Outlook.com: Fremdzugriff war eklatanter als zunächst von Microsoft zugegeben

Gestern hatte Caschy darüber gebloggt, dass es bei Outlook.com Fremdzugriff auf Nutzerdaten gegeben hat. Microsoft bestritt jedoch, dass Dritte die Inhalte von E-Mails hätten einsehen können. Heute stellt sich der Fall aber schon etwas anders dar. Denn bei einem kleinen Kreis an Betroffenen, ist es offenbar durchaus möglich, dass auch der Inhalt der E-Mails ausgespäht wurde.

Klar ist, dass die Hacker die E-Mail-Adressen, Ordnernamen und auch Betreffszeilen von Nachrichten erkennen konnten. Bei wiederum 6 % der durch den Angriff betroffenen User ist es leider aber auch möglich, dass die Inhalte der E-Mails abgegriffen worden sind. Entsprechende Anwender hat das Unternehmen aus Redmond mit einer zweiten Nachricht informiert. Microsoft soll dies erst zugegeben haben, nachdem das Unternehmen mit Screenshots konfrontiert wurde. Gerne hätte man jene Tatsache also in der Öffentlichkeit nicht so sehr breitgetreten.

Wie kam es dazu? Wie Caschy schon schrieb, wurde das Konto eines Kundendienstmitarbeiters missbraucht. Vom 1. Januar 2019 bis zum 28. März 2019 bestand unerlaubter Zugriff durch Dritte. Ein langer Zeitraum, was bedenklich stimmt. Laut Motherboard sollen die Hacker diese Zeit dann auch gut genutzt haben – um beispielsweise mit der Hilfe der abgegriffenen Daten iCloud-Konten, die mit gestohlenen Apple iPhone verknüpft gewesen sind, einem Reset zu unterziehen.

Microsoft versucht sich unterdessen weiterhin an Schadensbegrenzung. Gegenüber The Verge hat man abermals beschwichtigt: „Eine kleine Gruppe (etwa 6 % der betroffenen, bereits eingeschränkten Nutzergruppe) wurde von uns benachrichtigt, dass unerwünschte Dritte unerlaubten Zugriff auf die Inhalte ihres E-Mail-Kontos gehabt haben könnten. Diese Nutzer erhielten zusätzliche Hinweise und Unterstützung.

Zugeben wie viele Konten denn nun konkret in Zahlen bemessen betroffen gewesen sind, möchte Microsoft immer noch nicht. Da man so einen Eiertanz um die Anzahl der betroffenen Nutzer macht, ist wohl eher zu vermuten, dass die Anzahl eher groß als klein ausfällt. Leider ist dieser Vorfall ein erneutes Beispiel dafür, dass es selbst bei riesigen Unternehmen wie Microsoft immer wieder Pannen gibt, welche die Datensicherheit von Anwendern in Gefahr bringen.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

André Westphal

Hauptberuflich hilfsbereiter Technik-, Games- und Serien-Geek. Nebenbei Doc in Medienpädagogik und Möchtegern-Schriftsteller. Hofft heimlich eines Tages als Ghostbuster sein Geld zu verdienen oder zumindest das erste Proton Pack der Welt zu testen. Mit geheimniskrämerischem Konto auch bei Facebook zu finden. PayPal-Kaffeespende an den Autor.

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten ein.

15 Kommentare

  1. Mal doof gefragt. Ich habe aktuell meine eigene E-Mail Domain bei Outlook.com. Welche Alternativen gäbe es denn? Die Exchange Fähigkeit nutze ich ziemlich gerne und hätte sie auch gerne weiterhin, gibt es da was bezahlbares für Privatleute?

    • Ich weiss nicht genau was die Exchange Fähigkeit so ausmacht. Aber ich habe meine Domain bei zoho.com und bin ganz zufrieden damit.

