Menü
iX Magazin

Sicherheitslücken und mangelnder Datenschutz: Microsoft patzt bei Office 365

Viele Unternehmen sind bereits auf Office 365 umgestiegen. Doch Microsoft schlampt beim Datenschutz und hält sich nicht an Sicherheitsstandards.

vorlesen Drucken Kommentare lesen 152 Beiträge

Aggressiv bewirbt Microsoft den Wechsel in die Cloud: Office 365 löst auch in Deutschland in vielen Büros das klassische, ausschließlich lokal installierte Programmpaket ab. Doch wie eine Untersuchung der iX zeigt, scheinen die Entwickler bewährte Sicherheitsvorgaben und aktuelle Datenschutzrichtlinien zu ignorieren.

Eines der verblüffendsten Ergebnisse ist, dass Office 365 beim ersten Anmelden das Kennwort des Nutzers im Klartext und nicht als Salted Hash übermittelt. Bei einem zwischengeschalteten Proxy, zum Beispiel einem erfolgreichen Man-in-the-Middle-Angriff, lässt es sich ohne weiteres Zutun auslesen. Darüber hinaus kommt es bei Microsofts Servern ebenfalls im Klartext an.

Ebenso überrascht, dass Office 365 noch vor der Zustimmung zur zugehörigen Einverständniserklärung Telemetriedaten an Microsoft sendet. Auch Einstellungen des Betriebssystems ignoriert die Software. Hierbei handelt es sich um Informationen zu aufgerufenen Programmen, geöffneten Dokumenten und verwendeten Vorlagen – also personenbezogene Daten.

Mit der DSGVO bedarf es hierzu der expliziten Zustimmung des Nutzers. Welche weiteren Schwachstellen sich bei den Zertifikaten finden und wie leicht Arbeitgeber Office 365 für eine illegale Überwachung ihrer Angestellten einsetzen können, erklärt ein Artikel bei heise+.

Darüber hinaus zeigt die nächste Ausgabe der iX, wie Administratoren die Schwachstellen selbst nachvollziehen können. Hierfür benötigen sie lediglich eine Windows- und Office-365-Installation, die zur Überwachung in einem Linux-QEMU-Käfig läuft. Die genaue Anleitung finden Interessierte ab dem 25. April im Heft oder online. (fo)