Untersuchung in den Niederlanden
19.11.2018, 14:33 Uhr
Schwere Datenschutzmängel in Microsoft Office entdeckt
Eine Datenschutz-Folgenabschätzung im Auftrag der niederländischen Regierung hat schwere Datenschutzmängel in Microsofts Office ProPlus offenbart. Demzufolge telefoniert die Produktiv-Suite öfters und in grösserem Masse nach Hause als bisher angenommen.
Die Compliance- und Datenschutzspezialisten der Privacy Company haben im Auftrag des niederländischen Ministeriums für Sicherheit und Recht eine Datenschutz-Folgenabschätzung (DPIA) für Microsoft Office durchgeführt. Die DPIA behandelt Office ProPlus und attestiert der Lösung gravierende Datenschutzmängel. Neben den üblichen Diagnosedaten übertrage die Software der Redmonder in den Standardeinstellungen auch personenbezogene Daten an die Server des Herstellers. In den Niederlanden wird die Software von 300.000 Mitarbeitern verschiedener Regierungsorganisationen wie Ministerien, Justiz, Polizei und mehr eingesetzt.
Diese Daten sammelt Microsoft
Der frei verfügbare Bericht [PDF] behandelt, wie Microsoft systematisch und in grossem Umfang Daten über die individuelle Nutzung von Word, Excel, PowerPoint und Outlook erfasst - ohne transparent über diese Praxis zu informieren. Darüber hinaus biete Microsoft keine Auswahlmöglichkeit zur Eingrenzung oder Deaktivierung der Datensammlung. Ferner sei auch das Einsehen der übertragenen Daten nicht möglich.
Ähnlich wie in Windows 10 haben die Redmonder in die Office-Software eine separate Lösung integriert, die regelmässig Telemetriedaten an ihre eigenen Server in den USA sendet. Microsoft sammelt beispielsweise Informationen über Ereignisse in Word, wenn Nutzer die Rücktaste mehrmals hintereinander verwenden. Dies deutet darauf hin, dass mehrfache Korrekturen an einem Wort durchgeführt wurden, weil die Schreibweise unbekannt ist. Gleichermassen werden auch ganze Sätze vor und nach einzelnen Wörtern übertragen, die der Nutzer etwa mit der Online-Rechtschreibprüfung oder dem Übersetzungsdienst nachgeschlagen hat.
Darüber hinaus speichert Microsoft nicht nur Nutzungsdaten über den eingebauten Telemetrie-Client, sondern erfasst und speichert auch die individuelle Nutzung von Connected Services. Wenn Anwender etwa über die Office-Software auf einen verbundenen Service wie den Übersetzungsdienst zugreifen, kann Microsoft die personenbezogenen Daten über diese Nutzung in systemseitig generierten Ereignisprotokollen speichern.
Die Privacy Company räumt in einem Blogpost zur Datenschutz-Folgenabschätzung zwar ein, dass Microsoft für seine Web-Dienste allein aus technischer Sicht auf die Erhebung von gewissen Daten wie Mail-Header oder IP-Adresse angewiesen ist. Allerdings sollten diese Daten nicht dauerhaft gesichert werden, es sei denn für berechtigte Sicherheitsbelange.
Insgesamt werden von Microsoft laut eigenen Aussagen 23.000 bis 25.000 unterschiedliche Events in der Software getrackt und zur Untersuchung an die Server des Unternehmens übertragen. Mit der Ausarbeitung sind 20 bis 30 Ingenieurteams beschäftigt. Damit falle die Datensammlung und Datenauswertung bei Office ProPlus sehr viel breiter aus als bei Windows 10 - und selbst dort musste Microsoft auf Druck von Datenschützern und Behörden nachbessern.
Im Blog der Privacy Company heisst es weiter, dass Microsoft bereits Zusagen gemacht habe, seine Software an die Datenschutzbelange anzupassen. So werde etwa an einem Tool zur Betrachtung von Telemetriedaten gearbeitet. Ausserdem habe man eine Einstellung (Zero-Exhaust) entwickelt, die den Datenabfluss verhindere.
Datenschutzrisiken in Microsoft Office einschränken
Bis die Änderungen von den Redmondern durchgeführt werden, bleiben die Datenschutzrisiken in Office für die Nutzerschaft aber weiterhin bestehen. Die Privacy Company rät daher Administratoren und Nutzern folgende Ratschläge zu beachten, um die Gefahren für den Datenschutz abzumildern:
- Übernahme der neuen Zero-Exhaust-Einstellung
- Nutzung von Connected Services untersagen
- Datenübertragung zur Verbesserung von Office generell untersagen
- SharePoint Oneline / OneDrive nicht benutzen
- Die reine Web-Version von Office 365 nicht nutzen
- Regelmässiges Löschen und Neuanlegen des Active-Directory-Kontos von VIP-Benutzer, um sicherzustellen, dass Microsoft die historischen Diagnosedaten löscht.
- Nach Möglichkeit auf eine Lösung wechseln, die ohne Microsoft-Account funktioniert.
- Den Einsatz von alternativer Office-Software zur Verarbeitung sensibler Daten in Betracht ziehen (Im Einklang mit dem Vorhaben der niederländischen Regierung, Open-Source-Software zu fördern).
Speziell der letzte Ratschlag der Privacy Company dürfte für Schnappatmung bei so manchem Microsoft-Manager gesorgt haben. Die Office-Lösung der US-Amerikaner ist zwar weit verbreitet, aber noch lange nicht alternativlos. Wenn Hersteller die EU-Vorgaben in Sachen Datenschutz nicht einhalten können oder wollen, muss eben datenschutzfreundlichere Software gesetzt werden.
Freilich herrscht nicht nur bei Microsoft Nachholbedarf beim Datenschutz. Auch andere IT-Riesen wie Google, Apple, Samsung oder Facebook sollten ihren Geschäftspartnern und der Nutzerschaft mit mehr Transparenz begegnen, zumal die Tech-Unternehmen oft massiv von den gesammelten Daten profitieren.