CCC-Sprecher Rieger vergleicht Microsoft Office mit Spyware

Einer der Sprecher des Chaos Computer Clubs (CCC), Frank Rieger, hat Microsoft Office mit Spyware verglichen – hauptsächlich wegen des Fehlens einer Abschaltmöglichkeit der Datenerfassung, das aus seiner Sicht eine Verletzung der Datenschutzgrundverordnung (DSGVO) darstellt. Außerdem fordert er, dass bis auf das Bit aufgeschlüsselt wird, welche Daten Microsoft erhebt.

Auf dem Mikrobloggingdienst Twitter berichtet Rieger davon, dass Microsoft Word, Excel, PowerPoint, Skype und weitere Office-Komponenten mittlerweile 31 verschiedene Verbindungen zu Microsoft aufbauen. Problematisch dabei ist die Tatsache, dass das Sammeln und Senden von Daten nicht komplett verhindert werden kann – es lässt sich zwar reduzieren, grundlegende Informationen werden aber immer erfasst. Als Beispiel postet Rieger eine Übersicht der Verbindungen, die alleine Microsoft Word zu Microsoft-Servern aufbaut:

Foto: Die von Rieger geposteten Verbindungen, die Microsoft Word aufbaut. | © Frank Rieger
Foto: Die von Rieger geposteten Verbindungen, die Microsoft Word aufbaut. | © Frank Rieger

Microsoft erläutert Datenerfassung in eigenem Artikel

Auf einer Support-Seite Microsofts schildert der Softwareriese Details zu Diagnosedaten in Office 365, schwerpunktmäßig geht es hier um Excel, Word, PowerPoint und Outlook für Office 365 (PC und Mac), Excel 2016, Word 2016, PowerPoint 2016, Outlook 2016 (PC und Mac), Word, Excel und PowerPoint für iPad und Excel, PowerPoint, PerformancePoint Dashboard Designer sowie Outlook für iOS und Android.

Demnach werden auf dem Basic-Level Informationen zum Verhalten der Software bei unerwarteten Abstürzen oder anderen Fehlern gesammelt. Auch installierte Add-Ins (inkl. Versionsnummer und Namen) werden ausgelesen. Außerdem wird kontinuierlich geprüft, ob Aktualisierungen bereitstehen.

Bei der vollständigen Fehleranalyse werden auch die zuständigen Speicheradressen und der Speicherstatus im RAM übermittelt. Auch wird erfasst, welche Office-Programme wie lange geöffnet sind.

Wann wird Microsoft nachbessern? Windows 10 als Positivbeispiel

Frank Rieger legt dieses Verhalten als Verstoß gegen die DSGVO aus, schließlich zählen laut dieser IP-Adressen und ausgelesene Cookies als personenbezogene Daten. Er fordert deshalb, dass die Datenerfassung zumindest optional, also abschaltbar, wird. Microsoft ist der Kritik bei der Datenschutzpolitik von Windows 10 bisher entgegen gekommen, so hab es im Rahmen des Fall Creators Update erweiterte Datenschutzeinstellungen bei Apps und der Installation des Betriebssystems. Es bleibt mit Spannung zu erwarten, wann und in welcher Form Microsoft auch bei Office nachbessert – ein solches Vorgehen würde zum seitens des Konzerns verkündeten Plan passen, weite Teile der DSGVO weltweit umzusetzen.

Bestätigt: Microsoft Office 2019 wird im nächsten Jahr erscheinen

Microsoft hat im Rahmen der Ignite-Messe (25. bis 29. September 2017 in Orlando, Florida) bestätigt, dass die nächste Office-Version, Office 2019, Ende nächsten Jahres veröffentlicht werden soll. Die Software soll sich an Privatpersonen und Unternehmen richten, die „noch nicht bereit für die Cloud“ sind. Damit spricht das Unternehmen Kunden an, die Cloud-Lösungen kritisch gegenüberstehen oder diese ablehnen. Das Unternehmen hat also erkannt, dass nicht alle User die Cloud favorisieren. Ein kompletter Umstieg auf Cloud-Lösungen, wie ihn etwa der US-amerikanische CAD-Software-Konzern Autodesk vollzogen hat, ist also in weite Ferne gerückt. Microsoft Office 2019 wird als Alternative zu Office 365 angeboten werden.

