OneDrive ist eine der beliebtesten Cloud-Speicherplattformen weltweit und wird von Millionen Nutzern für die Speicherung, Synchronisierung und gemeinsame Nutzung von Dateien genutzt. Besonders in Kombination mit Web-Anwendungen bieten sich enorme Vorteile bei der Zusammenarbeit und Datenverwaltung. Doch Sicherheitsforscher haben kürzlich eine kritische Schwachstelle entdeckt, die dem gesamten Cloud-Ökosystem erhebliche Risiken einbringt. Die OneDrive-Dateiauswahlfunktion (File Picker), die von diversen Web-Apps verwendet wird, verlangt über OAuth-Berechtigungen Zugang zu sämtlichen Nutzerdateien – nicht nur zu den Dateien, die der Nutzer explizit hochladen oder freigeben möchte. Dieses Problem entfacht eine Diskussion über den Datenschutz, die Angriffsflächen und die Rechteverwaltung bei Cloud-Diensten.
Im Folgenden erfahren Leser, wie dieses Problem entstanden ist, warum es so gravierend ist und wie Unternehmen sowie private Anwender darauf reagieren können. Die Wurzel des Problems liegt im OAuth-Berechtigungssystem von OneDrive. OAuth ist ein weitverbreiteter Standard zur Autorisierung, der es Anwendungen ermöglicht, im Namen eines Nutzers auf Ressourcen zuzugreifen, ohne dessen Passwort offenzulegen. Idealerweise sollte dabei die Zugriffsberechtigung so fein granuliert sein, dass eine App nur auf genau die Daten zugreifen kann, die für ihre Funktion nötig sind. Im Fall von OneDrive gibt es aber nur sehr grobe Berechtigungsstufen.
Die File Picker-Lösung fordert eine Leseberechtigung für den kompletten OneDrive-Speicher an, ohne die Möglichkeit, den Zugriff auf die selektierten einzelnen Dateien begrenzen zu können. Dadurch erhalten Web-Anwendungen, die sich über die File Picker-Funktion integrieren, potentiell langfristigen Zugriff auf alle privaten oder geschäftlichen Dateien eines Nutzers. Besonders problematisch ist, dass die Nutzer in der Regel nicht ausreichend über diesen weitreichenden Zugriff informiert werden. Die zugrundeliegenden Einwilligungsdialoge sind oft unklar formuliert, was dazu führt, dass viele Benutzer zustimmen, ohne zu verstehen, dass sie praktisch einen Generalschlüssel für ihren Cloud-Speicher überreichen. Diese Kombination aus unzureichend feingranularer Berechtigungsdefinition und mangelnder Transparenz führt zu einer erheblichen Erweiterung der Angriffsfläche – besonders in Unternehmen, die umfangreiche Cloud-Umgebungen verwalten müssen.
Sicherheitsforscher von Oasis Security haben diese Problematik ausführlich untersucht. Elad Luz, der Forschungsexperte hinter der Analyse, beschreibt die Lage so: Jede Webanwendung, die den OneDrive File Picker nutzt, erhält Zugriff auf den kompletten OneDrive-Speicher eines Benutzers, nicht nur auf die Datei, die ausgewählt wird. Besonders besorgniserregend ist, dass dieser Zugriff auch nach Abschluss des Datei-Uploads erhalten bleiben kann. Dies verstößt gegen das grundlegende Prinzip der minimalen Rechtevergabe (Least Privilege), das eine der wichtigsten Sicherheitsrichtlinien darstellt, um potentielle Schäden zu minimieren. Diese Sicherheitslücke betrifft viele bekannte Web-Anwendungen, die mittlerweile tief im Arbeitsalltag verankert sind.
Zu den meistgenannten gehören Tools wie ChatGPT, Slack, Trello, Zoom und ClickUp. Die Schätzung geht von Hunderten weiterer Apps aus, die ebenfalls die OneDrive File Picker-Funktion nutzen und dabei potentiell ungewollt Zugriff auf den kompletten Speicher gewähren. Für Nutzer und IT-Verantwortliche ist dies ein ernstes Warnsignal, denn sämtliche Daten aus privaten Dokumentenordnern, gescannten Ausweisen oder sensiblen Geschäftsdokumenten könnten so in die falschen Hände geraten. Im Vergleich zu anderen Cloud-Diensten fällt auf, dass Microsoft hier eine weniger differenzierte Lösung gewählt hat. Google Drive zum Beispiel stellt Entwicklern deutlich granularere OAuth-Berechtigungen zur Verfügung und beschränkt den Zugriff auf Dateien, die explizit für die App freigegeben wurden oder die von der App selbst erstellt wurden.
Dropbox verfolgt dagegen einen anderen technischen Ansatz mit seiner Chooser SDK, durch den sich Zugriffe auf ausgewählte Dateien beschränken lassen, ohne breit gefasste Leseberechtigungen zu vergeben. Diese Alternativen zeigen, dass es technisch sinnvoll und umsetzbar ist, Zugriffsrechte präzise zu regeln. Der Mangel an Feingranularität bei OneDrive wird von Experten nicht als klassischer Softwarefehler, sondern eher als Misconfiguration oder Designentscheidung eingeordnet. Jason Soroko, Senior Fellow bei Sectigo, weist darauf hin, dass die aktuellen Einwilligungstexte nicht deutlich genug vermitteln, dass die Zustimmung zum Zugriff für eine einzelne Datei unter Umständen eine Tür zu allen Dateien im OneDrive öffnet. Besonders kritisch ist zudem, dass ausgehende Zugriffstoken oft langfristig gültig sind und manchmal unverschlüsselt in Browser-Storage oder Server-Datenbanken abgelegt werden.
