Verschlüsselung, Authentifizierung und Co.
Datenschutz in Microsoft Office 365 lückenhaft
Warum zusätzlicher Datenschutz Sinn macht
Verschlüsselung zählt in der Tat zu den effektivsten Möglichkeiten, wertvolle Daten, die in der Microsoft Office 365 Cloud gespeichert sind, zu schützen. Die Verschlüsselung in Kombination mit der Tokenisierung eignet sich bestens dazu, persönlich identifizierbare Daten in sinnlosen Text zu übersetzen, so dass die betroffene Person nicht identifiziert werden kann.
Bei der Verschlüsselung wird ein mathematischer Algorithmus verwendet, der sensible Daten oder Klartext in unlesbaren Chiffriertext umwandelt. Um verschlüsselte Dateien zu lesen, benötigt man bestimmte kryptografische Schlüssel. Nur diejenigen, die Zugriff auf diese Schlüssel haben, haben auch Zugriff auf die Daten. Die Tokenisierung hingegen erzeugt mathematisch unabhängige Ersatzwerte für die Originaldaten und speichert nur die Ersatzwerte in der Cloud. Das Mapping wird in einer Datenbanktabelle gespeichert.
Wenn es um den Schutz von Cloud-Daten geht, ist die Verschlüsselung also der beste Weg, um kritische Daten vor unbefugtem Zugriff durch Dritte, Kriminelle oder Mitarbeiter Dritter oder Administratoren in externen Rechenzentren zu schützen. Die gesamte E-Mail-Kommunikation, Termine und andere sensible Daten, die auf einer Cloud-Plattform wie Office 365 gespeichert und verarbeitet werden, sollten in jedem Fall durch Verschlüsselung und Pseudonymisierung vor dem Zugriff unbefugter Dritter geschützt werden.
Zu diesen unbefugten Dritten zählt auch der Cloud Service Provider, in diesem Fall Microsoft. Der Grund ist einfach: Nur der Datenverantwortliche - also das Unternehmen - hat die Verantwortung für den Umgang mit personenbezogenen Daten und kann im Falle eines Datenlecks zur Verantwortung gezogen werden. Diese Verantwortung kann nicht von einem Cloud-Provider übernommen werden. Auf der sicheren Seite ist also nur, wer keinem Dritten Zugang zu den kryptografischen Schlüsseln gewährt.
Hinzu kommt, dass bei Microsoft immer auch die US-Behörden Zugriff auf die Daten haben. Wer also ganz sicher sein möchte, dass seine Daten nicht in die falschen Hände geraten, sollte sensible Daten verschlüsseln, bevor sie das Unternehmen verlassen und in der Cloud gespeichert werden.
Bring your own key oder On-Premises Keymanagement
Mehrere der Office-365-Tools bieten Verschlüsselung, einschließlich Customer Key, der es Administratoren ermöglicht, ihre eigenen Schlüssel für die serverseitige Verschlüsselung von Data at Rest in Exchange Online, OneDrive, SharePoint Online und Skype for Business zu importieren. So behalten Office-365-Dienste und damit Microsoft den Zugriff auf die Schlüssel auch während des normalen Betriebs.
Einige Drittanbieter bieten jedoch Lösungen an, die Office-365-Diensten keinen Zugriff auf die kryptografischen Schlüssel gewähren. Dazu gehören beispielsweise Hardware-Sicherheitsmodule (HSM), die entweder vor Ort beim Kunden implementiert oder als Cloud-Service bereitgestellt werden.
Sie verschlüsseln Daten, bevor sie an Office-365-Dienste weitergeleitet werden, so dass Microsoft keinen Zugriff auf die kryptografischen Schlüssel erhält. Allerdings bedeutet das in den meisten Fällen, dass wichtige Office-Funktionalitäten beeinträchtigt werden, weil bestimmte Backend-Prozesse, wie z.B. die Indexierung, nicht mehr auf die Daten im Klartext zugreifen können.
