Vor einiger Zeit hatte ich über den Verdacht berichtet, dass nicht nur die Outlook New-App, sondern auch Outlook Classic Anmeldedaten an Microsoft überträgt. Der Betroffene hat sich auf meine Nachfrage gemeldet, untersucht aber weiterhin den Sachverhalt, geht aber davon aus, dass auch Outlook Classic betroffen sein dürfte. Hier daher ein Nachtrag zum aktuellen Sachstand.
Worum geht es bei Outlook-Classic und dem Transfer?
Ende November 2025 hatte ich im Blog-Beitrag Überträgt auch Outlook 365 Classic Zugangsdaten an Microsoft? vom Verdacht berichtet, dass auch Outlook Classic Zugangsdaten von Online-Konten an Microsoft Server übermittelt. Das Verhalten ist ja von der Outlook New-App länger bekannt. Der Sachverhalt wurde von mir im Beitrag Neue Outlook-App überträgt Zugangsdaten an Microsoft näher erläutert, wobei ich dort auch darauf hinwies, dass diese Praxis bereits bei den Microsoft Apps für Android und iOS seit Jahren der Fall ist.
Im Beitrag Überträgt auch Outlook 365 Classic Zugangsdaten an Microsoft? wurde dann die Frage aufgeworfen, ob der Sachverhalt auch für Outlook 365 Classic zutrifft. Ein YouTuber, der eine IT-Firma betreibt, hatte auf seinem YouTube-Kanal IT an der Bar das Thema aufgegriffen. Er ging dem Verdacht nach, dass auch Outlook Classic Daten übertragen.
Er hat sich Outlook und die übertragenen Daten näher angesehen und fand den Verdacht bestätigt. Also hat er das Ganze analysiert und aufgedröselt und darüber ein Video aufgezeichnet, welches er auf YouTube hochgeladen hat.
Ich habe nachgefragt
In den Kommentaren zu meinem Artikel und zum Video schrieben Leser, dass eigentlich nur die Outlook New-App im Video gezeigt wurde und möglicherweise eine Fehlinterpretation vorläge. Kann man nie ausschließend. Ich habe daher per E-Mail beim YouTuber nachgefragt und Antwort erhalten.
Der Mann will das ganze Thema vermutlich nochmals zum Wochenende vom (12. – 14.12.2025) beleuchten. Er schrieb mir zum gesamten Sachverhalt, dass er in der ersten Analyse (als das Verhalten auftrat) nur mit Microsoft Outlook classic, jedoch in verschiedenen Versionen, gearbeitet habe.
Als er die Auffälligkeiten im Monitoring sah und ihm dann bewusst wurde, dass Informationen an Microsoft Adressen geschickt wurden, hat er auf einem Mailserver eine Testmailadresse angelegt und im Outlook eingerichtet. In seiner Antwort zeigt sich der Mann sicher, das dort keine Outlook New-App im Spiel war. Er konnte in der Testumgebung sofort auch das identische Verhalten feststellen.
Wie es so ist, der Mann ist IT-Dienstleister und nicht YouTuber, der nur Videos dreht. Also hat er das Video für seinen YouTube-Kanal erst später gedreht. Vorher hat er sich ein kleines Testsetup für den Kanal gebaut und dann das Video gedreht. Zwischen Dreh und Schnitt habe er dann viele Male versucht, das Szenario nachzustellen. Leider ohne Erfolg. Daher hat er im Schnitt einen entsprechenden Hinweis einfügen lassen, denn er war nicht in der Lage die Outlook-Version einzugrenzen, wo der Effekt auftrat.
Abschließend schrieb er mir, dass er einen Wechsel von Outlook 365 Classic zur Outlook New-App, die den Effekt auslöst, ausschließen kann. Denn er habe in der Testumgebung ein neues Konto eingerichtet und auch sonst kein Outlook New verwendet. Die Testumgebung hat er inzwischen neu aufgesetzt.
Der YouTuber bestätigt, dass das Video aktuell zumindest den Fall von Outlook new aufzeigt, wie Daten an Microsoft übertragen werden. Aber das war ja längst bekannt. Der Mann hofft, demnächst dazu kommen das nochmal zu analysieren – und hoffentlich die Kombination zu verstehen, die damals aufgetreten war. Kurzfazit: Der Verdacht, dass Outlook Classic zumindest in bestimmten Kombinationen Anmeldedaten von (Fremd-)Konten an Microsoft überträgt, steht weiter im Raum, kann aber noch nicht eindeutig per Videobeweis belegt werden.
