Heute ein kurzer Hinweis zum Thema Passwortschutz bei Outlook von Microsoft. Wer diesen Kennwortschutz für seine PST-Datendateien in Outlook verwendet, sitzt auf einem wackeligen Stuhl, denn dieser Schutz kann leicht ausgehebelt werden.
Anzeige
Worum geht es?
Microsoft Outlook bietet vordergründig die Möglichkeit, die Outlook-Daten (PST-Datendatei) mit einem Kennwort vor unbeabsichtigte Zugriffe von anderen Personen, die den Rechner ebenfalls verwenden, zu schützen. Microsoft hat den Artikel Festlegen eines Kennworts zum Schützen von Outlook-Daten zu diesem Thema veröffentlicht. Legt man ein solches Kennwort an, werden Sie beim Start von Outlook und beim ersten Öffnen der Datei in einer Outlook-Sitzung zur Eingabe des Kennworts aufgefordert. Wer aber glaubt, dass er damit seine vertraulichen Mails sicher vor Dritten geschützt hat, ist auf dem Holzweg.
Der Passwortschutz lässt sich leicht aushebeln
Ich selbst nutze Outlook und dessen Möglichkeiten zur Verschlüsselung nicht. Blog-Leser Markus H. wies mich kürzlich aber auf das Thema hin. Daher der Hinweis, falls das nicht allgemein bekannt ist. Markus schrieb:
Heute kam mir ein Outlook-Problem in den Sinn, und ich dachte spontan, dass es Sie interessieren könnte, sich dem einmal anzunehmen. Es ist ein altes Sicherheitsproblem, dass es vermutlich schon ewig gibt, zumindest seit Outlook 2003. Auch im aktuellen Outlook 2016 ist es noch vorhanden. Es betrifft den Kennwortschutz für die PST-Dateien. Der ist nämlich so lasch, dass er den Namen "Schutz" nicht verdient.
Microsoft hat das nie behoben und interessanterweise scheint das keine Sau zu interessieren. Mich wundert das umso mehr, als Outlook ja wohl immer noch der Standard PIM im professionellen Umfeld ist.
Wer im Internet nach 'Outlook Passwort vergessen' sucht, erhält eine Menge Treffer zu Artikeln, die erklären, wie man trotzdem an seine Mails, auch ohne Passwort, heran kommt. Markus wies in seiner Mail noch darauf hin, dass es ein kleines Freewaretool von NirSoft, das heißt PstPassword, gibt. Mit dem Tool können auch unbedarfte Nutzer jedes Kennwort zum Schützen einer PST-Datendatei innerhalb weniger Sekunden knacken.
Microsoft warnt selbst vor dem Passwortschutz
Microsoft selbst weist aber in seinem Beitrag darauf hin, dass der Kennwortschutz für PST-Datendateien nicht wirklich sicher ist.
Anzeige
Sicherheitshinweis: Ein Kennwort für eine Outlook-Datendatei (PST) schützt nicht vor vorsätzlichen böswilligen Zugriffen auf Ihre Informationen. Eine bessere Möglichkeit, um den Zugriff auf Ihre Daten einzuschränken, besteht in der Verwendung eines kennwortgeschützten Windows-Benutzerkontos für jeden Benutzer des Computers.
Das sollte man sich vielleicht immer mal wieder ins Gedächtnis rufen, wenn man seine super vertraulichen Mails in Outlook per Passwort schützt, aber auf ein Kennwort für Windows Benutzerkonten verzichtet. Zudem können Dritte ja über ein Netzwerk an PST-Datendateien heran kommen und diese auslesen.
Frage: Wie schützt ihr im Unternehmensumfeld die Mails vor unbefugten Zugriffen Dritter?
Anzeige
Der Standardpfad zur pst Datei ist Benutzspezifisch und für weitere Benutzer des Rechners gar nicht zugreifbar. Mit einer sauberen Rechteverwaltung ist das Problem gar nicht vorhanden. Nur ein Admin könnte auf die Datei zugreifen und das ist irrelevant, da dieser auch gleich die bei Firmen gesetzlich vorgeschriebene E-Mail Archivierung nutzen könnte.
Einzig wenn jemand unbefugtes die Festplatte aus dem Rechner ausbaut und in einen PC packt auf dem er Adminrechte hat, könnte es ein Problem geben. Dafür gibt es ja zu guter letzt noch Bitlocker um gleich die ganze Festplatte zu schützen.
