Office: Bevorzugtes Angriffsziel, und Microsoft bessert wegen DSGVO nach

Nach ziemlicher Kritik wegen der Datenerfassung in Microsoft Office könnte sich was tun. Microsoft hat in der Microsoft Office Insider Preview Build 1904 wohl zwei Optionen zur besseren Kontrolle der Telemetriedaten eingeführt. Microsoft Office erweist sich zudem als bevorzugtes Ziel von Cyberangriffen.

Microsoft Office und der Datenschutz

Ich nutze hier keine Insider Preview von Microsoft Office und auch die Office 2019-Installation dümpelt ungenutzt auf einer Testmaschine. Aber Windows United berichtet in diesem Artikel, dass Microsoft 'die Datenschutzkontrolle für Benutzer zurückbringe' und mehr Daten über die gesendeten Daten gewähre.

Zwei neue Optionen für Datenschutz

In den Optionen unter Kontodatenschutz können Benutzer nun zwei Optionen auswählen, um 'Erforderliche Diagnosedaten' oder auch 'Optionale Diagnosedaten' übermitteln zu lassen. Zu den erforderlichen Diagnosedaten gehören Informationen, um die Dienste zu verbessern sowie Details zu Programmabstürzen oder sonstigen Bugs. Diese Daten werden auf jeden Fall an Microsoft zur Analyse weitergeleitet. Die Funktion dürfte in den kommenden Wochen auch für reguläre Nutzer von Microsoft Office 365 ausgerollt werden.

Reicht das für den Einsatz in Unternehmen aus?

Allerdings stellt sich die Frage, ob das für den Einsatz in Unternehmen wirklich ausreicht. Es gibt ja mehrere Baustellen diesbezüglich. Da Microsoft Office u.a. auch in niederländischen Behörden zum Einsatz kommt, hat man dort das Produkt aus DSGVO-Sicht durchleuchten lassen. Die beauftragten Prüfer stellten fest, dass die in Microsoft Office ProPlus erhobenen Diagnosedaten nicht mit der DSGVO konform sind. Ich hatte im Blog-Beitrag Microsoft Office spioniert Nutzer aus, kollidiert mit DSGVO berichtet. Microsoft hat dann zugesagt, Office Pro Plus DSGVO-konform nachzubessern (siehe Microsoft will Office Pro Plus DSGVO-konform nachbessern).

Der EU-Datenschutzbeauftragte hat ja eine Untersuchung bzgl. der Verwendung von Office-Produkten in EU-Behörden samt Analyse der Verträge mit Microsoft eingeleitet (siehe EU-Datenschutzbeauftragter untersucht Microsoft-Produkte). Dort wird explizit der obige Bericht der Niederländer erwähnt. Alle EU-Institutionen, die Microsoft Office-Anwendungen nutzen, werden wahrscheinlich mit ähnlichen Problemen konfrontiert sein.

Office bevorzugtes Angriffsziel

Zudem hat Heise sich mit dem Thema Sicherheit und Datenschutz befasst und gravierende Schwachstellen in diesem Bereichen festgestellt. Speziell die Cloud-Anbindung bei Office 365 wird moniert. Zitat 'Leider entspricht diese [s Office 365] weder europäischen Datenschutzvorschriften noch aktuellen Sicherheitsvorgaben'. Allerdings ist der Beitrag nur für Abonnenten von Heise abrufbar, weshalb ich das nicht weiter thematisiere.

(Angegriffene Plattformen, Quelle: Kaspersky/ZDNet)

Die Sicherheitsforscher vom Kaspersky Lab haben sich mal die Cyberangriffe im 4. Quartal 2018 angesehen. Die Ergebnisse wurden auf einer Sicherheitskonferenz präsentiert. Die Kurzfassung: 70 Prozent aller Angriffe in diesem Zeitraum zielten auf Microsoft Office, um dort Schwachstellen – ggf. über Office-Dokumente – auszunutzen. Das ist eine vierfache Steigerung gegenüber einem Zeitraum zwei Jahre davor. Einen Blog-Beitrag von Kaspersky gibt es hier.

Laut Kaspersky gilt: "Keine der am häufigsten ausgenutzten Schwachstellen befindet sich in MS Office selbst. Vielmehr existieren die Schwachstellen in verwandten Komponenten." So wirken sich beispielsweise zwei der am häufigsten ausgenutzten Schwachstellen, CVE-2017-11882 und CVE-2018-0802, auf die Legacy Equation Editor-Komponente von Office aus. Da gibt es also ein Problem mit der Office-Automatisierung. Details lassen sich hier und hier nachlesen.

Ähnliche Artikel:
EU-Datenschutzbeauftragter untersucht Microsoft-Produkte
Microsoft Office spioniert Nutzer aus, kollidiert mit DSGVO berichtet
Microsoft will Office Pro Plus DSGVO-konform nachbessern).