Zugangsdaten bei Nutzung von Mailapps in Gefahr - Stand 2020
Microsoft
Microsoft stellt eine Outlook-App für iOS und Android bereit, die auch IMAP-Accounts wie mailbox.org inklusive von Kontaktdaten und Kalendern nutzen kann.
Im Gegensatz zu anderen E-Mail-Clients für Smartphones wie bspw. K9-Mail oder FairEmail verbindet sich die MS Outlook-App bei Nutzung eines mailbox.org-Accounts nicht direkt mit unseren Mail-Servern, sondern hinterlegt Ihre Zugangsdaten in der Microsoft Cloud und „beauftragt“ den Service von Microsoft mit dem Abruf und der Versendung Ihrer E-Mails sowie der Verwaltung Ihrer Kontakte und Termine. Der Cloud-Service von Microsoft ruft Ihre E-Mails ab und speichert sie. Die Anhänge der E-Mails werden ebenfalls unverschlüsselt in einem Cloud-Drive abgelegt. Erst danach stehen die Daten ihrem Smartphone zur Verfügung. Gleiches gilt für Kalender und Kontakte.
Privacy Policy Outlook for iOS & Android (Auszug 2015):
Email Credentials. We collect and process your email address and credentials to provide you the Service.
Email Data. We collect and process your email messages and associated content to provide you the Service. … Your email data may contain messages, address book, contact information, message attachments and calendar information.
In der aktuellen Ausgabe (2020) geht Microsoft nicht mehr auf spezifische Apps ein, sondern hält die Datenschutzerklärung sehr allgemein:
The data we collect depends on the context of your interactions with Microsoft and the choices you make (including your privacy settings), the products and features you use, your location, and applicable law.
The data we collect can include the following:
[ ... ]**
Credentials**. Passwords, password hints, and similar security information used for authentication and account access.
Dieses Verhalten kompromittiert die Vertraulichkeit und Sicherheit Ihrer Daten, insbesondere im beruflichen Umfeld. Aus diesem Grund haben bereits mehrere Organisationen und Firmen den Mitarbeitern die Nutzung der Outlook-App im beruflichen Umfeld verboten oder sperren den Zugriff auf die Microsoft Cloud.
Das Swiss Federal Institute of Technology Lausanne warnt vor der Nutzung der Outlook-App und das EU Parliament’s IT department (DG ITEC) warnte alle Mitarbeiter und alle Mitglieder des EU Parlaments in einer E-Mail:
Please do not install this application, and in case you have already done so for your EP corporate mail, please uninstall it immediately and change your password….
The apps will send password information to Microsoft without permission and will store emails in a third-party cloud service over which the Parliament has no control.
Spark Email
Auch die Spark Email App benötigt Ihre Zugangsdaten, welche dann auf deren Servern gespeichert werden. Hier ein Auszug aus der Datenschutzerklärung von 2020:
2. Informationen, die wir sammeln und wie wir diese Informationen verwenden
Wir sammeln bestimmte Informationen über Sie, wenn Sie uns diese direkt zur Verfügung stellen oder unsere App und unseren Dienst nutzen. Wir sammeln nur die Informationen, die für die Erbringung unserer Dienstleistungen notwendig sind.
[ ... ]
OAuth-Login und Mail-Server-Zugangsdaten: Spark benötigt Ihre Zugangsdaten, um sich in Ihr Mailsystem einzuloggen, um E-Mails und andere Nachrichten zu empfangen, zu suchen, zu verfassen und zu versenden. Ohne einen solchen Zugang wird unser Produkt nicht in der Lage sein Sie mit dem gewünschten Kommunikationserlebnis zu versorgen. Damit Sie zusätzliche App- und Dienst-Funktionen wie "später versenden", "zwischen Geräten synchronisieren" und, wo von Apple erlaubt, "Push-Benachrichtigungen" nutzen können, nutzen wir die Spark-Dienste. Ohne die Nutzung dieser Dienste wird keine der oben genannten Funktionen funktionieren.
Blue Mail
Der Sicherheitsexperte Mike Kuketz rät von einer Nutzung vom Blue Mail ab, da in der Vergangenheit (2018) das E-Mail Passwort und andere sensible Geräteinformationen an den Hersteller übermittelt worden seien.
Weitere Infos dazu hier: https://www.kuketz-blog.de/blue-mail-eine-unendliche-geschichte/