Ein erfolgreicher Diebstahl dieser Token kann Angreifern den Zugriff auf den kompletten OneDrive-Bereich eines Benutzers oder sogar ganzer Unternehmens-Tenants ermöglichen. Neben der technischen Dimension ist auch das menschliche Verhalten ein Faktor. Viele Nutzer unterschätzen den Umfang der in OneDrive gespeicherten Informationen. Oft landen vertrauliche Dokumente wie Bankunterlagen, medizinische Befunde oder private Fotos in ihren Cloud-Accounts, ohne dass sie sich dessen bewusst sind. Ein unbedachter Klick in einem Einwilligungsdialog kann deshalb immense Folgen haben.
Jamie Boote, Sicherheitsexperte bei Black Duck, weist darauf hin, dass Nutzer ihre Vertrauen an Web-Anwendungen übertragen, wenn sie den Zugriff erlauben, und dass man diesen Vertrauensvorschuss nicht leichtfertig vergeben sollte. Aus Sicht von Unternehmen und Sicherheitsfachleuten bedeutet dieses Szenario, dass umfassende Maßnahmen notwendig sind. Firmensicherheitsverantwortliche sollten rigoros kontrollieren, welche Anwendungen Admin-Zustimmung erhalten und welche Berechtigungen sie anfordern dürfen. Ideal sind Richtlinien, die Apps auf die minimal notwendigen Leserechte beschränken und auf die Nutzung kurzlebiger Zugriffstoken setzen. Die Integration von Continuous Access Evaluation (CAE) und erweiterten Token-Schutzmechanismen, wie sie etwa in Microsoft Entra ID implementiert sind, kann die Risiken deutlich minimieren.
Zudem ist es ratsam, regelmäßig existierende App-Registrierungen zu überprüfen, riskante Berechtigungen zu widerrufen oder die geringe Rechtevergabe zu erzwingen. Für private Nutzer bleibt vorerst vor allem Wachsamkeit als Schutzmittel. Vor der Autorisierung einer Web-Anwendung sollten die Berechtigungen genau geprüft werden, auch wenn die Dialoge oft unspezifisch erscheinen. Im Zweifel ist es besser, die Funktionalität der App einzuschränken oder alternative Lösungen mit klareren Datenschutzmaßnahmen zu wählen. Die enge Zusammenarbeit mit IT-Administratoren ist insbesondere für Unternehmenskunden unverzichtbar, um Risiken zu überwachen und Gegenmaßnahmen schnell einzuleiten.
Insgesamt zeigt die OneDrive-Schwachstelle exemplarisch, welche Herausforderungen die zunehmende Integration von Cloud-Diensten und Web-Anwendungen mit sich bringt. Neben Technik und Design spielen auch Usability und Aufklärung eine zentrale Rolle. Microsoft steht nun unter Zugzwang, die OAuth-Berechtigungen zu verfeinern und die Benutzerführung transparenter zu gestalten, um potenziellen Schaden abzuwenden. Bis dahin ist es wichtig, bewährte Sicherheitsprinzipien wie Least Privilege strikt einzuhalten und die Cloud-Nutzung verantwortungsvoll zu managen. Die Analyse der Sicherheitslücke offenbart auch eine allgemein gültige Erkenntnis im Bereich Cloud-Security: Vertrauen in etablierte Anbieter darf nicht zu Sorglosigkeit führen.
Auch große Plattformen können Konfigurationsentscheidungen treffen, die zu Datenschutzlücken und erhöhten Angriffsflächen führen. Für Unternehmen ist es essenziell, technologische Trends kritisch zu begleiten und Sicherheitsarchitekturen kontinuierlich zu prüfen. Nur durch eine Kombination aus technischen Controls, Nutzeraufklärung und Governance lässt sich die Sicherheit in hybriden IT-Umgebungen aufrechterhalten. Empfehlenswert ist außerdem die Förderung von Sicherheitsinitiativen und Bug-Bounty-Programmen wie das von Microsoft eingeführte OneDrive-Programm, das externe Experten zur Identifizierung von Schwachstellen einlädt. Solche Kooperationen tragen dazu bei, Sicherheitslücken frühzeitig zu erkennen und schnell zu beheben, bevor sie von Angreifern ausgenutzt werden können.
Das Beispiel OneDrive zeigt, wie wichtig es ist, auch Design-Entscheidungen in Autorisierungssystemen regelmäßig zu evaluieren und auf den neusten Stand zu bringen. Abschließend lässt sich sagen, dass die Problematik rund um OneDrive und die OAuth-Berechtigungen ein klares Signal für Nutzer und Unternehmen ist: Cloud-Dienste bieten immense Vorteile, aber der Schutz sensibler Daten darf dabei nicht vernachlässigt werden. Eine bewusste und informierte Nutzung, gekoppelt mit strengen Zugriffsrichtlinien, bildet das Fundament für sichere digitale Arbeitswelten in einer zunehmend vernetzten Welt.
