#UnplugTrump: Ich habe mir mal die Nutzung des Maildienstes von Microsoft durch öffentliche Hochschulen in Deutschland angeschaut. Dies lässt sich relativ einfach anhand der für den Maildienst notwendigen MX-Einträge im DNS überprüfen.
Zeigt der MX-Eintrag z.B. auf *.mail.protection.outlook.com, *.onmicrosoft.com oder *.outlook.com, so gehen die Mails an Microsoft. Alternativ können auch die SPF-Einträge betrachtet werden. Enthalten diese z.B. „include:spf.protection.outlook.com“, so gehen die Mails wahrscheinlich auch an Microsoft.
Wessen MX-Einträge verweisen auf Microsoft-Server? Ich habe die folgenden Hochschulen gefunden:
Ich überlege, ob die Verantwortlichen nicht durch FragDenStaat-Anfragen zum Nachdenken angeregt werden könnten.
Muss die Datenschutzerklärung des E-Mail-Dienstes öffentlich einsehbar sein?
Nach der DSGVO (Art. 13 und 14) sind Anbieter verpflichtet, transparent über die Verarbeitung personenbezogener Daten zu informieren. Dies kann auch intern erfolgen. Kann die Datenschutzerklärung über FragDenStaat angefordert werden? Oder die Risikobewertung?
Weißt du oder jemand hier, ob die Unis solche Dienste wirklich ausschreiben müssen?
Ich bin nämlich an einer Uni und es wird leider (!) Cisco als VPN-Client (Cisco Secure Client) genutzt inkl. der Smartphone-App „Duo Mobile“, ebenfalls von Cisco für die 2FA. Läuft natürlich nur auf „saueren“ Smartphones mit Standard Android oder iOS. Auch ist man daran gebunden, da es keine Alternativen gibt.
Auf meine kritische Nachfrage inkl. Einsatz von FOSS bekam ich die Antwort, dass solche Software ausgeschrieben werden müsse. Ich zweifele aber daran und halte es für eine Ausrede. Sicher bin ich mir aber nicht.
Vor allem ist ja Cisco alles andere als sicher, wenn man sich die ganzen Artikel im Netz zu deren Sicherheitslücken so ansieht.
Hast du auch die Möglichkeit, Sub-Domains zu testen? Also auch, wenn man die spezielle Sub-Domain nicht kennt?
Denn die E-Mail-Domain von Studenten unterscheiden sich oft von der normalen Domain. Und auch gibt es Institute an den Unis, die auch eine Sub-Domain nutzen, aber dort Microsoft Exchange einsetzen und es nicht über die Uni bzw. den „normalen“ Dienst dort läuft.
Edit:
Hier auch noch paar (Sub-)Domains, die mir bekannt sind:
Vielen Dank für deine Ergänzungen. Ich habe die Domains oben hinzugefügt.
Ich kann mir nicht vorstellen, dass kostenlose VPN-Dienste unbedingt ausgeschrieben werden müssen. Sonst könnte ich mir nicht erklären, warum so viele Hochschulen eduVPN nutzen. Der Dienst ist FOSS und kostenlos.
Subdomain ja, aber keine unbekannten. Die Subdomain muss schon bekannt sein. Das Aufzählen von DNS ist bekanntlich schwierig, aber vielleicht will jemand die Certificate-Transparency-Logs absuchen?
Test läuft gerade, Ergebnisse sollten bis 16:00 sichtbar werden.
Eine Anfrage zur Risikobewertung ist überflüssig, weil die Antwort längst vorliegt. Hast du seinerzeit den Streit in BaWü zwischen Datenschützer und €DU Kultusministerin mitbekommen? Ein paar Links aus meiner Sammlung:
Kenne mindestens eine andere Uni, die das auch so macht. Gut für den Datenschutz, herausfordernd für die Sicherheit: Exchange ‚on prem‘ auf dem aktuellen Patchlevel zu halten, scheint keine triviale Aufgabe zu sein…