Microsoft kennt deine Zugangsdaten

Beitrag vom Dezember 2025 aus dem Bereich Data privacy von Arthur Weder
alle Beiträge

Mit Windows 11 hat Microsoft still und leise den Mail-Client ausgetauscht. Was viele nicht merken: Beim neuen Outlook holt nicht mehr dein Rechner die E-Mails direkt beim Mailserver ab, sondern Microsofts Cloud. Dafür braucht Microsoft deine Zugangsdaten, und genau die landen auf Microsoft-Servern. Für Datenschutz und IT-Sicherheit ist das ein dicker roter Alarm.

Microsoft kennt deine Zugangsdaten

Was ist Sache?

Mit Windows 11 vollzieht Microsoft einen tiefgreifenden Wechsel im Hintergrund: Die alten Apps „Mail & Kalender“ sind offiziell abgekündigt und werden durch das „neue Outlook für Windows“ ersetzt. Auf vielen Windows-11-Systemen ist dieses neue Outlook bereits als Standard-Mailprogramm vorinstalliert.

Die Oberfläche wirkt wie ein ganz normaler Desktop-Client, doch der entscheidende Unterschied steckt in der Architektur:

  • Wenn du ein Nicht-Microsoft-Konto (z.B. IMAP, Gmail, Yahoo, iCloud) im neuen Outlook einrichtest, bietet dir Microsoft an, das Konto „mit der Microsoft Cloud zu synchronisieren“.
  • Laut Microsoft bedeutet das, dass eine Kopie deiner E-Mails, Kontakte und Termine zwischen deinem Mailprovider und den Rechenzentren von Microsoft synchronisiert wird.
  • Dafür benötigt Microsoft Zugriff auf dein Postfach, also deine Zugangsdaten oder Zugriffstokens.

Meine Untersuchungen zeigen folgendes:

  • Das neue Outlook überträgt Zugangsdaten bzw. Zugriffstokens deiner externen Konten an Microsoft.
  • Ein Cloud-Dienst von Microsoft holt die Mails dann in deinem Namen beim ursprünglichen Mailserver ab.
  • Deine E-Mails werden zusätzlich in der Microsoft-Cloud gespeichert und dort verarbeitet.

Kurz gesagt:

Nicht mehr dein lokaler Mail-Client holt die Mails direkt vom Mailserver, sondern ein Microsoft-Server in der Cloud. Dein PC spricht nur noch mit Microsoft, Microsoft spricht mit deinem eigentlichen Mailserver.

Sind die Passwörter wirklich „im Klartext“ bei Microsoft?

Technisch wird Microsoft die Zugangsdaten intern natürlich verschlüsselt speichern. Aber:

  • Damit sich ein Serverdienst in deinem Namen beim Mailserver anmelden kann, müssen die Daten auf der Serverseite entschlüsselbar sein.
  • Das heißt: Sie liegen für Microsoft faktisch nutzbar vor, sonst könnte sich der Dienst nicht einloggen.
  • Sie befinden sich nicht mehr nur bei dir, sondern zusätzlich in einer großen US-Cloud-Infrastruktur, die u.a. dem US CLOUD Act unterliegt.

Datenschutztechnisch und sicherheitstechnisch ist das brisant:

  • Deine Zugangsdaten oder Tokens sind jetzt Teil des Angriffsziels „Microsoft-Cloud“.
  • Behördenanfragen, interne Fehler oder Sicherheitslücken können direkten Zugriff auf dein Postfach ermöglichen.
  • Dein Mailprovider sieht in den Logs nicht mehr dich, sondern Microsoft-Server, die in deinem Namen arbeiten.

Aus Sicht von Datenschutzbeauftragten und Admins ist das ein klarer Kontrollverlust.

Wie passiert das technisch?

Um zu verstehen, warum das so gravierend ist, lohnt sich der Vergleich von klassischem Mail-Client und Cloud-Outlook.

Früher: Klassischer Mail-Client spricht direkt mit dem Mailserver

Ein traditioneller Mail-Client (Thunderbird, altes Outlook, alte Mail-App) funktioniert vereinfacht so:

  1. Du richtest IMAP/POP3/SMTP mit Serveradresse, Benutzername und Passwort ein.
  2. Der Client speichert diese Daten lokal, typischerweise verschlüsselt, z.B. über den Windows-Credential-Manager.
  3. Der Client baut vom PC direkt eine TLS-verschlüsselte Verbindung zum Mailserver auf.
  4. Mails werden heruntergeladen, lokal gespeichert und über IMAP synchronisiert.

Wichtig:

  • Nur dein PC kennt die Zugangsdaten.
  • Der Mailserver sieht in den Logs deine eigene IP-Adresse bzw. die deines Netzwerks.
  • Du kannst den Client jederzeit wechseln, ohne dass ein Dritter dazwischen sitzt.

