Microsoft Outlook für iPad könnte für Unternehmen kritisch sein

30 Jan Microsoft Outlook für iPad könnte für Unternehmen kritisch sein

Grundsätzlich ist es ja immer wieder schön, wenn es sinnvolle neue Apps für iOS gibt. Auch Microsoft Office für iPad ist ein Stück Software, das sicher für viele – gerade in Unternehmen – gern gesehen ist und auch wieder für mehr Bewegung im Markt sorgt.

So dürfte auch dem einen oder anderen aufgefallen sein, dass es jetzt auch Outlook für iPad gibt. Damit mögen sich vielleicht einige, die sonst auch schon Outlook nutzen, etwas mehr zuhause fühlen, als mit Apples Kalender, Mail und Kontakte App. Grundsätzlich also eine schöne Sache. Allerdings ist Outlook für iPad für die meisten Unternehmenskunden eine gefährliche Sache. Der Blogger Rene Winkelmeyer hat etwas herausgefunden und ausführlich berichtet:

Outlook für iPad hat eine Integration von Google Drive, Microsoft OneDrive und Dropbox. Dabei kann aus Outlook heraus auf die Daten in diesen Diensten zugegriffen werden und umgekehrt auch Anhänge dort gespeichert werden. Das ist zum einen natürlich komfortabel, zum anderen aber auch für manche Unternehmen aus Sicherheitssicht bedenklich, denn es ermöglicht so den Fluss von Daten aus einem geschäftlichen Mailaccount (der von Outlook abgefragte Exchange Account) in eventuell vom Unternehmen nicht erlaubte, private Cloud-Dienste. Normalerweise hat iOS dafür eine eingebaute Sicherung: Accounts und Apps, die ein Unternehmen über ein Mobile Device Management System (wie z.B. Casper) installiert,  werden (für den Anwender unsichtbar) als sog. „Managed Accounts“ oder „Managed Apps“ installiert. Damit bekommt das Unternehmen über das MDM erweiterte Konfiguration- und Steuerungsmöglichkeiten und kann z.B. festlegen, dass diese Objekte nicht in einem Backup enthalten sein sollen oder bei Beendigung der Verwaltung automatisch gelöscht werden sollen. Darüber hinaus kann ein Unternehmen über das MDM den Datenfluss von managed zu unmanaged unterbrechen. Das bedeutet: Wenn z.B. ein Unternehmen einem Anwender über das MDM den Firmen-Emailaccount einrichtet (in der mitgelieferten Mail App), so ist das ein gemanagter Account. Installiert der Anwender nun selbst aus dem App Store z.B. Dropbox, so ist Dropbox eine unmanaged App. Wird nun über das MDM der Datenfluss von managed zu unmanaged gekappt, so kann das Unternehmen verhindern, dass versehentlich ein Anhang einer geschäftlichen Mail in Dropbox abgelegt wird, weil die Dropbox App dann im Sichern/Öffnen in Dialog nicht mehr zur Verfügung steht.

Über diese Funktion können Unternehmen helfen zu vermeiden, dass versehentlich geschäftliche und private Daten vermischt werden, ohne die Anwender allzu sehr in Ihrer Freiheit und Produktivität einzuschränken. Wenn jetzt aber die Outlook App Emailfunktionalität und File Sharing vereint, so kann eine solche Sperre umgangen werden, was sicherlich nicht gut ist und je nach Sicherheitsrichtlinien der Unternehmen sogar als problematisch eingestuft werden kann.

Dem aber noch nicht genug. Outlook für iPad verwendet wohl für jedes Gerät die gleiche ID zur Synchronisation. Auch das ist für manche Umgebungen eine Verletzung der Sicherheitsrichtlinien, da nun nicht mehr eindeutig geklärt werden kann, welches Endgerät wann verbunden war und es auch keine Zugriffskontrolle auf Grundlage dieser ID mehr geben kann. Das ist auch nicht gut.

Der dritte von Rene Winkelmesser entdeckte Punkt ist datenschutzrechtlich am kritischsten: Microsoft speichert die Anmeldedaten zum abgefragten Account (Mail, Kalender und Kontakte) auf eigenen Servern in der Cloud und fragt selbständig Informationen ab, um diese zu speichern und zu cachen. Und das ist ein ganz ganz böses Fehlverhalten – kein anderer Dienst sollte Anmeldedaten zwischenspeichern, schon gar nicht ungefragt. Aber Microsoft macht genau das: Wenn man mit Outlook für iPad den firmeneigenen Account abfragt, merkt sich Microsoft die Anmeldedaten … das darf man gut und gerne als richtig böse einstufen. So was geht gar nicht.

Deswegen raten wir, Microsoft Outlook für iPad nur zu benutzen, wenn die obigen Sachverhalte für Sie kein Problem darstellen. In den meisten Fällen dürften aber die Sicherheit- und Datenschutzfachleute die Hände überm Kopf zusammenschlagen. Oder wie es ein Kollege aus den USA geschrieben hat: „Run away screaming!“

Abschliessend sei nochmal hingewiesen, dass dieser Sachverhalt nicht von uns entdeckt wurde, sondern von Rene Winkelmeyer. Aber wir verstehen, was er herausgefunden hat und können das für Ihre Situation abwägen um bei allen Fragen rund um iOS beratend zu helfen.