      • Vorteil bei Exchange ist der Instant-Sync von E-Mails und Kontakten was gerade mit iOS bzw. Android doch ganz nett ist wenn sich da Änderungen ergeben bzw. man den Kram in Ordner verschickt. Da habe ich leider mit IMAP in der Vergangenheit Probleme gehabt und Kontakte war eine mittelschwere Katastrophe.
        Zoho ist glaube ich für mich mit „Kanonen auf Spatzen“. Ich hätte einfach nur gerne E-Mail + Kontakte mit meiner Domain aus einer Hand 🙂

    • Hab Ende letzter Woche meine Mails und Domains auf einen selbsgehosteten Server mit Mailcow (https://mailcow.email/) migriert und der bietet ActiveSync an, wenn das das ist, was du suchst. Mailcow ist recht einfach zu installieren. Und man hat damit dann natürlich volle Kontrolle über seine Mails. Als Server nutze ich einen günstigen VPS bei Hetzner in der Cloud.

      • Wie schwierig ist es denn den Server „Sicher“ zu machen. Ich habe noch in Erinnerung, dass man wenn man Mist baut, ziemlich schnell auf den diversen Spamlisten landet, da die Mailadresse übernommen werden kann?

        • Also ich hab vor der Installation die IP-Adresse überprüfen lassen, ob diese auf irgendwelchen Spamlisten auftaucht, war nicht der Fall. Bevor man irgendwelche Mails verschickt, sollte man aber DKIM, SPF und DMARC einrichten, Mailcow kann aber einfach DKIM keys generieren und bietet auch Hilfe zu SPF und DMARC an, sodass man nur noch paar Sachen in DNS Einträge kopieren muss.

      • Mailcow ist super, habe das auch mal angetestet. Was ich für mich nicht als so einfach empfand, war ein ordentliches Backupkonzept, damit Mails auch im Fall der Fälle nicht verloren sind.
        Deswegen bin ich auf die Hosted Mailcow umgestiegen, ist auf jeden Fall auch sehr zu empfehlen.

    • Google’s G Suite kann Exchange ActiveSync und hat eine tolle Outlook Integration. Bin sehr zufrieden mit der Google Suite.

      • Devilschild says:

        @John : Hast Du dies als Privatperson oder als Firma? Wie bezahlst Du das als Privatperson? Google Irland berechnet ja nur Netto, also ohne Mehrwertsteuer. Dies hielt mich immer davon ab, das auch zu nutzen.

    • Da kann ich mailbox.org empfehlen. Die nutzen teilweise auch alle Vorteile von Exchange, setzen aber nicht auf Microsoft.

  2. Kann eigentlich sichergestellt werden, dass es nur um die Mails ging? Wenn man den Outlook/Microsoft Account hackt, müsste man ja theoretisch auch Zugriff auf OneDrive etc. haben.

    • Es wurden aber keine Accounts gehackt, zumindest soweit bekannt. An die Inhalte kam man über den Zugang eines Support-Mitarbeiters. Auf was dieser Zugriff hatte, sollte Microsoft eigentlich sehr genau wissen.

  3. Ich habe meine E-Mail bei Mailbox.org. Da kann man auch eine eigene Domain hinterlegen. Und die legen den Schwerpunkt auf Datenschutz.

    • Das schütz auch nicht unbedingt vor solchen Zwischenfällen. Und es ist ja nicht so, dass Microsoft oder auch anderen Anbietern der Datenschutz völlig egal wäre.

  4. Klar, der Angriff auf Outllook war schlimm und schlimm, dass dieses möglich war. Aber so ganz verstehe ich die Aufregung nicht, dass Zugriff auf den Inhalt der Mails möglich war.

    E-Mails sind nicht dazu da, dass man sie nicht lesen kann. Es sind Postkarten, der Inhalt ist weder vor Veränderung noch vor Lesen dritter geschützt. Wer das möchte, muss sie verschlüsseln und signieren, PGP wäre ein Beispiel. Dann hätte der Angriff auch keine Nachrichteninhalte zu Tage gefördert, bzw. nur den Verschlüsselten Salat.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.