{"id":242036,"date":"2021-01-17T00:08:00","date_gmt":"2021-01-16T23:08:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=242036"},"modified":"2024-08-23T22:15:04","modified_gmt":"2024-08-23T20:15:04","slug":"outlook-app-speichert-passwrter-in-der-cloud-und-analysiert-mails","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/01\/17\/outlook-app-speichert-passwrter-in-der-cloud-und-analysiert-mails\/","title":{"rendered":"Outlook App speichert Passwörter in der Cloud und analysiert Mails"},"content":{"rendered":"

[English<\/a>]Microsofts Outlook App f\u00fcr Android- und iOS-Ger\u00e4te scheint nach wie vor ein 'Wolf im Schafspelz' zu sein, denn die App speichert weiter Passw\u00f6rter in der Cloud und scheint auch Mails zu analysieren. Ein Blog-Leser hat mich auf diesen Sachverhalt hingewiesen, weshalb ich die Informationen hier mal einstelle.<\/p>\n

<\/p>\n

Worum geht es?<\/h2>\n

\"\"Microsoft bietet eine Outlook App f\u00fcr Smartphones unter Android und iOS an. Die App kann auf On-Premises Exchange-Postf\u00e4cher oder auf Exchange Online zugreifen, um Mails auszutauschen. F\u00fcr Administratoren ist es wichtig, dass die App bei On-Premises-L\u00f6sungen weder Passw\u00f6rter an unbekannten Orten speichert noch die E-Mails analysiert. Und schon gar nicht geht es, dass ggf. Active Directory-Kennw\u00f6rter im Klartext an On-Premises-Instanzen \u00fcbertragen werden.<\/p>\n

R\u00fcckblick: Outlook-App und Accompli<\/h2>\n

Wir m\u00fcssen bis ins Jahr 2015 zur\u00fcckgehen, um uns an einen speziellen Vorfall zu erinnern. Im Februar 2015 hatte ich im Blog-Beitrag Outlook-App: Im EU-Parlament wegen IT-Sicherheit blockiert<\/a> eine sicherheitstechnische Bombe beschrieben. Die IT des EU-Parlaments hatte die Outlook-App aus Sicherheitsgr\u00fcnden f\u00fcr eine Verwendung durch Mitglieder und Mitarbeiter des EU-Parlaments gesperrt.<\/p>\n

Damals wies ich darauf hin, dass die App ist sicherheitstechnisch nicht so ohne sei und in Firmenumgebungen nicht eingesetzt werden sollte. Im Beitrag Firmen: Finger weg von Microsofts Outlook-App<\/a> hatte ich deutlich vor der App gewarnt. Hintergrund war, dass die App zwar das Microsoft-Logo tr\u00e4gt, aber von der aufgekauften Firma Acompli stammt. Bei einer Analyse haben Nutzer festgestellt, dass Anmeldedaten, Anh\u00e4nge und mehr \u00fcber fremde Server laufen und in der Cloud gespeichert werden. Die heise-Redaktion hatte 2015 den Artikel Microsofts Outlook-App schleust E-Mails \u00fcber Fremd-Server\u00a0 zum Thema publiziert.<\/p>\n

Das f\u00fchrt in Firmenumgebungen gegebenenfalls zu einem Bruch existierender Datenschutzvorgaben, die das untersagen. Logische Konsequenz: Der IT bleibt nur das Blockieren der App in Unternehmen \u00fcbrig. Seit 2018 haben wir in Europa die DSGVO, d.h. die IT von Unternehmen m\u00fcsste sicher sein, dass keine Daten der Outlook-App bei Verwendung mit Exchange On-Premises-L\u00f6sungen in der Cloud gespeichert werden.<\/p>\n

Weiterhin Datenspeicherung in der Cloud?<\/h2>\n

Ich hatte Anfang 2021 bereits den Kommentar Outlook f\u00fcr Android speichert weiter Pa\u00dfw\u00f6rter in der Cloud<\/a> von einem Benutzer mit dem Alias Erlenmayr<\/em> im heise-Forum gelesen, aber noch keine Zeit dem nachzugehen. Der Nutzer schrieb:<\/p>\n

Outlook f\u00fcr Android speichert weiter Pa\u00dfw\u00f6rter in der Cloud<\/strong><\/p>\n

Tests im Oktober haben ergeben, da\u00df folgendes Verhalten weiterhin gilt. Microsofts Outlook-App schleust E-Mails \u00fcber Fremd-Server<\/p>\n

Es geht hier um eigenen Client und eigene Mailserver, wohlgemerkt! Es geht nicht um Clouddienste a la GMail oder Office365.<\/p><\/blockquote>\n

Etwas \u00fcbersetzt: Der verlinkte Artikel stammt aus 2015 und beschreibt das oben skizzierte Verhalten der Outlook-App, die ihre Mails \u00fcber die Server von Accompli schleuste und dort wohl auch Passw\u00f6rter speicherte. Dieses Verhalten w\u00e4re ein eklatanter Versto\u00df gegen die DSGVO, da die Daten (E-Mails) \u00fcber Server in den USA laufen. Das Thema sollte aber eigentlich l\u00e4ngst behoben sein – wir sind sechs Jahre weiter und Microsoft hat die Outlook-App f\u00fcr Android und iOS mehrfach \u00fcberarbeitet. Nun deute ich die Meldung des Benutzers im heise-Forum, dass sich wohl nicht wirklich was ge\u00e4ndert hat. Der Benutzer deutet an, dass er das Verhalten bei einem eigenen Client und einem eigenen Mailserver bei der Outlook-App unter Android beobachtet habe.<\/p>\n

Ein zweiter Benutzer best\u00e4tigt das Verhalten<\/h2>\n

Zum 8. Januar 2021 erreichte mich eine Mail von Blog-Leser Matti J., der ebenfalls auf den Forenpost des Nutzers Erlenmayr<\/em> im heise-Forum gesto\u00dfen war. Matti J. hat dann einen Test gefahren und kam zu den gleichen unsch\u00f6nen Erkenntnissen. Ich stelle seine Informationen, die er mir per Mail mitteilte, hier als Leserinformation im Blog ein.<\/p>\n

Hallo Herr Born,<\/p>\n

ich lese schon seit einigen Jahren regelm\u00e4\u00dfig Ihren Blog. Ich bin selbst seit ca. 13 Jahren als Administrator unterwegs. Erst im UHD, dann als Techniker im Systemhaus und seit 6 Jahren als In-house Admin.<\/p>\n

Vor einigen Tagen hatte ich intern eine Doku zum Einrichten der Outlook App f\u00fcr Smartphones herausgegeben, nachdem zuvor die App als \u201esicher\" galt (war ja lange nicht so durch die Infrastruktur durch Accompli).<\/p>\n

Just einige Tage sp\u00e4ter finde ich \u00fcber Umwege bei Heise (in einem Artikel \u00fcber die Umgestaltung der Outlook App) den Hinweis, dass die App doch weiter Anmeldedaten in der Cloud beh\u00e4lt, auch wenn man einen stinknormalen on-premise Exchange 2010 ohne irgendwelchen Office 365 Firlefanz benutzt. Nach einigen Tests kann ich das auch best\u00e4tigen.<\/p><\/blockquote>\n

Beim heise-Verweis handelt es sich um den obigen Auszug mit den Beobachtungen des Nutzers Erlenmayr<\/em>. Der\u00a0 Blog-Leser hatte den Sachverhalt mit einem Kollegen diskutiert. Im Artikel Kennw\u00f6rter und Sicherheit in Outlook f\u00fcr iOS und Android f\u00fcr Exchange Server<\/a> beschreibt Microsoft wie die Outlook-App f\u00fcr Android und iOS f\u00fcr Exchange Server einzurichten sei. Dort finden sich viele Informationen bez\u00fcglich der App-Sicherheit. Dazu schreibt der Blog-Leser:<\/p>\n

In den Einstellungen eines Kontos tauchen diverse Funktionen auf, die nahelegen das MS die Mails doch an seine Server transferiert, oder lokal auf dem Ger\u00e4t auswertet und dann weiterleitet (glaube ich nicht, das w\u00fcrde ja massiv Akku verbrauchen).<\/p>\n

