{"id":276452,"date":"2023-01-01T00:56:00","date_gmt":"2022-12-31T23:56:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=276452"},"modified":"2024-01-23T22:09:06","modified_gmt":"2024-01-23T21:09:06","slug":"sicherheitsrisiko-microsoft-outlook-app-bertrgt-anmeldedaten-und-mails-in-die-cloud","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/01\/01\/sicherheitsrisiko-microsoft-outlook-app-bertrgt-anmeldedaten-und-mails-in-die-cloud\/","title":{"rendered":"Sicherheitsrisiko Microsoft Outlook App: Überträgt Anmeldedaten und Mails in die Cloud"},"content":{"rendered":"

\"Stop[English<\/a>]Ich hole zum Jahresanfang 2023 nochmals ein Thema hoch, welches ich hier im Blog bereits 2015 und im Januar 2021 angesprochen habe. Es geht um die Microsoft Outlook App, die f\u00fcr Android- und iOS-Ger\u00e4te angeboten und meines Erachtens breit eingesetzt wird. Im Firmenumfeld segeln die Verantwortlichen aber in riskanten Gefilden, wenn diese App Anmeldedaten und Mails in die Microsoft Cloud \u00fcbertr\u00e4gt, so dass diese dort ausgewertet werden k\u00f6nnen. Im EU-Parlament wurde die Benutzung untersagt und ich hatte 2021 erneut auf das Thema hingewiesen. Mir ist die Thematik jetzt nochmals unter die Augen gekommen, weil Baden-W\u00fcrttembergs Datenschutzbeauftragter die App einer Analyse unterzogen hat. Dabei kam ebenfalls heraus, dass die App Daten in die Cloud \u00fcbertr\u00e4gt.<\/p>\n

<\/p>\n

Bestandsaufnahme zur Outlook App<\/h2>\n

\"\"Microsoft bietet eine Outlook App f\u00fcr Smartphones unter Android und iOS an. Die App kann auf On-Premises Exchange-Postf\u00e4cher oder auf Exchange Online zugreifen, um Mails auszutauschen. Es ist daher naheliegend, dass Besitzer der oben genannten Android- und iOS-Ger\u00e4te diese App aus den jeweiligen App-Stores installieren und zur Verwaltung ihrer Mails verwenden.<\/p>\n

Verantwortliche im Firmenumfeld laufen dabei aber in Sicherheits- und Datenschutzprobleme. Denn aus diesem Blickwinkel w\u00e4re es wichtig, dass eine solche App bei On-Premises-L\u00f6sungen weder Passw\u00f6rter an unbekannten Orten speichert noch die E-Mails analysiert, noch Anmeldedaten im Klartext \u00fcbertr\u00e4gt.<\/p>\n

Meine Warnung aus 2015<\/h3>\n

Im Februar 2015 hatte ich im Blog-Beitrag Outlook-App: Im EU-Parlament wegen IT-Sicherheit blockiert<\/a> eine sicherheitstechnische Bombe beschrieben. Die IT des EU-Parlaments hatte die Outlook-App aus Sicherheitsgr\u00fcnden f\u00fcr eine Verwendung durch Mitglieder und Mitarbeiter des EU-Parlaments gesperrt.<\/p>\n

Damals wies ich darauf hin, dass die App ist sicherheitstechnisch nicht so ohne sei und in Firmenumgebungen nicht eingesetzt werden sollte. Im Beitrag Firmen: Finger weg von Microsofts Outlook-App<\/a> hatte ich deutlich vor der App gewarnt. Hintergrund war, dass die App zwar das Microsoft-Logo tr\u00e4gt, aber von der aufgekauften Firma Acompli stammt. Bei einer Analyse haben Nutzer festgestellt, dass Anmeldedaten, Anh\u00e4nge und mehr \u00fcber fremde Server laufen und in der Cloud gespeichert werden.<\/p>\n

Meine Warnung aus 2021<\/h3>\n

2015 ist jetzt schon viele Jahre her, und Microsoft hat die App ja sicherlich mehreren Updates unterzogen. Aber am Kernproblem hat sich nicht wirklich was ge\u00e4ndert. Im Januar 2021 hatte ich das Thema im Blog-Beitrag Outlook App speichert Passw\u00f6rter in der Cloud und analysiert Mails<\/a> erneut aufgegriffen und vor der Microsoft Outlook App gewarnt. Denn die App speichert weiter Passw\u00f6rter in der Cloud und scheint auch Mails zu analysieren. Blog-Leser hatten mich seinerzeit auf diesen Sachverhalt hingewiesen, nachdem Tests das Verhalten erneut best\u00e4tigten.<\/p>\n

