via Mike Kuketz

https://www.heise.de/news/Microsoft-IMAP-Umleitung-in-Outlook-nach-Office-Update-jetzt-auch-auf-Macs-7477743.html

upsala

Und auch dieses aus Privatsphäre- und Sicherheitsperspektive vollkommen inakzeptable Verhalten wird die Leute nicht reihenweise von Microsoft wegtreiben.

Stockholm-Syndrom oder Gleichgültigkeit, oder beides?

Das Vorgehen von m$ ist nicht rechtmäßig, da "ein Hinweis auf diese Umstellung an Nutzerinnen und Nutzer erfolgt offenbar nicht und somit auch keine Einholung des Einverständnisses dazu." Eine Vertragsänderung ohne Info und Zustimmung ist nicht wirksam. Jetzt müsste sich nur noch jemand freiwillig zu einer Klage entschließen (ich kann es nicht, da ich kein outlook nutze und deshalb nicht betroffen bin). Zuständig ist der LDA Bayern, zu finden hier:

Mein Konto bei live.com benutze ich nur, wenn ich meinen Windows-Rechner Mal anwerfe -- etwa alle 6 Monate. Doch vor einiger Zeit bekam ich von Microsoft eine Warnung (siehe Bild). Die fremde IP-Adresse gehört zu Microsoft! Meine Anfrage bei MS, warum von dort mein Postfach abgerufen wurde, blieb (natürlich) unbeantwortet.

Ohne Zustimmung der Benutzer wäre wirklich nicht "die feine Art". Es müsste sich jemand erbarmen und die AGB durchforsten, ob es nicht einen Passus gibt wodurch Benutzer der Outlook Software schon implizit ihr Einverständnis für "Dienste" derlei Art gegeben haben. Ich kann mir fast nicht vorstellen, dass ein Konzern wie Microsoft so einen "Anfängerfehler juristischer Natur" begehen würde in Zeiten von GDPR & Co.

Bei einem live.com-Account würde ich mich übrigens grundsätzlich nicht wundern, weil es offensichtlich zu Microsoft gehört. Und ohne die AGB dazu zu kennen, würde es mich 0 überraschen, wenn solche technischen Massnahmen nicht in irgendeiner Art und Weise bereits dort abgedeckt sind.

Die technische Begründung seit jeher ist ja u.a. Push Notifications, was durchaus nachvollziehbar ist. Persönlich reicht mir das "normale Intervall-Prüfen nach neuen Emails", was seit jeher durch lokale Emailclients gemacht werden kann. Push Notifications benötige ich nicht.

Interessanterweise scheint es viele Benutzer aber nicht zu stören, wenn das andere Firmen machen (ich gehe aber mal davon aus, dass die meisten sich dessen gar nicht bewusst sind). Es gibt Email Clients, deren Geschäftsmodell auf nette "Komfort"-Funktionen basiert, wie z.B. das sehr bekannte "Spark". Nun, solche Clients machen im Grunde genommen genau das gleiche, was Microsoft hier macht. Benutzer geben diesen "Dritten" den Zugriff/Zugang zu ihren Emails bzw. die Emails werden auf Servern dieser "Lösungsanbieter" gehostet - was auch logisch erscheint, da die Extra-Funktionen sonst gar nicht erst möglich wären.

Also den Haken kann ich nicht so recht erkennen. Angeblich läuft das bei Apple Mail auch umgeleitet über Cloud Services. MS ist bisher nicht durch Datenverlustskandale berühmt geworden.

Natürlich müssen sie informieren, das zu unterlassen, ist nicht in Ordnung

um das dreht es sich in diesem Fall mal überhaupt nicht.

Lies den Beitrag nochmals auf Heise und in zig anderen Portalen vor allem auf denen , die sich mit Datenschutzthematik befassen.

Das habe ich auch nicht behauptet. Das ist aber ein Indikator für den Umgang eines Unternehmens mit Kundendaten. MS hat vor allem Firmen- und Behördenkunden, sind die nun alle bescheuert?

Nein, das tut es durchaus nicht. Und das weiß ich sehr genau, denn ich kenne meine Mailserver-Logs.

Was MS offenbar neuerdings tut:

1. Authentifizierungsdaten in die "Cloud" übertragen
2. Von dort aus mithilfe dieser Daten die Kommunikation mit den eigentlichen Mailservern durchführen
3. Dann den Client mit dem eigenen Service kommunizieren lassen

Punkt 1 ist ein absolutes no-go und allein schon ein gigantischer Vertrauensbruch. Punkt 2 und 3 zusammen hebeln die Transportverschlüsselung komplett aus. Und was Microsoft dazwischen mit den Maildaten macht ist vollkommen im Dunklen.

