Undokumentierte Funktion in Office 365 ermöglicht User-Überwachung

Undokumentierte Funktion in Office 365 ermöglicht User-Überwachung
Mittels einer bisher undokumentierten Programmierschnittstelle (API, application programming interface, wörtlich Anwendungsprogrammierschnittstelle) ist es Office-365-Aministratoren, die über entsprechende Rechte für die Ziel-Konten verfügen, möglich einzusehen, welche Aktionen ein User wann in seinem E-Mail-Konto ausgeführt hat. Inhalte von Nachrichten sollen nicht sichtbar sein. Bisher handelte es sich bei dieser Schnittstelle lediglich um ein Gerücht unter Sicherheitsforschern, jetzt ist die Existenz des „geheimen API“ jedoch bestätigt.
 
User-Aktionen im Mail-Client per Log nachvollziehbar
 
Die Informationen, die über die Schnittstelle geliefert werden, sind denen ähnlich, die ein Mail-Admin hätte, wenn ein In-House-Mailserver betrieben würde. Konkret kann eingesehen werden, welche E-Mails ein User zu welcher Zeit gelesen, welche Anhänge er geöffnet, ob er auf eine E-Mail geantwortet, diese weitergeleitet oder gelöscht hat. Darüber hinaus ist auch erkennbar, woher die Nachricht kam. Da es sich hierbei um eine Web-App handelt, kann aus dem Log auch ersichtlich werden, wenn ein User bestimmte Aktionen in seinem Mail-Client durchführt – ein solcher Vorgang ist bei konventionellen Mailserver-Logs unmöglich.
 
Informationen von Anonymous und CrowdStrike machten die Angelegenheit publik
 
Brisant ist das „Activities API“ auch, weil Microsoft diese geheim hielt und nirgends dokumentierte. Administratoren war dadurch nicht bekannt, dass sie durch die API-Schnittstelle  potenziell deutlich mehr Informationen über das User-Verhalten erhalten konnten.  Die Sachlage gelang erst nach einem Bericht der Sicherheitsfirma CrowdStrike an die Öffentlichkeit, nachdem diese in einem ausführlichen Blogbeitrag über die forensischen Möglichkeiten des „Activities API“ berichtete. Kurz zuvor wurde ein Video der Hackergruppe Anonymous veröffentlicht, in der es ebenfalls Hinweise zum besagten Office-365-API gab.
 
Microsoft bestätigt Existenz der „Activities API“
 
Heise online konnte nach eigenen Angaben die Erkenntnisse von CrowdStrike detailliert nachverfolgen, woraufhin Microsoft gegenüber heise bestätigte, dass das API in Office 365 wie von CrowdStrike beschrieben funktioniere. Ein Microsoft-Sprecher gegenüber heise online: „Das Activities API wurde dazu gebaut, um Service-to-Service-Kommunikation zu unterstützen. Wir können nicht garantieren, dass die Daten akkurat oder komplett genug sind, um Sicherheits-Untersuchungen damit durchzuführen." Es wurde nicht bestätigt, ob das API auch in Deutschland für deutsche User funktioniert, Testergebnisse von heise online scheinen dies aber nahezulegen. Angesichts der Datenschutzvorgaben der Europäischen Union scheint es verwunderlich, wieso Microsoft die User nicht direkt über das Office-365-API informiert hat. Schließlich werden User nicht gewarnt, wenn ein Administrator sich entsprechende Rechte einholt, um Aktivitätsdaten über das „Activities API“ einzuholen.
 
Auf unserer  Office-Übersichtsseite finden Sie wertvolle Hinweise zu den verschiedenen Versionen und Editionen der beliebten Bürosoftware - so finden Sie die Lizenz, die zu Ihnen passt.