Software soll in der zweiten Jahreshälfte 2018 erscheinen

Der Softwarekonzern aus Redmond kündigte an, Office 2019 in der zweiten Jahreshälfte 2018 auf den Markt zu bringen. Außerdem sollen Microsoft SharePoint Server, Exchange Server sowie Skype for Business Server aktualisiert werden. Skype for Business soll mittelfristig durch Microsoft Teams ersetzt werden. Die neuen Microsoft-Produkte sollen ab Mitte nächsten Jahres durch die Bereitstellung von Vorab-Versionen getestet werden können.

Ausblick auf Neuerungen in Office 2019

General Manager Jared Spataro schreibt im Office-Blog schon ein wenig über die Neuerungen des Office 2016-Nachfolgers. Die Stifteingabe soll verbessert werden, realisiert wird dieses Vorhaben durch eine verbesserte Drucksensitivität und eine Neigungsberücksichtigung. Die Datenanalyse mit Excel soll durch neue Funktionen und Diagramme erweitert werden. Neue Morph- und Zoom-Animationen erhalten Einzug in PowerPoint. Auch die Server-Anwendungen sollen Optimierungen erfahren, darunter solche in puncto Sicherheit, Usability und Verwaltung.

Cloud, Cloud, Cloud – oder auch nicht!

Auf der Ignite-Messe wurden sehr viele Cloud-Lösungen präsentiert. Office 2019 zählt nicht dazu. Generell bietet Office im Gegensatz zu Office 365 ein paar Vorteile: Kaufversionen sind auf Dauer günstiger als Mietmodelle, die Lizenzen können außerdem später weiterverkauft werden. Die Programme werden auf dem eigenen Computer betrieben und sind deshalb weniger anfällig für Serverprobleme oder Sicherheitslücken.

Microsoft Security Intelligence Report: Angriffe auf Cloud-User nehmen um 300 Prozent zu

In der aktuellen Ausgabe des „Microsoft Security Intelligence Report“ äußert sich der Konzern zu sicherheitsrelevanten Fragen. Interessante Informationen gibt es unter anderem zum Cloud-Geschäft, zur Kontosicherheit und zum Thema Ransomware. Auch die Vorgehensweise von Betrügern wird erläutert und durch Statistiken angereichert.

Cloud-Dienste sind beliebtes Ziel von Hackern geworden

Immer mehr Softwarekonzerne bieten Cloud-Dienste an, dadurch steigt natürlich auch deren Verbreitung. Und generell gilt: Desto mehr Personen eine Software oder Technologie nutzen, desto attraktiver wird das Ziel für potenzielle Angreifer. Cloud-Dienste sind deshalb zu einer Zielscheibe avanciert – die Softwarekonzerne müssen sich der Verantwortung stellen, Attacken abwehren zu können und User sowie deren Daten zu schützen. Aber auch die User selbst tragen Eigenverantwortung. Eine hundertprozentige Sicherheit wird es in der Cloud nie geben. Im besten Fall halten die Konzerne hohe Sicherheitsstandards ein und reagieren schnell auf Bedrohungen.

Die größte Gefahr geht laut Microsoft von gestohlenen Anmeldedaten aus. Bei Hackerangriffen auf Drittanbieter werden oft Zugangsdaten erbeutet, die dann bei anderen Diensten getestet werden – denn nicht selten verwenden User die gleichen Zugangsdaten für unterschiedlichste Services. Für den versierteren User kaum vorstellbar, doch oftmals Realität. Hinzu kommen generell schwache und leicht zu erratende Passwörter.

Microsoft blockt 44 Prozent mehr schädliche Anmeldeversuche

Im Zeitraum zwischen dem ersten Quartal 2016 und dem ersten Quartal 2017 stieg die Anzahl der Angriffe auf Cloud-Nutzer um 300 Prozent. Im gleichen Zeitraum blockierte Microsoft 44 Prozent mehr Anmeldeversuche von IP-Adressen, die als schadhaft eingestuft werden. Die automatisierten Systeme blockieren laut Microsoft täglich Millionen von Angriffen. Trotz Sicherheitsvorkehrungen sei es versierten Hackern möglich, sich als legitime Nutzer auszugeben und Identitäten vorzutäuschen. Das erschwere den Schutz der Nutzerdaten erheblich.

