Tag Archives: Datenschutz

Outlook App Datenschutzrisiken Vorbeugung und Deinstallation

Am 29.01.2015 veröffentlichte Microsoft die “neue” Outklook Vorschau für Android (ab V 4.0) und IOS. Nach der Veröffentlichung von Windows 10 und den deutlichen erweiterten Funktionen von OneDrive der nächste logische Schritt.

Um die neuen Funktionen zu testen, lud ich mir die Version direkt runter und installierte diese auf meinem Android Device.

Microsoft Outlook Vorschau App - Android Berechtigungsscreen
Microsoft Outlook Vorschau App – Android Berechtigungsscreen

Accompli neu verpackt

Nachdem Aufruf der App erscheint am unteren Rand ein Hinweis “Datenschutzbestimmungen”. Hinter dem Link-Aufruf steckt die erste Überraschung. Die App stammt ursprünglich von “accompli”. Accompli war ein Startup welches vor ca. 2 Monaten von Microsoft übernommen wurde. Die App ist auch demnach eher eine Weiterentwicklung, die nun unter neuem Namen veröffentlicht wurde.

Aus den Datenschutzbestimmungen geht hervor, dass Mail-Logindaten auf den Servern von Accompli gespeichert werden. “Some email accounts (ones that use Microsoft Exchange, for example) also require that you provide your email login credentials, including your username, password, server URL, and server domain.

Außerdem werden ein- und ausgehende Mails über die Server von Accompli weitergeleitet. Auszug aus den Accompli Datenschutzbestimmungen: “Those messages, calendar events, and contacts, along with their associated metadata, may be temporarily stored and indexed securely both in our servers and locally on the app on your device.” . Dies bezieht sich auf alle Konten, die mit dieser App abgerufen werden, dies schließt Exchange Business Konten mit ein.

Mittlerweile handhaben das leider viele Mail App Anbieter so. Allerdings ist es bedauerlich, dass Microsoft dies nicht klarer kommuniziert. Dies hätte bereits deutlich auf der App-Seite als Hinweis stehen sollen. Im Artikel “A deeper look at Outlook for iOS and Android” wird dieses erst auf Nachfrage kommuniziert. Zumindest hätte es nach m.E. hier klar und ersichtlich in den FAQ-Bereich am Ende des Artikels gehört.

Maßnahmen und Ablage der Daten

Zumindest werden User-Anfragen im Blog zu dem Thema schnell beantwortet. Allerdings kommt hier schon die nächste Überraschung, da die Daten derzeit nicht den Microsoft Richtlinien unterliegen.

Ein User mit dem Namen “JasonG” fragt konkret nach und nennt einige Sicherheitsbedenken, gerade bzgl. der Sicherheitsrichtlinien von Unternehmen, für die Behandlung von Mails. Die Antwort von “AllenFilush_MSFT”:

“Thanks JasonG for the feedback…glad you like the app at its core. We understand that security & mobile device management integration is a must-have capability at many businesses today, so we are working quickly to get it added to the app. Hope to have these issues resolved so you can start enjoying the app soon. In the meantime, If the current architecture of the Outlook app doesn’t meet your corporate security policies, you can use ActiveSync allow/block/quarantine policies rules to block the app. The Outlook app is identified in Exchange ActiveSync management screens with the Device Family ‘outlook-iOS-Android/1.0′. We also encourage you to submit feature requests and feedback in-app at Settings > Help > Contact Support.”

Daraufhin hakt der User “quirkconcepts” konkret nach (Auszug):

Can we get a clearer answer on this? I have a feeling this compromises HIPAA compliance for health care providers who have set up a Business Associate Agreement. Have you extended compliance to the Accompli infrastructure? Are you storing my credentials for Exchange? These were the main reasons I hadn’t used Accompli prior to the acquisition. It simply wasn’t possible to get compliant.

Die Antwort von “AllenFilush_MSFT” (Auszug):

@quirkconcepts: the Outlook infrastructure is not currently covered under the Office 365 Trust Center. We will be updating Outlook later this year to enable it to be covered.

Leider bedeutet dies, dass die übertragenen Daten nicht mal auf Servern von Microsoft gespeichert werden und demnach derzeit nicht deren strengen Sicherheitsregeln für Datenschutz- und Weitergabe unterliegen. Inwieweit Microsoft derzeit die Aquisition von Accompli abgeschlossen und Einblick in die Infrastruktur hat, lässt sich nur schwer abschätzen.

Fazit:

Die Push-Notification wird über die Server von Accompli generiert und aufs Smartphone gesendet, daher wird auch sämtlicher ein- und ausgehende Mailverkehr von hier getrackt. Dazu gibt es sicherlich elegantere Lösungen, die Microsoft hoffentlich in eine der nächsten Versionen implementiert und klar kommuniziert.

Für Business-Kunden ist die App derzeit vermutlich nicht einsetzbar, da sämtliche Infrastruktur-Daten (Servername, Passwort) inkl. aller Mails, Kontakte, etc. an US-Server übertragen werden, die derzeit nicht den Sicherheitsbestimmungen von Microsoft unterliegen.

Ich finde die App gut gelungen, allerdings gibt es hier und da noch ein paar Bugs. Der fehlende IMAP- Support sollte bald hinzukommen.

Zwar weist die App in den Datenschutzrichtlinien daraufhin, dass sämtliche Daten in die Cloud übertragen werden, doch hätte ich mir eine deutlicher Kommunikation von Microsoft in diesem Bezug gewünscht. Zum einen weil die Server, wie Microsoft angibt, derzeit nicht den eigenen strengen Richtlinien unterliegen. Und weil dies bei der Namensverwandschaft zum Desktoppendant nicht zu erwarten war.

Deinstallation:

Wer die App bereits installiert hat und evtl. unwissentlich seine Zugangsdaten übertragen hat, für den reicht eine Deinstallation nicht aus.

Zur Vermeidung, das weitere Daten abgezogen werden, könnt ihr die App im “Exchange Admin Center” (Exchange 2013) in die Quaräne schieben. Die App gibt sich in der Quarantäne-Verwaltung als “Outlook for IOS and Android” aus. Wie ihr die Quarantäne aktiviert und entsprechend konfiguriert ist in diesem Blog-Eintrag sehr gut erklärt.

E2013 EAC - Quarantänekonfiguration
E2013 EAC – Quarantänekonfiguration

In der App unter Einstellungen gibt es unter dem angelegten Konto am Ende den Menüpunkt “Konto vom Handy und Remote Gerät entfernen“. Laut Microsoft soll dies die Daten umgehend vom Gerät und vom Cloud-Server entfernen.

Outlook App - Accountdaten löschen
Outlook App – Accountdaten löschen