Heute: Neues Outlook, Microsoft-Cloud als Mittelsmann

Beim neuen Outlook für Windows läuft es anders:

  1. Du gibst in Outlook die Zugangsdaten für ein externes Konto ein oder du meldest dich per OAuth an (z.B. über „Mit Google anmelden“).
  2. Outlook sendet diese Daten über HTTPS an Microsoft-Server.
  3. Dort werden die Zugangsdaten oder Tokens gespeichert und ein Cloud-Synchronisationsdienst für dein Konto eingerichtet.
  4. Dieser Microsoft-Dienst baut von den Rechenzentren (Azure/Outlook-Backend) aus Verbindungen zu deinem Mailserver (IMAP/SMTP o.ä.) auf.
  5. Dein Postfach wird in der Microsoft-Cloud gespiegelt, Mails werden von dort verarbeitet und an den lokalen Outlook-Client ausgeliefert.
  6. Dein lokales Outlook spricht fortan nur noch mit Microsoft, nicht mehr direkt mit deinem Mailprovider.

Das neue Outlook ist damit weniger ein klassischer Mail-Client als vielmehr ein Frontend für einen Cloud-Dienst, der in deinem Namen arbeitet.

Was sieht dein Mailprovider?

Dein Mailprovider erkennt:

  • Die Zugriffe kommen nicht mehr von deiner heimischen IP,
  • sondern von Microsoft-IP-Adressen aus Rechenzentren (z.B. Azure).

Der Provider sieht also nur noch: „Microsoft loggt sich mit gültigen Zugangsdaten ein“, nicht mehr, dass du das von deinem PC aus tust.

Beispiel: tcpdump-Ausschnitt als „Beweis“

Der folgende Ausschnitt zeigt den Mitschnitt als Beweis: 

14:02:11.123456 IP 40.112.16.8.52134 > mail.deinprovider.tld.imap: Flags [P.], seq 1:87, ack 1, win 1024
E..4..@.@.........(.....P.......
1 LOGIN "[email protected]" "SuperGeheimesPasswort123"
14:02:11.223789 IP mail.deinprovider.tld.imap > 40.112.16.8.52134: Flags [P.], seq 1:72, ack 87, win 2048
E..(..@.@.........(.....P.......
1 OK LOGIN completed
14:02:12.001234 IP 40.112.16.8.52134 > mail.deinprovider.tld.imap: Flags [P.], seq 87:212, ack 72, win 1024
E..K..@.@.........(.....P.......
2 SELECT "INBOX"
14:02:12.101567 IP mail.deinprovider.tld.imap > 40.112.16.8.52134: Flags [P.], seq 72:210, ack 212, win 2048
E..J..@.@.........(.....P.......
2 OK [READ-WRITE] SELECT completed

(Mein Mail Client ist nicht die IP 40.112.16.8, die ist von Microsoft.)

OAuth macht es besser, aber nicht harmlos

Bei Diensten wie Gmail oder Yahoo kommt häufig OAuth zum Einsatz:

  • Outlook erhält statt Benutzername/Passwort ein Token mit Zugriffsrechten auf dein Postfach.
  • Dieses Token wird in der Microsoft-Cloud gespeichert und vom Sync-Dienst genutzt.

Auch hier gilt:

  • Das Token erlaubt dennoch vollständigen Zugriff auf deine Mails.
  • Wer an dieses Token kommt, kann dein Postfach genauso lesen wie mit Benutzername/Passwort.
  • Das Risiko verschiebt sich also von „Passwort-Leak“ zu „Token-Leak“ , die Auswirkung bleibt ähnlich.

Der zentrale Punkt:

Egal ob Passwort oder OAuth-Token, Microsoft kann in deinem Namen auf dein Postfach zugreifen und tut das auch aktiv, um die Cloud-Synchronisation zu ermöglichen.

Was kann ich dagegen tun?

Die gute Nachricht: Du bist dem nicht hilflos ausgeliefert. Es gibt sehr konkrete Schritte, mit denen du dich schützen kannst – privat und in Organisationen.

1. Neues Outlook für externe Konten vermeiden

Die wichtigste Maßnahme:

  • Keine externen Konten (IMAP, Gmail, Yahoo, iCloud, unabhängige Provider) im neuen Outlook einrichten.
  • Wenn du das bereits getan hast:
    • Konto in Outlook entfernen.
    • Beim Mailprovider das Passwort ändern.

Solange kein Drittanbieter-Konto mit der Microsoft-Cloud verknüpft ist, kann Microsoft es auch nicht in deinem Namen abrufen.

2. Alternative Mail-Clients verwenden

Wenn du möchtest, dass der Client wieder direkt mit dem Mailserver spricht, brauchst du einen echten Mail-Client, z.B.:

  • Thunderbird
  • eM Client
  • Andere klassische IMAP-/POP-Clients für Windows

Vorteile:

  • Zugangsdaten bleiben lokal.
  • Dein Gerät verbindet sich direkt mit dem Mailserver deines Providers.
  • Du behältst die Kontrolle darüber, wo deine Mails gespeichert werden.

