<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=2038511469714819&amp;ev=PageView&amp;noscript=1">

Microsoft verstößt mit Office 365 gegen Datenschutz

23. April 2019

Microsoft nimmt es mit den europäischen Datenschutzvorschriften offenbar nicht so genau. Wie die Zeitschrift iX berichtet, übermittelt der Konzern personenbezogene Daten in die Cloud, bevor die Kunden dem überhaupt zustimmen können. Auch die Login-Passwörter werden anscheinend im Klartext anstatt als Salted Hash übermittelt. Da läuft gehörig was schief. Das sehen auch die niederländischen Datenschützer so: Die dortige Datenschutzbehörde untersucht derzeit, ob die Nutzung von Office 365 gesetzeskonform ist.

 

Microsoft_O365_800x800Laut iX-Bericht überträgt Microsoft nach der Installation von Office 365 zunächst einmal jede Menge Daten zu Microsoft. Dabei handelt es sich um sogenannte Telemetriedaten – also Daten zu den aufgerufenen Programmen und vieles mehr –, die bei Datenschützern zu den personenbezogenen Daten zählen. Die dazugehörige Einverständniserklärung erscheint aber erst anschließend. Gemäß Europäischer Datenschutzgrundverordnung (EU-DSGVO) ist dies nicht gesetzeskonform. Aber das ist längst nicht alles: Sobald man die erste Office-Anwendung geöffnet hat, müssen sich die Benutzer mit ihrem Office 365-Account anmelden. Aber auch hier läuft nicht alles einwandfrei: Das Login-Passwort wird nämlich im Klartext an den Konzern übermittelt. Von sicherer Salted Hash-Übertragung keine Spur.  Da nützt dann auch die TLS-Verschlüsselung – also die Verschlüsselung auf dem Transportweg – nichts. Zumal es hier kein Zertifikat-Pinning mehr gibt wie in früheren Windows-Updates. Stattdessen setzt Microsoft nun zur Softwareverteilung ein Zertifikat mit 14 Wildcard-Domains ein. Wenn also vom Verteilserver nur eines dieser Zertifikate abhandenkommt, wackelt die komplette Office 365-Infrastruktur. Aufgrund des undurchsichtigen Zertifikats-Prozesses ist außerdem unklar, ob jemand mitlesen kann, weil er zufällig oder absichtlich eines der zahlreichen Zertifikate besitzt.

Ein weiterer Knackpunkt, der am Rande der Legalität entlang schrammt, ist die Tatsache, dass Microsoft alles aufzeichnet, sobald man ein Office-Produkt nutzt und mit dem Internet verbunden ist – was im Prinzip immer ist. Es wird beispielsweise dokumentiert, wer wann welches Dokument geöffnet und gespeichert hat und welche Templates verwendet wurden. Auch hier könnte man sich mithilfe eines Man-in-the-Middle-Proxys Zugriff auf alle Daten verschaffen. Geschäftsführer könnten auf Ideen kommen, so ihre Angestellten zu überwachen. Diese Art der Arbeitnehmerüberwachung ist in Europa allerdings illegal.

Wer also denkt, dass Microsoft mit Office 365 für ausreichenden Datenschutz sorgt, der irrt gewaltig. Das Fazit, zu dem auch die iX kommt, kann also nur lauten: Verschlüsseln Sie ihre Daten schon lokal, bevor diese das Unternehmen verlassen und in der Cloud-Anwendung gespeichert werden. Das ist beispielsweise mit einer Lösung wie dem eperi Gateway möglich. Dabei werden nicht nur alle kritischen Daten verschlüsselt, sondern der Kunde behält außerdem die Kontrolle über die kryptografischen Schlüssel und den kompletten Verschlüsselungsprozess. So können Kunden die Vorteile einer Cloud-Anwendung wie Office 365 nutzen, ohne sich Sorgen um die Sicherheit ihrer sensiblen Daten machen zu müssen.  

Share Button: LinkedIn Share Button: XING Share Button: Twitter Share Button: Facebook