Online-Fachhandel für Industriekunden, Gewerbekunden und öffentliche Einrichtungen - Kein Verkauf an Privatkunden
Industry-Electronics auf Deutsch Zur englischen Sprache wechseln
Technik & Elektronik Blog von Industry-ElectronicsWarnung vor neuem Microsoft Outlook

Neues Outlook von Microsoft: Was ist neu – und warum man besser die Finger davon lässt

Microsoft drängt Windows-Nutzer mit Nachdruck zum Umstieg auf das „neue Outlook“ – einen überarbeiteten Mail-Client, der klassische Apps ersetzen soll. Doch neben einigen Neuerungen sorgen erhebliche Datenschutzprobleme für Kritik. Dieser Blog-Artikel gibt einen Überblick darüber, was das neue Outlook bietet, beleuchtet die Datenschutzbedenken (insbesondere die Übertragung von Zugangsdaten an Microsoft) und erklärt, warum die Nutzung derzeit nicht empfehlenswert ist. Abschließend werden einige alternative, sichere Mail-Clients vorgestellt.

Überblick: Das neue Outlook und seine Neuerungen

Ein Outlook unter altem Namen: Vor rund einem Jahr veröffentlichte Microsoft ein neues E-Mail-Programm unter dem bekannten Namen Outlook. Es wird mittlerweile bei Windows 11 sogar automatisch mitinstalliert und im Startmenü als „Outlook (new)“ angezeigt. Langfristig soll es die bisherigen Windows-10-Apps Mail, Kalender und Kontakte (Personen) ablösen und alle Funktionen in einer Anwendung vereinen. Auch im klassischen Outlook (Teil von Office/Microsoft 365) findet sich ein Schalter „Testen Sie das neue Outlook“, über den Nutzer zur neuen App wechseln können. Trotz identischen Namens handelt es sich beim „neuen Outlook“ um ein komplett eigenständiges Programm, technisch gesehen im Kern ein Wrapper für den Webclient von Outlook.com mit einigen zusätzlichen Funktionen. Es lässt sich – anders als die reine Browser-Version – auch mit E-Mail-Konten anderer Anbieter via IMAP verbinden (POP3 wird allerdings nicht unterstützt).

Funktionsumfang und Unterschiede: Wer das neue Outlook ausprobiert, bemerkt schnell, dass es noch nicht alle Fähigkeiten des alten Outlook erreicht. Im Gegenteil: Es ist ein neu entwickeltes Programm, dem derzeit viele Funktionen des Vorgängers fehlen oder unvollständig umgesetzt sind. So fehlen laut Bericht von c’t unter anderem geteilte Postfächer, öffentliche Ordner, benutzerdefinierte Formulare, S/MIME-Verschlüsselung, ein vollständiger Offline-Betrieb, Suchordner sowie anpassbare Symbolleisten. Ebenso entfallen Makros und Add-ins wie VBA-Skripte oder COM-Erweiterungen – diese lassen sich höchstens durch Web-Add-ins ersetzen, sofern verfügbar. Manche dieser fehlenden Funktionen will Microsoft bis zur endgültigen Ablösung nachliefern, anderes wird voraussichtlich ganz wegfallen oder nur teilweise zurückkehren. Neben der Funktionslücke klagen Tester auch über Performance-Probleme – die Oberfläche reagiert träge („lahmt“). Microsoft selbst räumt ein, dass die vollständige Ablösung des alten Outlook Zeit braucht: Nach aktueller Planung hat man vier Jahre veranschlagt, um das neue Outlook zu einem vollwertigen Ersatz reifen zu lassen. Derzeit ist es davon noch weit entfernt.

Datenschutzprobleme: Wie Outlook Zugangsdaten in die Cloud schickt

Die deutlichste Kritik am neuen Outlook betrifft den Datenschutz. Genauer: die Art und Weise, wie das Programm beim Einbinden externer E-Mail-Konten mit den Anmeldedaten und Nachrichten umgeht. Wer ein fremdes E-Mail-Konto im neuen Outlook einrichtet (z. B. ein Firmenkonto oder einen anderen E-Mail-Anbieter per IMAP), muss mit einer überraschenden Architektur rechnen: Anders als herkömmliche Mailprogramme – und auch das klassische Outlook – kommuniziert die neue Outlook-App nicht direkt mit dem Mailserver des Anbieters. Stattdessen übernimmt ein Microsoft-Cloud-Dienst diese Aufgabe. Konkret bedeutet das: Gibt man in Outlook die Zugangsdaten für ein externes Mailkonto ein, sendet die App Benutzername und Passwort an Server von Microsoft. Von dort aus loggt sich Microsoft in Ihrem Namen beim eigentlichen Mailserver ein, ruft die E-Mails ab und speichert sie ebenfalls in der Microsoft-Cloud. Sämtliche bereits im Postfach vorhandenen Mails werden also auf Microsofts Server kopiert, ebenso Ihre Login-Informationen  – ein gravierender Eingriff in die Privatsphäre.