MVP: 2013 – 2016
Also auch nix anderes wie bei den Telemetriedaten, da weis auch keiner so genau was da alles über die Leitung geht. Tja zumindest Windows und Outlook Classic non 365/Cloud benötigt ausser zur Aktivierung (wenn man da keine Grauzonen Tools vewenden möchte) keinerlei weitere Verbindung zu Micorsoft. Updates lassen sich auch zentral oder über Update Katalog ziehen und einspielen.
Einfach alles Verbindungen zu MS kappen… und Ruhe ist!
Geht natürlich bei MS Cloud Gedöhns schlecht ;-P
Du solltest echt auf Linux umsteigen. Dann brauchst du nichts mehr zu MS kappen.
Ja, jeder sollte das machen.
Zusammenfassung des Artikels: Es gibt nichts Neues in der Sache.
Evtl. hat der Youtuber ja Outlook Classic noch ohne Anpassung gestartet.
Standardmäßig versucht Outlook Classic den Autodiscover auch auf Office 365-Endpunkte in der Cloud.
Das muß man abschalten, wenn man das nicht will.
Entweder per GPO oder indem man die Registryschlüssel
HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\AutoDiscover\ExcludeExplicitO365Endpoint
und HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\AutoDiscover\ExcludeHttpsRootDomain
beide auf 1 setzt.
Wenn nicht vorhanden, als dword 32 anlegen.
Warum sollte ein Endnutzer solche Anpassungen machen müssen, um ein Übertragen seiner Anmeldedaten zu verhindern? Sicherlich 99.9% der Endnutzer wissen gar nicht, wie das geht.
Weil Microsoft die Daten haben will?
Sonst gäbe es eine Einstellmöglichkeit in der Windows GUI dafür.
Bei 90% der Möglichkeiten, die Schnüffelei abzuschalten gibt es in der Windows-GUI keine Einstellmöglichkeit.
Und der Großteil der Benutzer von Windows weiß doch nicht einmal, das er von Windows oder Software ausgeschnüffelt wird.
Korrekt. Dazu passt aber nicht diese Aussage oben:
Denn kaum jemand weiss das. Daher ist die Recherche dieses YouTubers aus Sicht eines ganz normalen Endnutzers richtig und wichtig.
Autodiscover für Exchange Online hat ja auch mit einer Übertragung von Zugangsdaten eines externen IMAP Kontos überhaupt nichts zu tun.
Und?
Schließt das aus, das Microsoft das trotzdem macht?
Die bei Microsoft sind doch schon lange auf Drogen.
Da weiß man nie, wie die ihren Kram zusammenklöppeln.
Die Keys verhindern ein sauberes SSON nach M365.
Wenn man Password Hash Sync macht mit Cloud Only Mailboxens, dann steht Outlook nach setzen der Keys, also vorsicht. ;-)
Ich hatte mir das Youtube Video angeschaut. Man sieht zwar, dass er Ahnung von der Materie hat, man sieht aber auch dass seine Video eine clickbait-typische Aufmachung haben. Ich vermute er hat nicht sauber gearbeitet oder es ist einfach Clickbait.
Ich schlage doch einfach vor, mit Vermutungen sparsam zu sein, speziell, wenn man nicht so sonderlich viel Ahnung hat, aber "mit Clickbait" hausieren geht. Ich weiß definitiv nicht, wie viel er mit einem solchen Video monetarisiert und was er mit seiner IT-Firma umsetzt. Dass er sich bei mir mit weiterführenden Informationen gemeldet, die Hintergründe erläutert hat und nochmals versuchen will, ob er das Ganze festnageln kann, spricht für mich jedenfalls gegen deinen "Clickbait"-Anwurfe – nur mal angemerkt. Warten wir doch einfach ab, ob es dem YouTuber gelingt, das Ganze festzunageln. Bis dahin überlegt sich jeder, ob er Outlook new oder Outlook classic wirklich braucht, zumal das Thema Outlook classic nach 2029 Geschichte ist. Alleine aus diesem Blickwinkel war es bereits hilfreich, das Thema wieder in den Fokus hochzuspülen.
https://www.heise.de/news/BSI-checkt-E-Mail-Programme-11115384.html
Ich habe die Meldung des BSI vorliegen – kommt noch.
Kann jemand es bestätigen, dass Outlook New die Möglichkeit anbietet:
" beim Einrichten eines Accounts wählen "Sync directly with IMAP" –> dann geht es nicht über die Microsoft Cloud."
Im heise-Forum gefischt.