Mobiles Outlook in der Kritik
von caschy | 42 Kommentare
Gestern erschien Microsoft Outlook für Android und iOS. Zweifelsohne eine sehr gute App. Microsoft selber hat die Früchte allerdings lediglich abgeerntet, indem man die Firma Acompli übernommen hat, die sich für ein Mailprogramm verantwortlich zeigte, welches dem jetzigen Outlook verdammt nahe kommt. Und so wartet Microsoft Outlook mit Funktionen auf, die wir nur aus Dritt-Clients kennen, die Mails über fremde Server laufen lassen.
So lassen sich beispielsweise Nicht-Microsoft-Konten einbinden und Mails bis zu einem späteren Termin stummschalten. Kann Mailbox von Dropbox auch, hierfür gebt ihr dem Dienst eure Daten und Mails in die Hand, wie ich bereits mal schrieb. Auch die Benachrichtigung via Push ist ein Zusatzdienst, der von Microsoft gesteuert wird. Rene Winkelmeyer dokumentiert in seinem Blog einige Tests. Diese sollen zeigen, dass sich Microsoft nicht nur Mails schnappt und diese extern lagert, sondern auch Zugriff auf die Zugangsdaten zu euren Accounts hat.
Er stoppte Outlook und achtete darauf, dass die App nicht aktiv war, bekam aber dennoch eine Push-Benachrichtigung über neue, eingehende E-Mail. Ebenfalls wurde sein Mail-Server von Microsoft gescannt, obwohl sich alle Geräte im Flugmodus befanden.
Das Problem ist hier: das machen einige Apps, um Zusatzfunktionen bereitzustellen. Und es steht auch in den Nutzungsbedingungen. Die liest aber keiner. Nutzer wissen nicht, dass ihre Zugangsdaten nun auf anderen Servern liegen – in den USA. Bei Google durch OAuth vielleicht nicht ganz so kritisch, da das Passwort nicht übergeben wird – aber es lassen sich halt doch Konten mit normalen Passwörtern hinzufügen.
Solltet ihr euch gegen die App entscheiden wollen – klasse Funktionen hin und her – dann reicht ein Löschen der App nicht. In den Kontoeinstellungen im jeweiligen Konto findet ihr die Option „Konto vom Handy entfernen“ und „Konto vom Handy und Remote-Gerät entfernen“. Der letzte Punkt ist der, den sicherlich alle wählen wollen, weil sonst das Konto hinterlegt bleibt.
Ich denke, man kann Microsoft hier jetzt nicht an den Pranger stellen. Es ist in den Nutzungsbedingungen festgehalten, wie auch bei Mailbox und anderen Mailern die so arbeiten. Als Nutzer heißt es in diesen Sachen wohl, dass man immer genauer hinschauen sollte, ja sogar muss. Was den Normalo vielleicht nicht interessiert, dürfte für Firmenkunden vielleicht eine Ecke brisanter sein – Stichwort Firmendaten auf fremden Servern…
Wird geladen ...
Danke für den Artikel!
Ich hatte mein Mailkonto zuerst am iPhone eingerichtet und mich dann gewundert, dass später am iPad die Daten des Exchange-Kontos fast komplett schon bekannt waren…
Absolutes NoGo, werde die Apps wieder entfernen.
Wie verhält es sich, wenn die geschäftlichen E-Mails schon im „Office365-Format“ (Server: outlook.office365.com) verwaltet werden?
@Heiner: Danke.
Wer wirklich so brisante Daten unverschlüsselt via Mail sendet, dass er sie nicht zu externen Dienstleistern auslagern darf oder will, der sollte ohnehin übre On-Premise-Lösungen, sowie MDM (nach Möglichkeit mit privatem App-Store und einer abgekapselten Mail-App) nachdenken. XenMobile sei hier mal angesprochen.
