Schlüssel weg, Mail-Konten kompromittiert – interessiert doch keinen

Vor einigen Wochen haben wir bereits in unserem Blog-Beitrag Verlorener Office-Schlüssel –
Hacker: Storm.0558 darüber berichtet, wie uninteressant es für viele Entscheidende in Unternehmen und Behörden zu sein scheint, wenn der führende Anbieter von Office Software-Lösungen den Hauptschlüssel zum eigenen Cloud-Königreich „verliert“.  Macht nix,- kann ja mal vorkommen.

Jetzt haben wir noch so einen unbedeutenden „Vorfall“. Heise beschreibt die Details am 09.11.23 unter Microsoft krallt sich Zugangsdaten: Achtung vor dem neuen Outlook. Das gute daran ist, es betrifft NUR diejenigen Benutzer:innen, die das neue Outlook von Microsoft einsetzen (wollen).
Mit Installation dieser neuen Version, riskiert man laut c’t „die Übertragung seiner IMAP- und SMTP- Zugangsdaten sowie sämtlicher Mails an Microsoft-Server“.

Das ist jetzt für den „Kenner“ keine so große Neuigkeit, da Microsoft schon vor einigen Monaten nach Office-Updates auf Mac-Rechnern, ohne Hinweis, Daten auf Microsofts Cloud-Server umgeleitet hat. Hierzu gab es dann einen „Workaround“. Diesen gibt es aber für die neue Outlook-Version nicht. Weder für Microsoft-Konten, noch für „Nicht-Microsoft-Konten“.

Alle E-Mails, Kalender und Kontakte landen also im Microsoft Rechenzentrum. Wenn der Hersteller möchte, kann er dann die Inhalte lesen und auswerten.

Ein wenig Hoffnung habe ich allerdings doch. Es gibt sie noch, die Menschen, die etwas hinterfragen und auch Warnungen aussprechen. Die Universität Bremen zum Beispiel, die darauf hinweist, dass sie „auch im dienstlichen Kontext die Nutzung des Produktes kritisch sieht, da sensible Mailinhalte automatisch auf die Microsoft Server und damit auf externe Server übertragen werden.“ Man rät dazu, dringend davon abzusehen das neue Outlook zu installieren und zu verwenden.

Jetzt könnte man eventuell zu dem Schluss kommen, dass man einfach weiterhin die alten Versionen einsetzt und nicht „das neue Zeug“. Ja, auch eine Lösung. Aber vielleicht überdenkt man auch einmal die eigene Strategie und kommt eventuell zu dem Schluss, dass in diesem Fall nicht immer „alles aus einer Hand“ richtig sein muss.

Bei der Entscheidung welche Office-Lösung Sie am besten für sich nutzen, können wir nur auf die eine oder andere „Auffälligkeit“ hinweisen. Wenn es aber um IT-/OT-Security geht, sollte man einen höchstmöglichen, aktuellen Standard erreichen. Hier können wir Sie konkret unterstützen.