ComputerBase Menü
Registrieren
Suche
  1. ComputerBase
  2. Apps

Office 365: Nutzer-Überwachung mit Hilfe geheimer API möglich

Aljoscha Reineking
68 Kommentare
Office 365: Nutzer-Überwachung mit Hilfe geheimer API möglich
Bild: Pixaline | CC0 1.0

Die Online-Office-Suite von Microsoft erlaubt es Administratoren, die Aktivität von E-Mail-Nutzern über eine geheime API zu überwachen und auszulesen. Bislang wurde eine solche Hintertür-API nur als ein Gerücht abgestempelt.

Den Administratoren von Office 365 wird mithilfe einer bislang geheimgehaltenen API ein Aktivitätsprotokoll von E-Mail-Nutzern zur Verfügung gestellt. Die API soll vor allem von Sicherheitsfirmen verwendet werden, um nach einem Hack-Angriff genauere Details über einen Angriff sammeln zu können. Dabei soll die API dokumentieren, welche Aktionen ein Nutzer ausgeführt hat und wie es zu dem Einbruch gekommen sein soll.

Microsoft E-Mail
Microsoft E-Mail (Bild: office.com)

Geheim-API nur für Administratoren

Die Auslesung der Aktivitätsprotokolle soll nur Administratoren von Office 365 zugänglich sein und ausschließlich nach der Einholung für spezielle Rechte des Ziel-Mail-Kontos freigeschaltet werden. Die Informationen, welche die API liefern kann, soll in etwa den Logfiles eines In-House-Mailservers entsprechen. Ein Administrator kann auf diese Weise nachvollziehen, welche E-Mails und welche Anhänge geöffnet wurden. Eine Einsicht auf die Inhalte einer E-Mail sind nicht möglich.

Microsoft bestätigt die Schnittstelle

Microsoft Office Home
Microsoft Office Home (Bild: office.com)

Microsoft hat gegenüber heise online die Existenz der Schnittstelle bereits bestätigt, nachdem die Sicherheitsfirma CrowdStrike in einem Blog-Eintrag über die Activities-API in Office 365 berichtet hat.

Die Schnittstelle selbst wurde von Microsoft nicht dokumentiert, was die eigentliche Brisanz der API darstellt. Weder Administratoren noch Nutzer wussten, dass es über das E-Mail-Programm von Office 365 es möglich ist, die genauen Schritte eines Nutzers über eine API auszulesen. Warum Microsoft ihre Kunden nicht über die Funktionen und die bereits implementierte API informierte, ließ das Unternehmen unbeantwortet.

Ein Sprecher von Microsoft warnt ausdrücklich vor der Verwendung der undokumentierten API. Die Activities-API wurde gebaut, um Service-to-Service-Kommunikation zu unterstützen. Microsoft garantiert nicht, dass die Daten aus der API akkurat und komplett sind um eine Sicherheits-Untersuchung damit durchzuführen. Ob die Activities-API auch in Deutschland für deutsche Nutzer funktioniert, wollte Microsoft nicht bestätigen.

CB-Funk Podcast #66: EKWB am Abgrund, arm(e) AI-PCs und Benchmarks en masse mit Fabian und Jan-Frederik

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz