Microsoft als Mailing-Dienstleister für Deutsche Unis

#UnplugTrump: Ich habe mir mal die Nutzung des Maildienstes von Microsoft durch öffentliche Hochschulen in Deutschland angeschaut. Dies lässt sich relativ einfach anhand der für den Maildienst notwendigen MX-Einträge im DNS überprüfen.

Zeigt der MX-Eintrag z.B. auf *.mail.protection.outlook.com, *.onmicrosoft.com oder *.outlook.com, so gehen die Mails an Microsoft. Alternativ können auch die SPF-Einträge betrachtet werden. Enthalten diese z.B. „include:spf.protection.outlook.com“, so gehen die Mails wahrscheinlich auch an Microsoft.

Wessen MX-Einträge verweisen auf Microsoft-Server? Ich habe die folgenden Hochschulen gefunden:

  • fh-dresden.eu
  • haw-hamburg.de
  • hs-duesseldorf.de
  • hs-hannover.de
  • hs-osnabrueck.de

Gibt es noch mehr?

2 „Gefällt mir“

wenn Du mir eine Liste der Maildomänen lieferst kann ich die durch mein Testumgebung schicken.

2 „Gefällt mir“

Hier ist meine aktuelle Liste. Spezielle Mail-Domains, z.B. nur für Studierende, habe ich noch nicht recherchiert:

uni-freiburg.de
uni-heidelberg.de
kit.edu
uni-stuttgart.de
uni-tuebingen.de
hs-mannheim.de
hs-karlsruhe.de
lmu.de
tum.de
uni-augsburg.de
uni-bamberg.de
uni-bayreuth.de
fau.de
hm.edu
hswt.de
hu-berlin.de
fu-berlin.de
tu-berlin.de
udk-berlin.de
htw-berlin.de
uni-potsdam.de
th-brandenburg.de
macromedia-fachhochschule.de
uni-bremen.de
hs-bremen.de
uni-hamburg.de
tuhh.de
haw-hamburg.de
uni-frankfurt.de
tu-darmstadt.de
uni-giessen.de
uni-kassel.de
h-da.de
hs-fulda.de
uni-rostock.de
uni-greifswald.de
hochschule-stralsund.de
uni-goettingen.de
uni-hannover.de
tu-braunschweig.de
uni-oldenburg.de
hs-hannover.de
hs-osnabrueck.de
uni-koeln.de
rwth-aachen.de
uni-bonn.de
uni-muenster.de
tu-dortmund.de
hs-duesseldorf.de
fh-aachen.de
uni-mainz.de
uni-kl.de
hs-koblenz.de
hochschule-trier.de
uni-saarland.de
htwsaar.de
tu-dresden.de
uni-leipzig.de
tu-chemnitz.de
fh-zwickau.de
hs-mittweida.de
uni-halle.de
ovgu.de
h2.de
hs-anhalt.de
uni-kiel.de
uni-luebeck.de
fh-kiel.de
uni-jena.de
tu-ilmenau.de
uni-weimar.de
fh-erfurt.de

uni-wuerzburg.de
uni-mannheim.de
uni-duisburg-essen.de

stud.uni-duisburg-essen.de
student.kit.edu
smail.uni-koeln.de
stud-mail.uni-wuerzburg.de
students.uni-mannheim.de
stud.tu-darmstadt.de

3 „Gefällt mir“

https://blog.lindenberg.one/documents/emailtests/Hochschulen.html - Microsoft taucht vier Mal auf, DFN-Services 25 Mal.

3 „Gefällt mir“

Vielen Dank! Ich habe die fh-dresden.eu in meiner Liste der Maildomains vergessen. Fehlen noch andere Hochschulen in der Liste?

Ist ein datenschutzkonformer Einsatz von Microsoft 365 an öffentlichen Hochschulen in Deutschland überhaupt möglich?

Nein. Aber das wird von den Verantwortlichen gerne ignoriert.

6 „Gefällt mir“

Ich überlege, ob die Verantwortlichen nicht durch FragDenStaat-Anfragen zum Nachdenken angeregt werden könnten.

Muss die Datenschutzerklärung des E-Mail-Dienstes öffentlich einsehbar sein?

Nach der DSGVO (Art. 13 und 14) sind Anbieter verpflichtet, transparent über die Verarbeitung personenbezogener Daten zu informieren. Dies kann auch intern erfolgen. Kann die Datenschutzerklärung über FragDenStaat angefordert werden? Oder die Risikobewertung?

Weißt du oder jemand hier, ob die Unis solche Dienste wirklich ausschreiben müssen?

Ich bin nämlich an einer Uni und es wird leider (!) Cisco als VPN-Client (Cisco Secure Client) genutzt inkl. der Smartphone-App „Duo Mobile“, ebenfalls von Cisco für die 2FA. Läuft natürlich nur auf „saueren“ Smartphones mit Standard Android oder iOS. Auch ist man daran gebunden, da es keine Alternativen gibt.

Auf meine kritische Nachfrage inkl. Einsatz von FOSS bekam ich die Antwort, dass solche Software ausgeschrieben werden müsse. Ich zweifele aber daran und halte es für eine Ausrede. Sicher bin ich mir aber nicht.

Vor allem ist ja Cisco alles andere als sicher, wenn man sich die ganzen Artikel im Netz zu deren Sicherheitslücken so ansieht.


Hast du auch die Möglichkeit, Sub-Domains zu testen? Also auch, wenn man die spezielle Sub-Domain nicht kennt?
Denn die E-Mail-Domain von Studenten unterscheiden sich oft von der normalen Domain. Und auch gibt es Institute an den Unis, die auch eine Sub-Domain nutzen, aber dort Microsoft Exchange einsetzen und es nicht über die Uni bzw. den „normalen“ Dienst dort läuft.

Edit:
Hier auch noch paar (Sub-)Domains, die mir bekannt sind:

uni-wuerzburg.de
uni-mannheim.de
uni-duisburg-essen.de

stud.uni-duisburg-essen.de
student.kit.edu
smail.uni-koeln.de
stud-mail.uni-wuerzburg.de
students.uni-mannheim.de
stud.tu-darmstadt.de

1 „Gefällt mir“

Vielen Dank für deine Ergänzungen. Ich habe die Domains oben hinzugefügt.

Ich kann mir nicht vorstellen, dass kostenlose VPN-Dienste unbedingt ausgeschrieben werden müssen. Sonst könnte ich mir nicht erklären, warum so viele Hochschulen eduVPN nutzen. Der Dienst ist FOSS und kostenlos.

1 „Gefällt mir“

Subdomain ja, aber keine unbekannten. Die Subdomain muss schon bekannt sein. Das Aufzählen von DNS ist bekanntlich schwierig, aber vielleicht will jemand die Certificate-Transparency-Logs absuchen?
Test läuft gerade, Ergebnisse sollten bis 16:00 sichtbar werden.

3 „Gefällt mir“

Nein. Aber der Elefant im Raum …
Hat halt noch niemand geklagt.

1 „Gefällt mir“

Es ist nicht notwendig, sofort zu klagen. Aber vielleicht reicht eine Anfrage zur Risikobewertung über FragdenStaat, um zum Nachdenken anzuregen.

Eine Anfrage zur Risikobewertung ist überflüssig, weil die Antwort längst vorliegt. Hast du seinerzeit den Streit in BaWü zwischen Datenschützer und €DU Kultusministerin mitbekommen? Ein paar Links aus meiner Sammlung:

https://www.heise.de/news/Landes-Datenschutzaufsicht-Microsoft-muss-Datenuebertragung-in-Windows-10-abschalten-4003291.html

https://www.heise.de/news/Digitalpakt-Schule-Informatiker-kritisieren-Einsatz-von-Microsoft-Produkten-4603602.html

https://www.heise.de/news/Digitalpakt-Schule-Neuer-Streit-ueber-Abhaengigkeit-von-Microsoft-4614563.html?seite=all

https://digitalcourage.de/blog/2019/flyer-datenschutz-an-schulen

https://www.heise.de/news/Microsoft-an-Schulen-Offene-Fragen-beim-Datenschutz-in-Baden-Wuerttemberg-4889715.html

Welche neue Erkenntnis sollte eine Anfrage bringen?

2 „Gefällt mir“

Ein Mail Admin Freund sagt, dass die uni WÜ ihre exchange server selbst hosten.

2 „Gefällt mir“

Eine Anfrage soll bei mir nicht zu einem Erkenntnisgewinn führen. Ich möchte die Befragten zum Nachdenken anregen.

Kenne mindestens eine andere Uni, die das auch so macht. Gut für den Datenschutz, herausfordernd für die Sicherheit: Exchange ‚on prem‘ auf dem aktuellen Patchlevel zu halten, scheint keine triviale Aufgabe zu sein…

1 „Gefällt mir“