{"id":27259,"date":"2021-09-08T16:04:14","date_gmt":"2021-09-08T14:04:14","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=27259"},"modified":"2021-09-08T16:04:14","modified_gmt":"2021-09-08T14:04:14","slug":"power-apps-exposure","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/power-apps-exposure\/27259\/","title":{"rendered":"Microsoft Power Apps: erstellte Anwendungen k\u00f6nnen pers\u00f6nliche Nutzerdaten preisgeben"},"content":{"rendered":"

Wie k\u00f6nnen von Unternehmen gesammelte Informationen in die falschen H\u00e4nde geraten? Manchmal sind es Insider, die solche Informationen verkaufen, und gelegentlich sind es gezielte Hackerangriffe, die f\u00fcr Datenlecks verantwortlich sind; doch am h\u00e4ufigsten gelangen personenbezogene Daten durch falsch konfigurierte Dienste oder Programme an die \u00d6ffentlichkeit. Forscher von UpGuard haben herausgefunden, dass pers\u00f6nliche Daten von rund 38 Millionen Nutzern offengelegt wurden<\/a>. Die Quelle des Lecks waren dabei einige schlecht konfigurierte Webanwendungen, die mithilfe der Plattform Microsoft Power Apps erstellt wurden. Gl\u00fccklicherweise scheinen Kriminelle keinen Zugang zu den Informationen erhalten zu haben.<\/p>\n

Fehlkonfiguration mit Power Apps<\/h2>\n

Power Apps von Microsoft ist ein Tool, das Unternehmen bei der Entwicklung von Anwendungen und Webportalen unterst\u00fctzt, ohne dass hierbei hohe Investitionen erforderlich sind. Nutzerrezensionen<\/a> loben die F\u00e4higkeit, jede Idee in die Realit\u00e4t umsetzen zu k\u00f6nnen, ohne jegliche IT-Vorkenntnisse zu haben.<\/p>\n

Aber eben diese hoch gelobte Eigenschaft ist die Wurzel des Problems. Mit Power Apps haben Nutzer, denen es nicht nur an IT-Erfahrung mangelt, sondern die auch in Sachen Informationssicherheit gerne viel Ignoranz zeigen, Tools entwickelt, die \u2013 \u00dcberraschung! \u2013 nicht sicher sind bzw. waren. Forscher fanden insgesamt 47 Unternehmen und Regierungsbeh\u00f6rden, die Power Apps zur Erstellung von Tools verwendet hatten, die gesammelte personenbezogene Daten nicht sicher aufbewahrten.<\/p>\n

Zusammengefasst k\u00f6nnen Nutzer mit Power Apps Tools f\u00fcr das Teilen und Sammeln von Daten erstellen. In beiden F\u00e4llen werden die Daten in Form von Tabellen gespeichert, f\u00fcr die der Ersteller der App Zugriffsberechtigungen erteilen kann. In der Standardeinstellung waren diese Berechtigungen deaktiviert. Dies erm\u00f6glichte es den Entwicklern einerseits, die gemeinsame Nutzung von Daten einfach zu erm\u00f6glichen. Andererseits wurden die Tabellen dadurch aber im Wesentlichen f\u00fcr die \u00d6ffentlichkeit zug\u00e4nglich gemacht und die gesammelten Informationen somit auch au\u00dferhalb der Unternehmen verf\u00fcgbar.<\/p>\n

Wie Sie die Daten Ihres Unternehmens und Ihrer Kunden vor Datenlecks sch\u00fctzen k\u00f6nnen<\/h2>\n

Nachdem die Forscher das Leck gemeldet hatten, \u00e4nderte Microsoft die Standardeinstellungen der Plattform. Wenn nun jemand ein neues Projekt erstellt, das personenbezogene Daten sammelt, werden diese so gespeichert, dass Au\u00dfenstehende keinen Zugriff darauf haben. Anwendungen und Webdienste, die vor dem Update von Microsoft erstellt wurden, k\u00f6nnen jedoch weiterhin anf\u00e4llig sein. Falls Ihr Unternehmen Microsoft Power Apps verwendet, sollten Sie alle Einstellungen gr\u00fcndlich \u00fcberpr\u00fcfen, um diese Art von Leck zu vermeiden, insbesondere falls Ihre Anwendungen personenbezogene Daten erfassen und speichern.<\/p>\n

Das Problem ist jedoch viel umfassender. Power Apps ist bei weitem nicht die einzige Low-Code-Plattform, die Menschen ohne IT-Kenntnisse zur Erstellung von Diensten, Anwendungen und Webseiten verwenden. Diese Tools, die in vielen F\u00e4llen von Unternehmen nur f\u00fcr interne Aufgaben verwendet werden, k\u00f6nnen von Sicherheitsabteilungen v\u00f6llig unbemerkt bleiben. Dabei k\u00f6nnen sie Schwachstellen im Quellcode, Fehler bei der Integration in andere Gesch\u00e4ftsprozesse oder, wie in diesem Fall, Fehlkonfigurationen enthalten.<\/p>\n

Daher empfehlen wir Unternehmen, die Low-Code-Plattformen nutzen, Folgendes:<\/p>\n