Vorsicht bei mobilem Outlook: Man-in-the-Middle ist inklusive

Seit neuestem bietet Micro­soft seine bekannte Soft­ware “Outlook” auch für iOS und Android an. Mobile User können so eine kosten­freie Alter­na­tive zu im Handy bereits vorhan­denen E-Mail-Programmen wählen. Im mobilen Outlook ist neben der reinen E-Mail-Funktionalität auch eine Kontakt- und Termin­ver­wal­tung imple­men­tiert. Doch im Gegen­satz zu den eigenen Apps der Smart­phone-Hersteller sowie vielen anderen auf dem Markt verfüg­baren Anwen­dungen geht Micro­soft bei dieser Soft­ware einen anderen Weg: Während ein Mobil­te­lefon norma­ler­weise eine direkte Verbin­dung zum jewei­ligen Server herstellt, läuft die komplette Kommunikation zwischen der Outlook-App und dem eigenen Mail­server über einen Relay-Server von Microsoft.

Micro­soft nutzt Man-in-the-Middle-Prinzip

Diese Art des Zugriffs wird laut Micro­soft benö­tigt, um “zusätz­liche Funk­tionen” zur Verfü­gung zu stellen - so zum Beispiel Push-Mail, also das zeit­nahe Benach­rich­tigen des Handys über eine neu einge­gan­gene Nach­richt. Um diese Funk­tion zu ermög­li­chen ist es notwendig, Zugangs­daten auf dem Relay-Server zu hinter­legen. Zwar wird dabei für einzelne Dienste wie Google Mail auch die soge­nannte “OAuth-Frei­gabe” genutzt, bei der keine Zugangs­daten hinter­legt werden - dies funk­tio­niert aller­dings nicht für regu­läre Mail­server auf Basis von IMAP, POP3 oder Acti­ve­Sync. Mit der Nutzung der Outlook-App ermög­li­chen ihre Anwender es daher dem Hersteller Micro­soft, vollen Zugriff auf ihre Post­fä­cher, gege­be­nen­falls ihre Adress­bü­cher und ihre Termin­ka­lender (die zum Teil auch “notwen­di­ger­weise” auf deren Server gespei­chert werden) zu erhalten.
Nach den Enthül­lungen von Edward Snowden und dem publik gewor­denen NSA/GCHQ-Skandal scheint es erstaun­lich, wie wenig Echo dieses Verhalten bisher verur­sacht hat. Immerhin: Einzelne Unter­nehmen und Behörden wachen langsam auf. So hat die IT des EU-Parla­ments den Zugriff ihrer Bediens­teten mitt­ler­weile blockiert und gefor­dert, die App zu löschen. Verständ­lich - unter­liegt Micro­soft als US-Unter­nehmen schließ­lich den Anwei­sungen von Sicher­heits­be­hörden und dem FISA-Gericht, die somit vollen Zugriff auf alle gespei­cherten Infor­ma­tionen erhalten können.
Inwie­fern der Transfer über und die Spei­che­rung auf dem Server von Micro­soft gege­be­nen­falls sogar vor dem Hinter­grund des Bundes­da­ten­schutz­ge­setzes proble­ma­tisch ist, soll an dieser Stelle offen bleiben. Streng ausge­legt liegt wohl eine Auftrags­da­ten­ver­ar­bei­tung sowie Über­tra­gung von perso­nen­be­zo­genen Daten in ein Dritt­land vor, was für manche Unter­nehmen recht­liche Probleme nach sich ziehen könnte.
Unsere Empfeh­lung kann aus Sicher­heits­gründen folge­richtig auch nur lauten, um diesen “geschenkten Gaul” einen weiten Bogen zu machen. Sie suchen Alter­na­tiven für Ihren Anwen­dungs­fall? Wir unter­stützen Sie gerne und beant­worten Ihre Fragen. Spre­chen Sie uns an!

Schreibe einen Kommentar

Cookie Einstellungen
Diese Website verwendet Cookies, um die bestmögliche Funktionalität zu gewährleisten. Mehr lesen

Akzeptiere alle Cookies Speichern