Das betrifft viele Schlüsselfunktionen wie die Suche in Dokumenten oder E-Mails, aber auch die Dokumentenvorschau und andere Funktionen, die auf die Hintergrundverarbeitung angewiesen sind. Die meisten Unternehmen sind allerdings nicht bereit, solche Funktionsverluste hinzunehmen, zumal es die Nutzer in ihrer täglichen Arbeit behindert und schlimmstenfalls dazu führt, dass die Mitarbeiter auf Schatten-IT zurückgreifen.
Als Cloud-Benutzer oder Datenverantwortlicher stehen Unternehmen nun vor dem Dilemma, entweder die eingeschränkte Funktionalität zu akzeptieren oder eine Option zu wählen, die Microsoft den Zugriff auf die Verschlüsselungscodes ermöglicht, damit Office-365-Dienste ihre Arbeit verrichten können. Letztere Option ist gleichbedeutend mit einem erhöhten Aufwand bei der Auditierung des Cloud-Providers und einem erhöhten Bußgeldrisiko im Falle eines Datenverstoßes.
- Security-Verantwortlichkeiten
Ihr Cloud-Provider ist für die IT-Sicherheit seiner Infrastruktur verantwortlich. Ihr Unternehmen ist hingegen dafür verantwortlich, welche Nutzer Zugriff auf seine Ressourcen und Applikationen erhalten. Mit anderen Worten: Sie müssen sich um das Management der Zugriffsrechte kümmern und dafür sorgen, dass sich User und Devices, die Cloud-Zugriff benötigen, authentifizieren. <br><br /> Tipp für CISOs: Erstellen Sie Security-Protokolle wie Authentifizierungs-Richtlinien, Verschlüsselungs-Schemata und Datenzugriffs-Richtlinien. Benutzen Sie IAM (Identity & Access Management) um den Nutzerzugriff auf Services und Daten abzusichern und einzuschränken. Außerdem sollten Sie ein Audit durchführen, um Compliance-Verstöße oder unauthorisierten Zugriff sichtbar zu machen. - Unmanaged Traffic
Es gab eine Zeit, da war es in Unternehmen Gang und Gäbe, dass alle User Connections durch einen allgemeingültigen Security-Checkpoint müssen. In Zeiten von Netzwerk-Vielfalt und mobilen Devices ist das nicht mehr praktikabel. Unmanaged Traffic bezeichnet im Übrigen Bandbreitennutzung, über die Sie nichts wissen. Das kann von Usern verursachter Datenverkehr sein, oder Cloud-to-Cloud-Traffic, der in der Regel signifikant ausfällt. Datenverkehr, der Ihnen nicht bekannt ist, kann auch nicht durch den Security Checkpoint geleitet werden. <br><br /> Tipp für CISOs: Cloud Services mit einem Checkpoint - also Proxy - abzusichern, sorgt für zahlreiche Sicherheitslücken. Sie sollten deshalb Nutzer und Daten des Cloud Services über APIs absichern. Unauthorisierten Zugriff decken sie über Monitoring, privilegierte Administratoren und Apps von Drittanbietern auf. - Managed Traffic
Wenn Sie sich dafür entscheiden, den Datenverkehr, über den Sie Bescheid wissen - also den Managed Traffic - durch einen zentralen Checkpoint zu leiten, kann darunter die Performance leiden. Der Grund: große Datenmengen sorgen für Stau im Netzwerk. Fällt die Performance ab, führt das wiederum dazu, dass frustrierte User Wege suchen, den Stau zu umgehen. <br><br /> Tipp für CISOs: Bewerten Sie in Frage kommende Sicherheitslösungen nach Ihren Use Cases. Einige Drittanbieter haben Security Tools im Programm, die sämtliche Cloud Services - also SaaS, PaaS und IaaS - ohne zentralen Checkpoint absichert. - User-Eigenmacht
