Microsoft Power Apps: erstellte Anwendungen können persönliche Nutzerdaten preisgeben

Falsch konfigurierte Anwendungen, die mit Microsoft Power Apps erstellt wurden, geben Millionen von Einträgen mit persönlich identifizierbaren Daten preis.

Wie können von Unternehmen gesammelte Informationen in die falschen Hände geraten? Manchmal sind es Insider, die solche Informationen verkaufen, und gelegentlich sind es gezielte Hackerangriffe, die für Datenlecks verantwortlich sind; doch am häufigsten gelangen personenbezogene Daten durch falsch konfigurierte Dienste oder Programme an die Öffentlichkeit. Forscher von UpGuard haben herausgefunden, dass persönliche Daten von rund 38 Millionen Nutzern offengelegt wurden. Die Quelle des Lecks waren dabei einige schlecht konfigurierte Webanwendungen, die mithilfe der Plattform Microsoft Power Apps erstellt wurden. Glücklicherweise scheinen Kriminelle keinen Zugang zu den Informationen erhalten zu haben.

Fehlkonfiguration mit Power Apps

Power Apps von Microsoft ist ein Tool, das Unternehmen bei der Entwicklung von Anwendungen und Webportalen unterstützt, ohne dass hierbei hohe Investitionen erforderlich sind. Nutzerrezensionen loben die Fähigkeit, jede Idee in die Realität umsetzen zu können, ohne jegliche IT-Vorkenntnisse zu haben.

Aber eben diese hoch gelobte Eigenschaft ist die Wurzel des Problems. Mit Power Apps haben Nutzer, denen es nicht nur an IT-Erfahrung mangelt, sondern die auch in Sachen Informationssicherheit gerne viel Ignoranz zeigen, Tools entwickelt, die – Überraschung! – nicht sicher sind bzw. waren. Forscher fanden insgesamt 47 Unternehmen und Regierungsbehörden, die Power Apps zur Erstellung von Tools verwendet hatten, die gesammelte personenbezogene Daten nicht sicher aufbewahrten.

Zusammengefasst können Nutzer mit Power Apps Tools für das Teilen und Sammeln von Daten erstellen. In beiden Fällen werden die Daten in Form von Tabellen gespeichert, für die der Ersteller der App Zugriffsberechtigungen erteilen kann. In der Standardeinstellung waren diese Berechtigungen deaktiviert. Dies ermöglichte es den Entwicklern einerseits, die gemeinsame Nutzung von Daten einfach zu ermöglichen. Andererseits wurden die Tabellen dadurch aber im Wesentlichen für die Öffentlichkeit zugänglich gemacht und die gesammelten Informationen somit auch außerhalb der Unternehmen verfügbar.

Wie Sie die Daten Ihres Unternehmens und Ihrer Kunden vor Datenlecks schützen können

Nachdem die Forscher das Leck gemeldet hatten, änderte Microsoft die Standardeinstellungen der Plattform. Wenn nun jemand ein neues Projekt erstellt, das personenbezogene Daten sammelt, werden diese so gespeichert, dass Außenstehende keinen Zugriff darauf haben. Anwendungen und Webdienste, die vor dem Update von Microsoft erstellt wurden, können jedoch weiterhin anfällig sein. Falls Ihr Unternehmen Microsoft Power Apps verwendet, sollten Sie alle Einstellungen gründlich überprüfen, um diese Art von Leck zu vermeiden, insbesondere falls Ihre Anwendungen personenbezogene Daten erfassen und speichern.

Das Problem ist jedoch viel umfassender. Power Apps ist bei weitem nicht die einzige Low-Code-Plattform, die Menschen ohne IT-Kenntnisse zur Erstellung von Diensten, Anwendungen und Webseiten verwenden. Diese Tools, die in vielen Fällen von Unternehmen nur für interne Aufgaben verwendet werden, können von Sicherheitsabteilungen völlig unbemerkt bleiben. Dabei können sie Schwachstellen im Quellcode, Fehler bei der Integration in andere Geschäftsprozesse oder, wie in diesem Fall, Fehlkonfigurationen enthalten.

Daher empfehlen wir Unternehmen, die Low-Code-Plattformen nutzen, Folgendes:

  • Prüfen Sie sorgfältig die Sicherheits- und Datenschutzeinstellungen von veröffentlichten und nicht veröffentlichten Anwendungen;
  • Informieren Sie die Abteilungen für IT-Sicherheit über den Einsatz solcher Plattformen in Geschäftsprozessen;
  • Beauftragen Sie externe Experten (falls Ihnen keine interne Spezialisten zur Verfügung stehen) mit der Durchführung einer Sicherheitsbewertung.
Tipps