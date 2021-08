Im Rahmen einer Untersuchung haben Forscher des US-Security-Unternehmens UpGuard Ende Mai 2021 in einem mit Microsofts Low-Code-Angebot Power Apps erstellten Portal eine Liste mit sensiblen Daten gefunden. Daraufhin nahmen sie weitere Portale in Sachen Datensicherheit unter die Lupe: Dabei stießen sie in 47 Fällen auf teilweise umfangreiche und per OData-API (Open Data Protocol) frei zugängliche Listen mit teilweise personenbezogenen Daten, wie Kontaktdaten, Sozialversicherungsnummern oder Impfstatus. Betroffen waren sowohl Regierungsstellen als auch große Unternehmen, insgesamt sollen so 38 Millionen Datensätze zugänglich gewesen sein.

Eigentlich erwartetes Verhalten

Nach dem Einreichen eines Vulnerabiliy-Reports prüfte Microsoft und erklärte: Ursache sei ein Fehler in der Konfiguration der Zugriffsteuerung. Dies sei kein Fehler und entspreche dem erwarteten Verhalten. Die Standardeinstellung für Power Apps Portale lautet "expose record for display on portals", weshalb man die zugrundeliegenden Tabellen mit einem Zugriffsschutz versehen muss. Die Dokumentation zu Power Aps Portalen warne explizit vor der Gefahr, OData-Feeds ohne Zugriffsschutz für die Tabellen zu aktivieren.

iX Newsletter: Monatlich spannende Hintergründe zur neuen Ausgabe Kennen Sie schon den kostenlosen iX-Newsletter? Jetzt anmelden und monatlich zum Erscheinungsdatum nichts verpassen: heise.de/s/NY1E In der nächsten Ausgabe geht's ums Titelthema der September-iX: Wie schlägt sich Low Code in der Praxis?

Das ist aber insofern problematisch, als Power-App-Nutzer in der Regel keine in Sachen Sicherheit geschulten Entwickler sind, sondern – so bewirbt Microsoft sein Low-Code-Produkt explizit – keine großen Voraussetzungen zum Erstellen von Portalen mitbringen müssen. Auch die zuständigen Stellen in den betroffenen Unternehmen räumten ein, dass sie dieses potenzielle Datenleck bislang nicht auf der Agenda hatten. UpGuard hofft, mit der Veröffentlichung der Vorgänge diesbezüglich mehr Sensibilität zu schaffen.

Inzwischen scheint Microsoft sich eines Besseren besonnen zu haben und hat einerseits den Warnhinweis in der Dokumentation deutlicher markiert und zum anderen die Default-Einstellung für neue Portale dahingehend geändert, dass Tabellen standardmäßig mit einem Zugriffsschutz versehen sind und Power-Apps-Nutzer die externe Freigabe explizit einrichten müssen.

(avr)