Office 365: Große Schwachstellen bei Sicherheit und Datenschutz

Mit Office 365 lockt Microsoft seine Kunden in die Cloud. Leider entspricht diese weder europäischen Datenschutzvorschriften noch aktuellen Sicherheitsvorgaben.

Artikel verschenken

36

15.04.2019, 07:30 Uhr

Lesezeit: 6 Min.

iX Magazin

Von

Lukas Grunwald

Office 365: Große Schwachstellen bei Sicherheit und Datenschutz
- Kein Zertifikat-Pinning mehr
- Digitaler Manchesterkapitalismus integriert
- Fazit

Click-to-Run, so nennt Microsoft die Installationsmethode seines Büropakets, ist eine feine Sache. Hat man einen Account beim Windows-Konzern, ist mit einem Mausklick die Software installiert und die Verbindung zur Microsoft-Cloud hergestellt. Doch wie sieht es dabei aus in Sachen Datensicherheit und Datenschutz?

Um die Kommunikation von Office 365 untersuchen zu können, wurde die Software in einem Linux-QEMU-Käfig installiert und wir konnten so durch einen zwischengeschalteten Proxy jedes Bit mitschneiden, das die Office-Suite mit der Außenwelt austauscht.

Die Ergebnisse unserer Untersuchungen waren erschreckend. Doch der Reihe nach. Nachdem der Nutzer Office 365 in der Cloud freigeschaltet hat, bekommt er einen Link zu einem ausführbaren Programm. Dieser sogenannte Click-to-Run-Installer holt sich die einzelnen DLLs, Programmteile und Komponenten auf den Clientrechner. Das funktionierte auch durch den Man-in-the-Middle-Proxy problemlos – und führte zu ersten Irritationen.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Günstiges Display samt Einplatinencomputer für Bastelanfänger im Kurztest

Das "Cheap Yellow Display" samt ESP32 ist günstig und bereits verlötet. Bastler können es zum Informationen anzeigen oder zum Steuern des smarten Heims nutzen.

Ein dunkelblauer Hintergrund mit kleinen roten Strichen. Im Vordergrund auf der linken Seite ist ein Universiäts Absolventen Hut.

Karrierewechsel: Warum sich ein Informatikstudium auch für Quereinsteiger lohnt

Drei Jahre lang Mathematik, Logik und Programmieren lernen. Das Informatikstudium ist ein klassischer Weg in die IT. Wir zeigen, wie es abläuft.

Im Test: Zehn USB-SSDs und -Sticks mit 1 oder 2 TByte Speicherplatz

Daten transportieren oder Backups erstellen klappt mit modernen Flash-Medien ratzfatz. Wem eine USB-SSD zu groß ist, der greift zum Stick.

Elektroauto Mercedes EQA 300 4Matic im Test: Fährt gut, lädt gemächlich

Mercedes hat sein kleinstes Elektroauto ein wenig überarbeitet. Es fährt gediegen, kann bei der Spitzenladeleistung allerdings nicht glänzen.

Virtualisierung: Wie man Proxmox Virtual Environment produktiv nutzt

Wir zeigen, wie Sie Proxmox aufsetzen, virtuelle Maschinen erstellen oder bestehende importieren und was man beachten muss, um es produktiv zu nutzen.

Custom-ROM "GrapheneOS" vorgestellt: Android ganz privat

GrapheneOS ist eine besondere Android-Spielart. Seine Bandbreite reicht von "sicher wie Fort Knox" bis "komfortabel vernetzt wie ein Google-Phone".

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Günstiges Display samt Einplatinencomputer für Bastelanfänger im Kurztest

Das "Cheap Yellow Display" samt ESP32 ist günstig und bereits verlötet. Bastler können es zum Informationen anzeigen oder zum Steuern des smarten Heims nutzen.

Karrierewechsel: Warum sich ein Informatikstudium auch für Quereinsteiger lohnt

Drei Jahre lang Mathematik, Logik und Programmieren lernen. Das Informatikstudium ist ein klassischer Weg in die IT. Wir zeigen, wie es abläuft.

Im Test: Zehn USB-SSDs und -Sticks mit 1 oder 2 TByte Speicherplatz

Daten transportieren oder Backups erstellen klappt mit modernen Flash-Medien ratzfatz. Wem eine USB-SSD zu groß ist, der greift zum Stick.

Elektroauto Mercedes EQA 300 4Matic im Test: Fährt gut, lädt gemächlich

Mercedes hat sein kleinstes Elektroauto ein wenig überarbeitet. Es fährt gediegen, kann bei der Spitzenladeleistung allerdings nicht glänzen.

Virtualisierung: Wie man Proxmox Virtual Environment produktiv nutzt

Wir zeigen, wie Sie Proxmox aufsetzen, virtuelle Maschinen erstellen oder bestehende importieren und was man beachten muss, um es produktiv zu nutzen.

Custom-ROM "GrapheneOS" vorgestellt: Android ganz privat

GrapheneOS ist eine besondere Android-Spielart. Seine Bandbreite reicht von "sicher wie Fort Knox" bis "komfortabel vernetzt wie ein Google-Phone".

nach oben

Alle Angebote

Newsletter heise-Bot Push Push-Nachrichten

${intro} ${title}

${intro} ${title}

Office 365: Große Schwachstellen bei Sicherheit und Datenschutz

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Günstiges Display samt Einplatinencomputer für Bastelanfänger im Kurztest

Karrierewechsel: Warum sich ein Informatikstudium auch für Quereinsteiger lohnt

Im Test: Zehn USB-SSDs und -Sticks mit 1 oder 2 TByte Speicherplatz

Elektroauto Mercedes EQA 300 4Matic im Test: Fährt gut, lädt gemächlich

Virtualisierung: Wie man Proxmox Virtual Environment produktiv nutzt

Custom-ROM "GrapheneOS" vorgestellt: Android ganz privat

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Günstiges Display samt Einplatinencomputer für Bastelanfänger im Kurztest

Karrierewechsel: Warum sich ein Informatikstudium auch für Quereinsteiger lohnt

Im Test: Zehn USB-SSDs und -Sticks mit 1 oder 2 TByte Speicherplatz

Elektroauto Mercedes EQA 300 4Matic im Test: Fährt gut, lädt gemächlich

Virtualisierung: Wie man Proxmox Virtual Environment produktiv nutzt

Custom-ROM "GrapheneOS" vorgestellt: Android ganz privat

Spiele

Für alle unter 30: heise+ mit 50% Rabatt

Das digitale Abo für IT und Technik.