Logo der activeMind AG

Outlook im Web: Datenschutz und Datensicherheit (Anleitung)

Inhalt

Für den sicheren Zugriff auf geschäftliche E-Mails von Zuhause oder unterwegs bietet sich vor allem Outlook im Web an (ehemals: Outlook Web App bzw. Outlook Web Access, OWA). Doch bei der Konfiguration von Outlook im Web und dem dahinterliegenden Exchange-Server sollten Sie einige Dinge beachten.

Das Problem: BYOD und Datenschutz

Viele Mitarbeiter sind grundsätzlich motiviert, auch unterwegs oder im Home-Office geschäftliche E-Mails zu lesen und ggf. auch zu bearbeiten. Während der Corona-Pandemie sind sogar viele dazu gezwungen.

Nicht allen Mitarbeitern stehen jedoch geschäftliche Geräte wie dienstliche Smartphones oder Laptops zur Verfügung. Werden aber geschäftliche Informationen auf Geräte übertragen, die sich außerhalb des Einflussbereichs des Unternehmens befinden (Stichwort: Bring Your Own Device, BYOD), wird es datenschutzrechtlich heikel.

Werden z.B. E-Mails durch Systeme abgerufen, die nicht Eigentum der verantwortlichen Stelle sind, entstehen mehrere Probleme:

  • Die Erfüllung der Datenschutz-Grundsätze nach Art. 5 DSGVO ist nicht mehr möglich. Insbesondere Zugangs- und Zugriffs-, aber auch die Eingabekontrolle sind regelmäßig nicht mehr zu gewährleisten.
  • Zudem müssen sich Unternehmer fragen, ob es sich in solchen Fällen nicht um eine „Übermittlung“ im gesetzlichen Sinne handelt, die schlicht verboten ist, solange man nicht eine passende Rechtsgrundlage dafür findet.
  • Oder das Unternehmen bewegt sich in den Bereich der Verarbeitung im Auftrag, wodurch die umfangreichen Pflichten nach Art. 28 DSGVO ausgelöst werden. Besonders die eventuell notwendigen Rechte, auch zu Kontrollen beim Arbeitnehmer zuhause, lösen selten Begeisterung aus.

Lösung: Datenhoheit bleibt auf dem Unternehmensserver

Umgehen lassen sich diese Probleme, indem das Unternehmen verhindert, dass die Daten den eigenen Herrschaftsbereich verlassen. Der Zugriff auf E-Mails per Internetbrowser kann hierzu eine Lösung darstellen. Hierbei sind aber grundsätzlich die Anforderungen des Art. 32 DSGVO zu beachteten, welcher Vorgaben für die technische Umsetzung zur Erfüllung der datenschutzrechtlichen Erfordernisse macht.

Wichtig ist also, dass beim Einsatz von Outlook im Web der dahinterliegende Exchange-Server eine ausreichende Sicherheit aufweist. Durch die Nutzung von Outlook im Web als weitere Zugriffsmöglichkeit auf ein System aus dem Internet, entsteht naturgemäß ein weiteres potenzielles Einfallstor für Angreifer.

Hierfür ist in jedem Fall darauf zu achten, dass alle relevanten Updates von Microsoft, welche den Einsatz von Exchange und des verwendeten Serverbetriebssystems betreffen, eingespielt sind und sichergestellt ist, dass diese auch künftig regelmäßig eingespielt werden.

Außerdem wird dringend dazu geraten, den Zugriff auf Outlook im Web nur durch Einsatz eines Reverse Proxys (z.B. über die Firewall) zu gestatten. Somit ist eine direkte Kommunikation zwischen dem Anfragenden und dem Exchange-Server nicht möglich, sondern läuft immer über den zwischengeschalteten Proxy.

Weiter empfiehlt sich der Einsatz eines Monitoring-Systems, etwa eines SIEM (Security Information Event Management), welches die Zugriffsversuche auf die von außen erreichbaren Systeme automatisiert überwacht und bei Auffälligkeiten entweder direkt Maßnahmen einleitet oder zumindest die verantwortlichen Mitarbeiter informiert.

Erfolgen mehrere Login-Versuche innerhalb kurzer Zeit von einer IP-Adresse auf den Zugang von Outlook im Web, so sollte eine temporäre IP-Sperre die Folge sein. Die Dauer der Sperre sollte dabei nicht zu kurz bemessen sein, etwa 6.000 Sekunden betragen.