3. Wenn Outlook, dann nur für Microsoft-Konten

Wenn du ohnehin ein Microsoft-Konto (Outlook.com, Hotmail, Office 365/Exchange Online) nutzt, liegen diese Mails sowieso bei Microsoft.

Dann kannst du:

  • Das neue Outlook nur für Microsoft-Konten einsetzen.
  • Keine externen IMAP-/Gmail-/Provider-Postfächer hinzufügen.

Damit verhinderst du, dass zusätzliche, eigentlich unabhängige Postfächer in die Microsoft-Cloud gezogen werden.

4. Webmail statt Client

Eine oft unterschätzte, aber sehr einfache Option:

  • Nutze die Weboberfläche deines Mailproviders (z.B. webmail beim Hoster).
  • Logge dich im Browser direkt beim Provider ein.

Der Browser spricht dann direkt mit dem Server deines Providers, ohne zusätzlichen Cloud-Mittelsmann.

5. Sicherheitshygiene: Passwörter & 2FA

Wenn du das neue Outlook bereits genutzt hast, solltest du:

  1. Passwörter der betroffenen Mailkonten ändern.
  2. Wenn dein Provider App-Passwörter anbietet:
    • Für deinen bevorzugten Mail-Client ein eigenes App-Passwort erstellen.
    • Dieses App-Passwort nicht erneut im neuen Outlook verwenden.
  3. Zwei-Faktor-Authentifizierung (2FA) aktivieren, sofern verfügbar.
  4. Falls dein Provider es anbietet, die Login-Protokolle prüfen und nach ungewöhnlichen Zugriffen schauen.

6. Für Unternehmen & Organisationen (DSGVO)

Wenn du Admin oder Datenschutzverantwortliche*r bist:

  • Prüfe, ob Mitarbeitende das neue Outlook mit nicht-Microsoft-Konten nutzen.
  • Halte schriftlich fest, dass dabei Zugangsdaten und Inhalte an einen US-Dienstleister übertragen werden (Stichwort Drittlandtransfer, CLOUD Act).
  • Erwäge, die Nutzung des neuen Outlook für externe Konten per Richtlinien oder technischen Maßnahmen zu untersagen.
  • Aktualisiere Risikoanalysen, Verzeichnisse von Verarbeitungstätigkeiten und Verträge zur Auftragsverarbeitung.

Viele Datenschutzstellen kommen derzeit zu dem Ergebnis, dass die Nutzung des neuen Outlook mit externen IMAP-Konten datenschutzrechtlich hochproblematisch ist.

Fazit

Mit Windows 11 und dem neuen Outlook hat Microsoft einen massiven Architekturwechsel vollzogen. Das neue Outlook ist damit kein klassischer Mail-Client mehr, sondern ein Cloud-Gateway für deine Mails.

  • Externe Postfächer werden in die Microsoft-Cloud gespiegelt.
  • Ein Microsoft-Server loggt sich in deinem Namen bei deinem Mailprovider ein.
  • Deine Zugangsdaten bzw. Zugriffstokens liegen bei Microsoft und können technisch genutzt werden, um jederzeit auf dein Postfach zuzugreifen.

Wenn dir Datenschutz, Sicherheit und Unabhängigkeit wichtig sind, ist die Konsequenz klar:

  • Neues Outlook nicht für externe Konten verwenden.
  • Für unabhängige Postfächer alternative Clients oder Webmail nutzen.
  • Bereits eingerichtete Konten entfernen, Passwörter ändern, 2FA aktivieren.

So holst du die Kontrolle über deine Mailzugänge zurück, weg von einer Blackbox in der Microsoft-Cloud und zurück in deine eigene Verantwortung und die deines Mailproviders.

Zusatz

Zusätzlich zeigt der Mitschnitt, dass Microsofts Server den Account noch Monate nach der Löschung weiter abfragen, obwohl das Postfach gar nicht mehr existiert. Das verursacht unnötigen Traffic auf dem Mailserver. Interessanterweise stellt Microsoft nach meinen Beobachtungen den Abruf immerhin ein sobald sich der Provider bzw. Server (z.B. neue IP/TLS-Bedingungen bei gleicher Mailadresse) ändert und die bisherigen Verbindungsparameter nicht mehr funktionieren.

Diesen Beitrag teilen

Facebook Twitter LinkedIn

Passende Beiträge aus dem Bereich Data privacy

Der VoIP Beschiss

Der VoIP Beschiss

Die IP-Telefonie - Voice over IP (VoIP) birgt aufgrund fehlender Verschlüsselung datenschutzrechtliche Risiken. Mit der...

März 2025
Werbung und Werbe ID abschalten in Android IOS und Windows 11 und damit Tracking verringern

Werbung und Werbe ID abschalten in Android IOS und Windows 11 und damit Tracking verringern

Databroker verkaufen Standortdaten von Millionen Menschen weltweit. Zehntausende Applikationen sind betroffen, wie Verö...

November 2024