Vorsicht bei mobilem Outlook: Man-in-the-Middle ist inklusive

Seit neuestem bietet Microsoft seine bekannte Software „Outlook“ auch für iOS und Android an. Mobile User können so eine kostenfreie Alternative zu im Handy bereits vorhandenen E-Mail-Programmen wählen. Im mobilen Outlook ist neben der reinen E-Mail-Funktionalität auch eine Kontakt- und Terminverwaltung implementiert. Doch im Gegensatz zu den eigenen Apps der Smartphone-Hersteller sowie vielen anderen auf dem Markt verfügbaren Anwendungen geht Microsoft bei dieser Software einen anderen Weg: Während ein Mobiltelefon normalerweise eine direkte Verbindung zum jeweiligen Server herstellt, läuft die komplette Kommunikation zwischen der Outlook-App und dem eigenen Mailserver über einen Relay-Server von Microsoft.

Microsoft nutzt Man-in-the-Middle-Prinzip

Diese Art des Zugriffs wird laut Microsoft benötigt, um „zusätzliche Funktionen“ zur Verfügung zu stellen – so zum Beispiel Push-Mail, also das zeitnahe Benachrichtigen des Handys über eine neu eingegangene Nachricht. Um diese Funktion zu ermöglichen ist es notwendig, Zugangsdaten auf dem Relay-Server zu hinterlegen. Zwar wird dabei für einzelne Dienste wie Google Mail auch die sogenannte „OAuth-Freigabe“ genutzt, bei der keine Zugangsdaten hinterlegt werden – dies funktioniert allerdings nicht für reguläre Mailserver auf Basis von IMAP, POP3 oder ActiveSync. Mit der Nutzung der Outlook-App ermöglichen ihre Anwender es daher dem Hersteller Microsoft, vollen Zugriff auf ihre Postfächer, gegebenenfalls ihre Adressbücher und ihre Terminkalender (die zum Teil auch „notwendigerweise“ auf deren Server gespeichert werden) zu erhalten.
Nach den Enthüllungen von Edward Snowden und dem publik gewordenen NSA/GCHQ-Skandal scheint es erstaunlich, wie wenig Echo dieses Verhalten bisher verursacht hat. Immerhin: Einzelne Unternehmen und Behörden wachen langsam auf. So hat die IT des EU-Parlaments den Zugriff ihrer Bediensteten mittlerweile blockiert und gefordert, die App zu löschen. Verständlich – unterliegt Microsoft als US-Unternehmen schließlich den Anweisungen von Sicherheitsbehörden und dem FISA-Gericht, die somit vollen Zugriff auf alle gespeicherten Informationen erhalten können.
Inwiefern der Transfer über und die Speicherung auf dem Server von Microsoft gegebenenfalls sogar vor dem Hintergrund des Bundesdatenschutzgesetzes problematisch ist, soll an dieser Stelle offen bleiben. Streng ausgelegt liegt wohl eine Auftragsdatenverarbeitung sowie Übertragung von personenbezogenen Daten in ein Drittland vor, was für manche Unternehmen rechtliche Probleme nach sich ziehen könnte.
Unsere Empfehlung kann aus Sicherheitsgründen folgerichtig auch nur lauten, um diesen „geschenkten Gaul“ einen weiten Bogen zu machen. Sie suchen Alternativen für Ihren Anwendungsfall? Wir unterstützen Sie gerne und beantworten Ihre Fragen. Sprechen Sie uns an!

EU Efre Dekra