Verschlüsselung, Authentifizierung und Co.

Datenschutz in Microsoft Office 365 lückenhaft

19.03.2019
Von   IDG ExpertenNetzwerk
Elmar Eperiesi-Beck leitet die von ihm gegründete eperi GmbH als CEO. Eine seiner Kernkompetenzen ist die Beratung von Unternehmen in Bezug auf die sichere und rechtskonforme Speicherung personenbezogener Daten in der Cloud. In den letzten Jahren hat er sich als geschätzter Berater für Cloud-Sicherheitsfragen auf Landes-, Bundes- und EU-Ebene etabliert. Angetrieben wird er von dem Bestreben, Menschen dabei zu unterstützen, zu jedem Zeitpunkt die Kontrolle über ihre personenbezogenen Daten zu erhalten.
Microsoft Office 365 gehört zu den beliebtesten Cloud-Services - Tendenz steigend. Zwar bietet die Office-Suite in puncto Sicherheit jede Menge nützlicher Optionen, doch einige Schwachstellen bleiben, die Unternehmen berücksichtigen sollten.
Microsoft Office 365 ist mit vielen Sicherheitsfeatures ausgestattet, hat aber in puncto Security noch nicht alle Optionen ausgeschöpft.
Microsoft Office 365 ist mit vielen Sicherheitsfeatures ausgestattet, hat aber in puncto Security noch nicht alle Optionen ausgeschöpft.
Foto: dennizn - shutterstock.com

Microsoft Office 365 ist das Paradebeispiel des Cloud-basierten SaaS-Modells. Es hat sich in den vergangenen Jahren zu einem der beliebtesten Cloud-Services entwickelt. Zwischen 2015 und 2017 ist die Zahl der Abonnenten um 320 Prozent gestiegen. Und auch in den kommenden Jahren wird Office 365 seinen Ruf als bevorzugte Cloud-Anwendung für Unternehmen weiter ausbauen: Bis 2021 werden immer mehr Unternehmen in die Cloud wechseln und Cloud-Daten werden voraussichtlich bis zu 95 Prozent des gesamten Datenverkehrs in Rechenzentren übernehmen.

Aber was bietet Microsoft Office 365 Unternehmen? Neben der Möglichkeit, auf Office-Anwendungen über eine Vielzahl von Plattformen wie Android, MacOS und Windows zuzugreifen, erhalten Benutzer Speicherplatz auf dem Datei-Hosting-Dienst OneDrive, Zugriff auf die E-Mail-, Aufgabenverwaltungs- und Kalenderanwendung Outlook, die Anwendungen Excel, Word und PowerPoint sowie die Kollaborationswerkzeuge Office Online, Skype for Business, SharePoint Online und Microsoft Teams.

Allerdings sind nicht alle Office-365-Abonnements gleich. Abhängig vom gewählten Plan gibt es eine unterschiedliche Auswahl an Apps und Tools. Der Office 365 Enterprise E3-Plan beispielsweise enthält alles, was Office 365 zu bieten hat - inklusive aller verfügbaren Ergänzungen von Compliance- und Sicherheitstools. Im Gegensatz dazu bietet der E1-Plan so gut wie keine fortschrittlichen Sicherheitstools an und auch die Office-Anwendungen sind nur als Browser-Versionen verfügbar.

Unternehmen sollten sich mit den verschiedenen Abonnementmodellen vertraut machen und prüfen, welcher Plan für ihre Zwecke geeignet ist. Dabei müssen sie sich zwingend auch mit dem Thema Cloud-Datenschutz auseinandersetzen. Immerhin haben Datenverstöße einen nie gekannten Höchststand erreicht: Laut Data Breach Quick View Report 2017 von Risk Based Security gab es 2017 etwa 7,8 Milliarden exponierte Datensätze. Das waren 6,3 Milliarden mehr als noch 2016 und entspricht einem Anstieg von 420 Prozent.