Diese Haken kann man deaktivieren (nat\u00fcrlich erst nachdem man das Konto eingerichtet hat\u2026). Die Kr\u00f6nung ist aber die Tatsache das sogar die Doku von Microsoft gelogen scheint. Dort wird beschrieben das jenes Passwort mit dem Ger\u00e4teschl\u00fcssel des Telefons verschl\u00fcsselt wird und der Ger\u00e4teschl\u00fcssel dann gel\u00f6scht wird. Nach meinen Tests habe ich den Account aus der App gel\u00f6scht und dann die App deinstalliert (mehr als 24h her). Dennoch schicken Microsoft Server (u.a. 52.97.180.61) weiterhin bis heute Requests (Ping Queries) im Minutentakt an meinen Exchange f\u00fcr diesen Testuser. Leider sehe ich aktuell nicht, was der Exchange damit macht, dazu m\u00fcsste ich mehr loggen.<\/p>\n

Auch nimmt sich die App standardm\u00e4\u00dfig heraus Inhalte zu \u201eanalysieren\" ohne genauer zu benennen in welchem Umfang und wozu. Werden hier also vielleicht auch alle Mails wieder \u00fcber Microsofts Cloud synchronisiert und ausgewertet? Man kann den Haken in den Optionen zwar ausschalten, aber erst nach der Einrichtung des Accounts. Ggf. sind dann schon einige Sachen \u201eausgewertet\". Wie oben geschrieben glaube ich nicht, das dies auf dem Ger\u00e4t passiert, sondern in der Cloud. Das Telefon w\u00fcrde hier viel zu viel Akku verbrauchen.<\/p><\/blockquote>\n

Im Artikel Kennw\u00f6rter und Sicherheit in Outlook f\u00fcr iOS und Android f\u00fcr Exchange Server<\/a> gibt es den Abschnitt Die App ist geschlossen oder wurde deinstalliert, versucht aber immer noch, sich mit meinem Exchange-Server zu verbinden. Wie kann das sein?<\/em>, der beschreibt, dass eine deinstallierte App immer noch dazu f\u00fchrt, dass Verbindung mit Exchange hergestellt werden. Erkl\u00e4rt m\u00f6glicherweise die obige Beobachtung.<\/p>\n

Eine App aus der H\u00f6lle<\/h2>\n

Erg\u00e4nzung: Inzwischen finden sich nachfolgend ja einige Kommentare, und Stephan hat dankenswerterweise auf seine Analyse unter verbuecheln.ch\/outlook.html (von Okt. 2020) verlinkt. Ich zitiere aus seiner Analyse:<\/p>\n

I recently installed the Outlook app for Android and connected it with an Exchange 2019 instance. The Exchange admin told me that there were HTTP requests coming from Microsoft servers (identified by IP address) that authenticate with my name. Further analysis revealed that the requests were authenticated with HTTP Basic Auth with my AD password in clear text.<\/p><\/blockquote>\n

Die App verwendet eine Basic Auth-Authentifizierung per HTTP und schickt sein AD-Kennwort im Klartext \u00fcber das Internet an seine Echange-Instanz. Daher kann ich die Outlook Android-App ich nur als 'App aus der H\u00f6lle' klassifizieren.<\/p>\n

Wenn ich mir das Ganze so anschaue, kann eigentlich kein Administrator in einer Firma die Outlook-App f\u00fcr Android oder iOS guten Gewissens und DSGVO-konform einsetzen.<\/p>\n

Damit er\u00f6ffne ich die Diskussion unter der Leserschaft. Ist das alles hinl\u00e4nglich bekannt, oder gibt es andere Erkenntnisse?<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Microsofts Outlook App f\u00fcr Android- und iOS-Ger\u00e4te scheint nach wie vor ein 'Wolf im Schafspelz' zu sein, denn die App speichert weiter Passw\u00f6rter in der Cloud und scheint auch Mails zu analysieren. Ein Blog-Leser hat mich auf diesen Sachverhalt hingewiesen, … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[3935,4328],"class_list":["post-242036","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-outlook-app","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/242036","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=242036"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/242036\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=242036"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=242036"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=242036"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}