Unklare Hinweise: Zwar erscheint beim Hinzufügen eines Fremdkontos in Outlook ein Warnhinweis, der auf die Synchronisierung mit Microsofts Cloud aufmerksam macht. Dieser ist jedoch vage formuliert und verschweigt wichtige Details. So heißt es dort lediglich: „Um Ihr IMAP-Konto zu Outlook hinzuzufügen, müssen wir Ihre E-Mails mit der Microsoft Cloud synchronisieren. Alle Kontakte und Ereignisse, die Sie in Outlook erstellen, werden in der Microsoft Cloud gespeichert.“ Ein Wort über die Preisgabe der Login-Daten oder das Kopieren aller Mails sucht man vergeblich.

 

 

Screenshot: Eine Dialogbox im neuen Outlook warnt, dass zur Einrichtung eines IMAP-Kontos die E-Mails mit der Microsoft-Cloud synchronisiert werden müssen – doch die Übertragung der Login-Daten bleibt unerwähnt. Ein Klick auf „Weitere Informationen“ führt zu einem Microsoft-Supportartikel, der zum Testzeitpunkt keinerlei Hinweise auf die Passwortspeicherung enthielt. Solche unklaren Meldungen erschweren es Nutzern, das volle Ausmaß der Datentransfers zu erkennen.

Ein Vergleich bei Spiegel.de verdeutlicht das Problem: Es ist, als gäbe man einem Nachbarn den Schlüssel zum eigenen Briefkasten, damit er die Post abholt, öffnet, liest und Ihnen anschließend übergibt. Genauso schaltet sich Microsoft hier als zusätzlicher „Postbote“ dazwischen und erhält vollständigen Zugriff auf Ihre Korrespondenz. Datenschützer sind alarmiert: Der Bundesbeauftragte für Datenschutz, Ulrich Kelber, zeigte sich angesichts dieser „Datenumleitungen“ des neuen Outlooks besorgt. Die Fachzeitschrift c’t hatte kurz zuvor herausgefunden, dass Outlook beim Einrichten eines IMAP-Kontos tatsächlich ungefragt die Zugangsdaten an Microsoft-Server sendet. Kelber hat die irische Datenschutzbehörde (federführend für Microsoft in der EU) um eine Prüfung gebeten. Es ist also nicht nur eine theoretische Petitesse – hier werden mögliche Verstöße gegen Datenschutzrichtlinien befürchtet.

Warum ist das für Nutzer problematisch?

Aus Nutzersicht ergeben sich aus diesem Vorgehen mehrere Probleme. Zunächst einmal ist das fehlende Transparenz: Die wenigsten Anwender dürften ahnen, dass ein lokal installiertes Mailprogramm ihre E-Mails nicht direkt abruft, sondern über fremde Server umleitet – zumal Microsoft dies kaum offen kommuniziert. Heise Security konstatiert, dass die aktuelle Implementierung für Nutzer „kaum nachvollziehbar“ ist; viele hätten gar nicht klar, dass das neue Outlook ihre Zugangsdaten an Microsoft überträgt und E-Mails in dessen Cloud kopiert. Insbesondere Nutzer, die Outlook ohne Microsoft-Konto einrichten (also etwa nur mit einem Firmen-IMAP-Server), könnten völlig unbewusst Daten an Microsoft senden, da Outlook heimlich ein entsprechendes Cloud-Konto im Hintergrund erstellt. Hier fehlt es an deutlich sichtbarer Einwilligung und Aufklärung des Nutzers über die Konsequenzen.

