Geschrieben am 29.07.2024 von:
Jonas Haas
IT Security Consultant
zum Profil
Kontaktiere mich:
+49 (0) 6232 – 100119 44
E-Mail senden
In den beiden vorherigen Beiträgen (Teil 1 & Teil 2) der MS 365-Reihe wurden bereits einige der angebotenen Verschlüsselungsmechanismen der Microsoft-Cloud beleuchtet. Wenn Microsoft 365 in Kombination mit Microsoft Azure genutzt wird, kommt natürlich auch die in Azure angebotene Verschlüsselung für den Schutz der mit Microsoft 365 genutzten Daten in Frage. Azure bietet hierfür verschiedene Optionen an. Diese wollen wir im Beitrag näher betrachten.
Azure Storage Service Encryption (SSE)
Die Azure Storage Service Encryption (Azure SSE) ist grundsätzlich aktiviert und lässt sich nicht deaktivieren. Sie funktioniert ähnlich wie die Bitlocker-Verschlüsselung mit Distributed Key Manager, die auf Festplatten-Ebene arbeitet. Statt auf Festplatten-Ebene verschlüsselt Azure auf verschiedenen Ebenen, zum Beispiel einzelne Dateien, Blobs (eine Azure-spezifische Speicherstruktur für unstrukturierte Daten) oder Container. Wie bei der Bitlocker-Verschlüsselung wird der Schlüssel standardmäßig von Microsoft erstellt und verwaltet. Es ist allerdings auch hier möglich, als Kundin oder Kunde Schlüssel selbst zu wählen und Microsoft bereitzustellen. Der Sicherheitsgewinn ist hier in beiden Fällen ähnlich wie beim Bitlocker: Ein Angreifer in der Cloud-Infrastruktur ist mit hoher Wahrscheinlichkeit in der Lage, Daten abzugreifen. Für die Verarbeitung der Daten in der Cloud muss schließlich der Schlüssel bereitgestellt werden. Ein Angreifer kann also entweder die Daten während der Verarbeitung lesen oder aber Zugriff auf den Schlüssel erlangen, der ja ebenfalls in der Cloud-Infrastruktur abgelegt ist.
Für Kundinnen und Kunden, die den Blob Storage nutzen, gibt es aber noch eine dritte Möglichkeit, die Azure SSE zu nutzen: der Schlüssel für den angefragten Blob kann bei jeder Anfrage mitgeschickt werden. Die Entschlüsselung findet damit immer noch in der Cloud statt, der Schlüssel wird aber nicht mehr dauerhaft bei Microsoft gespeichert – laut Aussage von Microsoft. Wenn wir von Angreifern ausgehen, die längerfristig Zugriff auf die Cloud-Infrastruktur haben, oder wir uns vor Zugriffen durch Microsoft absichern wollen, haben wir durch diese Methode allerdings immer noch keine Sicherheitsgarantien.
Client-Side Encryption
Neben der Azure SSE existiert noch ein weiteres Verschlüsselungsangebot in Azure: Mit Client-Side Encryption ist es möglich, Dateien und Blobs über Azure auf dem eigenen Gerät zu verschlüsseln und nur die verschlüsselten Daten in die Cloud zu laden. Die Entschlüsselung findet ebenfalls auf dem eigenen Gerät statt, der Schlüssel befindet sich in der Hand der Kundin/des Kunden und ist Microsoft nicht bekannt. Mit dieser Methode ist es möglich, sich effektiv vor dem Bedrohungsmodell des Angreifers in der Cloud zu schützen.
Der Nachteil: Azure kann so nur als Dateiablage verwendet werden. Die Dateien können nicht online in den MS 365-Anwendungen verarbeitet werden, denn dafür müssten sie schließlich entschlüsselt sein. Die Situation ist also ähnlich wie bei der im vorherigen Beitrag beschriebenen Double Key Encryption, mit dem Unterschied, dass hier nur ein Schlüssel verwendet wird.
Zusammenfassung
Verschlüsselung in der Cloud ist kein triviales Thema. Bei Microsoft 365 kommen verschiedene Mechanismen standardmäßig zum Einsatz, andere müssen von Kundenseite gezielt in Anspruch genommen werden.
Wogegen wir uns schützen wollen, hängt von unserem Bedrohungsmodell ab. In Cloud-Umgebungen ist es sinnvoll, von Angreifern auszugehen, die sich Rechte innerhalb der Cloud-Infrastruktur verschaffen können. Uns vor diesen Angreifern zu schützen geht damit einher, auch dem Cloud-Anbieter selbst nicht uneingeschränkt zu vertrauen, sondern gegebenenfalls von dessen Kompromittierung auszugehen. Viele der Mechanismen in Microsoft 365 helfen uns in diesem Fall nicht weiter.
Double Key Encryption und Azure Client-Side Encryption ermöglichen genau diesen Schutz, haben aber beide prinzipbedingt den Nachteil, dass in der Cloud keine Bearbeitung der Daten, sondern nur noch eine Ablage stattfindet.
Welche Verschlüsselungsmechanismen für dich die richtigen sind, kommt darauf an, wie hoch der Schutzbedarf deiner Daten ist. Es lohnt sich, das Thema differenziert zu betrachten und für die einzelnen Daten den Schutzbedarf gegen die gegebenenfalls auftretenden Einschränkungen bei der Verarbeitung abzuwägen. Du brauchst rechtliche und technische Unterstützung? Wir helfen dir dabei! Erfahre hier, wie wir dich unterstützen können.