Durch Entwicklungen wie Home-Office und andere Remote-Work-Modelle ist der reibungslose Zugriff auf Daten von verschiedenen Geräten und Orten unverzichtbar geworden. Ob E-Mails, Fotos im Cloud-Speicher oder das gemeinsame Arbeiten an Dokumenten – die Synchronisation dieser Daten erleichtert unseren Alltag enorm. Doch sobald Zugangsdaten und Daten auf Servern von Drittanbietern übertragen werden, entsteht ein oft unterschätztes Risiko für den Kontrollverlust von sensiblen Informationen.
Ein aktuelles Beispiel dafür ist die neue Desktop-Version von Microsoft Outlook, die seit 2023 schrittweise veröffentlicht wird. Bei der Verwendung dieses sehr beliebten E-Mail-Programms werden die Zugangsdaten zu den E-Mail-Konten nun auch an Microsoft weitergegeben und die Nachrichten können von Microsoft heruntergeladen und verarbeitet werden. Dies bedeutet, dass die Kontrolle über sensible Informationen nicht mehr ausschliesslich in den Händen der Nutzer und des E-Mail-Providers liegt, sondern auch ein nicht beteiligter Drittanbieter Zugang zu den vertraulichen Daten und der persönlichen Kommunikation erhält. Obwohl dieses Thema nicht neu ist, gewinnt es durch die zunehmende Abhängigkeit von Cloud-Diensten und den wachsenden Sorgen von Datenschutzbeauftragten weiter an Bedeutung. Besonders problematisch wird es, wenn Privatpersonen oder Firmen vertraglich oder gesetzlich zur Geheimhaltung dieser Daten verpflichtet sind.
Wie sich der Datenfluss bei Outlook verändert
Normalerweise werden Login-Daten und E-Mails nur zwischen dem E-Mail-Programm (z. B. Outlook) auf dem Gerät des Benutzers und dem Server des E-Mail-Providers ausgetauscht, wo die E-Mails gespeichert sind (z. B. Hostpoint).
Das E-Mail-Programm ruft die E-Mails z. B. mittels IMAP («Internet Message Access Protocol») vom Server des Providers ab und zeigt eine Kopie davon am Gerät des Nutzers an. Beim Einsatz von IMAP bleiben die E-Mails üblicherweise auf dem Server des E-Mail-Providers gespeichert. Man kann daher problemlos von verschiedenen Geräten aus darauf zugreifen. Zusammen mit der Verwendung von Verschlüsselung (SSL/TLS) sorgt dies dafür, dass die Kommunikation zwischen dem Endgerät und dem Server geschützt vor der Einsicht von unbefugten Dritten abläuft.
Was ändert sich aber mit der neuen Outlook-Version? Das kritische Element beim neuen Outlook von Microsoft ist, dass die Anwendung nicht mehr lokal auf den Geräten der Benutzer, sondern in der Cloud von Microsoft betrieben wird.
Damit dies funktioniert, müssen alle Daten – E-Mails, Passwörter (und auch ihre Verhaltensdaten) – zunächst über die Server von Microsoft geleitet und dort zentral gespeichert werden. Das bedeutet, dass Microsoft direkten Zugriff auf all diese Daten erhält, was bei einem herkömmlichen IMAP/SMTP-Setup bisher nicht der Fall war.
Besonders problematisch ist dabei, dass dieser Umstand den Benutzern auch auf Nachfrage nicht transparent und verständlich aufgezeigt wurde. Aktuell lässt sich dieser Prozess in Outlook nicht umstellen oder umgehen, was die Kontrolle über hochsensible Daten einschränkt.
Risiken der zentralen Speicherung
Es stellt sich für viele Nutzende, aber auch für IT-Verantwortliche folglich generell die Frage, welche Risiken mit der Preisgabe der Zugangsdaten an Dritte und der Datenspeicherung durch diese Dritten entstehen.
Eines dieser Risiken betrifft vor allem die Server bzw. die Sicherheitsarchitektur von grossen Konzernen und global tätigen Unternehmen, die in Branchen wie Finanzen, Gesundheitswesen oder Technologie tätig sind. Da diese Unternehmen oftmals grosse Mengen an sensiblen Daten speichern, sind sie nicht nur attraktive Ziele für Cyberkriminelle, sondern je nach Bereich auch gesetzlich zu besonderen Datenschutzmassnahmen verpflichtet. Erhält nun ein Drittanbieter Zugriff auf sensible Zugangsdaten und E-Mails, wird er zu einem weiteren potenziellen Ziel für Angriffe und Datenunfälle.
«Der sicherste Weg, Daten vor Missbrauch zu schützen, ist, sie nicht anfallen zu lassen. Auf E-Mails umgemünzt bedeutet das, Dritten keinen unnötigen Zugriff zu erteilen.»
Besonders unangenehme und komplexe Rechtsunsicherheiten entstehen durch den Konflikt zwischen dem hierzulande verbindlichen Schweizer Datenschutzgesetz (DSG) und dem US CLOUD Act, der für amerikanische Firmen gilt.
Das Schweizer DSG schützt Personen und ihre Daten in der Schweiz. Es fordert von Unternehmen einen hohen Standard im Umgang mit personenbezogenen Daten. Dies gilt sowohl für schweizerische als auch für amerikanische Unternehmen, sofern diese im Schweizer Markt agieren. Nach dem CLOUD Act können US-Behörden von amerikanischen Unternehmen allerdings verlangen, dass diese Daten herausgeben, unabhängig davon, wo die Daten gespeichert sind oder welche Gesetze an diesem Ort gelten. Dies gilt entsprechend auch für Daten, die von US-amerikanischen Unternehmen in der Schweiz oder in der EU anfallen und gespeichert werden.
Schweizer Datenschutz ohne Umwege
Mit E-Mail & Cloud Office bietet Hostpoint eine umfassende Lösung an, die höchste Sicherheitsstandards erfüllt. Ein wesentlicher Vorteil ist die Speicherung aller Daten in der Schweiz, ohne Zugriff für unbeteiligte Drittparteien. Dies garantiert nicht nur die Einhaltung strenger Datenschutzgesetze, sondern schützt die Daten auch vor dem Zugriff durch fremde Firmen und ausländische Behörden.
Darüber hinaus bietet unser Cloud Office eine benutzerfreundliche Plattform, die nicht nur den klassischen E-Mail-Service umfasst, sondern auch Kalender, Adressbücher und grosszügigen Drive-Speicher zur Synchronisation und Verwaltung von Daten. Diese Funktionen können sowohl persönlich als auch im Team genutzt werden, ohne dass die Daten die sicheren Server in der Schweiz verlassen.
Unternehmen, die gesetzliche Vorschriften einhalten müssen, profitieren von zusätzlicher Sicherheit durch die Speicherung in einem FINMA-zertifizierten Rechenzentrum. Ihre Daten werden nicht analysiert und für Werbe- oder andere Zwecke «verwertet», wie das bei vielen (vor allem kostenlosen) E-Mail-Anbietern der Fall ist.
Und falls Fragen oder Schwierigkeiten aufkommen, bietet Hostpoint einen kostenlosen Support in vier Sprachen an sieben Tagen in der Woche per E-Mail und Telefon an.
Blog-Tipp:
Wenn Sie mehr über unsere E-Mail-&-Cloud-Office-Lösung erfahren möchten, besuchen Sie unsere Produktseite oder lesen Sie unseren Blog-Artikel «Dürfen wir vorstellen? Die neuen E-Mail-Angebote von Hostpoint».