Ende vergangener Woche wurde bekannt, dass die Software „das neue Outlook“ vom Hersteller Microsoft Zugangsdaten für die E-Mail-Konten seiner Nutzerinnen und Nutzer im Klartext an den Hersteller Microsoft weitergibt [1, 2]. Dies ist ein äußerst fragwürdiges Verhalten und technisch zu keiner Zeit notwendig. Die Preisgabe von URZ-Zugangsdaten ist entsprechend §3 Abs. 3 Nr. 5 der URZ-Benutzungsordnung nicht gestattet und stellt zugleich auch einen Datenschutzvorfall dar.
Hierbei ist zu beachten, dass Microsoft mehrere verschiedene Software-Produkte unter dem Namen Outlook vertreibt.
- „das neue Outlook“ als Windows App (vorinstalliert in Windows 11)
- Outlook für macOS ab Version 16.68
- Microsoft Outlook für iOS und Android als Smartphone-App
- Microsoft Outlook für Desktop aus dem Office-Paket
Im konkreten Fall ist das Outlook aus Nr. 1 betroffen. Die Apps aus Nr. 2 und 3 legen ein ähnliches Verhalten an den Tag, wovor wir bereits 2015 gewarnt haben [3]. Das „herkömmliche“ Desktop-Outlook aus den Microsoft Office Paketen ist anscheinend nicht betroffen. Auch Apps anderer Hersteller weisen ein solch fragliches Verhalten auf. Folgende Apps sind uns bekannt:
- das neue Outlook
- Outlook für macOS ab Version 16.68
- Outlook für Android
- Outlook für iOS
- Cloudmagic
- Nylas N1
- BlueMail
Was bedeutet das für mich?
Sollten Sie zu den Nutzerinnen oder Nutzern der oben genannten Software-Produkte gehören, wurden Ihre Zugangskennungen bereits Dritten gegenüber bekannt gegeben. Obwohl Outlook oft in Verbindung mit Exchange-Servern verwendet wird, beschränkt sich dieses Problem nicht allein auf diese Kombination. Auch die Zugangsdaten aller anderen Mail-Zugänge sind betroffen.
Wenn Sie das herkömmliche Outlook benutzen, nehmen Sie dort keinesfalls Angebote an, auf das „neue Outlook“ zu wechseln.
Sollten fremden Personen diese Zugangsdaten in die Hände fallen, so ist es diesen Personen möglich:
- Einsicht in Ihre persönliche E-Mail-Kommunikation zu nehmen,
- sich per E-Mail als Sie auszugeben und ggf. entsprechende Rechtsgeschäfte vorzunehmen,
- Passworte von Accounts (z. B. in Online-Shops etc.) zurückzusetzen, die mit dieser E-Mail-Adresse verknüpft sind, die entsprechenden Accounts zu Ihren Lasten zu benutzen und Sie von diesen Accounts auszusperren,
- Zugang zu anderen IT-Diensten zu erlangen, die dieselbe Nutzerkennung verwenden.
Welche Daten sind betroffen?
Nach aktuellen Erkenntnissen sind Zugangsdaten (Nutzername und Passworte) hiervon betroffen. Ob ferner auch Inhalte des E-Mail-Postfachs abgerufen werden, kann derzeit noch nicht eingeschätzt werden.
Was sollte ich tun?
Sollten Sie eine der oben genannten Apps verwendet haben, löschen Sie bitte alle Accounts aus deren Konfiguration und deinstallieren Sie die Software. Wechseln Sie bei allen betroffenen Accounts vorsorglich das Passwort. Sie können dies selbstständig im IdM-Portal in Ihrem Benutzermenü über den Punkt „Passwort ändern“ vornehmen. Der URZ-Nutzerservice unterstützt Sie gern bei der Änderung Ihres URZ-Passworts.
Einschätzung
Aus unserer Sicht untergräbt die Ausleitung von Zugangsdaten, wie sie hier geschieht, das Vertrauen der Nutzerinnen und Nutzer in die Vertraulichkeit und Integrität informationstechnischer Systeme. Wir empfehlen allen Nutzerinnen und Nutzern, die Software-Produkte der entsprechenden Hersteller konsequent zu meiden.
Schreibe einen Kommentar
Du musst angemeldet sein, um einen Kommentar abzugeben.