Ich denke, dass es bei O365 keinen Unterschied macht, da die Daten ohnehin bei Microsoft liegen. Eventuell kommen in nächster Zeit ja noch EU-Realms dazu, sodass bis zum offiziellen Release für europäische Kunden die Login-Daten auch auf eurpäischen Servern liegen.
Für alle on-premise-Exchange-Admins: Diese App unterläuft Eure Unternehmenssicherheitsrichtlinie. Ich habe das sofort gesperrt. Ich möchte nicht, dass Microsoft die Credentials meiner Benutzer auf einem Amazon AWS Cloudserver speichert. Die Inhalte der Postfächer übrigens auch. Die werden dann da auch noch schön indiziert. Wer eh O365 nutzt, kann das ja zulassen.
Powershell:
New-ActiveSyncDeviceAccessRule -AccessLevel Block -Characteristic DeviceModel -QueryString “Outlook for iOS and Android”
und macht das jetzt, bevor die Nutzer auf dumme Gedanken kommen
Kopf -> Tisch
Hihi der Rene, den kenne ich zufällig ganz gut! Fähiger Mann!
Ich verstehe nicht, wieso Du hier Microsoft in Schutz nimmst. Hier wird eine Vertrauensstellung unterwandert. Statt bisherige europäische Datenschutzrichtlinien gelten so plötzlich die aus der USA, da Acompli Amazon AWS nutzt. Man kann doch hier nicht nur die Verantwortung den Usern überlassen, Das ist bei den komplexen Abläufen teilweise doch recht illusorisch. Ich erwarte von einem Anbieter wie Microsoft die Einhaltung und Beachtung von Unternehmensrichtlinien.
@Mark: Der Nutzer würde ja davon erfahren, wenn er die Nutzungsbedingungen denn einfach auch mal lesen würde. Ich finde es immer wieder amüsant, wie über Konzerne hergezogen wird, weil sie ja etwas böses machen und ihre User verarschen, wobei doch alles „offen“ in einem Text zu finden wäre. Wenn man sich zu fein ist, diesen Text durchzulesen, brauch man hinterher nicht kommen und heulen.
Ich erwarte vom User, dass er sich selber darüber informiert, wenn Microsoft die Informationen, wie auch immer, bereitstellt.
So…
Für den privaten Verbraucher ist das wahrscheinlich ohnehin irrelevant. Ein Unternehmen dagegen sollte fähige Netzwerk-Admins haben und ohnehin nicht auf solche Lösungen bauen.
Wer lagert denn seine Firmendaten außerhalb der EU? Das wäre mir nicht nur bei MS zu riskant.
@Benny:
Verbraucherschutz sagt Dir was?
Dazu nur folgendes
http://blog.sebi-rockt.de/2011/07/12/douglas-adams-wo-waren-die-bauplane-nochmal/
Natürlich hat man als Anwender auch eine Mitverantwortung. Aber das ist doch kein Freibrief für eine Firma alles zu tun um die Rechte des einzelnen soweit es geht auszuhöhlen und dann darauf zu verweisen, das er es ja hätte nachlesen können.
So wie Schadstoffe nicht ins Essen gehören, nur weil auf der Verpackung im Kleingedruckten etwas davon steht. Dadurch wird es doch nicht richtiger.
Das ist ja auch keine Drittanbieter App hier, sondern eine Microsoft offizielle. Wie sollte man auch nur annähernd auf den wahnwitzigen Gedanken kommen, das dieser völlig irrsinnige und unnötige Umweg über einen externen Server genommen wird?
„Ich denke, man kann Microsoft hier jetzt nicht an den Pranger stellen. Es ist in den Nutzungsbedingungen festgehalten, wie auch bei Mailbox und anderen Mailern die so arbeiten.“
AGB liest keiner, davon geht sogaer das gesetz aus, weshalb es AGB Recht gibt, welches Vertragspartner vor überraschenden klauseln in diesen AGB schützt. Warum sollte diese Regelung bei Lizenzbedingungen anders sein.
