Exchange-Daten liegen auf US-Servern

Warnung vor Microsofts Outlook-App im Unternehmenseinsatz

Die von Microsoft neu vorgestellte Outlook-App für Android und iOS (ehemals Accompli) mag für Nutzer interessante Funktionen bereitstellen. Im Business-Umfeld ist die App aber gleich in vielerlei Hinsicht ein potenzielles Sicherheitsproblem.

Wie René Winkelmeyer, Senior Consultant bei der Midpoint GmbH, in einem Blog-Beitrag beschreibt, werden beim Einsatz der neuen Outlook-App die Sicherheitsvorschriften für den mobilen Zugriff auf PIM-Daten gleich auf mehrerlei Weise verletzt. So verfügt zum einen die App über Konnektoren zu OneDrive, Dropbox und Google Drive und sorgt damit für ein ernsthaftes Data-Leakage-Problem. Der Nutzer kann nämlich die App mit seinen privaten Cloud-Diensten verknüpfen und im Anschluss alle Mail-Anhänge darüber teilen.

Umgekehrt ist es dem Nutzer möglich, private Daten von diesen Cloud-Speichern mit dem Firmen-Account zu nutzen. Winkelmeyer zufolge spielt es dabei auch keine Rolle, ob man eine Container-Lösung mit Trennung von Managed- und Unmanaged-Apps nutzt.

Ebenfalls problematisch ist die Tatsache, dass die App auf verschiedenen Geräte eines Anwenders dieselbe ID verwendet. Egal, ob ein Nutzer die Outlook-App über sein iPhone oder über sein iPad verwendet - aus Sicht des Admins handelt es sich um ein und dasselbe Device.

Exchange-Daten liegen auf US-Servern

Doch es kommt noch viel viel schlimmer: Wie aus den Datenschutzbestimmungen von Acompli hervorgeht (Stand 28.1.2015), werden Mails und andere PIM-Daten über einen externen Server von Microsoft - in den USA - geleitet und dort zwischengespeichert und indexiert, um eine besonders schnelle Auslieferung via Push-Mitteilung zu ermöglichen. Bei bestimmten E-Mail-Accounts hält der von Microsoft übernommene und rebrandete Dienst sogar die Login-Daten (Benutzername, Passwort, Server-URL und -Domain) vor. Betroffen sind davon unter anderem ausgerechnet die im Business-Umfeld weit verbreiteten Microsoft-Exchange-Konten, während es bei Googles Gmail dank des Authentifizierungsdienstes OAuth nicht erforderlich ist.

Aus den geschilderten Gründen empfiehlt Winkelmeyer Administratoren, die Anwender zu informieren und den Zugriff der App auf den Mail-Server zu blockieren. (hal)