Eigenmächtige User können für die Entstehung neuer Sicherheitsrisiken sorgen, wenn sie unbemerkt Traffic verursachen. Eine weitere Folge kann ein Erstarken der sogenannten Schatten-IT sein. In diesem Fall könnten User ohne Wissen der IT-Abteilung Applikationen und andere Ressourcen nutzen, die nicht authorisiert sind. <br><br /> Tipp für CISOs: Schatten-IT sorgt für Compliance-Verstöße und kann für ineffiziente und inkonsistente Prozesse verantwortlich sein. Sie sollten deshalb gemeinsam mit Ihrem Team die Nutzung von Schatten-IT im Unternehmen identifizieren und auf dieser Grundlage Richtlinien entwerfen, die nicht nur der IT-Abteilung, sondern auch allen anderen Abteilungen helfen, im Sinne der IT-Sicherheit produktiv und effizient zusammenzuarbeiten. - Kein Mut zur Lücke
Die meisten Cloud-Security-Lösungen legen ihren Fokus auf den Schutz von SaaS-Applikationen - was wiederum für grobe Sicherheitslücken sorgen kann. Für eine ganzheitliche Security-Strategie sollten Sie den Schutz aller Daten, User und Devices über SaaS-, IaaS- und PaaS-Applikationen forcieren. <br><br /> Tipp für CISOs: Die Risiken und Schwachstellen von IaaS-, PaaS- und SaaS-Modellen unterscheiden sich grundlegend. Sie sollten deshalb nach einer ganzheitlichen Lösung Ausschau halten, die die Cloud in ihrer Gesamtheit abdeckt. - Wahl der richtigen Security-Lösung
Derzeit gibt es zwei grundlegende Ansätze für das Deployment einer Cloud-Security-Lösung: den Proxy- und den API-Ansatz. Beide haben ihre vOr- und Nachteile - aber woher weiß man, welcher Ansatz der richtige ist? <br><br /> Tipp für CISOs: Denken Sie an die Bedürfnisse Ihres Unternehmens. Suchen Sie nach einer Proxy-Lösung, die Überwachung in Echtzeit ermöglicht? Oder ist der ganzheitliche API-Ansatz besser geeignet, der eine serviceübergreifende Absicherung aller Daten, Nutzer und Devices ermöglicht?
So können Unternehmen das Security-Problem lösen
Dies kann nur mit einer zentralen Datenschutzplattform erreicht werden, die eine zusätzliche Verschlüsselungsebene mit intelligenten Key-Management-Funktionen bietet. Wichtig bei solchen zentralen Lösungen ist, dass sie dem Kunden die alleinige Kontrolle über die kryptografischen Schlüssel gewährt und starke Verschlüsselungs- und Tokenisierungsmethoden für Daten in Use, in Transit und at Rest nutzt. Das hat zur Folge, dass die Daten unkenntlich gemacht werden, indem aussagekräftige, lesbare Daten in einen zufälligen Satz von Zeichenketten ohne Wert für unbefugte Benutzer umgewandelt werden.
Weiterhin sollten Unternehmen darauf achten, dass die eingesetzte Lösung alle Office-365-Funktionen unterstützt, so dass keine Einbußen bei der Nutzung auftreten. Die Suche, das Filtern und Sortieren sollte also weiterhin uneingeschränkt - auch in den verschlüsselten Daten in der Cloud - möglich sein. Das bedeutet, die einzusetzende Lösung muss die vollständige Such-, Filter- und Sortierfunktion unterstützen.
In dem Zusammenhang sollten Unternehmen auch darauf achten, dass weder auf der Office 365 Cloud-Plattform noch im Unternehmenssystem eine entsprechende Software installiert werden muss. Der Vorteil: Die End-Anwender merken den zusätzlichen Cloud Datenschutz nicht und wenn Microsoft-Standardschnittstellen wie MAPI und EWS unterstützt werden, beeinträchtigen zukünftige Office-365-Updates nicht die Funktionalität.
Fazit
Die Sicherheitsfeatures, die Microsoft für Office 365 anbietet sind wichtig und sinnvoll. Wer als Unternehmen jedoch die alleinige Kontrolle über seine sensiblen Daten behalten möchte, der sollte auf jeden Fall sinnvolle Security-Ergänzungen prüfen.