Eine kleine aber verhängnisvolle Änderung machte eine tagelange Fehlersuche nötig und brachte eine Überraschung ans Licht: Mit «Outlook for Android und IOS» werden alle Mails über Microsoft Server geleitet, damit sie von Microsoft «analysiert» werden können. Das tun sie natürlich nur für dich.
Ende September 2022 war es soweit. Wieder wurde eine Zero-Day Lücke in einem Mailserver bekannt, dem Exchange von Microsoft. Eine Zero-Day Lücke ist ein Softwarefehler der für einen Angriff ausgenutzt werden kann, welcher so neu ist, dass nicht einmal der Hersteller davon weiss. Da in der heutigen Zeit die Handysynchronisation fast unverzichtbar ist, gab es nicht viele Optionen. Deshalb wurde zusammen mit dem Kunden beschlossen, den Zugriff auf die Schweiz einzuschränken um die Gefahr zu minimieren.
Denn sie wissen nicht was sie taten
In den Tagen danach wurde von Microsoft ein Workaround veröffentlicht, der das Problem für den Moment umgehen sollte. Microsoft musste aber mehrfach nachbessern, weil bekannt wurde das die ersten Workarounds ungenügend waren. Zu alldem, teilten Benutzer:innen nach einer Woche mit, dass sie keine Mails mehr in Outlook empfangen können.
Stell dir vor: Du hast drei Systeme in einer Kette, musstest in der Not mehrfach Änderungen vornehmen, nun erfährst du: «Es gibt ein Problem, es funktioniert etwas nicht mehr». Die Nadel fiel gerade in den Heuhaufen.
Bei der Suche nach dem Fehler stellte sich aber heraus, dass es nur die App «Outlook for Android und IOS» betrifft. Aber welche Änderung war es denn nun?
Fehlersuche: Manchmal kommt es anders als man denkt
Als wir nach langer und verzweifelter Suche, die laufende Protokollierung auf einem der Server kontrollierten, viel auf: Da kommt gar nichts! Es wurden fast keine Anfragen von extern gestellt. Ich konnte es mir nicht erklären, denn via Webbrowser funktionierte der Zugriff.
Dieses Log lieferte aber auch gleich die Antwort: Nicht das Handy stellte die Verbindung her, sondern Server von Microsoft in den USA.
Ach wie gut das niemand weiss…
Die Erklärung für dieses Verhalten finden wir in der Datenschutzerklärung von Outlook for Android. In dieser steht: Microsoft analysiert mit dieser App neben all unseren Mails, Terminen und Kontakten, auch genau was wir in der App tun und wie lange wir es tun. Ebenfalls sendet die App neben dem genauen Standort auch unseren Benutzernamen und das Passwort in Klartext an Microsoft! Seit Januar 2023 steht sogar Microsoft offiziell dazu. Da der Exchange Server die Benutzer:innen fast immer mit dem internen Active Directory authentifiziert, dem Benutzerverwaltungs-Dienst von Firmen, hat Microsoft somit auch die Zugangsdaten für unsere PCs, unseren VPN-Zugang und für weiss ich noch was für Systeme, die unsere Firmen an das interne Active Directory angebunden haben! Glaubst du mir nicht? Steht doch aber da:
Microsoft tue dies: „…um zusätzliche Funktionen zu aktivieren. Dazu gehören schnellere Suchergebnisse, personalisiertes Filtern weniger wichtiger E-Mails und die Möglichkeit, E-Mail-Anlagen von verknüpften Dateispeicheranbietern ohne Verlassen der Outlook-App hinzuzufügen.“ Ob und wie sie die Daten sonst noch verwenden, ist nicht bekannt. Rechtlich gesehen steht das Verhalten von Microsoft auf äusserst wackligen Beinen. Der Landesbeauftragte für den Datenschutz von Baden-Württemberg kam in seiner Analyse zum Ergebnis, dass das Verhalten unnötig sei und die Beschreibung in der Datenschutzerklärung ungenügend ist.
Übrigens, auch über eine Woche später liest Microsoft immer noch meine Post obwohl ich die App nach 10 Minuten wieder deinstalliert habe:
Ein Blick über den Tellerrand
Im Hinblick auf den Datenschutz lohnt es sich bei Mail Apps über den Tellerrand zu schauen. Es gibt einige andere Mail Apps die dich nicht auf Schritt und Tritt kontrollieren. Zu denen gehört unteranderem Fair Mail, PEP Mail, K-9 Mail oder auch AquaMail Pro, welche ich persönlich nutze. Keine dieser Apps sendet Daten von dir an den Hersteller oder Trackt dich in irgendeiner Form. In den meisten Fällen, sind aber auch schon die vom Hersteller vorinstallierten Apps sensationell gut. Wie bspw. Samsung Mail.