Datensch\u00fctzer analysiert die App<\/h2>\n

Nun leiden viele Leute unter digitaler Anamnesie und vergessen viele Sachverhalte aus der Vergangenheit. Speziell bei der Kommentarlage hier im Blog, wenn es um die Frage der Datenschutzkonformit\u00e4t von Microsoft 365 geht, hei\u00dft es von einigen Leuten: \"Alles halb so wild, die Datensch\u00fctzer sollen sich mal nicht so haben\". Auch die Outloop-App f\u00fcr Android und iOS d\u00fcrfte in solchen Umgebungen eingesetzt werden. Aber ob den Verantwortlichen der oben skizzierte Sachverhalt klar ist?<\/p>\n

\"Datenschleuder<\/p>\n

Mitte Dezember 2022 ist mir obiger Tweet von Mike Kuketz unter die Augen gekommen, der mich bewogen hat, das Thema erneut hier im Blog aufzugreifen. Denn Frag den Staat hat das Dokument Az. P6200\/282; P6510-1\/2 mit dem Titel Analyse: Verkn\u00fcpfung IMAP-Konto mit Microsoft Outlook App Android \/ iOS<\/a> auf seinen Servern bereitgestellt. Bei dem mehrseitigen PDF-Dokument handelt es sich um einen Analyse des Landesbeauftragten f\u00fcr Datenschutz (LfDI) des Landes Baden-W\u00fcrttemberg.<\/p>\n

Der LfDI hat das Datensendeverhalten der Outlook-Smartphone-App von Microsoft f\u00fcr Android und iOS analysiert. Denn diese App kann mit Microsoft 365 (ehemals Office 365) sowie auch mit beliebigen E-Mail-Diensten oder selbst betriebenen Servern (auch Microsoft Exchange-Servern) \u00fcber die weit verbreiteten Protokolle IMAP (zum Empfangen und verwalten von auf Servern gespeicherter E-Mails) sowie SMTP (zum Versand von EMails) betrieben werden.<\/p>\n

Dabei ist aufgefallen, dass die App bei Nutzung eines beliebigen IMAP-Mail-Accounts sich nicht direkt mit dem entsprechenden Server sondern mit Microsoft-Servern verbindet. Die anschlie\u00dfende Analyse der App best\u00e4tigte den negativen Eindruck. In der Zusammenfassung des obigen Dokuments hei\u00dft es:<\/p>\n

Bei der Nutzung der mobilen Outlook App (iOS, Android) speichert Microsoft die Zugangsdaten zu dem E-Mail-Konto (einschlie\u00dflich des Passworts) auf eigenen Servern, verarbeitet alle ein- und ausgehenden E-Mails auf eigenen Servern und hat damit vollen Einblick sowohl in Inhalts- als auch in alle Metadaten. Microsoft erh\u00e4lt damit sensible Einblicke in das Kommunikationsverhalten der betroffenen Personen.<\/p><\/blockquote>\n

Der Datensch\u00fctzer moniert, dass den Nutzern dieses Verhalten nicht transparent dargestellt werde. Im Dokument wird zwar kurz auf eine Microsoft Datenschutzerkl\u00e4rung verwiesen (die verlinkte Seite habe ich nicht mehr gefunden). Aber der LfDI Baden-W\u00fcrttembergs bezweifelt, dass eine simple Erw\u00e4hnung in der Datenschutzerkl\u00e4rung ausreicht, um den Datentransfer per DSGVO abzudecken. Vor allem ist keine Rechtsgrundlage, auf der diese Daten an Microsoft \u00fcbertragen werden, ersichtlich. Zudem sind diese \u00dcbertragungen in den meisten F\u00e4llen technisch auch nicht erforderlich. Die Bewertung des LfDI ist eindeutig:<\/p>\n

Durch dieses Vorgehen hat Microsoft vollen Zugriff sowohl auf alle empfangenen als auch auf die gesendeten E-Mails. Ebenso hat Microsoft Zugriff auf die Klartext-Passw\u00f6rter, die Seite 6 von 9 nach obiger Analyse auch auf dem Microsoft-Server gespeichert werden. Aus technischer Sicht ist dies nicht notwendig.<\/p><\/blockquote>\n

