Category Archives: Cloud

Outlook App Datenschutzrisiken Vorbeugung und Deinstallation

Am 29.01.2015 veröffentlichte Microsoft die “neue” Outklook Vorschau für Android (ab V 4.0) und IOS. Nach der Veröffentlichung von Windows 10 und den deutlichen erweiterten Funktionen von OneDrive der nächste logische Schritt.

Um die neuen Funktionen zu testen, lud ich mir die Version direkt runter und installierte diese auf meinem Android Device.

Microsoft Outlook Vorschau App - Android Berechtigungsscreen
Microsoft Outlook Vorschau App – Android Berechtigungsscreen

Accompli neu verpackt

Nachdem Aufruf der App erscheint am unteren Rand ein Hinweis “Datenschutzbestimmungen”. Hinter dem Link-Aufruf steckt die erste Überraschung. Die App stammt ursprünglich von “accompli”. Accompli war ein Startup welches vor ca. 2 Monaten von Microsoft übernommen wurde. Die App ist auch demnach eher eine Weiterentwicklung, die nun unter neuem Namen veröffentlicht wurde.

Aus den Datenschutzbestimmungen geht hervor, dass Mail-Logindaten auf den Servern von Accompli gespeichert werden. “Some email accounts (ones that use Microsoft Exchange, for example) also require that you provide your email login credentials, including your username, password, server URL, and server domain.

Außerdem werden ein- und ausgehende Mails über die Server von Accompli weitergeleitet. Auszug aus den Accompli Datenschutzbestimmungen: “Those messages, calendar events, and contacts, along with their associated metadata, may be temporarily stored and indexed securely both in our servers and locally on the app on your device.” . Dies bezieht sich auf alle Konten, die mit dieser App abgerufen werden, dies schließt Exchange Business Konten mit ein.

Mittlerweile handhaben das leider viele Mail App Anbieter so. Allerdings ist es bedauerlich, dass Microsoft dies nicht klarer kommuniziert. Dies hätte bereits deutlich auf der App-Seite als Hinweis stehen sollen. Im Artikel “A deeper look at Outlook for iOS and Android” wird dieses erst auf Nachfrage kommuniziert. Zumindest hätte es nach m.E. hier klar und ersichtlich in den FAQ-Bereich am Ende des Artikels gehört.

Maßnahmen und Ablage der Daten

Zumindest werden User-Anfragen im Blog zu dem Thema schnell beantwortet. Allerdings kommt hier schon die nächste Überraschung, da die Daten derzeit nicht den Microsoft Richtlinien unterliegen.

Ein User mit dem Namen “JasonG” fragt konkret nach und nennt einige Sicherheitsbedenken, gerade bzgl. der Sicherheitsrichtlinien von Unternehmen, für die Behandlung von Mails. Die Antwort von “AllenFilush_MSFT”:

“Thanks JasonG for the feedback…glad you like the app at its core. We understand that security & mobile device management integration is a must-have capability at many businesses today, so we are working quickly to get it added to the app. Hope to have these issues resolved so you can start enjoying the app soon. In the meantime, If the current architecture of the Outlook app doesn’t meet your corporate security policies, you can use ActiveSync allow/block/quarantine policies rules to block the app. The Outlook app is identified in Exchange ActiveSync management screens with the Device Family ‘outlook-iOS-Android/1.0′. We also encourage you to submit feature requests and feedback in-app at Settings > Help > Contact Support.”

Daraufhin hakt der User “quirkconcepts” konkret nach (Auszug):

Can we get a clearer answer on this? I have a feeling this compromises HIPAA compliance for health care providers who have set up a Business Associate Agreement. Have you extended compliance to the Accompli infrastructure? Are you storing my credentials for Exchange? These were the main reasons I hadn’t used Accompli prior to the acquisition. It simply wasn’t possible to get compliant.

