{"id":188727,"date":"2017-03-28T02:25:48","date_gmt":"2017-03-28T00:25:48","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=188727"},"modified":"2018-05-22T23:08:42","modified_gmt":"2018-05-22T21:08:42","slug":"vorsicht-microsofts-docs-com-site-legt-dateien-offen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2017\/03\/28\/vorsicht-microsofts-docs-com-site-legt-dateien-offen\/","title":{"rendered":"Vorsicht: Microsofts docs.com-Site legt Dateien offen (Datenskandal)"},"content":{"rendered":"

Von Microsoft gibt es den Dienst doc.com<\/em>, auf den Benutzer ihre Dokumente hochladen k\u00f6nnen. Dumm nur, dass diese Dokument durch Dritte durchsuch- und einsehbar sind. Da kann man Zeugnisse, Lebensl\u00e4ufe und teils sehr viel sensitivere Dokumente einsehen.<\/p>\n

<\/p>\n

\"\"Stell dir vor, Du nutzt einen Webdienst, um Dokumente mit deinen Freunden, Arbeitskollegen oder einem anderen, definierten Personenkreis zu teilen. Und dann sind diese Dokumente f\u00fcr die Allgemeinheit auffind- und durchsuchbar, ohne dass Du dieses mitbekommst.<\/p>\n

Icb hin \u00fcber diesen Artikel<\/a> auf das Thema aufmerksam geworden. Beim Microsoft-Dienst docs.com\u00a0<\/em>lassen sich Dateien mit Freunden oder der Familie per Internet teilen. So weit so gut \u2013 und als Komfortfunktion ist das Ganze auch in Microsoft Office integriert. Da kann ja nichts mehr schief gehen.<\/p>\n

Wir teilen einfach mal – mit Freunden – und mit aller Welt<\/h3>\n

Nun haben Benutzer festgestellt, dass man \u00fcber die Suchfunktion von docs.com nach Dokumenten suchen kann \u2013 was nat\u00fcrlich gut ist (man k\u00f6nnte in eigenen Dokumenten suchen). Nicht so prickelnd d\u00fcrfte aber die Erkenntnis sein, dass man beliebige Dokumente von Fremden \u00fcber Suchbegriffe auffinden und dann ansehen kann.<\/p>\n

Gesperrt ist nicht gesperrt …<\/h3>\n

Bei MS PowerUser schreibt man zwar, dass Microsoft die Suchfunktion schnell gesperrt habe, nachdem das bekannt geworden sei. Aber bei meinem kurzen Test ist das wohl nicht vollst\u00e4ndig passiert. Ich habe kein Konto bei docs.com und konnte auf Anhieb Dokumente mit Kreditvertr\u00e4gen, Rechnungen, Angeboten oder anderem Material aufsp\u00fcren. Auch bei ZDNet gibt es den Hinweis<\/a>, dass die Funktion seit Sonntag wieder zur\u00fcck sei.<\/p>\n

Zeugnisse, Bewerbungen, Antr\u00e4ge und Sensitives<\/h3>\n

Besonders pikant: Gleich bei der ersten Suche nach Zeugnissen bin ich auf die Daten einer Schweizer Taxi-Chaufeuse gesto\u00dfen, deren pers\u00f6nliche Daten als Word Backup-Datei (.wbk) eher unfreiwillig \"in der Cloud\" auf docs.com gelandet sein d\u00fcrften. Auch eine Bewerbung um eine Stelle als Betriebspr\u00fcfer ist mir unter die Augen gekommen. Kaufvertr\u00e4ge (notariell f\u00fcr Wohnungseigentum), eine Selbstauskunft mit pers\u00f6nlichen Daten wie Telefonnummer, Verdienst etc., Antr\u00e4ge auf Ratenzahlungen, Verdienstbescheinigungen (f\u00fcr Projektleiter), Vertr\u00e4ge (Anstellung und K\u00fcndigung), Eingaben auf Strafbefehle, aber auch eine Kopie von Kopie von Horst mit seinen E-Mail-Adressen samt Zugangsdaten\/Kennw\u00f6rtern schwirrt da, \u00f6ffentlich einsehbar, herum.<\/p>\n

Ich fasse es nicht, was die Leute in die Cloud alles einstellen, ohne sich den geringsten Gedanken um Sicherheit zu machen. Ich glaube, ich bin einfach eine Dumpfbacke, dass ich hier \u00fcber Datenschutz und Datenleaks blogge. Das interessiert die Leute nicht oder \u00fcberfordert sie schlicht.<\/p>\n

Der Nutzer ist schlicht \u00fcberfordert!<\/h3>\n

Bzw. den Nutzern ist eher unklar, auf welchem d\u00fcnnen Eis sie wandeln. Wenn dann Angestellt noch brisantes Gesch\u00e4ftsmaterial oder Vertr\u00e4ge \u00fcber docs.com teilen, ist der GAU perfekt. Bei heise.de schreibt man hier<\/a>, dass Administratoren bei Office 365 das Teilen von Dokumenten \u00fcber docs.com explizit erlauben m\u00fcssen. Hei\u00dft im Gegenzug: Fr\u00fcher lief das alles freifliegend und im Google Cache kann man das Zeugs m\u00f6glicherweise finden.<\/p>\n

Der Vorfall zeigt wieder einmal, dass das ganze Angebot zum Teilen, die Einbindung in Office 365 (mach es den Leuten so einfach als m\u00f6glich) absoluter Humbug ist. Die Leute nutzen es und stellen unbewusst Wichtiges, Sensitives oder Privates im Internet zur allgemeinen Ansicht bereit. Das kann es in meinen Augen nicht sein.<\/p>\n

Und kommt mir bitte nicht \"selbst schuld, wer zu bl\u00f6d ist\". Mir ist klar, dass die Blog-Leser hier nicht zur Zielgruppe geh\u00f6ren. Aber die Masse der Anwender da drau\u00dfen ist mit 99 % der Funktionen, die heute per IT angeboten werden, \u00fcberfordert. Man hangelt sich so durch und ist froh, wenn es zu klappen scheint. Dass da Gesch\u00e4ftsvorg\u00e4nge von den Nutzern begriffen und in aller Konsequenz abgesch\u00e4tzt werden k\u00f6nnen, das halte ich f\u00fcr einen Fehlschluss. Das geh\u00f6rt da nicht hin – ich konstatiere ein weiteres kolossales Versagen von Microsoft. Denn ich hoffe mal nicht, dass jemand seine privatesten Dokument und Verdienstbescheinigungen bei Facebook einstellt, in der Hoffnung, diese seien da sicher vor Einsichtnahme durch Dritte.<\/p>\n","protected":false},"excerpt":{"rendered":"

Von Microsoft gibt es den Dienst doc.com, auf den Benutzer ihre Dokumente hochladen k\u00f6nnen. Dumm nur, dass diese Dokument durch Dritte durchsuch- und einsehbar sind. Da kann man Zeugnisse, Lebensl\u00e4ufe und teils sehr viel sensitivere Dokumente einsehen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[451,951,6029,4328],"class_list":["post-188727","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-datenschutz","tag-datenskandal","tag-doc-com","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/188727","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=188727"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/188727\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=188727"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=188727"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=188727"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}