Die Datenschutz-GAUs in Office 365

Click-to-Run, so nennt Microsoft die Installationsmethode seines Büro­pakets, ist eine feine Sache. Hat man einen Account beim Windows-Konzern, ist mit einem Mausklick die Software installiert und die Verbindung zur Microsoft-Cloud hergestellt. Doch wie sieht es dabei aus in Sachen Datensicherheit und Datenschutz?

Um die Kommunikation von Office 365 untersuchen zu können, wurde die Software in einem Linux-QEMU-Käfig in­stalliert und wir konnten so durch einen zwischengeschalteten Proxy jedes Bit mitschneiden, das die Office-Suite mit der Außenwelt austauscht. Die Details sind dem Artikel „Auf Nummer sicher“ auf Seite 112 zu entnehmen, der zeigt, wie man ein System aufbaut, mit dem man seine Office365- (und Windows-10-)Installa­tion selbst untersuchen kann.

Vorab sei verraten: Die Ergebnisse unserer Untersuchungen waren erschreckend. Doch der Reihe nach. Nachdem er sein Office 365 in der Cloud freigeschaltet hat, bekommt der Benutzer einen Link zu einem ausführbaren Programm. Dieser sogenannte Click-to-Run-Installer holt sich die einzelnen DLLs, Programmteile und Komponenten auf den Clientrechner. Das funktionierte auch durch den Man-in-the-Middle-Proxy problemlos – und führte zu ersten Irritationen.

Kein Zertifikat-Pinning mehr

Denn Microsoft setzt zur Softwareverteilung ein Zertifikat mit 14 Wildcard-Domains ein. Sobald also nur von einem der Verteilserver das Zertifikat abhandenkommt, ist die globale Office-365-Infrastruktur in Gefahr. Der komplette Prozess läuft für den Kunden völlig intransparent ab, ein Zertifikat-Pinning wie beim Windows-Update gibt es offenbar bei Click-to-Run nicht mehr. Das ist schade und ein klarer Rückfall gegenüber dem MSI-Installer und dem Windows Update in Office 2013. Dazu bedürfte es auch nicht des mittlerweile wegen mangelnder Akzeptanz abgekündigten HTTP Public Key Pinning (HPKP). Denn Microsoft hätte die Zertifikate wie beim Windows-Update fest in den Installer schreiben können. An anderer Stelle setzt Microsoft auch weiterhin auf Zertifikat-Pinning – dazu später mehr.

Nach der Installation überträgt Office 365 erst einmal megabyteweise Daten zu Microsoft, und zwar nicht irgendwelche Daten, sondern Informationen zu den aufgerufenen Programmen et cetera, sogenannte Telemetriedaten, die Datenschützer als personenbezogene Daten betrachten. Da die zugehörige Einverständniserklärung erst anschließend beim Anmelde­dialog eingeholt wird, ist dies nicht erst seit DGSVO-Inkrafttreten nicht gesetzeskonform. Da ist nicht nur bei der Reihenfolge gepatzt worden, es werden auch, schlimmer noch, die Betriebssystemeinstellungen zur Übermittlung von Telemetriedaten einfach ignoriert.

Nach dem Starten der ersten Office-Anwendung – bei uns war es Word – muss man sich mit seinem Office-365-Account anmelden. Hier wartete die zweite Überraschung auf uns: Das Login-Passwort wird im Klartext übermittelt, man konnte es via MITM-Proxy auslesen. Dass schon im letzten Jahrhundert Passwörter nur noch als Salted Hash übertragen werden sollten, damit sie nicht mitgelesen werden können, hat Microsoft ignoriert. Eine TLS-Verschlüsselung kann kein Grund für einen Verzicht auf ein Hashing des übertragenen Passworts sein. Denn zum einen gibt es ja offensichtlich MITM-Angriffe, zum anderen wird Microsoft die Passwörter nicht ernsthaft im Klartext speichern wollen – es gibt keinen Grund, warum ein Dienstleister ein Kundenpasswort im Klartext erhalten sollte.

Obendrein kommt, kaum noch überraschend, auch beim Login-Server das fehlende Zertifikat-Pinning dazu. Aber das fehlte ja auch schon beim Download-Server. Die Redmonder haben dieses Verfahren aber nicht ganz vergessen: Beim Kaufvorgang weist sich Microsoft Lizensierungsserver brav per Zertifikat-Pinning aus. First things first ...

Digitaler Manchester­kapitalismus integriert

Sobald man ein Office-Produkt nutzt und mit dem Internet verbunden ist – also ­quasi immer –, wird aufgezeichnet und übermittelt, wer wann welches Dokument geöffnet hat, welche Templates dafür benutzt wurden, wann es gespeichert wurde sowie allfällige Interaktionen mit SharePoint. Da lacht der Chef und der Betriebsrat wundert sich. Denn auch die Geschäftsleitung könnte via Man-in-the-Middle-Proxy auf diese Daten zugreifen, fertige Produkte sind für kleines Geld zu haben. Dass solche minutiösen Arbeitnehmerüberwachungen in Europa illegal sind, scheint Microsoft nicht zu interessieren.

Erwartet jetzt noch jemand eine Ende-­zu-Ende-Verschlüsselung mit eigener Schlüsselherrschaft in Richtung SharePoint-Cloud- oder Cloud-Storage? Wohl kaum. Die Daten sind nur während des Transports durch TLS mit dem erwähnten Zertifikatschaos gesichert. Ob jemand mitlesen kann, weil er im Besitz eines der vielen Zertifikate ist, weiß man nicht.

Fazit

Ein sicherer, datenschutzkonformer Betrieb von Office365 würde erst einmal erfordern, dass sich Microsoft an geltende EU-Gesetze hält, also personenbezo­gene Daten wie die Telemetrieinforma­tionen nur nach Einwilligung überträgt. Zudem sollten die Daten schon lokal verschlüsselt und Schlüssel nebst Schlüssel­management zu 100% transparent in die Hand des Benutzers gelegt werden. Und eine Passwortübermittlung im Klartext geht gar nicht. Dass Microsoft nur den Lizenzserver per Zertifikat-Pinning autorisiert, lässt tief blicken in Sachen Prioritätssetzung.

Beim derzeitigen Stand der Dinge bleibt nur der Rat, als Büropaket weiterhin Office 2013 zu nutzen, installiert mittels MSI Installer von einem vertrauenswürdigen Medium – DVDs are still alive! Arbeitnehmer, denen man Office 365 zumutet, sollten Kontakt zum Betriebsrat aufnehmen und schon einmal die Telefonnummer des Datenschutzbeauftragten heraussuchen.

Eine Stellungnahme von Microsoft stand bis Redaktionsschluss aus. Wir haben wegen der Passwortübermittlung im Klartext und des fehlenden Zertifikat-­Pinnings am 3. April eine Incident Submis­sion beim US-CERT eingereicht, die dort unter 2019-USCERTv335YTJP geführt wird.

Kurz vor Redaktionsschluss erreichte uns die Mitteilung, dass die Kritik der niederländischen Behörde an den Datenschutzverstößen beim Einsatz der Enterprise-Version von Microsoft Office die EU-Datenschutzbehörde EDPS auf den Plan gerufen hat. Die untersucht, ob die Verträge der EU-Dienststellen mit Microsoft der Datenschutzgrundverordnung (DSGVO) entsprechen. Eine gute Gelegenheit auch für die deutschen Datenschützer, bei diesem Thema eine schärfere Gang­art einzulegen. (js@ix.de)

Lukas Grunwald

arbeitet bei DN-Systems in Hildesheim und ist in diverse freie Softwareprojekte involviert.