Ich fasse mal einige Informationen rund um Microsoft Teams, die mir in den letzten Tagen untergekommen sind, in einem Sammelbeitrag zusammen. Teams kann ab Dezember 2025 den Aufenthaltsort des Benutzers über die WLAN-Verbindung erfassen – was als Home Office-Überwachung durch die Medien geht. Dann gibt es eine neue Technik, die es ermöglicht, unter Windows verschlüsselte Authentifizierungstoken aus Microsoft Teams abzuziehen und dann auf Inhalte zuzugreifen. Und Microsoft vereinheitlicht die Verwaltung der Verfügbarkeit von Apps und Agenten in Teams, Outlook und den Microsoft 365-Verwaltungszentren.
Teams Zugriffstokens abgreifbar
Sicherheitsforscher haben eine neue Technik entwickelt, die es Angreifern ermöglicht, verschlüsselte Authentifizierungstoken aus Microsoft Teams unter Windows zu extrahieren und so unbefugten Zugriff auf Chats, E-Mails und SharePoint-Dateien zu erhalten.
Diese Zugriffstoken ermöglichen es Dritten, sich als jemand anderes auszugeben, und dann beispielsweise Teams-Nachrichten oder E-Mails im Namen der Opfer zu versenden. Angreifer können dies für Social Engineering oder Persistenz ausnutzen.
Diese Methode umgeht die jüngsten Sicherheitsvorkehrungen und birgt Risiken für laterale Bewegungen und Datenexfiltration in Unternehmensumgebungen, heißt es in obigem Tweet, der mir die Tage unter die Augen gekommen ist. Sicherheitsforscher Brahim El Fikhi hat das Ganze am 23. Oktober 2025 offen gelegt. Cyber Security News hat die Details im Beitrag Hackers Can Access Microsoft Teams Chat and Emails by Retrieving Access Tokens aufbereitet.
Teams erfasst ab Dez. 2025 den Standort
Die Tage ging die Information durch die Medien, dass Microsoft Teams demnächst Home Office-Nutzer überwachen könne. Nachfolgender Tweet greift das auf und bei Golem gab es den Beitrag Microsoft Teams erkennt künftig Homeoffice-Arbeit dazu.
Hintergrund des Ganzen ist die Ankündigung MC1081568 – Microsoft Teams: Automatically set work location by connecting to a Wi-Fi network Microsofts vom 24. Oktober 2025 im Microsoft 365 Message Center. Die Aussage lautet, dass Microsoft Teams ab Dezember 2025 weltweit eine Funktion bekommt, mit der es den Standort des Geräts über eine WLAN-Verbindung bestimmen kann. Diese Meldung gilt für Teams für Windows-Desktop und Teams für Mac-Desktop.
Wenn Benutzer eine Verbindung zum WLAN ihres Unternehmens herstellen, kann Teams den Arbeitsort automatisch so festlegen, dass er das Gebäude widerspiegelt, in dem der Anwender arbeiten. Dies soll Benutzern, die Arbeit erleichtern, um sich mit ihren Kollegen zu koordinieren und persönlich in Kontakt zu treten.
Mit dieser Funktion können Administratoren WLAN-Netzwerke und Geräte Gebäuden zuordnen, sodass der Arbeitsort der Benutzer automatisch aktualisiert wird, wenn diese sich per WLAN verbinden. Dies sei eine wesentliche Verbesserung gegenüber der aktuellen Vorgehensweise, bei der Endbenutzer ihren Arbeitsort manuell festlegen müssen. Wenn diese Funktion konfiguriert und aktiviert ist, kann Teams den Arbeitsort von Benutzern, die ihren Laptop mit dem WLAN-Netzwerk oder den Peripheriegeräten Ihres Unternehmens verbinden, automatisch aktualisieren.
Die Funktion kann die Zuordnung zwischen Gebäudenamen und WLAN-Netzwerken nutzen, um den Arbeitsort der Benutzer auf das richtige Gebäude festzulegen, schreibt Microsoft. Sie kann auch Zuordnungen zu bestimmten Peripheriegeräten, wie z. B. Monitoren, nutzen. Teams verwendet dieselbe Richtlinie, um automatische Aktualisierungen des Arbeitsorts für WLAN und Peripheriegeräte zu aktivieren oder zu deaktivieren.
Diese Opt-in-Funktion erfordert jedoch eine Konfiguration durch den Administrator und berücksichtigt die Arbeitszeiten und Datenschutzkontrollen der Benutzer, schreibt Microsoft. Teams aktualisiert den Standort der Benutzer nicht, wenn diese sich nach ihrer Arbeitszeit per WLAN verbinden (die sie im Microsoft Outlook-Kalender konfigurieren können). Außerdem wird der Arbeitsort am Ende ihrer Arbeitszeit gelöscht.
