Lesezeit: 3 Minuten
Aus aktuellem Anlass weisen wir auf ein ernstes Sicherheitsproblem der Outlook.app auf iOS und Android Smartphones hin. Die Zugriffe dieser App auf unsere E-Mailserver erfolgen nicht über eine direkte Verbindung vom Client zu unseren E-Mailservern, sondern über einen Zwischen-Server des Anbieters der App. Damit der Server des Anbieters sich anstelle des Endgeräts mit unseren E-Mailservern verbinden kann, müssen die Zugangsdaten dort gespeichert werden. Ein solches Vorgehen stellt ein eklatantes Sicherheitsrisiko dar, da die Zugangsdaten zu Ihren E-Mails und ggf. auch darüber hinaus zu Ihrem Arbeitsplatz bei Drittanbietern gespeichert werden.
Erkenntnisse ob neben den Exchange Server Zugriffsprotokollen auch IMAP oder POP3 betroffen sind, liegen uns derzeit nicht vor.
Wir raten dringend dazu den Geschäfts-E-Mail Account von dieser App zu entfernen und im Anschluss daran ihr Windows Passwort zu ändern!
Weitere betroffene Anwendungen
Dieses Prinzip wird oftmals bei mobilen E-Mail-Clients angewendet.
Beispiele für weitere anfällige E-Mail-Clients sind:
- myMail (My.com)
- Canary Mail
- Edison Mail
- Spark
- Microsoft Outlook Mobile (iOS und Android)
(Diese App verwendet zwar das Microsoft Outlook Logo, stammt aber ursprünglich von der Firma Acompli und speichert Anmeldedaten auf fremden Servern außerhalb des DSGVO Bereichs.)
Diese Liste ist nicht vollständig und wird bei Bedarf erweitert.
Hat man erst einmal das Postfach mit der App synchronisiert, so wurden die Daten an die Cloud-Server übertragen. Diese bleiben dort auch nach einem Löschen für eine gewisse Zeit erhalten. Damit diese Daten ebenfalls entfernt werden, sollte vor der Deinstallation der App in den Kontoeinstellungen das Konto inkl. der Remote Daten entfernt werden. Die Daten auf unserem Mailsystem werden dabei nicht gelöscht.
Welche Mail-App kann verwendet werden?
Das originale Microsoft Outlook Programm (aus dem Office-Paket) auf Windows PCs oder macOS Rechnern ist hiervon nicht betroffen, ebenso nicht unser OWA-Zugang.
Die unter iOS und Android vorinstallierten Standard-Mail-Apps sind von den Sicherheitsmängeln nach unserer Kenntnis auch nicht betroffen.
Des Weiteren sind folgende kostenpflichtige Apps hinsichtlich hoher Anforderungen an den Datenschutz empfehlenswert:
- Nine Mail für iOS und Android (Kostenpflichtig einmalig ca. 15$)
- Aqua Mail für iOS und Android (Kostenpflichtig ca. 6$/Monat)
Diese Liste ist nicht vollständig und wird bei Bedarf erweitert.
Wo erhalte ich Unterstützung?
Wer Hilfe bei der Umstellung des E-Mail Postfachs oder eine Nachforschung ob sein E-Mail Client von dieser Sicherheitslücke betroffen ist, darf sich gerne bei uns melden. Ihre Sicherheit ist auch unsere Sicherheit...