Ransomware: Begegnungsraten geben Aufschluss über Verbreitung

Die Begegnungsraten geben Aufschluss darüber, wie viele User mit Ransomware in Kontakt gekommen sind. In den USA, Japan und China gibt Microsoft die Begegnungsraten mit unter 0,02 Prozent an, während sie in europäischen Staaten (u.a. Spanien, die Tschechische Republik und Italien) bei 0,14 bis 0,17 Prozent. Michael Kranawetter, National Security Officer bei Microsoft, betont: „In dieser digitalen und damit stark vernetzten Welt kommt es darauf an, aktuelle Bedrohungslagen in Echtzeit zu erkennen und Schwachstellen oder Einfallstore schnell zu schließen.“

Fazit: Vorsicht bei der Speicherung sensibler Daten!

Laut Microsoft waren im ersten Quartal 2017 nur 73 Prozent der Computer weltweit mit einer Echtzeit-Sicherheitssoftware ausgestattet. In Kombination mit den oftmals schwachen Passwörtern und der Tatsache, dass Passwörter nicht selten mehrfach genutzt werden, gehen User ein großes Risiko ein. Bei Cloud-Diensten muss man auch auf die Infrastruktur des Anbieters vertrauen – eine hundertprozentige Sicherheit wird es aber niemals geben. Deshalb gilt: Seien Sie vorsichtig mit der Sicherung sensibler Daten auf Cloud-Servern, bevorzugen Sie die Absicherung Ihres Firmennetzwerks. Es gilt abzuwägen, ob der praktische Nutzen von Cloud-Services den Sicherheitsaspekt übertrifft – das muss im Einzelfall entschieden werden.

Amtsgericht Wuppertal: Student verkauft Microsoft-Lizenzen aus Uni-Systemen

Ein Student aus dem nordrhein-westfälischen Heiligenhaus wurde vom Wuppertaler Amtsgericht für schuldig befunden, Microsoft-Lizenzen illegal weitergegeben zu haben. Auf einer Internet-Plattform verkaufte der Angeklagte die eigentlich kostenlosen Microsoft-Lizenzen aus den Studenten-Systemen der Bergischen Universität Wuppertal und der Fernuniversität Hagen.

Vergleichsweise mildes Urteil: Täter geständig

Dem Angeklagten wurden serienmäßiger Betrug und Verstoß gegen das Urheberrecht vorgeworfen. Das Gericht befand den Angeklagten in sämtlichen der 220 Fälle für schuldig. Der entstandene Schaden beläuft sich auf 139.000 Euro. Es wurden Lizenzen von Microsoft Office, Windows und Windows Server veräußert. Da der Angeklagte geständig war, fiel das Urteil vergleichsweise milde aus: Neben einer Bewährungsstrafe von zwei Jahren muss der Verurteilte eine monatliche Strafzahlung für mindestens vier Jahre leisten. Die Verteidigung erklärte, der Angeklagte schäme sich für sein Handeln. Durch den Verkauf beglich er zunächst Mietrückstände, später zahlte er mit dem Geld Restaurantbesuche mit Freunden.

Betrug durch Zufall aufgedeckt

Bei einer routinemäßigen Prüfung der Universität Wuppertal flog der ganze Schwindel auf. Nachdem die Aktivierungen festgestellt wurden, kontaktierte die Uni Microsoft. Microsoft ermittelte daraufhin den Täter. Immer wieder werden Lizenzen verkauft, die entwendet worden sind. Achten Sie deshalb vor dem Kauf darauf, dass Sie es mit einem seriösen Händler zu tun haben. Denn auch wenn die Verlockung nach einem Lizenz-Schnäppchen groß ist – eine gesunde Portion Skepsis sollte man bewahren. Sonst ist im schlimmsten Fall das Geld weg oder es wird eine ungültige / gestohlene Lizenz erworben.