Die Folgen solcher Datendiebstähle sind verheerend: Neben den Problemen für die Menschen, die mit den Folgen des Diebstahls ihrer privaten Daten zu kämpfen haben - einschließlich der Komplikationen und Frustrationen im Umgang mit Identitätsdiebstahl -, bedeutet ein Datenverstoß einen großen finanziellen und vor allem auch einen Reputationsschaden des Unternehmens. Das Ponemon Institute schätzt einem Bericht zufolge, dass ein Datenverstoß ein Unternehmen durchschnittlich 3,5 Millionen US-Dollar kostet. Der Bedarf an Datenschutz für Cloud-Anwendungen ist offensichtlich groß.

Sicherheitsfeatures von Office 365

Neben Tools zur Rechte- oder Identitätsverwaltung wie Azure Active Directory P1 und P2 gibt es auch Basics wie Archivierung, Data Loss Prevention, Exchange Online Protection und eDiscovery /Advanced eDiscovery. Darüber hinaus bietet Office 365 noch einige weitere, nützliche Sicherheitsfeatures an:

Office 365 Threat Intelligence: Wie der Name schon sagt, ist Threat Intelligence ein integriertes Tool für E5, das potenzielle Angriffsziele und verdächtiges Verhalten von Office-365-Benutzern über einen längeren Zeitraum identifiziert. Es schlägt vereinfachte Arbeitsabläufe für den Umgang mit potenziellen Verletzungen und Bedrohungen vor und ist sinnvoll für Unternehmen, die mit privaten und sensiblen Daten arbeiten.

Advanced Threat Protection: Diese Funktion bietet eine Nachrichten-Sandbox oder Filterung, die E-Mail-Anhänge auf ihre Sicherheit überprüft. Advanced Threat Protection überprüft und meldet auch bösartige Links und URLs in Echtzeit und erkennt und schützt vor Tracing und Phishing in Exchange Online. Die Echtzeit-URL-Prüfung blockiert entweder den Zugriff auf schädliche Links oder warnt den Benutzer.

Cloud App Security: Dieses integrierte E5-Tool bietet ein Dashboard, das Administratoren auf verdächtiges Benutzerverhalten aufmerksam macht. Cloud App Security kann auch Anomalien in Office 365 und bei der Nutzung von SaaS-Lösungen von Drittanbietern erkennen und eine detaillierte Beschreibung verdächtiger Ereignisse sowie die Erkennung und den Schutz sensibler Daten liefern.

Customer Lockbox: Dieses Tool steuert, wie ein Microsoft-Supportmitarbeiter während einer Hilfesitzung auf die Daten eines Nutzers zugreift. Die Nutzer können den Zugriff auf ihre sensiblen Daten entweder genehmigen oder ablehnen. Lehnen die Benutzer den Zugriff ab, hat das allerdings einen entscheidenden Nachteil: Microsoft kann in diesem Fall nicht auf die Postfächer zugreifen und somit auch das Problem nicht lösen. Genehmigen die Benutzer den Zugriff, dann kann es sein, dass Supportmitarbeiter persönliche Daten einsehen.

Customer Key for Office 365: Customer Key erlaubt Administratoren, ihren eigenen kryptografischen Schlüssel für die serverseitige Verschlüsselung (in den Rechenzentren von Microsoft) von Diensten wie Exchange Online, OneDrive, SharePoint Online und Skype for Business einzuführen. Das beinhaltet die Konfiguration der erforderlichen Azure-Ressourcen und die Verwaltung eines obligatorischen Microsoft Recovery-Keys. Allerdings haben so Microsoft-Administratoren Zugriff auf die kryptografischen Schlüssel und damit auch potentiell Zugriff auf die persönlichen Daten, welche damit verschlüsselt wurden.

Azure Information Protection P1 und P2: Dieser Cloud-basierte Rechteverwaltungsdienst ermöglicht die Verschlüsselung von Dokumenten und Dateien, die Verfolgung von Dokumenten und Dateien sowie die Klassifizierung sensibler Daten. Benutzer müssen diese Schutzeinstellung manuell hinzufügen, obwohl benutzerdefinierte Vorlagen enthalten sind.