Uns sagte MS beim letzten Workshop, PST gehören nicht mehr ins Firmenumfeld. Einerseits weil sie auf Netzlaufwerken nichts zu suchen haben anderseits wegen fehlendem Schutz (lokale Datensicherung/Diebstahl) keine Datenkomprimierung, kein Sharing.Heute mit Mailboxgrössen bis zu 100gb (vielleicht bald noch höher) ist diese Funktion irrelevat. Auch nit dem Slider von Outlook betreffs ost grösse und lokalem Platz kontrollierbar.
Pstd kann man Stufenweise per GPO deaktivieren
Es ist schon interessant, warum Microsoft diesen Pseudoschtz anbietet. Wenn man den oben angeführten Argumenten zum Benutzerkonto und dem Admin folgt, braucht man für Outlook ja kein separates Kennwort. Konsequent wäre es von Microsoft also, diesen unwirksamen Schutz ganz weg zu lassen. Ich bin sicher, daß kaum ein Anwender (und kaum ein Admin?) den Hinweis bei Microsoft gelesen hat. Und wer ihn gelesen hat, nimmt ihn sicher nicht sonderlich ernst. Wer kommt da schon auf den Gedanken, wie simpel der Schutz tatsächlich auszuhebeln ist. Der einzige Schutz besteht doch zur Zeit darin, daß kaum jemand von der Lücke weiß.
In meinen Augen ist es zumindest verantwortungslos von Microsoft, diesen Pseudoschutz anzubieten. Verantwortungsvoll wäre es, die Lücke zu schließen oder die Möglichkeit die Datei mit einem Kennwort zu schützen, zu entfernen: "… und führe uns nicht in Versuchung", für Outlook ein Kennwort zu benutzen.
Brisant wird die Lücke spätestens bei der vertrauensvollen Datensicherung auf externe Speichermedien oder gar in der Wolke!
Danke an Günter für diesen Hinweis!
Das Tool hat aber auch schon ein paar Tage auf dem Buckel (die ältesten Übersetzungen(!) sind von 2006). Nir Sofer ist aber auch ein Fuchs mit seinen Tools und bringt immer wieder Neues, hat mir schon in vielen Situationen geholfen (WLAN- und E-Mail-Kennwörter auslesen, Lautstärke per Kommandozeile setzen etc.).
PS: Um den "Passwortschutz" in den "modernen" Dokumenttypen (docx/xlsx/pptx) auszuhebeln, braucht es Google, ein Zip-Programm und einen Texteditor.
Für vertrauliche Email verwende ich seit einiger Zeit ProtonMail und für vertrauliche Internetverbindungen neuerdings ProtonVPN. Beide Angebote gibt es auch kostenlos, jedoch lohnt sich das Upgrade mindestens auf ProtonVPN Basic https://protonvpn.com/pricing
Ich habe Proton VPS Plus in Betrieb und bemerke damit praktisch keine Geschwindigkeitseinbussen gegenüber meinem normalen Zugriff ohne VPN.
Dateidownloads vom Internet gehen wie auch vorher schon von ca. 2-6 MB/s
Das kostenlose ProtonMail verfügt über WebAccess im Browser, die kostenpflichtige Version kann aber auch mit IMAP betrieben werden, womit Programme wie Outlook mit ProtonMail arbeiten können.
Letzteres habe ich aber extra nicht konfiguriert wegen der Sicherheitsaspekte rund um die Outlook Datenformate. Seit Jahren ist es mit öffentlich zugänglichen Tools wie solchen von Nirsoft möglich sämtliche Passworte von Outlook auszulesen.
Der Webaccess verfügt über zwei Faktoren Authentifizierung (Passwort Proton und Passwort Email Account).
Im Unternehmensumfeld werden keine pst-Files sondern ost-Files gespeichert.
Abgesehen davon was soll der Quatsch mit dem Passwort der Datei. Das bringt (im Unternhemensumfeld) keinen Mehrwert, weil ich dort entweder gar keine Mails auf dem Sever lagere (Exchange ohne Cache), auf einem Terminalserver arbeite oder mind. einen personalisierten Account habe. Die Sicherheit des Computers sichert Bitlocker oder eine andere zentral verwaltete Sicherheitssoftware.
Sarkastische Gegenfrage: welches Unternehmen speichert jede Word/Excel mit einem Passwort?