Sicherheitstechnisch ist das f\u00fcr verantwortliche Administratoren und Firmen der GAU. Datenschutztechnisch sind die Verantwortlichen ebenfalls weit \u00fcber die Grauzone hinaus gesegelt, denn die \u00dcbertragung des Mail-Verkehrs \u00fcber einen Server Microsofts ist eine andere Hausnummer als die bei Microsoft 365 hei\u00df diskutierten Telemetriedaten.<\/p>\n

In Kurz: Wer die App im Firmenumfeld einsetzt, begeht einen gravierenden Datenschutzversto\u00df gem\u00e4\u00df DSGVO. Es reicht auch nicht, eine Datenschutzzustimmung der Mitarbeiter einzuholen, da ja jede empfangene oder versendete Mail pers\u00f6nliche Daten Dritter enth\u00e4lt, die dann ihren Weg auf Microsofts Server finden. Und jeder Verantwortliche in Firmen oder Beh\u00f6rden, der den Einsatz der App zul\u00e4sst, steht zudem sicherheitstechnisch \"mit heruntergelassener Hose da\". Diese Episode zeigt, dass Microsoft der Datenschutz, trotz gegenteiliger Beteuerungen, meiner Meinung nach, ziemlich egal ist. Kann sich ggf durch aktualisierte App-Versionen zwar \u00e4ndern. Aber IT-Verantwortliche m\u00fcssen faktisch bei jedem Update pr\u00fcfen, ob sich an der \u00dcbermittlung was \u00e4ndert, oder die Kommunikation der App begrenzen. In diesem Sinne w\u00fcnsche ich einen sch\u00f6nen Start in das Jahr 2023.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nOutlook App speichert Passw\u00f6rter in der Cloud und analysiert Mails<\/a>
\nAutodiscover-Passwort-Leak-Schw\u00e4che seit 5 Jahren bei Microsoft bekannt<\/a>
\nMicrosoft Exchange Autodiscover-Designfehler erm\u00f6glicht Abgriff von Zugangsdaten<\/a><\/p>\n

Safe Harbor: EuGH erkl\u00e4rt Abkommen f\u00fcr ung\u00fcltig<\/a>
\nEuGH kippt EU-US-Datenschutzvereinbarung \"Privacy Shield\"<\/a>
\nKeine Karenzfrist f\u00fcr Unternehmen nach Privacy Shield-EU-Urteil<\/a>
\nVorl\u00e4ufige Einigung zwischen EU und USA im Trans-Atlantic Data Privacy Framework<\/a>
\nUS-Pr\u00e4sident Biden bringt Datenschutzabkommen \"Privacy Shield 2.0\" auf den Weg<\/a>
\nEU-Kommission f\u00e4llt vorl\u00e4ufige Angemessenheitsentscheidung zum Trans-Atlantic Data Privacy Framework<\/a><\/p>\n

Datenschutzkonferenz 2022: Microsoft 365 weiterhin nicht Datenschutzkonform<\/a>
\nMicrosoft 365 an Schulen, Baden-W\u00fcrttembergs Datensch\u00fctzer sagt Nein<\/a>
\nVier Jahre DSGVO: Baustelle statt gro\u00dfer Wurf<\/a>
\nDSGVO, Microsoft Office und die Datenschutzprobleme<\/a>
\nPrivacy: Microsoft steht mit Windows 10\/Office 365 unter Druck<\/a>
\nMicrosoft Office spioniert Nutzer aus, kollidiert mit DSGVO<\/a>
\nNachbetrachtung zur DSK-Einstufung \"Microsoft 365 weiterhin nicht datenschutzkonform\"<\/a>
\nMS 365 DSGVO-Konformit\u00e4t: Merkw\u00fcrdiger \"Meinungsartikel\" bei heise<\/a>
\nMicrosoft 365 und der Datenschutz, wie geht es weiter?<\/a>
\nMicrosoft rollt \"EU Data Boundary\" f\u00fcr die Europa-Cloud ab 2023 aus<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Ich hole zum Jahresanfang 2023 nochmals ein Thema hoch, welches ich hier im Blog bereits 2015 und im Januar 2021 angesprochen habe. Es geht um die Microsoft Outlook App, die f\u00fcr Android- und iOS-Ger\u00e4te angeboten und meines Erachtens breit eingesetzt … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[131,1440,440,123,426],"tags":[4346,1171,215,4328],"class_list":["post-276452","post","type-post","status-publish","format-standard","hentry","category-android","category-app","category-ios","category-netzwerk","category-sicherheit","tag-app","tag-cloud","tag-outlook","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/276452","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=276452"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/276452\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=276452"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=276452"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=276452"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}