In den letzten Tagen war ich mal mehr in Office 365 unterwegs đ
FĂŒr eine kleine Umgebung war eine Migration vorhandener PostfĂ€cher eines lokalen Exchange nach Office 365 notwendig. Allerdings sollte die lokale Umgebung aufgelöst und die vorhandenen User in einer neu angelegtem DomĂ€ne innerhalb von Office 365 angelegt und portiert werden. Da es sich um eine kleine Organisation handelt, die primĂ€r Mail und Fileserver Dienste einsetzt war die Migration ĂŒber einen Export der lokalen PST-Dateien und Import ĂŒber Office 365 die sinnvollste Alternative.
Am 29.01.2015 veröffentlichte Microsoft die “neue” Outklook Vorschau fĂŒr Android (ab V 4.0) und IOS. Nach der Veröffentlichung von Windows 10 und den deutlichen erweiterten Funktionen von OneDrive der nĂ€chste logische Schritt.
Um die neuen Funktionen zu testen, lud ich mir die Version direkt runter und installierte diese auf meinem Android Device.
Accompli neu verpackt
Nachdem Aufruf der App erscheint am unteren Rand ein Hinweis “Datenschutzbestimmungen”. Hinter dem Link-Aufruf steckt die erste Ăberraschung. Die App stammt ursprĂŒnglich von “accompli”. Accompli war ein Startup welches vor ca. 2 Monaten von Microsoft ĂŒbernommen wurde. Die App ist auch demnach eher eine Weiterentwicklung, die nun unter neuem Namen veröffentlicht wurde.
Aus den Datenschutzbestimmungen geht hervor, dass Mail-Logindaten auf den Servern von Accompli gespeichert werden. “Some email accounts (ones that use Microsoft Exchange, for example) also require that you provide your email login credentials, including your username, password, server URL, and server domain. ”
AuĂerdem werden ein- und ausgehende Mails ĂŒber die Server von Accompli weitergeleitet. Auszug aus den Accompli Datenschutzbestimmungen: “Those messages, calendar events, and contacts, along with their associated metadata, may be temporarily stored and indexed securely both in our servers and locally on the app on your device.” . Dies bezieht sich auf alle Konten, die mit dieser App abgerufen werden, dies schlieĂt Exchange Business Konten mit ein.
Mittlerweile handhaben das leider viele Mail App Anbieter so. Allerdings ist es bedauerlich, dass Microsoft dies nicht klarer kommuniziert. Dies hĂ€tte bereits deutlich auf der App-Seite als Hinweis stehen sollen. Im Artikel “A deeper look at Outlook for iOS and Android” wird dieses erst auf Nachfrage kommuniziert. Zumindest hĂ€tte es nach m.E. hier klar und ersichtlich in den FAQ-Bereich am Ende des Artikels gehört.
MaĂnahmen und Ablage der Daten
Zumindest werden User-Anfragen im Blog zu dem Thema schnell beantwortet. Allerdings kommt hier schon die nĂ€chste Ăberraschung, da die Daten derzeit nicht den Microsoft Richtlinien unterliegen.
Ein User mit dem Namen “JasonG” fragt konkret nach und nennt einige Sicherheitsbedenken, gerade bzgl. der Sicherheitsrichtlinien von Unternehmen, fĂŒr die Behandlung von Mails. Die Antwort von “AllenFilush_MSFT”:
“Thanks JasonG for the feedbackâŠglad you like the app at its core. We understand that security & mobile device management integration is a must-have capability at many businesses today, so we are working quickly to get it added to the app. Hope to have these issues resolved so you can start enjoying the app soon. In the meantime, If the current architecture of the Outlook app doesnât meet your corporate security policies, you can use ActiveSync allow/block/quarantine policies rules to block the app. The Outlook app is identified in Exchange ActiveSync management screens with the Device Family âoutlook-iOS-Android/1.0âČ. We also encourage you to submit feature requests and feedback in-app at Settings > Help > Contact Support.”
Daraufhin hakt der User “quirkconcepts” konkret nach (Auszug):
Can we get a clearer answer on this? I have a feeling this compromises HIPAA compliance for health care providers who have set up a Business Associate Agreement. Have you extended compliance to the Accompli infrastructure? Are you storing my credentials for Exchange? These were the main reasons I hadnât used Accompli prior to the acquisition. It simply wasnât possible to get compliant.
Die Antwort von “AllenFilush_MSFT” (Auszug):
@quirkconcepts: the Outlook infrastructure is not currently covered under the Office 365 Trust Center. We will be updating Outlook later this year to enable it to be covered.
Leider bedeutet dies, dass die ĂŒbertragenen Daten nicht mal auf Servern von Microsoft gespeichert werden und demnach derzeit nicht deren strengen Sicherheitsregeln fĂŒr Datenschutz- und Weitergabe unterliegen. Inwieweit Microsoft derzeit die Aquisition von Accompli abgeschlossen und Einblick in die Infrastruktur hat, lĂ€sst sich nur schwer abschĂ€tzen.
Fazit:
Die Push-Notification wird ĂŒber die Server von Accompli generiert und aufs Smartphone gesendet, daher wird auch sĂ€mtlicher ein- und ausgehende Mailverkehr von hier getrackt. Dazu gibt es sicherlich elegantere Lösungen, die Microsoft hoffentlich in eine der nĂ€chsten Versionen implementiert und klar kommuniziert.
FĂŒr Business-Kunden ist die App derzeit vermutlich nicht einsetzbar, da sĂ€mtliche Infrastruktur-Daten (Servername, Passwort) inkl. aller Mails, Kontakte, etc. an US-Server ĂŒbertragen werden, die derzeit nicht den Sicherheitsbestimmungen von Microsoft unterliegen.
Ich finde die App gut gelungen, allerdings gibt es hier und da noch ein paar Bugs. Der fehlende IMAP- Support sollte bald hinzukommen.
Zwar weist die App in den Datenschutzrichtlinien daraufhin, dass sĂ€mtliche Daten in die Cloud ĂŒbertragen werden, doch hĂ€tte ich mir eine deutlicher Kommunikation von Microsoft in diesem Bezug gewĂŒnscht. Zum einen weil die Server, wie Microsoft angibt, derzeit nicht den eigenen strengen Richtlinien unterliegen. Und weil dies bei der Namensverwandschaft zum Desktoppendant nicht zu erwarten war.
Deinstallation:
Wer die App bereits installiert hat und evtl. unwissentlich seine Zugangsdaten ĂŒbertragen hat, fĂŒr den reicht eine Deinstallation nicht aus.
Zur Vermeidung, das weitere Daten abgezogen werden, könnt ihr die App im “Exchange Admin Center” (Exchange 2013) in die QuarĂ€ne schieben. Die App gibt sich in der QuarantĂ€ne-Verwaltung als “Outlook for IOS and Android” aus. Wie ihr die QuarantĂ€ne aktiviert und entsprechend konfiguriert ist in diesem Blog-Eintrag sehr gut erklĂ€rt.
In der App unter Einstellungen gibt es unter dem angelegten Konto am Ende den MenĂŒpunkt “Konto vom Handy und Remote GerĂ€t entfernen“. Laut Microsoft soll dies die Daten umgehend vom GerĂ€t und vom Cloud-Server entfernen.