#UnplugTrump: Ich habe mir mal die Nutzung des Maildienstes von Microsoft durch öffentliche Hochschulen in Deutschland angeschaut. Dies lässt sich relativ einfach anhand der für den Maildienst notwendigen MX-Einträge im DNS überprüfen.
Zeigt der MX-Eintrag z.B. auf *.mail.protection.outlook.com, *.onmicrosoft.com oder *.outlook.com, so gehen die Mails an Microsoft. Alternativ können auch die SPF-Einträge betrachtet werden. Enthalten diese z.B. „include:spf.protection.outlook.com“, so gehen die Mails wahrscheinlich auch an Microsoft.
Wessen MX-Einträge verweisen auf Microsoft-Server? Ich habe die folgenden Hochschulen gefunden:
- fh-dresden.eu
- haw-hamburg.de
- hs-duesseldorf.de
- hs-hannover.de
- hs-osnabrueck.de
Gibt es noch mehr?
2 „Gefällt mir“
wenn Du mir eine Liste der Maildomänen lieferst kann ich die durch mein Testumgebung schicken.
2 „Gefällt mir“
Hier ist meine aktuelle Liste. Spezielle Mail-Domains, z.B. nur für Studierende, habe ich noch nicht recherchiert:
uni-freiburg.de
uni-heidelberg.de
kit.edu
uni-stuttgart.de
uni-tuebingen.de
hs-mannheim.de
hs-karlsruhe.de
lmu.de
tum.de
uni-augsburg.de
uni-bamberg.de
uni-bayreuth.de
fau.de
hm.edu
hswt.de
hu-berlin.de
fu-berlin.de
tu-berlin.de
udk-berlin.de
htw-berlin.de
uni-potsdam.de
th-brandenburg.de
macromedia-fachhochschule.de
uni-bremen.de
hs-bremen.de
uni-hamburg.de
tuhh.de
haw-hamburg.de
uni-frankfurt.de
tu-darmstadt.de
uni-giessen.de
uni-kassel.de
h-da.de
hs-fulda.de
uni-rostock.de
uni-greifswald.de
hochschule-stralsund.de
uni-goettingen.de
uni-hannover.de
tu-braunschweig.de
uni-oldenburg.de
hs-hannover.de
hs-osnabrueck.de
uni-koeln.de
rwth-aachen.de
uni-bonn.de
uni-muenster.de
tu-dortmund.de
hs-duesseldorf.de
fh-aachen.de
uni-mainz.de
uni-kl.de
hs-koblenz.de
hochschule-trier.de
uni-saarland.de
htwsaar.de
tu-dresden.de
uni-leipzig.de
tu-chemnitz.de
fh-zwickau.de
hs-mittweida.de
uni-halle.de
ovgu.de
h2.de
hs-anhalt.de
uni-kiel.de
uni-luebeck.de
fh-kiel.de
uni-jena.de
tu-ilmenau.de
uni-weimar.de
fh-erfurt.de
uni-wuerzburg.de
uni-mannheim.de
uni-duisburg-essen.de
stud.uni-duisburg-essen.de
student.kit.edu
smail.uni-koeln.de
stud-mail.uni-wuerzburg.de
students.uni-mannheim.de
stud.tu-darmstadt.de
2 „Gefällt mir“
Vielen Dank! Ich habe die fh-dresden.eu in meiner Liste der Maildomains vergessen. Fehlen noch andere Hochschulen in der Liste?
Ist ein datenschutzkonformer Einsatz von Microsoft 365 an öffentlichen Hochschulen in Deutschland überhaupt möglich?
Nein. Aber das wird von den Verantwortlichen gerne ignoriert.
5 „Gefällt mir“
Ich überlege, ob die Verantwortlichen nicht durch FragDenStaat-Anfragen zum Nachdenken angeregt werden könnten.
Muss die Datenschutzerklärung des E-Mail-Dienstes öffentlich einsehbar sein?
Nach der DSGVO (Art. 13 und 14) sind Anbieter verpflichtet, transparent über die Verarbeitung personenbezogener Daten zu informieren. Dies kann auch intern erfolgen. Kann die Datenschutzerklärung über FragDenStaat angefordert werden? Oder die Risikobewertung?
Weißt du oder jemand hier, ob die Unis solche Dienste wirklich ausschreiben müssen?
Ich bin nämlich an einer Uni und es wird leider (!) Cisco als VPN-Client (Cisco Secure Client) genutzt inkl. der Smartphone-App „Duo Mobile“, ebenfalls von Cisco für die 2FA. Läuft natürlich nur auf „saueren“ Smartphones mit Standard Android oder iOS. Auch ist man daran gebunden, da es keine Alternativen gibt.
Auf meine kritische Nachfrage inkl. Einsatz von FOSS bekam ich die Antwort, dass solche Software ausgeschrieben werden müsse. Ich zweifele aber daran und halte es für eine Ausrede. Sicher bin ich mir aber nicht.
Vor allem ist ja Cisco alles andere als sicher, wenn man sich die ganzen Artikel im Netz zu deren Sicherheitslücken so ansieht.
Hast du auch die Möglichkeit, Sub-Domains zu testen? Also auch, wenn man die spezielle Sub-Domain nicht kennt?
Denn die E-Mail-Domain von Studenten unterscheiden sich oft von der normalen Domain. Und auch gibt es Institute an den Unis, die auch eine Sub-Domain nutzen, aber dort Microsoft Exchange einsetzen und es nicht über die Uni bzw. den „normalen“ Dienst dort läuft.
Edit:
Hier auch noch paar (Sub-)Domains, die mir bekannt sind:
uni-wuerzburg.de
uni-mannheim.de
uni-duisburg-essen.de
stud.uni-duisburg-essen.de
student.kit.edu
smail.uni-koeln.de
stud-mail.uni-wuerzburg.de
students.uni-mannheim.de
stud.tu-darmstadt.de
1 „Gefällt mir“
Vielen Dank für deine Ergänzungen. Ich habe die Domains oben hinzugefügt.
Ich kann mir nicht vorstellen, dass kostenlose VPN-Dienste unbedingt ausgeschrieben werden müssen. Sonst könnte ich mir nicht erklären, warum so viele Hochschulen eduVPN nutzen. Der Dienst ist FOSS und kostenlos.
1 „Gefällt mir“
Subdomain ja, aber keine unbekannten. Die Subdomain muss schon bekannt sein. Das Aufzählen von DNS ist bekanntlich schwierig, aber vielleicht will jemand die Certificate-Transparency-Logs absuchen?
Test läuft gerade, Ergebnisse sollten bis 16:00 sichtbar werden.
3 „Gefällt mir“
Nein. Aber der Elefant im Raum …
Hat halt noch niemand geklagt.
1 „Gefällt mir“
Es ist nicht notwendig, sofort zu klagen. Aber vielleicht reicht eine Anfrage zur Risikobewertung über FragdenStaat, um zum Nachdenken anzuregen.
Ein Mail Admin Freund sagt, dass die uni WÜ ihre exchange server selbst hosten.