Hinzu kommt das Sicherheits- und Vertrauensproblem: Indem man Microsoft die eigenen Mail-Zugangsdaten anvertraut, begibt man sich in eine Abhängigkeit. Sollte es z.B. zu einem Datenleck oder Missbrauch bei Microsoft kommen, wären potenziell sensible Mails und Passwörter von Fremdkonten betroffen. Selbst wenn Microsoft die Login-Daten verschlüsselt speichert (wie behauptet, siehe unten), verbleibt ein Restrisiko, da Microsoft technisch in der Lage ist, diese Daten zu entschlüsseln und zu nutzen – andernfalls könnten die Server nicht im Auftrag des Nutzers E-Mails abrufen. Tatsächlich hat ein Test gezeigt, dass Microsofts Cloud-Dienst die übermittelten Zugangsdaten verwendet, um sich beim Mailserver einzuloggen und die Nachrichten abzuholen. Mit anderen Worten: Microsoft hat Zugriff auf das Konto und macht davon Gebrauch.

Die Problematik verschärft sich im geschäftlichen Umfeld. Wenn Mitarbeiter ohne Rücksprache den neuen Outlook-Client verwenden, kann dies firmeninterne E-Mails ungefiltert in Microsofts Cloud leiten – möglicherweise ein Verstoß gegen betriebliche Datenschutzrichtlinien oder Verträge. c’t rät daher, in Unternehmen mit eigenen Mailservern oder fremden Providern vorerst nicht auf das neue Outlook umzustellen. Idealerweise sollte die IT-Administration die erzwungene Migration und den verlockenden Umschalter per Richtlinie blockieren. Andernfalls drohen „unbewusste Datenschutzverstöße, verunsicherte Mitarbeiter und überquellende IT-Support-Tickets“. Kurz gesagt: Die Nachteile und Risiken – von möglichen Rechtsproblemen bis hin zum Vertrauensverlust – überwiegen derzeit klar eventuelle Vorteile.

Microsofts Stellungnahme zu den Vorwürfen

Microsoft hat auf die kritischen Nachfragen inzwischen reagiert und versucht, die Datenweitergabe zu erklären. Der Konzern verweist darauf, dass das neue Outlook bereits beim Einrichten eines externen Kontos einen Hinweis auf die erfolgende Datensynchronisation einblendet und in einem verlinkten Artikel weitere Details bereitstelle. Der Grund für die Cloud-Weiterleitung sei, eine konsistente Nutzererfahrung über alle eingebundenen Konten hinweg zu ermöglichen. So könne etwa die globale Mail-Suche funktionieren und der Gelesen/Ungelesen-Status von Nachrichten einheitlich markiert werden, selbst wenn es sich um unterschiedliche E-Mail-Anbieter handelt. Aus Microsofts Sicht rechtfertigen solche Komfortfunktionen den technischen Umweg über die eigenen Server.

Bezüglich der Sicherheit der Zugangsdaten betont Microsoft, man speichere diese nur verschlüsselt. Wörtlich heißt es, „Zugangsdaten zu IMAP-Anbietern […], [speichern wir] als Benutzertoken in verschlüsselter Form in der Mailbox der Anwender“. Hinter dem Begriff „Benutzertoken“ verbirgt sich letztlich nichts anderes als das verschlüsselte Passwort. Für E-Mail-Dienste, die eine moderne Anmeldung via OAuth unterstützen (etwa Gmail oder Yahoo), gelange Microsoft eigenen Angaben zufolge gar nicht erst an die Zugangsdaten – hier erhalte Outlook lediglich ein temporäres OAuth-Token vom Dienst, sodass Microsoft keinen Zugriff auf das Klartext-Passwort habe. Das bedeutet: Wenn Sie z.B. ein Gmail-Konto hinzufügen, läuft die Authentifizierung über Googles OAuth-Verfahren, und Microsoft sieht Ihr Passwort nicht im Klartext. (Dennoch hat Microsoft natürlich Zugriff auf die E-Mails, die über dieses Token abgerufen werden – wie oben erläutert.)

Microsoft versichert außerdem, die Übertragung erfolge gesichert (d.h. die Kommunikation mit den Servern ist TLS-verschlüsselt). Wichtig sei auch, dass die Migration nicht gegen den Willen des Nutzers passiert. „Nutzer der neuen Outlook-App können auswählen, ob sie Konten aus dem klassischen Outlook importieren“ – wer das neue Outlook teste, müsse für jedes übernommene Konto aktiv bestätigen, dass die Daten mit der Microsoft-Cloud synchronisiert werden dürfen. Automatisch werde kein externer Account eingebunden; man könne den Vorgang jederzeit abbrechen und zum alten Outlook zurückkehren. Mit anderen Worten: Outlook fragt den Nutzer und ohne Zustimmung findet keine Cloud-Synchronisation statt.

