Microsoft, und wahrscheinlich auch die US-Regierung, können eure Mails lesen. Selbst wenn sie in Konten gespeichert sind, bei denen ein Zugriff durch Microsoft euch in rechtliche Probleme bringen könnte.

Aufmacherbild: Microsoft, abgewandelt

Vor kurzem habe ich diesen Hinweis von meinem E-Mail-Anbieter1 erhalten. Es stellt sich raus, dass meine Kollegen bei heise online etwas ziemlich Beunruhigendes über Microsofts neue Version des Outlook-E-Mail-Clients herausgefunden haben, mit dem die Firma das bestehende Mail-Programm für Privatanwender in Windows ablösen will.

Richtet man in der Software einen neuen Account ein, bietet Microsoft eine vermeintliche Sicherheitsfunktion an: So heißt es, dass Nicht-Microsoft-Konten mit der Microsoft-Cloud synchronisiert werden und damit Kopien der “E-Mails, Kalender und Kontakte zwischen Ihrem E-Mail-Anbieter und Microsoft-Rechenzentren synchronisiert“ werden. Angesichts der drastischen Auswirkungen einer hier erfolgten Zustimmung, sind die Warn- und Erklärhinweise seitens Microsoft wohl zu unscheinbar. Die wenigstens Nutzer werden realisieren, dass sie Microsoft umfassenden Zugriff auf Passwörter und Mailbestand & mehr geben.

Mit anderen Worten: Microsoft kann alle deine E-Mails lesen. Selbst wenn diese Mails lokal und auf Servern gespeichert sind, die nichts mit Microsoft zu tun haben. Wenn du zum Beispiel deine Arbeits-Mails zu Hause abrufst, kann Microsoft auch darauf zugreifen. Dies ist bei der aktuellen Mail-Anwendung in Windows nicht der Fall. Microsoft nutzt hier die bevorstehende Umstellung auf “das neue Outlook”, um an Daten heranzukommen, auf die sie vorher nie Zugriff gehabt hätten.

Und es gibt gute Gründe, warum sie keinen Zugriff hatten. Wenn du Microsoft beispielsweise Zugang zu deinen beruflichen E-Mails gibst, könnte dies gegen alle möglichen Verträge verstoßen, ganz zu schweigen von Datenschutzgesetzen wie der DSGVO. Über Dinge wie Industriegeheimnisse, NDAs oder Patientdaten möchte ich gar nicht erst nachdenken. Immer dran denken: Alle Daten in den Händen von Microsoft sind potenziell auch Daten in den Händen der US-Regierung. Ich denke, heutzutage kann man davon ausgehen, dass, sobald diese Daten auf den Servern von Microsoft liegen, alle möglichen Personen in der US-Regierung (und Organisationen, denen sie diese Daten zur Verfügung stellen will) darauf zugreifen können.2

Der deutsche Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Ulrich Kelber, scheint ähnlicher Meinung zu sein.

Die Meldungen über ein vermutetes Datensammeln von MS über Outlook sind alarmierend. Wir werden am Dienstag beim Treffen der europäischen Datenschutzaufsichtsbehörden die rechtlich dafür federführenden irischen Datenschutzbeauftragten um einen Bericht bitten.

Auch vor diesem Skandal hätte ich nie jemandem empfohlen, Outlook zu benutzen. Outlook ist ein schrecklicher E-Mail-Client, der einen zu allen möglichen schlechten Praktiken verleitet.3 Nach diesen neuen Erkentnissen muss ich dann aber definitiv jedem kategorisch davon abraten, dieses Programm zu nutzen. Selbst wenn man nur mit Microsoft-Mail-Konten arbeitet, bedeutet schlicht die Tatsache, dass Microsoft überhaupt versucht hat, auf so eine hinterlistige Art an diese Daten zu kommen, dass niemand denen jemals wieder E-Mail-Daten anvertrauen sollte.

  1. Full Disclosure: Mailbox.org stellt mir seit Beginn meiner freiberuflichen Tätigkeit ein kostenloses E-Mail-Konto zur Verfügung. Unabhängig von dieser Großzügigkeit halte ich die Firma für einen sehr guten Mail-Anbieter. Da sie nie auch nur eine einzige Gegenleistung für diese Hilfestellung verlangt haben, kann ich auch darüber hinaus momentan auch nichts Negatives über die Firma anbringen. ↩︎

  2. Lasst euch beim Lesen des CLOUD Acts nicht von der vermeintlich hohen Schwelle eines richterlichen Beschlusses täuschen. Wie wir aus den Twitter Files wissen, neigen US-Technologieunternehmen dazu, alle Arten von Informationen freiwillig herauszugeben, wenn sie von der US-Regierung darum gebeten werden — oder von einem von deren vielen Partnern. In vielen Fällen scheint es heutzutage auch nicht mehr notwendig zu sein, mit einem richterlichen Beschluss aufzutauchen. ↩︎

  3. Bei weitem Schlimmste ist, dass den Nutzern suggeriert wird, dass E-Mails zurückgerufen werden können, sollte man es plötzlich bereuen, sie verschickt zu haben. So was ist nicht Teil der Spezifikationen des E-Mail-Protokolls, und die Tatsache, dass Microsoft das für eine gute Idee hielt, wundert mich seit Jahrzehnten. Vor allem,weil es nur funktioniert, wenn der Empfänger auch Outlook verwendet. Jeder, der eine ein vernünftiges Mail-Setup hat, wird die E-Mail in der Sekunde erhalten, in der sie verschickt wurde. Und ein Rückruf wird den Empfänger lediglich mit der Nase drauf stoßen, dass diese Mail irgendwem peinlich war. Diese Funktion vermittelt den Leuten ein falsches Gefühl der Sicherheit. Das ist typisch für Microsoft: Man bietet den Leuten eine schnelle technische Lösung, die nicht wirklich funktioniert, anstatt sie über das eigentliche Problem aufzuklären. Nämlich, dass man eine E-Mail noch einmal lesen und vor allem überdenken sollte, bevor man blindlings auf den Sendeknopf drückt. ↩︎