Nachdem die Funktion aktiviert wurde, behalten Endbenutzer aber die Kontrolle und können wählen, ob sie ihren Arbeitsort mit ihren Kollegen teilen möchten. Die automatische Aktualisierung des Arbeitsorts ist standardmäßig deaktiviert, kann jedoch die Benutzererfahrung erheblich verbessern, meint Microsoft. Es gibt ein neues PowerShell-Cmdlet New-CsTeamsWorkLocationDetectionPolicy, mit dem Administratoren den Standort abfragen können. Alles in allem ist es also keine "Home Office-Anwesenheitsüberwachung", auch wenn jemand da was basteln könnte – was aber in Deutschland eher unzulässig sein dürfte.
Unified App-Management
Bisher mussten IT-Administratoren die Verfügbarkeitseinstellungen von Apps separat im Microsoft 365 Admin Center (MAC) und im Teams Admin Center (TAC) konfigurieren, was zu Unstimmigkeiten führte. Daher vereinheitlicht Microsoft die Verwaltung der Verfügbarkeit von Apps und Agenten in Teams, Outlook und Microsoft 365 Admin Centern, um einheitliche Richtlinien zu gewährleisten.
Die Einführung beginnt Ende September 2025 in drei Phasen, wobei Einstellungen synchronisiert und eine konsolidierte Verwaltungsumgebung bereitgestellt werden.
- Phase 1 (Vereinheitlichung der Standardmandanten) startet im September 2025.
- Phase 2 (Vereinheitlichung geänderter Mandanten) beginnt im November 2025.
- Phase 3 (Automatische Vereinheitlichung übrig gebliebener Mandanten) bis Ende Juni 2026.
Die Ankündigung findet sich im Microsoft 365 Message Center unter MC796790 – (Update)Microsoft 365 and Microsoft Teams: Unified management of Teams apps in Teams, Outlook, and the Microsoft 365 app. Dort lassen sich die Details zu den einzelnen Phasen nachlesen.
MVP: 2013 – 2016
Es hießt in dem Golem oder Heise Bericht dass Anwender in der Vergangenheit ihr Heim WLAN in das der Firma umbenannt hätten, um so Anwesenheit in der Firma vorzutäuschen. Wobei mich da wundert, dass es doch in der Firma auffallen müsste, wenn man nicht anwesend ist ?!?
Klar sollte das auffallen.
Zumindest in der EU sind die Firmen ja verpflichtet zur Zeiterfassung.
Und da fällt es dann auf, wenn im Zeiterfassungssystem ein Mitarbeiter als nicht anwesend zu sehen ist.
Da kann ich nur lachen. Was Firmen eigentlich alles (sinnvolles!) machen sollten, aber eben nicht machen, ist ein riesiger Spalt.
So auch bei der digitalen Zeiterfassung. In meinem Umfeld wird bei ca. 50 % der Arbeitgeber keine Zeiterfassung gemacht. Kein Stempeln, kein Einbuchen, keine Excel-Tabelle, kein gar nix. Und nein, das sind keine kleinen Krauter. Da sind auch Mittelständler mit dreistelliger Mitarbeiteranzahl dabei.
Überall wo es primär Gehaltsempfänger und keine Lohnempfänger gibt, interessiert das Thema nicht.
Ob das Thema interessiert oder nicht:
Es gibt ein Urteil des EUGHs, das jede Firma in der EU zur Zeiterfassung zwingt!
Ja, es gibt Firmen, die kein Zeiterfassung haben, aber sie müssen sie haben.
Wenn es dumm kommt, klagt dann ein Arbeitnehmer und die Firma darf dann satte Strafen zahlen.
Und selbst die Zeiten, die jemand im Homeoffice tatsächlich arbeitet, müssen erfasst werden!
Tja dann kommt ganz schnell ein Excel mit zufälligen Zahlen und Schwups ist alles OK, denn ist defniert, das die Arbeitszeiten protokolliert gehören, jedoch nicht in welcher Art und Weise :)
Warum sollte ich meinen Arbeitnehmer deswegen verklagen? Ich bin doch froh dass ich nicht mit dem Mist genervt werde. Ich schreibe die berechenbaren Stunden auf und gut ist.
1. stempeln außertarifliche MA in der Realität nicht.
2. das Zeiterfassungs-System ist in manchen Firmen auch auf dem Laptop oder Smartphone drauf. Da hat man sozusagen die Stempeluhr dabei.
