Geschrieben am 24.06.2024 von:
Verschlüsselung in Microsoft 365 und in der Cloud ist keine triviale Sache. Wogegen wir uns mit der Verschlüsselung eigentlich schützen wollen und wie in der Microsoft-Cloud mit Bitlocker und Distributed Key Manager gearbeitet wird, wird im vorherigen Beitrag dieser Reihe beschrieben. Hier werfen wir nun einen Blick auf Customer Keys, Azure Managed HSM und auf Double Key Encryption.
Microsoft Customer Key
Wie im vorherigen Beitrag bereits erläutert wurde, werden die Festplatten, auf denen die Daten in der Microsoft Cloud abgelegt werden, mit der Software Bitlocker verschlüsselt. Der Schlüssel hierfür wird standardmäßig von Microsoft erzeugt und hinterlegt.
Es steht Kundinnen und Kunden aber frei, den Schlüssel für die Festplattenverschlüsselung auch selbst zu wählen. Microsoft spricht dann vom „Customer Key“. In diesem Fall wird der Schlüssel von der Kundin/dem Kunden selbst auf eigener Hardware erzeugt und dann an Microsoft übermittelt. Der Customer Key wird dann im Distributed Key Manager hinterlegt und für die Ver- und Entschlüsselung der Festplatten verwendet. An dieser Stelle sollte hervorgehoben werden, dass der Schlüssel zwar von Kundenseite erzeugt, aber von Microsoft verwaltet wird und dort damit bekannt ist.
Hierdurch ergibt sich also kein Sicherheitsgewinn. Laut Aussage von Microsoft können durch dieses Vorgehen allerdings diverse Compliance-Anforderungen erfüllt werden, weshalb das Verfahren angeboten wird.
Azure Managed HSM
Im Kontext der Verschlüsselung in der Microsoft-Cloud stößt man auch immer wieder auf den Begriff „Azure Managed HSM“. HSM steht hier für Hardware Security Module, also ein speziell abgesichertes Peripheriegerät, das durch sein Design als besonders sicher gilt. Es ist daher für das Speichern von besonders sensiblen Daten und Ausführen von besonders sensiblen Programmen geeignet.
Microsoft bietet Azure HSM explizit als Möglichkeit an, kryptographische Schlüssel in der Cloud abzulegen. Die Zugriffsmöglichkeiten sind auch so gestaltet, dass sich Azure Managed HSM effektiv nur für das Speichern von Schlüsselmaterial eignet.
Wenn Schlüssel in der Microsoft-Cloud abgelegt werden sollen, ist Azure Managed HSM sicherlich eine gute Lösung. Grundsätzlich sollte die Entscheidung, kryptographische Schlüssel in der Cloud zu speichern, aber gut überlegt sein. Schließlich handelt es sich um besonders schützenswerte Daten, und auch HSMs bieten keine absolute Sicherheit – in der Vergangenheit sind in verschiedenen HSMs immer wieder Sicherheitslücken aufgetreten, durch die deren Inhalte ausgelesen werden konnten. Wenn das Schlüsselmaterial auf eigener Hardware statt in der Microsoft-Cloud gespeichert wird, können zumindest verschiedene Cloud-spezifische Bedrohungen ausgeschlossen werden.
Double Key Encryption
Double Key Encryption ist ein Verfahren, das von Microsoft für besonders schützenswerte Daten empfohlen wird. Technisch handelt es sich um ein Verfahren, das je zwei Schlüssel für die Verschlüsselung einzelner Dateien verwendet. Um die Daten wieder lesbar zu machen, sind beide Schlüssel notwendig. Einer der Schlüssel wird bei Microsoft verwaltet, der andere verbleibt bei der Kundin/dem Kunden. Es ist zwar möglich, den Schlüssel etwa im Azure Managed HSM abzulegen, mit Blick auf das Bedrohungsmodell ist das aber nur bedingt sinnvoll.
Wenn einer der verwendeten Schlüssel nicht in der Microsoft-Cloud abgelegt wird, sorgt Double Key Encryption also tatsächlich dafür, dass selbst Angreifer mit Zugriff auf die Cloud nicht in der Lage sind, die Daten zu lesen. Wir schützen uns also auch vor Zugriffen durch Microsoft selbst.
Es hat aber natürlich auch einen Nachteil, dass die Daten in der Cloud nicht entschlüsselt werden können: sie können auch nicht in der Cloud verarbeitet werden. Der zweite Schlüssel wird auf den Geräten der Kundin/des Kunden bereitgestellt, also kann auch nur dort entschlüsselt und mit den Daten gearbeitet werden. Entsprechend stehen dafür nur die jeweiligen Desktop-Programme und nicht die Web-Anwendungen zur Verfügung.
Wenn wir Double Key Encryption verwenden, schränken wir die Microsoft-Cloud also auf eine reine Dateiablage ein. Anders ist es prinzipbedingt aber auch nicht möglich, Bedrohungen durch potenzielle Angreifer mit Cloud-Zugriff effektiv einzuschränken.
Du brauchst rechtliche und technische Unterstützung? Wir helfen dir dabei! Erfahre hier, wie wir dich unterstützen können.