Android

EU-Parlament: IT-Dienstleister rät aus Sicherheitsgründen von Outlook für Android und iOS ab

com.microsoft.office.outlook

Ende Januar veröffentlichte Microsoft neue Outlook-Apps für Android und iOS. Nun rät der IT-Service des EU-Parlaments von der geschäftlichen Nutzung der Apps ab.

Genauer gesagt geht es in diesem Fall darum, dass Mitarbeiter und Abgeordnete des EU-Parlaments Microsoft Exchange für den Versand und Empfang ihrer E-Mails nutzen. Das war bisher natürlich kein Problem, denn am Desktop kann man die Outlook-Anwendungen und am Mobilgerät die vorinstallierten E-Mail-Apps nutzen, um eine direkte Verbindung zum Exchange-Server zu realisieren.

com.microsoft.office.outlook
Microsoft Outlook Vorschau für Android veröffentlicht + Update für iOS 29. Januar 2015

Nun veröffentlichte Microsoft vor einigen Tagen aber neue Outlook-Apps für Android und iOS. Die iOS-Ausgabe ist im Grunde lediglich Acompli, welches Anfang Dezember von Microsoft gekauft wurde, mit neuen Namen, während die Android-Preview im Prinzip ein Nachbau besagter iOS-App ist. Für Exchange-User ist das neue und offizielle Outlook-Angebot auf den mobilen Plattformen somit natürlich eine interessante Möglichkeit, um auch mobil auf die eigenen E-Mails zuzugreifen, zumal es einige interessante Zusatzfunktionen gibt.

DG ITEC, der IT-Dienstleister des EU-Parlaments, rät den Mitarbeitern und Abgeordneten des Parlaments nun aber deutlich davon ab, die Outlook-Apps in Zusammenhang mit einem Exchange-Konto zu nutzen. Auf die genaueren Gründe geht man in der E-Mail, die an die User verschickt wurde, zwar nicht ein, allerdings liegen diese doch recht nahe, wenn man in die Privacy Policy von Acompli, welche inzwischen auf das neue Outlook-Rebranding angepasst wurde, schaut (Ausschnitt siehe unten).

Schwerwiegende Sicherheitsmängel

Sehr geehrte Benutzerin, Sehr geehrter Benutzer,

Die Microsoft Outlook Software für mobile Geräte, die letzte Woche für das Betriebssystem iOS veröffentlicht wurde und in Kürze für Android (Microsoft Outlook Preview) folgt, hat schwerwiegende Sicherheitsmängel.

DG ITEC hat den Zugriff dieser Software auf die E-Mail Konten des Europäischen Parlaments blockiert, um den Datenschutz und die Vertraulichkeit der Anwender zu gewährleisten.

Bitte sehen Sie von der Installation dieser Software ab. Falls Sie diese Anwendung bereits für Ihre EP-Mail nutzen, löschen Sie bitte Microsoft Outlook auf Ihrem mobilen Gerät. Anschließend sollten Sie Ihr Passwort ändern. Weitere Informationen finden Sie auf der ITECnet-Website hier.

Vielen Dank im Voraus für Ihr Verständnis und Ihre Zusammenarbeit.

ITEC Service Desk for Members steht Ihnen in dieser Angelegenheit telefonischen unter der Durchwahl 83800 oder per E-Mail unter itecsdmep@ep.europa.eu zur Verfügung.

Mit freundlichen Grüßen,

ITEC Service Desk for Members

In jener Datenschutzerklärung steht nämlich geschrieben, dass E-Mails über Server mit dem Standort in den USA geleitet werden. Auf diesen Servern werden die Daten wiederum indexiert. Das soll beispielsweise eine möglichst schnelle Ausgabe von Push-Benachrichtigungen ermöglichen und eine bessere Performance der Suchfunktion garantieren. Damit dies auch im Zusammenspiel mit Exchange-Konten möglich ist, werden die Serverdaten sowie die User-Credentials ebenfalls auf diesen Servern gespeichert, da Exchange, im Gegensatz zu Gmail beispielsweise, von Haus aus keine alternativen Login-Möglichkeiten (wie z.B. OAuth) ermöglicht.

Insbesondere in einem IT-Umfeld, dessen Daten von solcher Sensibilität geprägt sind, wie es beim EU-Parlament eben der Fall ist, stellt diese Funktionsweise potentiell natürlich ein enorm hohes Sicherheitsrisiko dar, weswegen DG ITEC eben jene Aufforderung zur Nicht-Nutzung an die Mitarbeiter verschickt hat. Wer zu diesem Zeitpunkt bereits die mobilen Outlook-Apps nutzte, solle diese deinstallieren und anschließend ein neues Passwort festlegen.

Im Grunde ist das Ganze nichts neues, den zum einen setzte Acompli seit der ersten Veröffentlichung auf dieses System und zum anderen gab es dazu auch in den letzten Tagen an verschiedenen Stellen entsprechendes zum Thema zu lesen. Dass nun auch der IT-Dienstleister des EU-Parlaments vor der Nutzung warnt, ist daher nur konsequent. Die Frage, die sich in diesem Bezug eigentlich am ehesten stellt, ist vor allem, wann Microsoft diese Funktionsweise abändert und sie stattdessen z.B. nur optional auf Azure-Basis anbietet. Die Zeit wird es zeigen, wirklich viel sollte Microsoft sich aber eigentlich nicht nehmen.

If you decide to sign up to use the service, you will need to create an account. That requires that you provide the email address(es) that you want to access with our service. Some email accounts (ones that use Microsoft Exchange, for example) also require that you provide your email login credentials, including your username, password, server URL, and server domain. […]

We provide a service that indexes and accelerates delivery of your email to your device. That means that our service retrieves your incoming and outgoing email messages and securely pushes them to the app on your device. Similarly, the service retrieves the calendar data and address book contacts associated with your email account and securely pushes those to the app on your device. Those messages, calendar events, and contacts, along with their associated metadata, may be temporarily stored and indexed securely both in our servers and locally on the app on your device.

Hinterlasse deine Meinung

Hoch