Wer hier argumentiert, dass es ja alles „irgendwo steht“ gibt diesen Firmen einen Freibrief allen mögliche Unsinn irgendwo versteckt reinzuschreiben ansrtatt klar zu kommunizieren, was das jeweilige Programm ggf. kritisches tut.
Daher: Solche Funktionen gehören genau kommuniziert und nicht (absichtlich!) in den AGB versteckt. insofern muss man jede Firma die so handelt an den Pranger stellen und öffentlich vierteilen, damit sich andere Firman das erst gar nicht trauen.
Sonst schreibt auch Bald Sasmung in die Terms und Conditions seiner Fernseher irgendwo versteckt alles möglich rein. Wer es lesen will, muss halt 400 TV Bildschirmseiten lesen….steht ja alles da, oder?
@Benny: Du hast ja im Prinzip recht, aber welcher Nutzer liest denn schon die komplette Nutzungsbedingungen mit teils mehreren DIN-A4-Seiten Text komplett durch und versteht dann auch noch jede juristische Klausel auch voll?
Liest Du etwa jede Nutzungsbedingung, EULA, usw. oder die kompletten Versicherungsbedingungen vorher durch?
Wenn ja, dann Hut ab und ich habe nichts gesagt. Ansonsten den Ball bitte mal ein wenig flacher halten.
Wie auch immer, egal auf welchem Device (Phone, Tablet, PC, …) ich einen Mail-Client nutze, es sollen niemals die Zugangsdaten auf irgendeinem Server eines Betreibers landen! Deswegen kommen App oder Dienste wie z. B. Cloudmail nie in Frage für mich!
@No da stimme ich Dir voll zu. Die Banken haben es in der Vergangenheit teuer bezahlen müssen, dass sie manches in den AGB „versteckt“ haben. Dabei umfasst bei einer Bank die AGB vielleicht zwei Seiten und nicht zehn. Ständig wurden sie vom BGH darauf hingewiesen, dass dieses oder jenes eine „Überraschungsklausel“ sei und damit die AGB ungültig. Der Kunde konnte sich über Rückzahlung von Gebühren freuen, über Zinsen, über vorzeitige Kündigungsmöglichkeiten und und und.
Komischerweise gibt es kaum Klagen gegen AGB die nicht aus dem Bankengewerbe, Sparkassengewerbe oder der Versicherungswirtschaft stammen. Wahrscheinlich haben die Verbraucherverbände, die diese Grundsatzklagen ja in der Regel durchführen, kein Interesse, so große Internetunternehmen an den Pranger zu stellen.
@Benny: Verbraucherschutz kennste?
Ansonsten http://blog.sebi-rockt.de/2011/07/12/douglas-adams-wo-waren-die-bauplane-nochmal/
Nuff said.
Für Firmenmails ein Supergau. Sogar die Zugangsdaten werden auf externen US-Servern gespeichert. Müsste jeder Exchange-Admin sofort sperren.
Wer den ganzen Exchange-Komfort direkt ohne Umweg haben will, sollte sich vielleicht auch mal die App „Nine“ von NineFolders anschauen, native Exchange-Unterstuetzung so wie sie sein sollte!
@caschy: Du erinnerst dich vielleicht, dass ich die App dir gegenueber schon mal erwaehnt habe … 😉
das mit den Zugangsdaten finde ich traurig und ärgert mich gerade. Dachte immer die sind nur lokal auf meinem Smartphone. Also K9 Mail wieder installiert auch wenn ich gerne Outlook nutze!
@Manuel S.: etwas verspätet, aber danke fürs Feedback…
@HD Stich:
Eine Mail App ohne IMAP Unterstützung ist für mich irgendwie sinnlos!
den punkt „Konto vom Handy und Remote-Gerät entfernen“ kann ich nicht finden, da mir die Beschreibung im Artikel nicht ausreicht. könnte mir bitte jemand behilflich sein?