{"id":287410,"date":"2023-10-25T08:48:58","date_gmt":"2023-10-25T06:48:58","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=287410"},"modified":"2023-12-27T14:22:00","modified_gmt":"2023-12-27T13:22:00","slug":"frage-zeigt-exchange-online-fremde-adresslisten-gal-falsche-mail-zustellung-dsgvo-meldepflichtig","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/10\/25\/frage-zeigt-exchange-online-fremde-adresslisten-gal-falsche-mail-zustellung-dsgvo-meldepflichtig\/","title":{"rendered":"Frage: Zeigt Exchange Online fremde Adresslisten (GAL)?"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Cloud\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/05\/Cloud-Symbol.jpg\" width=\"200\" \/>[<a href=\"https:\/\/borncity.com\/win\/2023\/10\/25\/exchange-online-show-foreign-address-lists-gal-a-gdpr-violation\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Ein Leser hat mich auf ein dubioses Verhalten von Exchange Online hingewiesen, dass ich mal zur Information und zur Recherche hier im Blog einstelle. Es wurde beobachtet, dass Nutzern globale Adresslisten (GAL) von anderen Tenants angeboten werden, sobald die Leute versuchen, das Feld <em>An <\/em>in einer E-Mail auszuf\u00fcllen. Keine Ahnung, ob das breit vorkommt &#8211; jedenfalls ist das problematisch und im Sinne der DGVO ggf. auch ein meldepflichtiges Thema.<\/p>\n<p><!--more--><\/p>\n<h2>Exchange Online zeigt fremde Adresslisten<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg05.met.vgwort.de\/na\/ce0392539fd34e549e27ba3e8094dc7b\" alt=\"\" width=\"1\" height=\"1\" \/>Christopher\u00a0 hat mich gestern per E-Mail kontaktiert, um mich \u00fcber einen sehr komischen Effekt in Exchange Online zu informieren, den er bei Nutzern in seiner Firmenumgebung beobachtet. Diesen Sachverhalt kann man so beschreiben.<\/p>\n<ul>\n<li>Der Nutzer versucht eine neue E-Mail oder einen neuen Termin zu erstellen.<\/li>\n<li>Sobald er das Feld <em>An <\/em>mit den Empf\u00e4ngern anw\u00e4hlt, werden ihm Vorschl\u00e4ge pr\u00e4sentiert.<\/li>\n<li>Sowie alles\u00a0 ein normales Verhalten, aber manchen Nutzern werden fremde Adresslisten anderer Tenants eingeblendet.<\/li>\n<li>Wird das Fenster zur Adressauswahl geschlossen und erneut ge\u00f6ffnet, wird ist die korrekte, firmeninterne Adressliste angezeigt.<\/li>\n<\/ul>\n<p>Der Leser fragte, ob mir schon etwas diesbez\u00fcgliches untergekommen sei, was ich verneinen musste. Anbei ein Screenshot mit geschw\u00e4rzten Daten eines Adressbuchs f\u00fcr die Raumbelegung &#8211; wo fremde Firmendaten auftauchen.<\/p>\n<p><img decoding=\"async\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2023\/10\/image-13.png\" alt=\"Global Address List (GAL) of a foreign tenant\" \/><\/p>\n<h3>Sporadisches Auftreten beim Leser<\/h3>\n<p>Der Leser gibt an, dass der Effekt nur bei verschiedenen Benutzern in seiner Firmenumgebung auftrat. Er selbst konnte diese Vorf\u00e4lle am gestrigen 24. Oktober 2023 zwischen ca. 11-16 Uhr beobachten. Die Mail erreichte mich um 17:29 Uhr und Christopher schreibt, dass es seit einer Stunde nicht mehr auftrete.<\/p>\n<h3>Fundstelle auf reddit.com<\/h3>\n<p>Der Nutzer hat mich dann auf den Thread <a href=\"https:\/\/web.archive.org\/web\/20231024122345\/https:\/\/www.reddit.com\/r\/sysadmin\/comments\/17fbhux\/exchange_online_users_are_getting_global_address\/\" target=\"_blank\" rel=\"noopener\">[Exchange Online] Users are getting Global Address Lists from other Tenants<\/a> hingewiesen, wo der gleiche Effekt auftritt. Der Poster scheint auch aus Deutschland zu stammen und schreibt \"Wenn ich es nicht selbst gesehen h\u00e4tte, h\u00e4tte ich das Ticket unter dem Tag \"User Hallucinating\" archiviert\".<\/p>\n<blockquote><p>If I hadn't seen it myself I would have archived the ticket under the Tag \"User Hallucinating\".<\/p>\n<p>Thing is, User opens his Outlook GAL, we're getting A LOT of Deutsche Telekom Addresses, everything looking legit. Just..it's not ours.<\/p>\n<p>So we just go full emergency, assume the Global Admin has been hacked, check all logs.. Not a single sign of a breach. No apps, no logins, no change in our GAL policies.<\/p>\n<p>Close the Addressbook (not even Outlook) reopen it.. it's back to normal.<\/p>\n<p>Had I not made a screenshot I would have questioned my own sanity.<\/p>\n<p>Anything similar happened to any of you?<\/p><\/blockquote>\n<p>Wenn der Benutzer seine globale Outlook-Adressliste (GAL) \u00f6ffnet, wir bekommen er (sowie andere Nutzer) eine Menge deutsche Telekom Adressen angezeigt. Alles sehe zwar legitim aus, nur seien die Adressen nicht aus der eigenen Umgebung des Unternehmens, sondern von einem fremden Tenant.