Microsoft arbeitet an Windows 10 Pro for Workstation

Medienberichten zufolge soll Microsoft an Windows 10 for Workstation arbeiten, das Betriebssystem richtet sich an sehr leistungsfähige Computer und soll mit deutlich mehr CPUs und Arbeitsspeicher umgehen können als bisherige Windows-Editionen. Die Informationen gelangten an die Öffentlichkeit, da Microsoft für kurze Zeit versehentlich einen noch nicht für die Öffentlichkeit bestimmten Blogbeitrag zugänglich machte.

Bild: Screenshot des von Microsoft versehentlich veröffentlichten Blogbeitrags | Quelle: twitter (@GrandMofongo)
Bild: Screenshot des von Microsoft versehentlich veröffentlichten Blogbeitrags | Quelle: twitter (@GrandMofongo)

Windows 10 for Workstation soll auf dem ReFS-Dateisystem basieren, der NTFS-Nachfolger soll eine größere Fehlertoleranz aufweisen, automatische Fehlerkorrekturen bieten und größere Datenmengen unterstützen. Um ebendiese über Netzwerke austauschen zu können, soll das SMBDirect-Protokoll Verwendung finden: Die Latenzzeiten sind gering, auch die Prozessorauslastung soll moderater sein als bei derzeit genutzten Protokollen.

Welches Lizenzierungsmodell wird Microsoft anbieten?

Windows 10 for Workstation soll bis zu vier CPUs und sechs Terabyte Arbeitsspeicher unterstützen – das aktuelle Windows 10 Pro unterstützt lediglich zwei CPUs und 512 Gigabyte Arbeitsspeicher. Windows 10 for Workstation ist damit ausgelegt für Arbeitsbereiche, in denen hohe Rechenleistung erforderlich ist. Nach bisherigen Informationen ist die Anzahl der CPUs unabhängig von der Anzahl der Prozessorkerne. Wenn dies so umgesetzt wird, weicht Microsoft von seiner Linie ab, die der US-Konzern mit Windows Server 2016 einführte. Bei Windows Server 2016 stellte Microsoft das Lizenzierungsmodell von Prozessoren auf Kerne um, was zur Folge hatte, dass die Lizenzierung bestimmter Konfigurationen (beispielsweise wenige CPUs mit jeweils vielen Kernen oder viele CPUs mit bspw. zwei Kernen) deutlich teurer waren als zuvor. Es bleibt abzuwarten, welches Lizenzierungsmodell Microsoft für Windows 10 for Workstation wählt, ob Prozessoren per se oder einzelne Kerne lizenziert werden müssen. Bis dahin könnte aber noch etwas Zeit vergehen, ein Veröffentlichungstermin ist bisher nicht bekannt.

Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor unsicheren Cloud-Servern

Mehr als 20.000 Cloud-Server in Deutschland sind laut Bundesamt für Sicherheit in der Informationstechnik (BSI) unsicher, da die Infrastrukturen auf veralteten Softwareversionen von „Owncloud“ und „Nextcloud“ basieren. Die Behörde verurteilte dies als fahrlässig.

Cloud-Dienste werden immer beliebter – Restrisiko bleibt

Und das ist es tatsächlich. Denn auch wenn Cloud-Dienste zahlreiche Vorteile bieten, bleibt immer ein Restrisiko. Insbesondere Unternehmen wechseln mehr und mehr zu Cloud-Services, ohne die Infrastruktur auf dem aktuellen Stand zu halten. Das führt dazu, dass Daten eingesehen, manipuliert und abgegriffen werden können. Betroffen sind laut BSI unter anderem Cloud-Umgebungen kleiner und mittelständischer Unternehmen – aber auch öffentliche und kommunale Einrichtungen. Dazu gesellen sich nicht wenige Privatuser. Das BSI verweist darauf, Cloud-Usern mit Rat und Tat zur Seite zu stehen und empfiehlt auch, die kostenlosen Tools von Owncloud und Nextcloud zu verwenden, die die Cloud-Umgebungen auf Aktualität prüfen. Die Empfehlung unserer Redaktion lautet aber dennoch: Hochsensible Daten sollten von Usern nicht in Cloud-Umgebungen gesichert werden. Wenn es aber nicht anders geht, unbedingt auf Aktualität und eine sicherer Infrastruktur achten.

