In der heutigen digitalen Welt verwenden viele Unternehmen und Privatpersonen Cloud-Dienste wie Microsoft OneDrive, um Dateien online zu speichern und einfach mit anderen Anwendungen zu teilen. Plattformen wie ChatGPT, Zoom, Slack und weitere ermöglichen es Nutzern, direkt aus OneDrive heraus Dateien hochzuladen. Diese praktische Integration birgt jedoch erhebliche Sicherheitsrisiken, die vielen Anwendern nicht bewusst sind. Wer OneDrive nutzt, um Dateien hochzuladen, sollte dies mit Vorsicht tun, da es durch die Art und Weise, wie Microsoft die Datei-Auswahl und die Authentifizierung über OAuth implementiert, zu einem ungewollten Zugriff auf die gesamten gespeicherten Daten kommen kann.Das Kernproblem liegt im Microsoft OneDrive File Picker, einem von Microsoft bereitgestellten Tool, das Webanwendungen ermöglicht, nahtlos auf Nutzerdateien zuzugreifen, um Uploads oder das Browsen von Inhalten direkt zu gestalten.
Obwohl es auf den ersten Blick so aussieht, als würden Apps nur Zugriff auf die ausgewählten Dateien erhalten, greifen diese Anwendungen in Wirklichkeit oft weitreichender auf den gesamten OneDrive-Speicher des Nutzers zu – und das nicht nur im Lesemodus, sondern in manchen Fällen auch mit Schreibrechten. Diese Art der weitgreifenden Zugriffsrechte entsteht aufgrund einer mangelnden Feinsteuerung bei den OAuth-Berechtigungen, die Microsoft für den File Picker vorsieht. Experten sprechen von einer sogenannten „überprivilegierten OAuth-Falle“. OAuth ist ein offener Standard für Autorisierungsprotokolle, der sicherstellen soll, dass Anwendungen nur auf die Daten zugreifen, für die Nutzer explizit die Erlaubnis geben. Im Fall des OneDrive File Pickers jedoch werden demnach oft breite Zugriffsbereiche erteilt, weil Microsoft keine differenzierten Berechtigungsstufen für einzelne Dateien vorsieht.
Somit erhält eine Web-App automatisch Zugriff auf den gesamten Cloud-Speicher des Nutzers, was im schlimmsten Fall zu massiven Datenschutzverletzungen führen kann. Diese Problematik wurde durch Sicherheitsforscher von Oasis Security aufgedeckt und betrifft einschlägig bekannte Anwendungen wie ChatGPT, Zoom, Slack, ClickUp oder Trello. Beispielsweise verwendet ChatGPT aktuell File Picker in der Version 8.0, die dieses breite Berechtigungsspektrum anfordert. Auch Tools außerhalb der IT- und Kommunikationsbranche, wie etwa Rekrutierungsplattformen, können Opfer dieser Schwachstellung sein, wenn Nutzer via OneDrive vertrauliche Dokumente hochladen.
Ein Risiko hierbei ist, dass diese langzeitgültigen Zugangstoken häufig unsicher gespeichert werden – beispielsweise unverschlüsselt in lokalen Browser-Daten oder in schlecht geschützten Datenbanken von Webanwendungen. Sollte ein Angreifer Zugang zu diesen Token erlangen, könnte er auf sämtliche Dateien innerhalb des OneDrive-Kontos zugreifen, wertvolle Unternehmensdaten ausspähen oder manipulieren und langfristigen Schaden anrichten. Gibt es zudem keine granularen Berechtigungen, ist der Nutzer praktisch hilflos und kann nicht zwischen legitimen und möglicherweise böswilligen Apps unterscheiden, die genau diese übermäßigen Zugriffe ausnutzen.Was bedeutet diese Sicherheitslücke konkret für Endnutzer und IT-Verantwortliche? Zunächst einmal zeigt sie, dass man sich der möglichen Folgen bewusst sein muss, wenn man Cloud-Speicher für Dateiuploads an webbasierte Anwendungen anbietet. Die Illusion, man teile nur eine einzelne Datei, ist trügerisch und kann, wenn unreflektiert genutzt, zum Verlust von Datenhoheit führen.
