoft 365 Apps for enterprise, any portion of a PSTN service that operates outside of Microsoft’s control, any client software, or any separately branded service made available with an Office 365 or Microsoft 365-branded plan or suite, such as a Bing or a service branded „for Office 365.

Dies bedeutet, dass die Apps nicht unter die Office 365 Services gehören. Outlook für den Desktop fällt hier unter die Microsoft 365 Apps for Enterprise.

 

Risikobeurteilung

Im Rahmen der Risikobetrachtung stellt sich die Frage, ab wann man eine Beurteilung schreiben sollte. Hier kommen Beispiele:

Produkt Mail Provider Anmerkung Risikobeurteilung
Outlook Classic alle Daten werden nicht übertragen. nicht nötig
Outlook iOS Microsoft 365, Outlook.com Die Zugangsdaten sind eh von Microsoft, bei einem SaaS Dienst. sollte schon ein Teil der Microsoft365 DSFA sein.
Outlook iOS alle Provider, bzw. Exchange OnPrem Daten werden übertragen. nötig.
Outlook for Windows Microsoft 365, Outlook.com Die Zugangsdaten sind eh von Microsoft, bei einem SaaS Dienst. sollte schon ein Teil der Microsoft365 DSFA sein.
Outlook for Windows alle Provider, bzw. Exchange OnPrem nötig.
Outlook for Mac Microsoft 365, Outlook.com Die Zugangsdaten sind eh von Microsoft, bei einem SaaS Dienst. sollte schon ein Teil der Microsoft365 DSFA sein.
Outlook for Mac alle Provider, bzw. Exchange OnPrem nötig.
Outlook for Android Microsoft 365, Outlook.com Daten werden nicht übertragen. nicht nötig

 

Meine Risikobeurteilung

(((( folgt! ich warte hier den Montag und das Gespräch mit dem Microsoft Team ab.)))

Mögliche Risiken durch Zugriff auf das Postfach

  • Datenabfluss
  • Zugriff unberechtigter Dritter
  • Verhinderung der Kontrolle über die eigenen personenbezogenen Daten
  • Identitätsdiebstahl
  • wirtschaftliche Nachteile
  • Rufschädigung
  • Diskrimierung
  • Geheimhaltung / Berufsgeheimnisträger
Risiko Risikoerhöhende Faktoren Eintritt/Schaden Maßnahmen Eintritt/Schaden nach Maßnahme

Maßnahmen zur Risikominimierung (noch nicht fertig)

  1. End zu End Verschlüsselung bis ins Postfach und Verschlüsselung im Client
  2. Wechsels des Clients z.B. Thunderbird (kein nativer Client!)

 

///////////////////////////////////

Weitere Quellen

https://techcommunity.microsoft.com/t5/outlook-blog/things-to-look-forward-to-in-the-new-outlook-for-windows/ba-p/3975602

Übersetzung per Deepl Pro

„Nach unserer kürzlichen Ankündigung der Veröffentlichung des neuen Outlook für Windows 11 haben wir viele Fragen zu den Funktionen erhalten, die in der neuen App enthalten sein werden. Das neue Outlook für Windows ist die Zukunft sowohl für die Mail- und Kalender-Apps in Windows als auch für das klassische Outlook für Windows. Die Vorfreude ist groß und die Erwartungen sind hoch – daher haben wir natürlich eine Liste der wichtigsten Funktionen, die wir aus diesen Anwendungen übernehmen wollen.

Der Ort, an dem Sie alle bevorstehenden Funktionen und deren Veröffentlichung verfolgen können, ist die Microsoft 365-Roadmap, und sobald wir uns den genauen Terminen für die Einführung der Funktionen nähern, werden diese in der Roadmap veröffentlicht. Im Folgenden finden Sie eine Liste der Dinge, an denen wir im nächsten Jahr arbeiten, von denen einige bereits am Horizont zu sehen sind und auf der Roadmap-Liste stehen könnten.

Einige der vielen Dinge, die wir in Arbeit haben

Automatische Großschreibung
Ausklappbare Überschriften in der Nachrichtenliste
Bedingte Formatierung
Kopilot
Ziehen und Ablegen von E-Mails und Anhängen auf dem Desktop
Diktat
Abgelehnte Besprechungen aufbewahren
Unterstützung von EML-Dateien
Dateireiter in der Outlook-Suche
Neuordnung von Ordnern
Einfärben (Registerkarte Zeichnen) beim Verfassen einer E-Mail
MSG-Datei-Unterstützung
Offline-Unterstützung
Postausgangsordner
Bildformatierung
POP3-Konto-Unterstützung
Unterstützung von PST-Dateien
Rückruf von Nachrichten
S/MIME
Speichern unter für Anhänge (Ordner zum Speichern auswählen)
Freigabe lokaler Dateien aus Word, Excel und PowerPoint
Gemeinsame Kalenderbenachrichtigungen für Arbeitskonten
Registerkarte „Teams“ in der Suche

Wir werden auch weiterhin Verbesserungen an allen Funktionen vornehmen und sind stets auf Rückmeldungen angewiesen. Probieren Sie die neuen Funktionen aus und lassen Sie uns wissen, was Sie sich als nächstes wünschen. Feedback finden Sie auf der Registerkarte „Hilfe“ in der Multifunktionsleiste, oder Sie können Ihre Gedanken übermitteln, wenn Sie zum klassischen Outlook zurückschalten.

 

Neben den Funktionen und Möglichkeiten schätzen wir auch das Feedback zur Leistung und zum Gesamterlebnis sehr. Unsere Teams arbeiten intensiv an gezielten und laufenden Leistungsverbesserungen, die von gezielten Optimierungen bis hin zu größeren Investitionen in die Plattform reichen. Wir investieren auch in verschiedene visuelle Verbesserungen und Verbesserungen der Benutzerfreundlichkeit.

 

Aktuelle Verbesserungen und Dinge, die Sie im neuen Outlook ausprobieren können

Unterstützung für Gmail-, Yahoo-, iCloud- und IMAP-Konten
Unterstützung von ICS-Dateien
Verbesserungen bei der Auswahl der Nachrichtenliste
Schnelle Schritte
Sortierung nach Absender oder Betreffzeile
Zeitplanung über verschiedene Zeitzonen hinweg
Verbesserungen bei der Gestaltung von Tabellen
Verbesserungen in der Ordnerliste
Suche in Ordnern (ungelesene, markierte oder direkt an mich gesendete E-Mails)
Erinnerungsfenster
Suche nach verwandten Nachrichten (von diesem Absender, in dieser Unterhaltung)

Gibt es Funktionen, die Sie erwarten und die Sie oben nicht sehen? Wir würden gerne mehr darüber erfahren. Bitte hinterlassen Sie diese in den Kommentaren unten!

Wir danken Ihnen!“