„Cloud-Betreiber sind für die Sicherheit ihrer Cloud verantwortlich und sollten mit dieser Verantwortung sorgsam umgehen. Der Betrieb von Clouds mit veralteten Software-Versionen, für die bereits seit langer Zeit Updates der Hersteller bereitstehen, ist fahrlässig und macht es Kriminellen viel zu leicht, sensible Daten zu stehlen oder Geschäftsprozesse zu beeinflussen“, sagt BSI-Präsident Arne Schönbohm.

 

Cloud-Speicher-Dienst Dropbox: 68 Mio. Datensätze im Jahr 2012 erbeutet

Bild: Dropbox-Logo
Bild: Dropbox-Logo

Wie erst jetzt bekannt wurde, konnten Hacker vor gut vier Jahren 68 Millionen Datensätze von NutzerInnen des Cloud-Speicher-Dienstes Dropbox erbeuten. Die Angreifer erhielten dabei Zugriff auf Nutzernamen und Passwörter. Zwar sind die Passwörter verschlüsselt, etwa die Hälfte allerdings per SHA1-Hash mit Salt – diese Verschlüsselungsmethode ist mittlerweile als Sicherheitsrisiko eingestuft, da es möglich ist, diese zu entschlüsseln. Die mit bcrypt verschlüsselten Datensätze gelten als sicher.

Dropbox-Mitarbeiter handelte fahrlässig

Möglich wurde der Angriff durch die Fahrlässigkeit eines Dropbox-Mitarbeiters, der ein identisches Passwort beim sozialen Netzwerk LinkedIn und am Arbeitsplatz nutzte. Die Hacker kopierten die fünf Gigabyte großen Datensätze, nachdem sie Zugriff auf den Mitarbeiter-Account erhielten.

In der vergangenen Woche informierte Dropbox seine NutzerInnen und forderte dazu auf, das Passwort zu ändern. Sollte fahrlässig auch bei anderen Diensten das gleiche oder ein ähnliches Passwort genutzt werden, sollte dies dort auch geändert werden. Bisher hatte Dropbox lediglich von einem Datenleck gesprochen, das ganze Ausmaß ist erst jetzt öffentlich gemacht worden. Sicherheitsexperte Troy Hunt betreibt die Seite „Have I been pwned“, wo in die Suchmaske eingegebene E-Mail-Adressen mit Listen bekannter Hacks abgeglichen werden. So sollen NutzerInnen erkennen können, welche Datensätze mit Sicherheit entwendet wurden. Allerdings bedeutet es nicht zwangsläufig, dass ein Account sicher ist, falls kein Treffer angezeigt wird. Grundlegende Regeln zum Erstellen sicherer Passwörter sollten ebenso beachtet werden wie ein regelmäßiges Ändern selbiger.

Sicherheitsrisiko Cloud-Software

Cloud-Dienste sind in aller Munde – insbesondere in den Marketing-Abteilungen vieler Konzerne. Das bedeutet aber auch, dass diese Dienste zunehmend von Kriminellen angegriffen werden, da die stärkere Verbreitung ein lohnenswerteres Ziel schafft. Immer wieder liest man in der Vergangenheit von Angriffen auf Cloud-Dienste, in jüngster Zeit neben Dropbox beispielsweise auch LinkedIn, Opera oder Apple. NutzerInnen sollten abwägen, in welcher Relation Nutzen und Risiko stehen. Sicherlich mag das Arbeiten in der Cloud Vorteile mitbringen, allerdings ist es auch eine Vertrauenssache. Sind die Daten auf fremden Servern abgelegt und nicht lokal gespeichert, können Dritte – sofern Sicherheitsmechaniken umgangen und Verschlüsselungen geknackt werden – potenziell Zugriff auf diese Datensätze erhalten, ohne dass User dies sofort bemerken. Lokal gespeicherte Daten hingegen können besser geschützt und überwacht werden. Sensible Daten sind deshalb nur sehr bedingt für die Speicherung in der Cloud geeignet. Für viele NutzerInnen kann die Kaufversion einer Software wesentlich besser geeignet sein als eine Miet- und/oder Cloud-Version mit monatlichen Folgekosten, externer Sicherung von Daten, automatischen Updates und einer erhöhten Chance auf Probleme in der Live-Version.