Und dann haben sie den ganzen Kram auch noch per Update reingeschoben, ohne den Benutzer vorher zu fragen. Damit ist de facto alles, was an unverschlüsselten Daten auf dem Mailserver liegt, und sämtliche Benutzernamen und Paßwörter als kompromittiert zu betrachten.
Ganz klar: Ja.

Das heißt dann aber, nicht nur die Kunden, sondern auch die bei MS angestellten IT-Fachpersonen sind komplett bescheuert ...

Es soll nicht Thema sein die dort angestellten zu diskreditieren...
Es sind nicht die Entwickler, denn diese tun nur das ihnen aufgetragene und sind in ihrer Arbeit immer daran interessiert alle Optionen abzuklopfen.

Die Datensammelwut der Konzerne ist aufzuzeigen und diese nicht den Entwicklern anzulasten um den Konzernen die Rute ins Fenster zu stellen.

Das ist im Übrigen eine Geschichte die alle betrifft, nicht nur MS auch Google und Apple bspw.

Am Beispiel der Exodus in APP Tracking Datenbank wird schnell klar was sich auf Appseite so abspielt.
Ein Feature das bei Apple leider nicht gegeben ist und nur das Vertrauen auf den Anbieter der App und Apple selbst umfasst und einschließt. Keine Möglichkeit diese selbst kontrollieren zu können bedingt durch Apples Restriktionen und der Closed Source Eigenschaft des Codes.
Exodus

Wie Exodus selbst schreibt...
Die Seite lässt im Übrigen auch alle anderen Anbieter teils schlecht aussehen

Wieso? Deren Daten sind es ja nicht ...

Ich hatte es eigentlich von den Chefs, die die Richtung vorgeben - oder sind das IT-Laien? 😏

Und zu Ende gedacht bedeutet das dann:

- Sie können nicht nur bei ihren eigenen Cloud-Kunden, sondern bei jedem Outlook-Benutzer die Mails scannen und (berechtigt oder auch nicht) bei der Staatsanwaltschaft anschwärzen:
Ein Foto – und alles ist weg:

- Und sobald die EU das verbindlich vorschreibt, können sie es nicht nur, sondern dann müssen sie es auch:
EU-Rat will geplante Überwachung noch weiter ausbauen

Ich finde das skandalös.

.

Achso, ich vergaß: Ihr habt ja nichts zu verbergen ...

Genau das ist die Konsequenz dieser Änderung.
Das ist eine weitere Ausprägung des Grundsatzes "Wo ein Trog ist, sammeln sich die Schweine". Daten, die irgendwo anfallen, wecken immer Begehrlichkeiten. Von daher gilt es schon das Anfallen der Daten zu vermeiden - und da haut einem Microsoft gerade einen riesigen Knüppel zwischen die Beine, wenn man dumm genug (oder geschäftlich gezwungen) ist, deren Dreckstools zu verwenden.

Das ist ja eigentlich auch nur konsequent. Microsoft versucht seit Jahren, Kunden auf seine Cloud-Infrastruktur zu ziehen, weg von lokal gehosteten Lösungen. Das jetzt ist ein Schlag gegen diejenigen, die sich dem verweigern - auch da hätte Microsoft gern Zugriff. Alles natürlich unter dem Deckmäntelchen des besseren Komforts ... ist ja bequemer so, nicht wahr?
Viel skandalöser finde ich, daß die Leute darauf hereinfallen und sich nicht von diesem Laden abwenden.

Lustiges Detail am Rande: Einer meiner Kunden will gerade "die Sicherheit verbessern" und geht für die Zweifaktor-Authentifizierung weg von allgemeinen TOTP-Generatoren, statt derer nun der Microsoft Authenticator eingesetzt werden muß. Dann schaut man sich dessen Privatsphäre-Einstellungen im App Store an ...



Wofür bitte sehr braucht ein OTP-Generator meine Location, meine Kontaktinfo, User Content ...? Das Ding installiere ich mir nicht mal wenn man mich vorher narkotisiert. Erfreulicherweise sind wohl stattdessen FIDO2-Keys eine Option. Aber wie viele Leute werden sich das ohne Bedenken aufs Telefon laden?
Ja, genau die werden das wohl tun und weiterhin Outlook als Mailclient verwenden. Und selbst wenn nicht werden sie dann vermutlich nicht alle Paßwörter ändern, nachdem sie es in die Tonne getreten haben. Das ist ein handfester Skandal, und ich hoffe sehr, daß sie dafür gewaltig Ärger bekommen. Teuren Ärger möglichst.

Falls die irische DPC irgendwann mal anfangen sollte, ihren Job zu machen. Was unwahrscheinlich ist.