Unternehmen und Sicherheitsverantwortliche sollten daher Beratungen anstoßen und möglichst den Einsatz von OneDrive-basierenden Upload-Funktionen hinterfragen oder temporär aussetzen, bis Microsoft diese Problematik adressiert hat.Empfohlene Schutzmaßnahmen umfassen zudem den Verzicht auf die Nutzung des OneDrive File Pickers in Drittanbieterapps sowie die Verwendung von Alternativen wie Google Drive oder Dropbox, deren Berechtigungsmodelle aktuell präziser und risikoärmer gestaltet sind. Eine einfache Möglichkeit für Nutzer ist zudem, geteilte Dateien über „Nur-Anzeigen“-Links zugänglich zu machen, anstatt sie direkt aus dem gesamten Laufwerk hochzuladen. Diese Methode beschränkt den Zugriff für die empfangende App auf das jeweils freigegebene Dokument und verhindert ein Ausbreiten der Rechte auf andere Ordner oder Dateien.Darüber hinaus sollten Organisationen verstärkte Richtlinien zur Verwaltung von API-Zugängen und OAuth-Tokens etablieren.
Dazu zählt das Einführen von Prinzipien wie dem „Least Privilege Access“, also die Vergabe von minimal notwendigen Rechten, und das Durchsetzen von Admin Consent oder bedingten Zugriffsregeln, die Anwendungen genau prüfen und Zugriffe nur gewähren, wenn sie innerhalb definierter Parameter bleiben. Sichere Speicherung von Zugangstokens, regelmäßige Sicherheitsüberprüfungen und Monitoring sind weitere wichtige Bestandteile eines ganzheitlichen API-Governance-Konzepts.Die Tatsache, dass Microsoft das Problem bereits anerkannt hat, aber bislang keine konkreten Lösungen kommuniziert hat, unterstreicht die Bedeutung eines proaktiven Umgangs mit dieser Sicherheitslücke. Bis zur Bereitstellung entsprechend sicherer Updates ist es daher ratsam, alternative Methoden und Workarounds zu bevorzugen. Sicherheitsforscher empfehlen zudem, bewusster mit der Autorisierung von SaaS-Anwendungen umzugehen und stets kritisch zu hinterfragen, welche Zugriffsrechte gewährt werden.
Das gesamte Thema zeigt erneut die Herausforderungen im Umgang mit Cloud-Diensten und integrierten Authentifizierungsmechanismen. Während Cloud-basierte Tools und die nahtlose Verbindung unterschiedlicher Dienste den Arbeitsalltag ungemein erleichtern, erhöhen sich dadurch auch die Angriffsflächen, die es zu schützen gilt. Besonders für Unternehmen und Organisationen bedeutet dies, sich intensiv mit der API-Sicherheit und der Verwaltung von Berechtigungen auseinanderzusetzen.Insgesamt verdeutlicht die OneDrive File Picker-Sicherheitslücke, dass Nutzer nie davon ausgehen sollten, dass jede von ihnen autorisierte Anwendung nur Zugriff auf minimal nötige Daten erhält. Die Verantwortung liegt sowohl bei den Anbietern der Cloud-Dienste als auch bei den Entwicklern der Drittanbieter-Applikationen, dafür zu sorgen, dass Zugriffsrechte sicher und transparent vergeben werden.
Gleichzeitig sollten Nutzer und Sicherheitsverantwortliche wachsam bleiben, Sicherheitsupdates einspielen und deren Empfehlungen folgen.Wer OneDrive weiterhin verwenden möchte, sollte sich zumindest an bewährte Sicherheitspraktiken halten, den Upload über File Picker nur eingeschränkt bzw. nur vertrauenswürdige Apps nutzen und sensible Dateien vorzugsweise über temporär freigegebene Links teilen. So lässt sich zumindest kurzfristig das Risiko eines unkontrollierten Datenzugriffs minimieren und zugleich die Vorteile von Cloud-Speicherung und Kollaboration gewahrt.Die digitale Sicherheit bleibt ein dynamisches Spielfeld, in dem technische Fortschritte und neue Funktionalitäten immer wieder neue Herausforderungen mit sich bringen.
Das Problem des überprivilegierten Zugriffs durch OneDrive File Picker ist ein wichtiger Weckruf, um Datenschutz und Zugriffsrechte konsequent und kritisch zu hinterfragen – nur so kann Vertrauen in moderne Cloud-Lösungen langfristig erhalten werden.