Die Antwort von “AllenFilush_MSFT” (Auszug):

@quirkconcepts: the Outlook infrastructure is not currently covered under the Office 365 Trust Center. We will be updating Outlook later this year to enable it to be covered.

Leider bedeutet dies, dass die übertragenen Daten nicht mal auf Servern von Microsoft gespeichert werden und demnach derzeit nicht deren strengen Sicherheitsregeln für Datenschutz- und Weitergabe unterliegen. Inwieweit Microsoft derzeit die Aquisition von Accompli abgeschlossen und Einblick in die Infrastruktur hat, lässt sich nur schwer abschätzen.

Fazit:

Die Push-Notification wird über die Server von Accompli generiert und aufs Smartphone gesendet, daher wird auch sämtlicher ein- und ausgehende Mailverkehr von hier getrackt. Dazu gibt es sicherlich elegantere Lösungen, die Microsoft hoffentlich in eine der nächsten Versionen implementiert und klar kommuniziert.

Für Business-Kunden ist die App derzeit vermutlich nicht einsetzbar, da sämtliche Infrastruktur-Daten (Servername, Passwort) inkl. aller Mails, Kontakte, etc. an US-Server übertragen werden, die derzeit nicht den Sicherheitsbestimmungen von Microsoft unterliegen.

Ich finde die App gut gelungen, allerdings gibt es hier und da noch ein paar Bugs. Der fehlende IMAP- Support sollte bald hinzukommen.

Zwar weist die App in den Datenschutzrichtlinien daraufhin, dass sämtliche Daten in die Cloud übertragen werden, doch hätte ich mir eine deutlicher Kommunikation von Microsoft in diesem Bezug gewünscht. Zum einen weil die Server, wie Microsoft angibt, derzeit nicht den eigenen strengen Richtlinien unterliegen. Und weil dies bei der Namensverwandschaft zum Desktoppendant nicht zu erwarten war.

Deinstallation:

Wer die App bereits installiert hat und evtl. unwissentlich seine Zugangsdaten übertragen hat, für den reicht eine Deinstallation nicht aus.

Zur Vermeidung, das weitere Daten abgezogen werden, könnt ihr die App im “Exchange Admin Center” (Exchange 2013) in die Quaräne schieben. Die App gibt sich in der Quarantäne-Verwaltung als “Outlook for IOS and Android” aus. Wie ihr die Quarantäne aktiviert und entsprechend konfiguriert ist in diesem Blog-Eintrag sehr gut erklärt.

E2013 EAC - Quarantänekonfiguration
E2013 EAC – Quarantänekonfiguration

In der App unter Einstellungen gibt es unter dem angelegten Konto am Ende den Menüpunkt “Konto vom Handy und Remote Gerät entfernen“. Laut Microsoft soll dies die Daten umgehend vom Gerät und vom Cloud-Server entfernen.

Outlook App - Accountdaten löschen
Outlook App – Accountdaten löschen

Cortana in Non-US-Version aktivieren

Cortana ist standardmäßig nur in der US-Verion der aktuellen Technical Preview aktiviert. Um die Funktion auch in den anderen Sprachversionen zu nutzen, gibt es einen kleinen Trick, den ich hier kurz beschrieben habe:

Cortana in Non-US-Version aktivieren:

  1. Startmenü->Settings aufrufen
  2. “Zeit & Sprache” auswählen

    Windows 10 Zeit & Spracheinstellung
    Windows 10 Zeit & Spracheinstellung
  3. “Region & Sprache” auswählen

    Windows 10 Regionkonfiguration
    Windows 10 Regionkonfiguration
  4. Land/Region auf “Vereinigte Staaten” einstellen
  5. Sprache hinzufügen und “English (United Staates)” auswählen
  6. Nachdem ihr die Einstellungen ausgewählt habt, erscheint ein neues Suchfeld in der Taskleiste. Wenn ihr hier rein klickt, werdet ihr vom Sprachassitent “Cortana” begrüßt. Vergebt noch euren Namen und danach ist die Nutzung von Cortana aktiviert.
Windows 10 Technical Preview Cortana aktivieren
Windows 10 Technical Preview Cortana aktivieren

Microsoft Technical Summit 2014

Update

Sessions sind bei Channel9 Online. Links entsprechend eingefügt.