Schließlich äußerte sich Microsoft zur Speicherdauer der erhobenen Daten. Die übertragenen Informationen (inklusive Zugangsdaten) würden „gespeichert, solange Nutzer den E-Mail-Client aktiv nutzen“. Bei Inaktivität hingegen würden die Daten gemäß einem internen Lifecycle-Prozess wieder entfernt. Nutzer hätten zudem die Möglichkeit, jederzeit selbst die Löschung ihrer in der Cloud gespeicherten Kontodaten anzustoßen – nämlich indem sie das eingerichtete Konto in Outlook löschen und die Option „Von allen Geräten entfernen“ wählen. Damit versichert Microsoft, dass keine dauerhafte Vorratsspeicherung der Zugangsdaten erfolgt, sondern diese löschbar sind, sobald sie nicht mehr gebraucht werden.

Bewertung der Stellungnahme: Trotz dieser Erklärungen bleiben viele Nutzer skeptisch. Microsofts Argument der einheitlichen Nutzererfahrung mag technische Gründe haben, ändert aber nichts daran, dass vielen Anwendern die Tragweite der Datenweitergabe nicht klar ist. So musste Microsoft einräumen, dass der verlinkte Support-Artikel zur Cloud-Synchronisation bislang keine explizite Erwähnung der Passwort-Übertragung enthielt. Und wenngleich die Verschlüsselung der Zugangsdaten lobenswert ist, bleibt die Tatsache bestehen, dass Microsofts Server die Entschlüsselung vornehmen und auf die Konten zugreifen – ein Punkt, den heise ausdrücklich kritisiert hat. Unterm Strich weicht Microsoft den Kern der Datenschutz-Bedenken nicht auf: Alle E-Mails und Login-Daten liegen (wenn auch zeitweise) auf ihren Servern. Wer dem Unternehmen in dieser Hinsicht nicht voll vertraut, wird durch die Stellungnahme kaum beruhigt sein.

Fazit: Warum man das neue Outlook (vorerst) meiden sollte

Das neue Outlook zeigt, wo die Reise für Microsofts Mail-Client hingehen soll – zu einer engeren Verzahnung mit der Cloud und einer einheitlichen Erfahrung über verschiedene Konten hinweg. Doch der Preis für diese „Bequemlichkeit“ ist hoch: In der aktuellen Form müssen Nutzer sensible Daten aus der Hand geben und verlagern ihre komplette E-Mail-Kommunikation in Microsofts Cloud, oft ohne es zu merken. Für Microsoft-Konten selbst (z.B. ein Outlook.com- oder Exchange-Online-Postfach) ist das kein Bruch mit bisherigen Gewohnheiten – hier liegen E-Mails ohnehin bei Microsoft, und der Datenschutzaspekt ist „weniger neu“. Sobald jedoch fremde E-Mail-Anbieter oder eigene Mailserver im Spiel sind, überwiegen die Risiken die Vorteile bei weitem. Experten raten klar davon ab, das neue Outlook mit externen Konten zu nutzen. In Unternehmen sollte man die Umstellung unterbinden, und auch Privatnutzer, denen ihre Daten lieb sind, sollten zumindest bis auf Weiteres die Finger vom neuen Outlook lassen.

Bottom Line: Microsofts neue Mail-App ist derzeit weder ausgereift noch vertrauenswürdig in Bezug auf den Datenschutz. Solange der Konzern an der Praxis festhält, Login-Daten und E-Mails über die eigene Cloud zu schleusen, ist Vorsicht geboten. Man kann nur hoffen, dass Microsoft den deutlichen Gegenwind ernst nimmt und nachbessert – sei es durch transparente Hinweise, optionalen Verzicht auf Cloud-Sync oder andere Änderungen. Bis dahin gilt: Bleiben Sie beim altbewährten Mail-Client oder wählen Sie eine sichere Alternative.

