Vorsicht bei der Nutzung von Mail-Apps auf Mobiltelefonen

Durch das rasante Entwicklungstempo mobiler Apps werden Sicherheitsaspekte allzu oft nur ungenügend berücksichtigt. Insbesondere beim Zugriff auf Exchange-Postfächer, bauen einige dieser Apps Verbindungen zu den Mail- bzw. Groupware-Servern nicht direkt vom Mobilgerät aus auf, sondern schalten einen externen Cloud-Dienstleister dazwischen. Hierzu werden der Benutzername und das persönliche Passwort an den Dienstleister weitergegeben, der diese Daten dann meist noch auf seinen Servern speichert. Zuletzt wiesen wir im Zusammenhang mit der Outlook-App für Android und iOS auf diese Problematik hin. Aktuell reiht sich die App CloudMagic in die Liste fragwürder Apps ein.

Die Weitergabe der persönlichen Zugangsdaten ist gemäß §3 Absatz (3) Punkt 3 der URZ-Benutzungsordnung untersagt, da hierbei folgende Gefahren bestehen:

• Der Anbieter, der in Ihrem Namen Mails und Termine von den Servern der TU Chemnitz abruft, erhält Einblick in Ihre persönlichen Daten. Ferner erhält er auch einen weitreichenden Einblick in die Korrespondenz Ihrer Kommunikationspartner.
• Ihre Zugangskennung – bestehend aus Nutzername und Passwort – ist auch für andere Dienste gültig, z.B. AFS, Web-Trust-Center, VPN-Zugang, WLAN-Zugang, Login-Server, IdM-Portal, …
• Sollte der externe Dienstanbieter Ziel eines Angriffs werden, können diese Angreifer die Infrastruktur der TU Chemnitz mittels Ihrer Zugangskennung für missbräuchliche Zwecke, z. B. den Spam-Versand, die Platzierung von Phising-Webseiten oder den Diebstahl sensibler Forschungsdaten, verwenden. Dienste, die Passwörter ihrer Nutzer speichern, sind zudem sehr lukrative Angriffsziele, da sich dort i. d. R. die Zugangskennungen sehr vieler Einrichtungen konzentrieren.

Sofern Sie die App bereits benutzt haben, empfehlen wir Ihnen, wie folgt vorzugehen:

• Löschen Sie Ihren Account beim Cloud-Anbieter. Fordern Sie von ihm eine Bestätigung ein, dass der Account und alle gespeicherten Daten inklusive der Zugangsdaten gelöscht wurden.
• Ändern Sie Ihr URZ-Passwort über das IdM-Portal.

Bei der Benutzung von Apps, in die Sie persönliche Zugangsdaten eingeben, sollte Sie generell folgende Punkte beachten:

• Lassen Sie sich nicht von Preisen und Auszeichnungen einer App täuschen. Diese beziehen sich oft nur auf Features oder die Beliebtheit einer App.
• Lesen Sie die Datenschutzbestimmung der Dienstleister genau. Hier ist festgehalten, wie die App mit Zugangsdaten verfährt.
• Sollten Sie unsicher sein, ob eine App Zugangsdaten an externe Cloud-Dienste weitergibt, wenden Sie sich vor Benutzung der App an den URZ-Nutzerservice.

Durch die Beachtung der aufgeführten Hinweise leisten Sie einen entscheidenen Beitrag zur Aufrechterhaltung der IT-Sicherheit innerhalb des Campusnetzes der TU Chemnitz.