29. Januar 2024

Erhebliche Sicherheitsrisiken beim Einsatz cloudbasierter Dienste (E-Mail Clients und Backup) Erhebliche Sicherheitsrisiken beim Einsatz cloudbasierter Dienste (E-Mail Clients und Backup)

Durch cloudbasierte E-Mailprogramme wie z.B. die neue kostenfreie Outlook-App sowie weitere E-Mail-Client-Anwendungen (s.u.), können geheime Zugangsdaten und E-Mail-Inhalte unbemerkt an Dritte übermittelt werden (s. Newsmeldung vom 6. Dezember 2023). Die Nutzung cloudbasierter E-Mail-Clients und Backup-Angebote stellt aus Sicht der IT-Sicherheit und des Datenschutzbeauftragten der Universität Bonn eine erhebliche Bedrohung für die universitäre Daten- und Informationssicherheit dar.

Nicht betroffen ist das kostenpflichtige Outlook-Programm (aus Microsoft Office). Dieses darf weiterhin verwendet werden. Hier bestehen aktuell keine Sicherheitsbedenken, da diese Anwendungen direkt mit den E-Mail-Servern der Universität Bonn kommunizieren und keine Daten an die Microsoft-Cloud übertragen werden.

Um die Preisgabe von Zugangsdaten und Datenabfluss zu verhindern, ist die Nutzung der folgenden Programme mit Ihrer Uni-ID aus Informationssicherheits- und Datenschutzgründen und gemäß H RZ-Benutzungsordnung (vgl. § 3 Abs. 2 Ziffer 5) nicht zulässig und umgehend einzustellen:

Outlook-App für Android und iOS,
"Neues Outlook für Windows" (ist ab Version 23H2 in Windows 11 enthalten),
Windows Mail (Vorgänger des "Neuen Outlooks")
Outlook für macOS (bei Verwendung von IMAP mit CloudSync),
Google-Mail (Cloud- und POP3 Direktabruf),
Edison Mail,
Newton,
BlueMail (unter bestimmten Bedingungen auf Mobilgeräten),
Spark und
Xiaomi Mail.

Was ist zu tun?

Sollten Sie eines der oben aufgeführten Programme in Verwendung haben, wechseln Sie bitte umgehend das Produkt und ändern Sie anschließend Ihr Uni-ID-Passwort.

Das HRZ wird den Abruf durch cloudbasierte E-Mailprogramme ab dem 30.03.2024 durch geeignete technische Maßnahmen blockieren. Das bedeutet, dass Sie danach über die oben aufgeführten Programme keine E-Mails mehr erhalten oder versenden können.

Sicherheitsrisiken auch bei Cloud-Backup

Bitte beachten Sie, dass auch die Backup-Angebote von Google und Apple als höchst problematisch einzustufen sind und nicht genutzt werden dürfen, wenn sie dazu führen, dass Ihre universitären Daten (inkl. Login-Daten) in externe Cloudspeicher übertragen werden.

Alle Bilder in Originalgröße herunterladen Der Abdruck im Zusammenhang mit der Nachricht ist kostenlos, dabei ist der angegebene Bildautor zu nennen.

Bitte tragen Sie dafür Sorge, Ihr Endgerät für die E-Mail-Nutzung gemäß den Anleitungen in der HRZ-Doku in Confluence (nur aus dem BONNET oder über VPN erreichbar) konfiguriert ist: Einrichten von E-Mail Clients

Bei Fragen wenden Sie sich bitte an Ihre lokale IT-Administration oder an die Kolleg:innen im Hochschulrechenzentrum (Supportformular HRZ-Doku).

Vielen Dank für Ihre Mitarbeit.