Verwendung unsicherer E-Mail-Programme

Es gibt leider einige E-Mail-Programme, die die dort hinterlegten Zugangsdaten nicht nur lokal speichern, sondern auch – in der Regel unbemerkt – FAU-Zugangsdaten an Server externer Firmen übermitteln und dort speichern. Aus aktuellem Anlass weisen CISO, CIO, Datenschutzbeauftragter und das RRZE darauf hin, dass die Verwendung dieser unsicheren E-Mail-Programme mit Zugangsdaten der FAU unzulässig ist. Der Grund dafür ist, dass es dadurch Dritten ggfs. ermöglicht wird, auf Ihr E-Mail-Konto und u. U. auch auf weitere Dienste (u.a. VPN, FAUBox) der FAU zuzugreifen.

Aktuell für dieses unsichere Verhalten bekannte E-Mail-Programme sind:

    • das sog. „Outlook (neu) bzw. „Das neue Outlook“ für Windows (Bitte Hinweise unten beachten)
    • das sog. „Neue Outlook“ für macOS bei Verwendung von IMAP und aktiviertem CloudSync
    • die Outlook-App für Android und iOS/iPadOS
    • Edison Mail
    • Xiaomi Mail

Diese Auflistung wird ggf. erweitert, sobald uns weitere betroffene E-Mail-Clients bekannt werden.

Das Mailprogramm Outlook liegt seit kurzem im Windows in zwei verschiedenen Versionen vor: das Outlook welches in der Office-Suite enthalten ist und die Windows-App „Outlook (neu)“. Die App „Outlook (neu)“ darf aufgrund der oben beschriebenen Sicherheitsproblematik an der FAU nicht verwendet werden.

Auf macOS ist Outlook nur betroffen, wenn das „neue Outlook“ in Verbindung mit IMAP und aktiviertem CloudSync verwendet wird. Es wird empfohlen, weiterhin das bisherige Outlook zu verwenden.
Bei Macs, die im zentralen MDM der FAU verwaltet werden (erkennbar daran, dass Sie den FAUmac Self Service aufrufen können), ist das Aktivieren des „neuen Outlook“ abgeschaltet.

Sofern Sie keines der o. g. E-Mail-Programme verwendet haben, müssen Sie nichts unternehmen. Andernfalls sind folgende Schritte notwendig:

  1. Entfernen Sie bitte das FAUMail-/Exchange-Konto aus der Anwendung (Windows-Nutzer¹, Mac-Nutzer²)
  2. Ändern Sie bitte Ihr IdM-Passwort über den IdM Selfserivce³, da dieses Passwort bereits abgeflossen sein kann

Darüber hinaus, werden durch das RRZE in Absprache mit dem CIO-Gremium soweit möglich technische Maßnahmen ergriffen, um die unabsichtliche Nutzung dieser unsicheren E-Mail-Clients an der FAU zu unterbinden.

¹ https://www.anleitungen.rrze.fau.de/e-mail/exchange/e-mail-konto-aus-neuem-outlook-loeschen/
² https://www.anleitungen.rrze.fau.de/betriebssysteme/apple-macos-und-ios/macos/#new-outlook
³ https://www.idm.fau.de