Da Angreifer außerdem oft per Brute-Force-Attacke versuchen Nutzerkonten zu knacken, sollte alles dafür getan werden, diesen den Angriff so schwer wie möglich zu machen:

  • Zum einen empfiehlt es sich, für den Zugang zu Outlook im Web einen gesonderten Nutzer anzulegen, welcher nicht wie häufig aus Vorname bzw. Nachname des Mitarbeiters besteht, sondern vielmehr nicht mit diesem in Verbindung gebracht werden kann. Dies hat den Vorteil, dass Attacken, denen Listen mit Namen zugrunde liegen, hierbei schon ins Leere laufen.
  • Zum anderen ist auch auf die technische Erzwingung eines ausreichend langen, komplexen und sicheren Passwortes zu achten. Etwa die Vorgabe der Verwendung von mindestens zwölf Zeichen die Groß -und Kleinbuchstaben genauso beinhalten wie Ziffern und Sonderzeichen, bei gleichzeitiger Vermeidung von ganzen Wörtern. Dies erschwert zusätzlich noch Wörterbuchangriffe, bei denen Angreifer Listen aus bestehenden Wörterbüchern mehrerer Sprachen verwendet.
  • Zudem sollte in Betracht gezogen werden, sowohl die Nutzerkennung als auch die Passphrase in einem regelmäßigen Zyklus zu ändern, bzw. zu erneuern.

Der Zugriff auf OWA muss darüber hinaus zwingend über HTTPS erfolgen. Dafür sollten ausschließlich TLS-Versionen ab 1.2 eingesetzt werden. Dies folgt den Grundsätzen der sicheren Verschlüsselung von Websites.

Sicherer und datenschutzkonformer Einsatz von Outlook im Web durch optimale Konfiguration des Exchange-Servers

Entscheidend ist aus Sicht des Datenschutzes außerdem, dass nur der flüchtige Fernzugriff auf das E-Mailsystem erlaubt sein darf, die dauerhafte Übertragung von Daten – insbesondere durch den Download von Anhängen – aber verhindert wird. Hierfür bietet sich Outlook im Web als flexible technische Lösung an.

Exchange sieht Möglichkeiten vor, den Dateizugriff per Outlook im Web zu steuern. Hier ist es möglich, zwar den Abruf des Textes einer Mail zuzulassen, den Aufruf oder Abruf von Anhängen aber zu unterdrücken. Dies bewirkt, dass es nicht zu lokalen Kopien aufgerufener Anhänge kommen kann. Diese lokalen Kopien würden ansonsten regelmäßig entstehen, selbst wenn der Anhang nur betrachtet und nicht bearbeitet wurde.

Die notwendigen Einstellungen sind im Exchange Admin Center vorzunehmen.

  1. Im Bereich Berechtigungen finden sich die Outlook Web App-Richtlinien.
  2. In den Richtlinien lassen sich Regelungen für den Dateizugriff anpassen.
  3. Der Aufruf von Dateien lässt sich künftig verhindern, indem alle Optionen abgewählt werden.

Auf diese Weise werden der flüchtige Zugriff auf den Text von E-Mails und auch die Bearbeitung von Nachrichten ermöglicht, aber zugleich weitestgehend verhindert, dass Reste auf dem Computer verbleiben, von welchem aus der Zugriff erfolgte. Weiterführende Details, insb. für ältere Exchange Versionen, finden Sie im Technet von Microsoft.

Zusätzliche Konfiguration des verwendeten Webbrowsers für mehr Datenschutz und Datensicherheit

Um den Datenschutz abzurunden, empfiehlt es sich, auch den Browser, mit dem Outlook im Web genutzt wird, entsprechend zu konfigurieren. Hierzu sollte das Löschen der temporären Internetdateien (Browsercache) beim Ende der Sitzung vorgesehen werden oder gleich der private Modus (Firefox) bzw. Inkognito Modus (Chrome) genutzt werden.

Die Zugangsdaten für Outlook im Web sollten nicht im Browser hinterlegt werden, sondern bestenfalls über einen Passwortmanager verwaltet und generiert werden.

Diese Punkte können Sie beispielsweise über eine Richtlinie zum Datenschutz im Home-Office regeln.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Weiterlesen

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.