ServicesKommunikationE-MailExchange MailsystemZugänge
Sicherheitsmängel in Mail-Apps für Android und iOS

Sicherheitsmängel in Mail-Apps für Android und iOS

Bitte beachten Sie:

Ein im Sinne der E-Mail-Richtlinie der LUH verwendbarer E-Mail-Client ist Software, die gewissen Qualitätssicherungs-Standards genügt und die die Zugangsdaten zu den E-Mailboxen lokal, d. h. insbesondere nicht in der Cloud des Software-Anbieters speichert. In der Regel sind dies die den jeweiligen Plattformen beiliegenden E-Mail-Programme wie z. B. Mozilla Thunderbird, Evolution, Apple Mail, Microsoft Outlook und andere. Grundsätzlich können E-Mail-Clients, zu denen wir Anleitungen anbieten, verwendet werden.

Leider werden auch vermeintlich lokale E-Mail-Clients angeboten, die jedoch die Zugangsdaten nicht auf dem Endgerät speichern, sondern in der Cloud des Software-Anbieters. Die Zugriffe auf die LUH-E-Mailbox erfolgen nicht über eine direkte Verbindung vom Client zu unseren E-Mailservern, sondern über einen Zwischen-Server des Anbieters. Damit der Server des Anbieters sich anstelle des Endgeräts mit unseren E-Mailservern verbinden kann, müssen die Zugangsdaten dort gespeichert werden. Ein solches Vorgehen verstößt gegen die geltende Nutzungsordnung des LUIS, die ausdrücklich ausschließt, Zugangsdaten zu Systemen des LUIS auf Systemen Dritter zu hinterlegen.

Dieses Prinzip wird oftmals bei mobilen E-Mail-Clients angewendet. Oft werben die Anbieter mit "E-Mail Portal", "Unified Mailbox", "Smart Mailbox" o. ä.

Beispiele für unzulässige E-Mail-Clients im Sinne der E-Mail-Richtlinie der LUH sind

  • myMail (My.com)
  • Canary Mail
  • Edison Mail
  • Spark
  • Microsoft Outlook Mobile (iOS und Android)
    Diese App verwendet zwar das Microsoft Outlook Logo, stammt aber ursprünglich von der Firma Acompli und speichert Anmeldedaten auf fremden Servern außerhalb des DSGVO Bereichs.

    (die Liste befindet sich im Aufbau)

Hat man erst einmal ein Postfach mit der App synchronisiert, so wurden die Daten an die Cloud-Server übertragen. Diese bleiben dort auch nach einem Löschen für eine gewisse Zeit erhalten. Damit diese Daten ebenfalls entfernt werden, sollte vor der Deinstallation der App in den Kontoeinstellungen das Konto inkl. der Remote Daten entfernt werden. Die Daten auf unserem Mailsystem werden dabei nicht gelöscht.

Deinstallieren Sie bitte diese Apps für Android oder iOS, falls Sie sie auf Ihrem mobilen Gerät verwendet haben. Zusätzlich sollten Sie schnellstmöglich die Passwörter aller E-Mail-Konten ändern, die Sie über die App verknüpft haben.

Anschließend sollten Sie sofort Ihr Passwort ändern:

https://email.uni-hannover.de/password

oder im Passwort-Manager für LUIS-Exchange:

https://pwm.luis.uni-hannover.de

(beides ist nur im Netz der LUH oder über VPN erreichbar)

Welche Mail-App wird empfohlen:

Das originale Microsoft Outlook Programm (aus dem Office-Paket) unter Windows oder macOS ist hiervon nicht betroffen, ebenso nicht unser Outlook-im-Web.

Die unter iOS und Android vorinstallierten Standard-Mail-Apps sind von den Sicherheitsmängeln nach unserer Kenntnis nicht betroffen. Falls Sie alles synchronisieren wollen, sollten Sie im System ein EAS-Exchange-Konto anlegen und darüber Email, Kalender und Kontakte synchronisieren und mit den Standard-Apps bearbeiten.

 

Grundsätzliches:

Bei der Auswahl von Mail-Diensten und Apps sollten Sie immer sorgfältig vorgehen und genau prüfen, was Sie nutzen.

Hier finden Sie Anleitungen dazu, wie Sie Ihr Exchange-Postfach mit iOS oder Android Mail abrufen können.