Es gibt kein Gesetz welches in Deutschland Firmen zur Zeiterfassung zwingt oder verpflichtet. Es gibt lediglich EU-Rechtssprechung, diese ist nicht verbindlich. Das Urteil des Bundesarbeitsgerichtes dazu ebenfalls nicht.
Das deutsche Arbeitszeitgesetz (ArbZG) regelt zwar grundsätzlich Höchstarbeitszeiten und Pausen, schreibt aber keine generelle Pflicht zur systematischen Dokumentation der Arbeitszeit für alle Betriebe vor.
"Es gibt kein Gesetz welches in Deutschland Firmen zur Zeiterfassung zwingt oder verpflichtet. Es gibt lediglich EU-Rechtssprechung, diese ist nicht verbindlich. Das Urteil des Bundesarbeitsgerichtes dazu ebenfalls nicht."
Gewagte These, es sei denn du bist Anwalt mit Fachgebiet Arbeitsrecht. Das sieht das BMAS nämlich anders: https://www.bmas.de/DE/Arbeit/Arbeitsrecht/Arbeitnehmerrechte/Arbeitszeitschutz/Fragen-und-Antworten/faq-arbeitszeiterfassung.html
Die Firma ist verpflichtet?
Hahaha.
Der Mitarbeiter wurde bei uns verpflichtet.
Mit allen Risiken.
Wer einen Desktop hat, interessiert sich nicht für diese WLAN-Geschichte.
Denn die sind i.d.R. per LAN mit dem Router verbunden und wissen daher nichts von der WLAN-Umgebung.
die Auto-Location das gab es schon vor Urzeiten (auf IP-Ebene) bei Skype for Business (oder war es sogar schon bei LCS bzw OCS, kann mich nicht mehr genau erinnern)
Klar gibts die, aber z.B. bei mir zeigt die völlig falsche Werte an.
Meine IP wird irgendwo 200 km entfernt von meinem tatsächlichen Standort verortet.
da gings eher um interne IPs (jeder Standort hat ein anderes Subnetz) und externe IPs alles was externe IP hat ist dann halt "mobiles arbeiten" at home oder beim Kunden etc
In Zeiten von DS-Lite mit CG-NAT ist die Lokation einer IP-Adresse (zumindest bei IPv4) auch nicht aussagekräftig. Das wird dann vermutlich auch bei dir der Grund für "fehlerhafte" Anzeige sein. Denn die öffentliche Adresse sitzt dann ja beim Provider und nicht am Anschluss des Teilnehmers.
Die IP-Adresse ist egal. Die Android-Smartphones scannen ständig die Umgebung nach WLAN-SIDs und Macadressen, und kombiniert mit GPS-Daten vom Handy weiß Google ganz genau wo welches WLAN ist, spätestens ein paar Stunde nachdem es in Betrieb genommen wurde. Wenn Teams jetzt diesen Datenschatz benutzt ist das nicht mal besonders kreativ.
Viele Firmen haben nur noch Laptops.
Eine ziemlich fadenscheinige Ausrede von Microsoft für die eingebaute Überwachung. Warum nur wird es immer schlimmer. Enshitification pur. Der angebliche Gewinn ist genau gleich Null. Wenn ein Arbeitgeber Dich in dieser Art und Weise überwacht, solltest Du schleunigst zu einem Arbeitgeber wechseln, der seine Mitarbeiter wertschätzt und nicht überwacht und gängelt. Dadurch unterscheiden sich die Unternehmen. Höchstleister haben das nicht nötig. Die Zeiterfassung dient ausschließlich der Arbeitssicherheit. Ich habe Vertrauensarbeitszeit und dennoch ein genaues Protokoll über meine Arbeitszeiten, aber aus eigenem Interesse und nicht weil der Arbeitgeber will. Und mein Vorgesetzter mußte sich auch damit abinden, daß ich keinen Status in WebEx habe. Punkt.
Hab gestern das neue MagentaTV Gerät der Telekom in Betrieb genommen. Das läuft unter Android, mit Google-Account, und es fragt zumindestens, ob es per WLAN den Standort bestimmen darf. Darf es bei mir nicht, es hat eine Kabelverbindung zum Router. Ob sich Google daran hält?
> Hab gestern das neue MagentaTV Gerät der Telekom in Betrieb genommen.
Meinst Du den MediaReceiver? Weil was ist ein MagentaTV Gerät?
Der MediaReceiver ist das alte Gerät, das ist mit dem neuen MagentaTV der Telekom nicht mehr kompatibel. Gänseblümchen meint mit ziemlicher Sicherheit den "MagentaTV One" Receiver, den hat mein Bruder auch, das Ding läuft mit AndroidTV als Betriebssystem.