<\/p>\n<p>Der Nutzer glaubte an einen Hack des Global Admin, konnte aber bei einer \u00dcberpr\u00fcfung der Protokolle nichts finden. Nicht ein einziges Anzeichen f\u00fcr einen Versto\u00df bei Anwendungen, Anmeldungen, \u00c4nderung der GAL-Richtlinien etc. Auch dort wird best\u00e4tigt, dass beim Schlie\u00dfen und neu \u00d6ffnen des Adressbuchs (nicht einmal Outlook) alles wieder normal ist. Der Nutzer schreibt: \"H\u00e4tte ich nicht einen Screenshot gemacht, h\u00e4tte ich an meinem eigenen Verstand gezweifelt.\" und fragt, ob es weitere Betroffene gebe. Es haben sich Leute gemeldet, die das auch beobachtet haben. Frage: Gibt es weitere Betroffene?<\/p>\n<blockquote><p>Microsoft hat dazu noch nichts ver\u00f6ffentlicht. Ich stufe dies als einen DSGVO relevanten Vorfall ein, der eigentlich der Datenschutzaufsicht gemeldet werden muss.<\/p><\/blockquote>\n<p><strong>Erg\u00e4nzungen:<\/strong> Beachtet auch meinen Kommentar weiter unten, mit der Bitte, die Screenshots zur Beweissicherung aufzuheben. Es sieht mir inzwischen so aus, dass es mehr Nutzer weltweit treffen k\u00f6nnte &#8211; es wurden abseits der Telekom weitere Anbieter genannt. Der obige Hinweisgeber schrieb mir, dass man bei einem lokalen Provider gebucht und mit der Telekom nichts zu tun habe. Es ist imho ein Problem der Microsoft Cloud.<\/p>\n<p>Und ich bin auf den Artikel <a href=\"https:\/\/learn.microsoft.com\/en-us\/microsoft-365\/enterprise\/microsoft-365-inter-tenant-collaboration?view=o365-worldwide\" target=\"_blank\" rel=\"noopener\">Microsoft 365 inter-tenant collaboration<\/a> vom 21. Oktober 2023 gesto\u00dfen. Ist nur ein vager Verdacht &#8211; aber das Zeitfenster passt, m\u00f6glicherweise ein Bug bei der Einf\u00fchrung der Funktion.<\/p>\n<p>Und noch ein Nachtrag: Ich konnte F\u00e4lle, in denen Adresslisten fremder Tenants angezeigt wurden, einsehen. Inzwischen habe ich eine Anfrage \u00fcber die Pressestelle an den <em>Bundesbeauftragten f\u00fcr den Datenschutz und die Informationsfreiheit<\/em> (<em>BfDI<\/em>), Prof. Ulrich Kelber, zwecks Einstufung dieses Vorfalls und Bitte um Stellungnahme gestellt. Von dort wurde ich an die bayerische Datenschutzaufsicht verwiesen &#8211; die Anfrage an diese Stellen ist ebenfalls raus.<\/p>\n<div class=\"post\">\n<div class=\"body\">\n<div id=\"af3e858e-2faa-4c7a-a716-2ba758095a04\" class=\"postBody\" style=\"margin: 4px 0px 0px; border-width: 0px; padding: 0px;\" contenteditable=\"true\">\n<p><strong>\u00c4hnliche Artikel:<br \/>\n<\/strong><a href=\"https:\/\/borncity.com\/blog\/2023\/10\/26\/exchange-online-fehlende-besttigungen-bei-automatischen-raumbuchgen\/\" rel=\"bookmark\">Exchange Online: Fehlende Best\u00e4tigungen bei automatischen Raumbuchgen<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/10\/18\/exchange-online-microsoft-deaktiviert-spam-regel-die-alles-als-junk-mail-betrachtet-hat-ex682041\/\">Exchange Online: Microsoft deaktiviert Spam-Regel, die alles als Junk-Mail betrachtet hat (EX682041)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/10\/11\/exchange-online-strung-ex680695-11-10-2023\/\">Exchange Online: St\u00f6rung EX680695 (11.10.2023)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/09\/29\/exchange-online-onedrive-und-microsoft-teams-mit-problemen-29-september-2023\/\">Exchange Online, OneDrive und Microsoft Teams mit Problemen (29. September 2023)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/09\/20\/exchange-online-exchange-web-services-ews-werden-am-1-oktober-2026-eingestellt\/\">Exchange Online: Exchange Web Services (EWS) werden ab 1. Oktober 2026 (schrittweise) eingestellt<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/07\/18\/exchange-online-blockt-e-mails-18-7-2023\/\">Exchange Online blockt E-Mails (18.7.2023)<\/a><\/p>\n<\/div>\n<\/div>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>[English]Ein Leser hat mich auf ein dubioses Verhalten von Exchange Online hingewiesen, dass ich mal zur Information und zur Recherche hier im Blog einstelle. Es wurde beobachtet, dass Nutzern globale Adresslisten (GAL) von anderen Tenants angeboten werden, sobald die Leute &hellip; <a href=\"https:\/\/borncity.com\/blog\/2023\/10\/25\/frage-zeigt-exchange-online-fremde-adresslisten-gal-falsche-mail-zustellung-dsgvo-meldepflichtig\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7263,426],"tags":[419,1171,451,7211],"class_list":["post-287410","post","type-post","status-publish","format-standard","hentry","category-cloud","category-sicherheit","tag-bug","tag-cloud","tag-datenschutz","tag-exchange-online"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/287410","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=287410"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/287410\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=287410"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=287410"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=287410"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}