Alternative, sichere Mail-Clients

Zum Glück ist man nicht auf das neue Outlook angewiesen. Es gibt zahlreiche E-Mail-Programme, die ohne derartige Datenschutzrisiken auskommen. Im Folgenden einige empfehlenswerte Alternativen:

  • Mozilla Thunderbird: Ein freier Open-Source-Mailclient für Windows, macOS und Linux. Thunderbird verbindet sich direkt mit den Mailservern der Anbieter und speichert Daten lokal – ohne Umweg über fremde Cloud-Dienste. Er unterstützt IMAP, POP3 sowie SMTP und bietet Funktionen wie Ende-zu-Ende-Verschlüsselung (OpenPGP), Kalender und Kontakte via Add-ons. Durch die quelloffene Entwicklung gilt Thunderbird als datenschutzfreundlich und transparent.
  • Klassisches Microsoft Outlook: Wer das herkömmliche Outlook (aus Office bzw. Microsoft 365) installiert hat, kann dieses vorerst weiter nutzen. Das klassische Outlook kommuniziert – wie andere lokale Mailprogramme üblich – direkt mit dem jeweiligen Mailserver und nicht über Microsofts Cloud. Damit umgeht man die im neuen Outlook kritisierte Datenumleitung. Langfristig plant Microsoft zwar die Ablösung, doch bis dahin bleibt das klassische Outlook (oder das bisherige Windows-Mail-Programm) eine sichere Wahl für alle, die dessen Funktionsumfang benötigen.
  • eM Client: Ein moderner E-Mail-Client für Windows und Mac, der in der Basisversion kostenlos erhältlich ist. eM Client unterstützt mehrere Konten (IMAP, POP3, Exchange etc.), inklusive Kalender und Kontakte, und synchronisiert direkt mit den Mailservern der Anbieter. Er bietet eine Outlook-ähnliche Oberfläche und Funktionen wie integrierte Chat- und Übersetzungsfeatures. In Sachen Datenschutz punktet eM Client damit, dass keine Weiterleitung von Zugangsdaten an Dritte erfolgt – die Anmeldedaten bleiben zwischen Ihnen und dem jeweiligen E-Mail-Dienst.
  • The Bat!: Dieser vielseitige Mail-Client ist insbesondere bei sicherheitsbewussten Nutzern beliebt. The Bat! bietet eine leistungsstarke Ende-zu-Ende-Verschlüsselung (OpenPGP und S/MIME), umfangreiche Anpassungsmöglichkeiten und kommuniziert direkt mit den jeweiligen Mailservern – ohne Datenumleitungen oder Zwischenspeicherung in Cloud-Diensten. Besonders hervorzuheben ist die ausgeprägte Privatsphäre-Orientierung: Zugangsdaten und E-Mails verbleiben ausschließlich auf Ihrem Gerät, und sensible Nachrichten können mit einer sicheren lokalen Verschlüsselung gespeichert werden. Aufgrund seiner Sicherheits- und Datenschutzmerkmale ist The Bat! eine klare Empfehlung für Anwender, die maximale Kontrolle über ihre Kommunikation behalten möchten.
  • Apple Mail (für macOS): Die in macOS integrierte Mail-App ist eine verlässliche Option für Apple-Nutzer. Sie unterstützt alle gängigen Maildienste (inklusive iCloud, Gmail, Yahoo, Exchange usw.) und holt die E-Mails direkt vom jeweiligen Server ab. Apple Mail nutzt keine eigenen Cloud-Zwischenserver für fremde Accounts, sodass Ihre Zugangsdaten auf Ihrem Gerät verbleiben. Durch die tiefe Systemintegration bietet sie zudem einen hohen Bedienkomfort auf dem Mac.

 

All diese Alternativen haben gemeinsam, dass sie die E-Mails als lokales Mailprogramm unmittelbar vom Server des jeweiligen Anbieters abrufen, ohne zwischengeschaltete Cloud-Infrastruktur eines Dritten. Damit verbleiben Kontrolle und Verantwortung über die eigenen Daten beim Nutzer selbst – so wie es bei klassischen Mail-Programmen üblich ist. Angesichts der aktuellen Datenschutzprobleme des neuen Outlooks fährt man mit den genannten Lösungen sicherer. Es lohnt sich, diese Optionen in Betracht zu ziehen und mit Ruhe abzuwarten, ob Microsoft in Zukunft nachbessert, bevor man einen Wechsel ins neue Outlook-Ökosystem wagt.

 

 

 

 

Suche läuft
Suche wird durchgeführt.
Bitte haben Sie etwas Geduld...
Fehlende Felder
Schließen
Cookies helfen uns bei der Bereitstellung unserer Dienstleistungen und einer persönlich angepassten Nutzungserfahrung. Durch die Benutzung der Website erklären Sie sich mit der Nutzung unserer Cookies einverstanden. Informationen zum Datenschutz OK und schließen