Drei Tage ist es her, dass der erste Microsoft Technical Summit seine Pforten in Berlin öffnete. Unter dem Dach des Technical Summit wurden die Konferenzen Technet Conference und Visual Studio Evolution zusammengefasst.

Konferenz

Eröffnung Microsoft Technical Summit 2014
Eröffnung Microsoft Technical Summit 2014

Ausdruck der Wichtigkeit der Konferenz war sicherlich auch der Besuch vom Microsoft CEO Satya Nadella. In der Eröffnungskeynote beantwortete er einige, vorher eingereichte, Fragen von den Teilnehmern. Außerdem ging er auf die neue Offenheit von Microsoft ein und präsentierte seine künftige Vision von Microsoft.

In den anschließenden 4-5 parallel stattfindenden Tracks gab es für IT-Pros und Entwickler genügend Auswahl um sein Highlight zu finden.

Für mich waren die folgenden 3 Sessions die Highlights des Technical Summit 2014:

Windows Azure Pack in Real Word Scenarios by Marc van Eijk
Windows Azure Pack in Real Word Scenarios by Marc van Eijk

Die Sessions werden im Laufe der nächsten Woche auch bei Channel 9 Online gestellt. Sicherlich für den ein oder anderen Interesannt, der noch ein wenig Informationsbedarf hat.

Highlights

Die neue Offenheit von Microsoft wurde auch durch einige Highlights unterstrichen. So wurde in der Abschluß-Keynote verkündet, dass .Net sich mit dem nächsten Release auch für Linux und Co öffnet. Auch hier ist die Ausrichtung von Microsoft hin zu einem offenen Cloud-Service Anbieter mehr als deutlich zu sehen.

Location

Die Location war das Best Western Premier Moa Hotel in Berlin. Von der Aufmachung und von den Konferenzsälen eine sehr schöne Location. Allerdings schien das Hotel mit der Anzahl der Teilnehmer etwas überfordert. Da es nur einen Treppenaufgang vom Konferenzsaal zum Atrium gab, dauert es ziemlich lang bis alle Teilnehmer oben anlangten. Das Mittag- und Abendessen am ersten Tag wurden kalt und teilweise nicht komplett durchgegart serviert, sehr schade.

WLAN

Sicherlich einer der größten Nachteile an der Konferenz war die schlechte Außenverbindung. Eine UMTS/LTE-Verbindung kam, durch die scheinbar gute Abschirmung im Gebäude, in den unteren Sällen nicht zu Stande. WLAN stand ebenfalls nicht zur Verfügung, da es (laut Aussage) technisch nicht realisierbar war. Hier besteht erhebliches Verbesserungspotential. Zumal so auch zahlreiche Referenten mit den schlechten Bedingungen zu kämpfen hatten und Ihre Demos nicht voll umfänglich zeigen konnten. Teilnahme über Social Media war so nur eingeschränkt möglich. Sicherlich nicht das beste Aushängeschild für “Cloud first, Mobile first” 😉

Fazit

Der Techical Summit hat das Potential zu einer echten Größe im deutschsprachigem Raum zu werden und ich hoffe doch sehr auf eine Fortsetzung im jährlichen Rythmus. Neben den zahlreichen Top Referenten und den vielen qualitativ hochwertigen Vorträgen, eine Top- Anlaufstelle für Informationen aus der Microsoft Welt. Außerdem blieb viel Zeit um das eigene Netzwerk zu pflegen und erweitern. Verbesserungspotential gibt es hinsichtlich der Location und dringend Verbesserungsfähig ist die Netzverbindung, sowohl für die Referenten, als auch die Teilnehmer.

In einem Satz: Empfehlenswert, mit einigen Schwächen 😉