Wir möchten alle Outlook-Nutzer bitten, diesen Artikel bei Heise (englische Version des Artikels) zur Kenntnis zu nehmen. Auch der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Ulrich Kelber ist alarmiert und hat bereits angekündigt, dass dieser Sachverhalt am morgigen Dienstag beim Treffen der europäischen Datenschutzaufsichtsbehörden thematisiert wird.
Das URZ konnte den Inhalt des Heise-Artikels am letzten Freitag bestätigen. Aus diesem Grund darf die neue Outlook-App unter Windows 11 im Zusammenhang mit dem universitären E-Mailaccount nicht eingesetzt werden, da dies einen Verstoß gegen § 6 Abs. 2 Satz 4 der Ordnung des URZ darstellt.
Zum Schutz der universitären IT-Infrastruktur wird das URZ ab sofort die E-Maillogdaten bzgl. dieses Sachverhaltes hin überwachen und betroffene Nutzeraccounts unverzüglich sperren.
Nach dem aktuellen Stand ist nur die neue Outlook-App unter Windows 11 betroffen. Nutzer von Outlook 2016, 2019 und 2021 betriff es derzeit noch nicht. Es bleibt aber zu befürchten, dass Microsoft in absehbarer Zeit diese neue Funktion auch in den Outlook-Versionen der Office-Suiten zur Verfügung stellen wird.
[UPDATE 14.11.2023]
Es hat sich gezeigt, dass auch Outlook unter MacOS auch von diesem Problem betroffen sein kann. Hier schafft eine korrekte Konfiguration Abhilfe.
Das URZ wird ab heute die durch Outlook kompromittierten Nutzeraccounts sperren. Sollten Sie betroffen sein,
- löschen Sie Ihr Mailkonto in der neuen Outlook-App/in Outlook für MacOS,
- falls Sie Outlook unter MacOS nutzen, richten Sie das Konto korrigiert neu ein; beachten Sie unbedingt diese Hinweise
- wenden Sie sich an das URZ, so dass wir Ihren Nutzeraccount wieder freischalten,
- ändern Sie anschließend binnen 10 Minuten Ihr Kennwort in der zentralen Accountverwaltung.
[UPDATE 14.12.2023]
Offensichtlich sind noch weitere E-Mailprogramme vom gleichen Problem betroffen. Direkt identifiziert werden konnten E-Mailprogramme des Anbieters Edison, z.B. "Edison Mail+" oder "E-Mail - Schnelle Mail". Die Zugriff dieser Programme auf unser Mailsystem erfolgen über die Amazon AWS-Cloud. Daher werden wir unsere Schutzmaßnahmen entsprechend erweitern. Das URZ wird derzeit betroffene Nutzer direkt informieren und zum Handeln auffordern. Ab dem 18.12.2023 werden betroffene Nutzeraccount zum Schutz der universitären Infrastruktur automatisch gesperrt.
Das URZ empfielt den betroffenen Nutzern das gleiche wie im Fall der Outlook-App:
- löschen Sie das betroffene E-Mailprogramm
- ändern Sie Ihr Kennwort in der Accountverwaltung
- nutzen Sie ein vom URZ empfohlendes E-Mailprogramm
[UPDATE 28.12.2023]
Weitere betroffene E-Mailprogramme:
- bluemail