Ein Kommentar zur neuesten Roadmap-Änderung und was Administratoren jetzt besser schnell prüfen sollten!
Microsoft bringt im Mai 2025 eine neue Funktion auf die Geräte seiner Geschäftskunden – und wer nicht genau hinschaut, riskiert damit eine gravierende Sicherheitslücke.
Doch der Reihe nach:
Am 25.04.2025 tauchte folgender Eintrag auf der Microsoft Roadmap auf:
Mit dieser Funktion kann der OneDrive Sync-Client unter Windows bekannte persönliche Microsoft-Konten erkennen, die mit Geschäftsgeräten verbunden sind, und die Benutzer auffordern, ihre persönlichen OneDrive-Dateien zu synchronisieren. Wenn der Benutzer die Aufforderung annimmt, werden seine persönlichen Dateien zusammen mit seinen Arbeitsdateien synchronisiert. Um dieses Verhalten standardmäßig zu aktivieren, ist keine Aktion erforderlich. Admins können es mit den Richtlinien DisableNewAccountDetection oder DisablePersonalSync unterdrücken oder deaktivieren.
Was bedeutet das im Klartext?
Ein Benutzer klickt „Ja“ – und wenn der Admin nicht vorher aktiv abgesichert hat, kann dieser Nutzer fortan völlig unkontrolliert Daten zwischen dem Unternehmens-OneDrive und seinem persönlichen OneDrive-Konto hin- und herkopieren. Und das ist kein theoretisches Szenario, sondern kinderleicht machbar.
Ein banaler Drag-and-Drop aus dem geschäftlichen Sync-Ordner in den privaten – und schon ist die Datei außerhalb der Reichweite aller Richtlinien, DLP-Systeme oder Audit-Logs. Und was passiert, wenn Sie die Organisation verlassen ? Willkommen im Daten-Exfiltrations-Paradies – bereitgestellt von Microsoft.
Was kann die IT tun?
Zwei Gruppenrichtlinien sind die einzigen Rettungsanker – wenn man sie kennt und aktiv setzt:
DisablePersonalSync – Persönliche Konten sperren
Diese Richtlinie verbietet grundsätzlich, dass sich Benutzer mit einem persönlichen Microsoft-Konto (MSA) verbinden und Dateien über OneDrive Personal synchronisieren. Ohne diese Richtlinie bleibt das Tor weit offen.
Wichtig: Ist das Konto bereits verbunden, wird die Synchronisierung nach Aktivierung der Richtlinie gestoppt – aber die bereits synchronisierten Dateien bleiben auf dem Gerät erhalten.
Diese Richtlinie sollte in jedem Unternehmen aktiv sein. Es gibt schlicht keinen legitimen Grund, persönliche OneDrive-Konten in einem geschäftlichen Umfeld zuzulassen. Die Risiken überwiegen bei Weitem.
DisableNewAccountDetection – Pop-up verhindern
Die Richtlinie mit dem langen Namen „Deaktivieren Sie das Popup und die Aktivitätscenternachrichten, um Benutzer zu ermutigen, sich bei OneDrive mit vorhandenen Anmeldeinformationen anzumelden, die den Microsoft-Anwendungen zur Verfügung gestellt werden.“ blendet lediglich die Aufforderung zur Synchronisierung aus. Wer weiß, wie man Konten manuell hinzufügt, kann trotzdem sein privates OneDrive einbinden.
Fazit: Nett gemeint, aber keine echte Sicherheitsmaßnahme.
Fazit: Standard ist Unsicherheit
Microsoft liefert diese Funktion standardmäßig aktiviert aus – obwohl sie in vielen Unternehmen ein Compliance-Desaster auslösen kann. Die Verantwortung wird an die Admins durchgereicht: „Wenn was schiefläuft, hättet ihr ja die Richtlinie setzen können.“
Wer jetzt nicht handelt, lässt Tür und Tor für Datenabfluss offen.
Administratoren sollten sofort prüfen, ob DisablePersonalSync aktiv ist – alles andere ist grob fahrlässig.