Die Microsoft Outlook Apps für Android und iOS haben schwerwiegende Sicherheitsmängel. Die seit kurzem verfügbare kostenlose Outlook App "Neues Outlook" für Windows 10 und 11 übernimmt diese Schwachstelle.
Die App gewährt Microsoft Cloud-Diensten vollen Zugriff auf alle damit verbundenen E-Mail-Konten, unabhängig ob es sich um Exchange oder IMAP/POP3 Konten handelt. Im Kontext der Universität Leipzig betrifft das die Zugriffe auf den UL-Exchange-Server, die zentralen Server1- und Studserv-Konten sowie dezentrale Mailserver der Einrichtungen. Passwörter und Inhalte der E-Mailkonten werden auf Server von Microsoft übertragen.
Um den Datenschutz und die Vertraulichkeit der Daten zu gewährleisten, ist eine Verwendung dieser Apps für dienstliche E-Mailkonten unzulässig! Mit dem persönlichen Nutzerkennzeichen und Passwort, geben Sie auch Zugangsdaten zu anderen Diensten des Universitätsrechenzentrums, z. B. VPN-Zugang, eduroam und weitere Logins aus der Hand. Die Weitergabe der persönlichen Zugangsdaten ist gemäß § 3 Absatz (3) Punkt 5 der IuK-Benutzungsordnung untersagt.
Falls Sie diese Anwendung bereits für Ihre Mail nutzen, löschen Sie bitte Microsoft Outlook auf Ihrem mobilen Gerät. Anschließend sollten Sie Ihr Passwort ändern.
Welche Software kann ich statt dessen nutzen?
Nicht betroffen von dieser Sicherheitslücke sind die lizenzierten Outlook-Versionen (2016, 2019, Office 365) und die Outlook-Web App (OWA). Auch diverse Opensource-Mailprogramme (z.B. Mozilla Thunderbird) ermöglichen den Zugriff auf IMAP/POP3-Konten und in begrenztem Umfang auf Exchange-Postfächer (nur Mail, keine Kalender etc.).
Vielen Dank im Voraus für Ihr Verständnis und Ihre Zusammenarbeit.