Geschrieben am 23.05.2024 von:
Jonas Haas
IT Security Consultant
zum Profil
Kontaktiere mich:
+49 (0) 6232 – 100119 44
E-Mail senden
Mit der Nutzung von Microsoft 365 und der Migration von Daten in die Cloud stellt sich auch die Frage nach dem Schutz der Daten vor unbefugtem Zugriff – schließlich sollen die Schutzziele der Vertraulichkeit und Integrität auch dann erfüllt werden, wenn die Daten ausgelagert sind. Für den Schutz besonders sensibler Daten ist es vermutlich naheliegend, eine Verschlüsselung zu verwenden. Doch welche Möglichkeiten zur Verschlüsselung stehen uns im Microsoft-365-Umfeld zur Verfügung und wie gut sind unsere Daten dadurch geschützt? In diesem und den kommenden Beiträgen wollen wir einige Begriffe klären und dir so ermöglichen, informierte Entscheidungen zum Thema Verschlüsselung in MS 365 zu treffen.
Gleich vorweg: Transportverschlüsselung ist im Internet heutzutage Standard und sollte vorausgesetzt werden. Wer als Anbieter kein TLS (Transport Layer Security, früher: SSL, Secure Sockets Layer) verwendet, handelt fahrlässig. Im Rahmen dieser Beiträge nehmen wir Transportverschlüsselung also als gegeben an und betrachten stattdessen die Verschlüsselung der ruhenden Daten.
Wogegen schützen wir uns?
Zunächst einmal machen wir aber einen Schritt zurück und stellen uns die Frage nach dem Bedrohungsmodell, also wogegen wir uns eigentlich absichern möchten.
Mitarbeitende, die sich unbefugt nach Dateien umsehen, sollten bereits durch fehlende Berechtigungen auf diesen Dateien aufgehalten werden. Was also bleibt sind zum einen Angreifer, die in der Lage sind, ihre eigenen Berechtigungen zu erweitern oder über andere Wege auf unsere Dateien zuzugreifen. Zu diesen anderen Wegen gehört beispielsweise, Benutzeraccounts bei Microsoft zu kompromittieren und über deren hohe Privilegien Zugriffe durchzuführen.
Zum anderen gibt es noch die Möglichkeit von Zugriffen durch Microsoft und seine Mitarbeitenden selbst, ohne dass weitere Angreifer als Dritte involviert sind. Diese können etwa aus eigener Motivation der Mitarbeitenden bei Microsoft erfolgen. Außerdem ist Microsoft durch den CLOUD Act verpflichtet, Kundendaten auf Anfrage an US-Behörden zu übermitteln, ohne die betroffenen Benutzer oder Vertragspartner zu informieren. Auch dagegen wollen wir uns gegebenenfalls absichern.
Mit dem Wissen, wovor wir uns schützen wollen, können wir uns nun also die in Microsoft 365 angebotenen Verschlüsselungsmöglichkeiten ansehen.
Bitlocker und Distributed Key Manager
Microsoft legt die in der Cloud gespeicherten Daten standardmäßig auf Festplatten ab, auf denen die Festplattenverschlüsselung Bitlocker eingesetzt wird. Um Daten von den Festplatten in den Rechenzentren zu lesen, ist also ein Schlüssel notwendig. Dieser wird wiederum über ein Werkzeug namens Distributed Key Manager (DKM) verwaltet, welches mit dem Verzeichnisdienst Active Directory Domain Services verwoben ist.
Festplattenverschlüsselung bedeutet, dass die Daten auf der Festplatte verschlüsselt sind, wenn diese gerade nicht in Betrieb ist. Da mit verschlüsselten Daten aber nicht sinnvoll gearbeitet werden kann, müssen die Schlüssel während des Betriebs der Festplatte bereitgestellt werden. Effektiv schützt die Kombination aus Bitlocker und DKM also davor, dass auf die nicht in Betrieb befindliche Festplatte zugegriffen wird.
Hier kommt wieder die Frage nach dem Bedrohungsmodell ins Spiel: Im Cloud-Umfeld sind Festplatten meistens in Betrieb. Die Verschlüsselung hilft dann, wenn die physische Festplatte beispielsweise gestohlen oder unsachgemäß entsorgt wird. Wenn über die Cloud-Infrastruktur auf die Daten zugegriffen wird, befindet sich die Festplatte in der Regel aber bereits in Betrieb und der Schlüssel ist auf dem System im Einsatz. Somit kann ein Angreifer, der sich virtuell in der Cloud-Umgebung bewegt, mit hoher Wahrscheinlichkeit auf den Schlüssel zugreifen, oder aber über eine Schnittstelle auf die Daten zugreifen, ohne selbst eine Entschlüsselung durchführen zu müssen.
Einen echten Sicherheitsgewinn erhalten wir durch die standardmäßige Festplattenverschlüsselung mit Bitlocker und DKM also nicht. Im nächsten Beitrag werden wir sehen, wie eine Verschlüsselung in MS 365 tatsächlich effektiv gelingen kann, und was es mit Customer Keys und dem Azure HSM auf sich hat.
Du brauchst rechtliche und technische Unterstützung? Wir helfen dir dabei! Erfahre hier, wie wir dich unterstützen können.