Exchange-Daten liegen auf US-Servern

Warnung vor Microsofts Outlook-App im Unternehmenseinsatz

Manfred Bremmer beschäftigt sich mit (fast) allem, was in die Bereiche Mobile Computing und Communications hineinfällt. Bevorzugt nimmt er dabei mobile Lösungen, Betriebssysteme, Apps und Endgeräte unter die Lupe und überprüft sie auf ihre Business-Tauglichkeit. Bremmer interessiert sich für Gadgets aller Art und testet diese auch.
Die von Microsoft neu vorgestellte Outlook-App für Android und iOS (ehemals Accompli) mag für Nutzer interessante Funktionen bereitstellen. Im Business-Umfeld ist die App aber gleich in vielerlei Hinsicht ein potenzielles Sicherheitsproblem.
Einige Features der neuen Outlook-App für iOS und Android entpuppen sich im Nachgang als Sicherheitsrisiken.
Einige Features der neuen Outlook-App für iOS und Android entpuppen sich im Nachgang als Sicherheitsrisiken.
Foto: Apple

Wie René Winkelmeyer, Senior Consultant bei der Midpoint GmbH, in einem Blog-Beitrag beschreibt, werden beim Einsatz der neuen Outlook-App die Sicherheitsvorschriften für den mobilen Zugriff auf PIM-Daten gleich auf mehrerlei Weise verletzt. So verfügt zum einen die App über Konnektoren zu OneDrive, Dropbox und Google Drive und sorgt damit für ein ernsthaftes Data-Leakage-Problem. Der Nutzer kann nämlich die App mit seinen privaten Cloud-Diensten verknüpfen und im Anschluss alle Mail-Anhänge darüber teilen.

Umgekehrt ist es dem Nutzer möglich, private Daten von diesen Cloud-Speichern mit dem Firmen-Account zu nutzen. Winkelmeyer zufolge spielt es dabei auch keine Rolle, ob man eine Container-Lösung mit Trennung von Managed- und Unmanaged-Apps nutzt.

Ebenfalls problematisch ist die Tatsache, dass die App auf verschiedenen Geräte eines Anwenders dieselbe ID verwendet. Egal, ob ein Nutzer die Outlook-App über sein iPhone oder über sein iPad verwendet - aus Sicht des Admins handelt es sich um ein und dasselbe Device.

Exchange-Daten liegen auf US-Servern

Doch es kommt noch viel viel schlimmer: Wie aus den Datenschutzbestimmungen von Acompli hervorgeht (Stand 28.1.2015), werden Mails und andere PIM-Daten über einen externen Server - in den USA - geleitet und dort zwischengespeichert und indexiert, um eine besonders schnelle Auslieferung via Push-Mitteilung zu ermöglichen. Bei bestimmten E-Mail-Accounts hält der von Microsoft übernommene und rebrandete Dienst sogar die Login-Daten (Benutzername, Passwort, Server-URL und -Domain) vor. Betroffen sind davon unter anderem ausgerechnet die im Business-Umfeld weit verbreiteten Microsoft-Exchange-Konten, während es bei Googles Gmail dank des Authentifizierungsdienstes OAuth nicht erforderlich ist. Wie Winkelmeyer herausfand, läuft der Dienst noch auf Amazon Web Services (AWS) in den USA - es ist aber hoffentlich nur eine Frage der Zeit, bis Dienst und Daten auf Azure portiert werden.

Aus den geschilderten Gründen empfiehlt Winkelmeyer Administratoren, die Anwender zu informieren und den Zugriff der App auf den Mail-Server zu blockieren.