Outlook-Lücke, Jahrzehnte

Outlook-Lücke: Zwei Jahrzehnte unverschlüsselte E-Mails

07.06.2026 - 01:31:29 | boerse-global.de

Eine schwerwiegende Schwachstelle in Outlook gefährdet seit fast zwei Jahrzehnten die E-Mail-Sicherheit von Millionen Nutzern.

Outlook-Sicherheitslücke: Verschlüsselung seit 20 Jahren umgangen
Outlook-Lücke - Close-up of a laptop keyboard with a blurred screen showing an email interface, representing email security vulnerabilities. 07.06.2026 - Bild: über boerse-global.de

Eine schwerwiegende Schwachstelle in Microsoft Outlook gefährdet seit fast zwei Jahrzehnten die E-Mail-Sicherheit von Millionen Nutzern. Der Fehler sorgt dafür, dass Verbindungen trotz aktivierter SSL/TLS-Verschlüsselung ungeschützt bleiben.

Anzeige

Angesichts der langjährigen Sicherheitslücken in Outlook ist die korrekte Konfiguration und Absicherung Ihres Postfachs wichtiger denn je. Dieser kostenlose Experten-Ratgeber enthüllt die wichtigsten Einstellungen und Registry-Tricks, die kaum ein Nutzer kennt, um Daten sicher zu verwalten. Wissen Sie, wo Outlook Ihre Daten wirklich speichert – und wie Sie sie sichern?

Verschlüsselungsfehler betrifft fast alle Outlook-Versionen

Der Sicherheitsexperte Marius Schwarz entdeckte die Lücke nach einem Server-Upgrade auf Dovecot 2.4.3 unter Fedora 43. Outlook-Clients nutzten weiterhin den unverschlüsselten POP3-Port 110 – obwohl die Nutzer explizit SSL/TLS-Verschlüsselung eingestellt hatten. Stattdessen hätten die Programme den sicheren Port 995 verwenden müssen.

Das Problem betrifft alle Versionen von Outlook 2007 bis zur aktuellen 2024er-Version. Betroffen sind sowohl Windows- als auch macOS-Anwendungen. Experten vermuten, dass der Fehler seit fast 20 Jahren in der Architektur des E-Mail-Programms schlummert. Microsoft wurde um Stellungnahme gebeten.

Hightech-Spionage über Outlook-Mailboxen

Die Gefahr ist nicht hypothetisch: Ein aktueller Fall zeigt, wie Angreifer die Sicherheitslücken ausnutzen. Unbekannte Täter verschafften sich Zugang zum Outlook-Postfach eines Top-Managers einer internationalen Börse – und blieben ganze fünf Monate unentdeckt.

Die Sicherheitsfirmen Symantec und Carbon Black dokumentierten den Einbruch. Vom 10. Oktober 2025 bis zum 17. Februar 2026 zapften die Angreifer das Konto an. Erst am 19. März 2026 war die letzte Aktivität messbar. Die Täter nutzten spezialisierte Tools wie Aspose zur Daten-Extraktion sowie FRPC und Secretsdump. Die gestohlenen Daten schickten sie in kleinen Paketen über Cloud-Dienste wie Dropbox und OneDrive ins Ausland.

Anzeige

Nicht nur Einzelnutzer, sondern zunehmend auch Unternehmen geraten ins Visier komplexer Spionage-Angriffe über Office-Anwendungen. Wie Sie Sicherheitslücken proaktiv schließen und Ihr Unternehmen ohne teure Investitionen vor modernen Cyberbedrohungen schützen, erfahren Sie in diesem Gratis-E-Book. IT-Sicherheit stärken ohne teure Investitionen: So schützen clevere Unternehmer ihre Firma vor Cyberangriffen

Alarmierende Entwicklung bei Microsoft-Sicherheitslücken

Der jährliche BeyondTrust-Bericht für 2025 zeichnet ein düsteres Bild. Zwar sank die Gesamtzahl der Sicherheitslücken von 1.360 auf 1.273. Doch die Zahl der kritischen Schwachstellen verdoppelte sich von 78 auf 157.

Besonders betroffen: die Office-Suite mit einem Anstieg von 200 Prozent bei allen Lücken und sogar 900 Prozent bei kritischen Fehlern. Ähnlich dramatisch entwickelte sich Azure: Auch hier schnellten die kritischen Schwachstellen um 900 Prozent nach oben – von 4 auf 37. Jede zweite gemeldete Sicherheitslücke betraf sogenannte „Elevation of Privilege"-Fehler, die Angreifern höhere Zugriffsrechte verschaffen.

Neue Phishing-Welle und aktuelle Bedrohungen

Das FBI warnt vor einer neuen Phishing-Kampagne namens „Kali365". Das Tool kursiert seit April 2026 auf Telegram und umgeht selbst die Zwei-Faktor-Authentifizierung (MFA). Die Methode: Geräte-Code-Phishing. Die Behörde empfiehlt Unternehmen, Conditional-Access-Richtlinien einzuführen und Device-Code-Flows zu blockieren.

Erst kürzlich schloss Microsoft eine kritische Lücke im Edge-Browser (CVE-2026-45495, CVSS-Wert 7.5). Der Sicherheitsforscher Orange Tsai von DEVCORE entdeckte den Fehler am 20. Mai 2026. Eine unzureichende Validierung von Feedback-Log-Dateien ermöglichte Angreifern die Ausführung von Schadcode – ein einziger Klick auf eine manipulierte Datei reichte aus.

Die Folgen solcher Angriffe sind real: Am 4. Juni 2026 legte ein Ransomware-Angriff auf einen Drittanbieter den E-Mail- und Telefondienst des irischen Gesundheitsdienstes HSE für Stunden lahm. Das Land investiert bereits Millionen in die Sicherung seiner IT-Infrastruktur.

So schätzen die Börsenprofis Aktien ein!

<b>So schätzen die Börsenprofis Aktien ein!</b>
Seit 2005 liefert der Börsenbrief trading-notes verlässliche Anlage-Empfehlungen – dreimal pro Woche, direkt ins Postfach. 100% kostenlos. 100% Expertenwissen. Trage einfach deine E-Mail Adresse ein und verpasse ab heute keine Top-Chance mehr. Jetzt abonnieren.
Für. Immer. Kostenlos.
de | wissenschaft | 69494461 |