Datenklau mit dreister Masche bei Outlook

Als der Bericht von heise.de am 09.11.2023 in unserem Newsfeeds auftauchte, haben wir erst an einen Aprilscherz gedacht.

Wer zum neuen Outlook wechselt, akzeptiert den Datenraub
Wer auf das neue Outlook von Microsoft umsteigt, übermittelt ohne vorherige Zustimmung seine geheimen Zugangsdaten und gesamten Inhalte der Mails an Microsoft. Damit verursachen Unternehmensaccounts unbewusst einen Datenschutzvorfall, der den Aufsichtsbehörden für Datenschutz binnen 72 Stunden gemeldet werden muss. Denn mit der Offenlegung der Zugangsdaten wird Microsoft in die Lage versetzt den E-Mailverkehr mitzulesen.
Die Möglichkeit, zum ursprünglichen Zustand zurückzukehren bringt Usern keine Besserung, die Daten liegen mit dem Wechsel bereits bei Microsoft.

Das müssen Sie tun, wenn Sie bereits gewechselt haben

• Betroffene Kommunikationspartner müssen umfänglich über den Vorfall informiert werden.
• Dem mit der Offenlegung einhergehenden Reputationsverlust muss entgegengewirkt werden.
• Sollten Informationen zu Prototypen damit offengelegt worden sein (Stichwort TISAX / Automotiv) müssen die Vorgänge dokumentiert und das weitere Vorgehen mit den Projektmitgliedern, Auftraggebern und Investoren besprochen werden.

Zwischenzeitlich (am 13.11.2023) hat sich der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Professor Ulrich Kelber, zu Wort gemeldet und fordert von der für Microsoft-Themen zuständigen irischen Datenschutzaufsichtsbehörde (DPC) weitere Informationen. Zum Bericht des BfDI.

Das sollten Sie als Outlook User jetzt tun

• Bitte unterlassen Sie vorläufig Migrationen von Ihren derzeitigen E-Mail-Systemen zu den neuen Outlook-Systemen von Microsoft.
• Sofern eine Migration stattgefunden hat:
        1. Kehren Sie zu dem ursprünglichen Zustand zurück.
        2. Ändern Sie zwingend und umgehend Ihre Zugangsdaten.
        3. Setzen Sie sich umgehend mit Ihrem Datenschutzbeauftragten in Verbindung, damit die Meldepflichten zu Datenschutzvorfällen und die Informationsforderungen an betroffene Personen erfüllt werden können.

Fazit

Wenn man sich ganz nüchtern vor Augen führt, was bei diesem Sachverhalt Tatsache ist, muss man sich zwangsläufig die Frage stellen, wie Microsoft überhaupt auf so eine Idee kommt. Aber es zeigt, dass Microsoft scheinbar überhaupt kein Interesse zu haben scheint, gesetzliche Regelungen einzuhalten. Persönliche Rechte werden mit Füßen getreten.

Gerne stehen wir Ihnen für offene Fragen zur Verfügung.

Quellen

heise (22.11.2023): Neue Outlook-App: BSI sieht Cloudzwang kritisch

heise (21.11.2023): Neues Outlook: Zugangsdatenabfluss alarmiert weitere Datenschützer

heise (15.11.2023): Neues Outlook: Microsoft bezieht Stellung zur Übertragung von Zugangsdaten

heise (15.11.2023): Neues Outlook: Schutz vor zu neugieriger Microsoft-Mail-App

heise (14.11.2023): Das neue Outlook: Maximal irreführend

heise (10.11.2023): Outlook-Datenumleitung: Bundesdatenschützer zeigt sich besorgt

heise (09.11.2023): Microsoft krallt sich Zugangsdaten: Achtung vor dem neuen Outlook