Aktiv bewirbt Microsoft den Wechsel in die Cloud: Office 365 löst auch in Deutschland in vielen Büros das klassische, ausschließlich lokal installierte Programmpaket ab. Eine Untersuchung der iX zeigt, dass die Entwickler bewährte Sicherheitsvorgaben und aktuelle Datenschutzrichtlinien ignorieren.

Dass Office 365 beim ersten Anmelden das Kennwort des Nutzers im Klartext und nicht als Salted Hash übermittelt, ist eines der verblüffendsten Ergebnisse. Bei einem zwischengeschalteten Proxy, zum Beispiel einem erfolgreichen Man-in-the-Middle-Angriff, lässt es sich ohne weiteres Zutun auslesen. Zudem kommt es bei Microsofts Servern ebenfalls im Klartext an.

Noch vor der Zustimmung zur zugehörigen Einverständniserklärung sendet Office 365 Telemetriedaten an Microsoft. Außerdem werden Einstellungen des Betriebssystems ignoriert. Hierbei handelt es sich um Informationen zu aufgerufenen Programmen, geöffneten Dokumenten und verwendeten Vorlagen – also personenbezogene Daten.

(hv, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE