Microsofts Outlook App – Daten werden über USA geschleust

Microsoft hat seine Palette an Apps für iOS und Android – Android als Preview – mit Outlook abgerundet. Die App sieht durchdacht und optisch ansprechend aus und ist einfach zu bedienen. Anhänge lassen sich neben OneDrive auch aus Google Drive und Dropbox einfügen und als Mailserver werden Microsoft Exchange Server, Office365, Outlook.in iCloud, Gmail und Yahoo Mail unterstützt, IMAP Server anderer Anbieter hingegen nicht. So weit so gut.

Microsoft verwendet für die Outlook App die Dienste der von ihr übernommenen Firma Acompli und leitet den gesamten Mailverkehr über die eigenen Server, die in den USA stehen. Damit sollen u.A. Push Benachrichtigungen für neu eingetroffene Mails realisiert werden. Dazu werden die Zugangsdaten (Benutzername, Passwort) zu den Mail Accounts bei Acompli/Microsoft gespeichert. Bei Gmail Servern wird auf OAuth zurückgegriffen und damit müssen keine Passwörter gespeichert werden. Für Exchange oder iCloud Mail etwa hingegen schon. Haben die Server die Daten gespeichert werden auf Emails sowie Kalender und Kontaktdaten zugegriffen. Attachments werden, sobald sie geöffnet wurden, automatisch entweder auf Microsofts Servern oder auf den ausgewählten Cloud-Speicher-Dienst (OneDrive, Google Drive, Dropbox) abgespeichert. Alle Daten liegen laut Microsofts Datenschutzbedingungen in den USA.

Alleine schon, dass Attachments aus dem firmeninternen Exchange Server mehr oder weniger ungefragt auf Cloud Speichern wie Dropbox & co gespeichert werden stellt ein Problem dar. Auch bei ActiveSync schlampt Microsoft: normalerweise bekommt jedes Gerät welches Active Sync verwendet eine eigene ID. So kann genau unterschieden werden wer bzw. welches Gerät auf welche Daten Zugriff hat und wer gerade Daten abruft. Verwendet man nun die Outlook App auf dem iPhone und auf dem iPad und vielleicht auch noch auf einem Android Gerät erfolgt der Zugriff über ActiveSync über eine einzige ID – alle drei Geräte werden als ein einziges Gerät gesehen. Ein sinnvolles Management der Zugriffe und Geräte ist so nicht mehr möglich.

Die Tatsache, dass Microsoft die Zugangsdaten zum Exchange Server bei sich auf den Servern abspeichert ist ein absolutes No-Go für Firmen. Bei privaten Accounts mag dies vielleicht weniger bedenklich sein, aber Software für Business Kunden die den Zugang zu ihrer Infrastruktur auf Servern in den USA abspeichert ist nicht verantwortbar. Zumal Zugangsdaten zum Exchange Server meistens auch dieselben sind wie die für andere Dienste wie WLAN, VPN, Netzwerk-Shares oder, bei AD Anbindung, der eigene Rechner oder Notebook.

Im Zweifelsfall wird durch die Benutzung der Microsoft Outlook App gegen die Datenschutzrichtlinien der Universität verstoßen.

Wir möchten deshalb an dieser Stelle dringend davon abraten die Microsoft Outlook App für iOS oder Android für den Zugriff auf den FAU-Exchange Server zu benutzen.