Mitarbeiter und Abgeordnete des EU-Parlaments müssen Microsoft Outlook nutzen, wenn sie Zugriff auf die offizielle Mailinfrastruktur haben wollen. Viele nutzen das auch mobil. Der IT-Service des EU-Parlaments warnte heute in einer Mail vor schwerwiegenden Sicherheitsmängeln und fordert die Löschung der App sowie das Neusetzen eines Passwortes. Das ist die Mail:
Schwerwiegende Sicherheitsmängel
Sehr geehrte Benutzerin, Sehr geehrter Benutzer,
Die Microsoft Outlook Software für mobile Geräte, die letzte Woche für das Betriebssystem iOS veröffentlicht wurde und in Kürze für Android (Microsoft Outlook Preview) folgt, hat schwerwiegende Sicherheitsmängel.
DG ITEC hat den Zugriff dieser Software auf die E-Mail Konten des Europäischen Parlaments blockiert, um den Datenschutz und die Vertraulichkeit der Anwender zu gewährleisten.
Bitte sehen Sie von der Installation dieser Software ab. Falls Sie diese Anwendung bereits für Ihre EP-Mail nutzen, löschen Sie bitte Microsoft Outlook auf Ihrem mobilen Gerät. Anschließend sollten Sie Ihr Passwort ändern. Weitere Informationen finden Sie auf der ITECnet-Website hier.
Vielen Dank im Voraus für Ihr Verständnis und Ihre Zusammenarbeit.
ITEC Service Desk for Members steht Ihnen in dieser Angelegenheit telefonischen unter der Durchwahl 83800 oder per E-Mail unter itecsdmep@ep.europa.eu zur Verfügung.
Mit freundlichen Grüßen,
ITEC Service Desk for Members
Ich gehe davon aus, dass es sich um reguläre Exchange-Postfächer handelt. Beim neuen iOS Outlook handelt es sich um das von Microsoft aufgekaufte und gerebrandete Accompli, das E-Mails und Zugangsdaten extern zwischenspeichert und eben deshalb bedenklich ist.
Sein Einsatz ist aber auch gar nicht nötig, denn der integrierte Exchange-Client von iOS funktioniert ja auch wunderbar und meines Wissens nach mit allen Kontentypen, die Accompli unterstützt.
@joshua: da geb ich Dir vollkommen Recht. Auf meinem dienstlichen Android Handy nutzen wir ebenfalls das interne Exchange Konto. Damit kann man alles machen was man auch am PC machen kann und das Konto greift direkt auf den eigenen Exchange Server zu.
Mails, Kontakte, Termine usw. funktionieren 1a auch als Push oder manueller Synchronisation
Gruß
Edit: was ich noch vergessen habe ist, das man z.B. über Outlook Web Access sein Handy zurücksetzen bzw. löschen kann und das die Sicherheitseinstellungen zentral und remote mit verwaltet werden können.
besten Gruß von der Hintertür!
Auch sonst scheint die IT-Sicherheit nicht besonders ernst genommen zu werden:
Bei ECAS, dem European Commission Authentication Service ist z.B. wohl einiges verkehrt gelaufen bei der SSL/TLS-Implementierung: Qualys vergibt Note F mit Begründung: „This server is vulnerable to MITM attacks because it supports insecure renegotiation.“
https://www.ssllabs.com/ssltest/analyze.html?d=ecas.ec.europa.eu
(ECAS z.B. erreichbar unter https://myintracomm.ec.europa.eu/)
Wenn unser Steuerzahlergeld nicht gerade für Banken rausgeschmissen wird, bekommen wenigstens die Microsoft-Aktionäre es in den Arsch gestopft für fehlerhafte proprietäre Software. Was soll man von einer Plutokratie auch anderes erwarten.
Bei heise heißt es, Zugangsdaten und Passwort würden auf US-Servern gespeichert.