Office 365: Nutzer-Überwachung mit Hilfe geheimer API möglich
Die Online-Office-Suite von Microsoft erlaubt es Administratoren, die Aktivität von E-Mail-Nutzern über eine geheime API zu überwachen und auszulesen. Bislang wurde eine solche Hintertür-API nur als ein Gerücht abgestempelt.
Den Administratoren von Office 365 wird mithilfe einer bislang geheimgehaltenen API ein Aktivitätsprotokoll von E-Mail-Nutzern zur Verfügung gestellt. Die API soll vor allem von Sicherheitsfirmen verwendet werden, um nach einem Hack-Angriff genauere Details über einen Angriff sammeln zu können. Dabei soll die API dokumentieren, welche Aktionen ein Nutzer ausgeführt hat und wie es zu dem Einbruch gekommen sein soll.
Geheim-API nur für Administratoren
Die Auslesung der Aktivitätsprotokolle soll nur Administratoren von Office 365 zugänglich sein und ausschließlich nach der Einholung für spezielle Rechte des Ziel-Mail-Kontos freigeschaltet werden. Die Informationen, welche die API liefern kann, soll in etwa den Logfiles eines In-House-Mailservers entsprechen. Ein Administrator kann auf diese Weise nachvollziehen, welche E-Mails und welche Anhänge geöffnet wurden. Eine Einsicht auf die Inhalte einer E-Mail sind nicht möglich.
Microsoft bestätigt die Schnittstelle
Microsoft hat gegenüber heise online die Existenz der Schnittstelle bereits bestätigt, nachdem die Sicherheitsfirma CrowdStrike in einem Blog-Eintrag über die Activities-API in Office 365 berichtet hat.
Die Schnittstelle selbst wurde von Microsoft nicht dokumentiert, was die eigentliche Brisanz der API darstellt. Weder Administratoren noch Nutzer wussten, dass es über das E-Mail-Programm von Office 365 es möglich ist, die genauen Schritte eines Nutzers über eine API auszulesen. Warum Microsoft ihre Kunden nicht über die Funktionen und die bereits implementierte API informierte, ließ das Unternehmen unbeantwortet.
Ein Sprecher von Microsoft warnt ausdrücklich vor der Verwendung der undokumentierten API. Die Activities-API wurde gebaut, um Service-to-Service-Kommunikation zu unterstützen. Microsoft garantiert nicht, dass die Daten aus der API akkurat und komplett sind um eine Sicherheits-Untersuchung damit durchzuführen. Ob die Activities-API auch in Deutschland für deutsche Nutzer funktioniert, wollte Microsoft nicht bestätigen.