Azure Information Protection P2 kann ohne Benutzereingaben automatisch Klassifizierungen zu Dateien und Dokumenten hinzufügen. Der Nachteil: Auch hier legen Administratoren fest, wie die Dokumente geschützt werden sollen. Sie könnten also jederzeit Zugriff auf die Daten und die kryptografischen Schlüssel erlangen.

Advanced Threat Analytics: Advanced Threat Analytics (ATA) ist eine On-Premises Plattform, die maschinelles Lernen nutzt, um Zugriffsanforderungen, Dokumente, Standorte, Geräte und Benutzer zu sammeln und zu verfolgen, um Verhaltensprofile basierend auf dem Benutzerverhalten zu erstellen. Außerdem erkennt ATA verdächtige Aktivitäten, bösartige Angriffe und bekannte Risiken.

Intune: Dieser Cloud-basierte Mobile-Device-Management-Service gibt Unternehmen mehr Kontrolle über mobile Geräte und Anwendungen für Mitarbeiter, um Unternehmensanwendungen und Daten auf jedem Gerät zu schützen. Es ermöglicht Administratoren die Kontrolle darüber, wie Mitarbeiter auf Unternehmensinformationen zugreifen und diese austauschen, und stellt sicher, dass Geräte und Anwendungen kompatibel sind.

Microsoft Cloud App Security (MCAS): Diese Funktion ermöglicht die unternehmensweite Steuerung und Überwachung aller Apps auf einem Mitarbeitergerät. Beispielsweise wird angezeigt, welche Art von nicht autorisierten Diensten von Drittanbietern ein Mitarbeiter nutzt. Darüber hinaus bietet es einen verbesserten Schutz vor Bedrohungen und Datenverlust durch Cross-SaaS. Zusätzlich beinhaltet Office 365 in den meisten Fällen Auditing und Protokollierung, die bestimmte durchsuchbare Benutzer- und Verwaltungsaktionen (und die Zeiten solcher Aktionen) wie Anmeldeanforderungen, Löschungen und mehr meldet, um verdächtige Aktivitäten zu untersuchen.

Die Authentifizierung umfasst die Art und Weise, wie sich ein Benutzer sicher bei einem Dienst anmeldet. Dies kann die Eingabe des gleichen Passworts vor Ort wie in der Cloud oder eine Art Multi-Faktor-Authentifizierung beinhalten, bei der ein Service Benutzer auf einen Code auf einem mobilen Gerät oder einer Website verweist, um die Identität dieses Benutzers zu überprüfen.

Eine weitere nützliche, integrierte Office-365-Funktion ist Secure Score, die die Office-365-Bereitstellung eines Unternehmens auf mögliche Risiken und Schwachstellen hin bewertet und Vorschläge für verbesserte Cloud-Sicherheitskontrollen enthält. Es scannt die verwendeten Dienste wie beispielsweise Exchange, OneDrive oder SharePoint, vergleicht ihre numerische Punktzahl mit der Baseline von Microsoft und anderen Office-365-Abonnenten und informiert das Unternehmen über bewährte Verhaltensweisen und Praktiken im Bereich der Sicherheit.

Verschlüsselung: Office 365 ermöglicht die Verschlüsselung von E-Mail-Nachrichten und Office-Dokumenten, die auf einem Computer, einem mobilen Gerät oder in der Cloud gespeichert sind: Dateien werden durch Verschlüsselungsalgorithmen wie Transport Layer Security/Secure Sockets Layer (TLS/SSL) und Advanced Encryption Standard (AES) geschützt.

Durch die Verschlüsselung werden Daten zu unentschlüsselbarem Text, der nur von autorisierten Benutzern gelesen werden kann, die den kryptografischen Schlüssel besitzen. Transportverschlüsselung schützt die Daten jedoch nur auf dem Weg zwischen Nutzer und Cloud. Dort werden die Daten dann wieder vollständig entschlüsselt. Externe Verschlüsselung stellt sicher, dass Daten nicht nur "in Transit", sondern auch "at Use" und "at Rest" zu jedem Zeitpunkt verschlüsselt sind.