Neues Whitepaper für den richtigen Einsatz von Double Key Encryption

Mann am Schreibtisch vor zwei Bildschirmen und einem Laptop

Der Schutz von Informationen vor unbefugtem Zugriff oder Diebstahl ist eine Kernaufgabe jeder IT-Abteilung. Die modernen Werkzeuge, die heutzutage dafür zur Verfügung stehen, wie Identitätsmanagement, Berechtigungsvergabe und Verschlüsselung, werden immer ausgefeilter und bieten, wenn sie richtig eingesetzt werden, ein sehr hohes Maß an Sicherheit.  

Eine besondere Herausforderung für den*die IT-Administrator*in stellt dabei die Kryptographie, also die Verschlüsselung von Daten, dar. Nicht nur weil das Schlüsselmanagement selbst sehr komplex sein kann, sondern auch, weil immer mehr Unternehmen auf die Vorteile der Cloud setzen und Daten bei Drittanbietern liegen können. Die Dokumentenbearbeitung durch mehrere User*innen, Indizierung und Suche, begrenzte Freigabefunktionen und nicht zuletzt die Auslagerung von Informationen in die Hände eines Drittanbieters selbst erfordern ein hohes Maß an Expertise kombiniert mit einem präzisen Aufsetzen der Sicherheits- und Verschlüsselungsstruktur. Erst dadurch kann ein hoher Schutz gewährleistet werden.  

Es gibt besondere Situationen, in denen Daten so gesichert werden müssen, dass selbst der Cloudprovider keinen Zugriff erhält. Die Double Key Encryption, kurz DKE, baut auf “Microsoft Purview Information Protection” auf und verwendet einen zweiten Schlüssel, der nicht vom Anbieter, sondern vom Kunden selbst verwaltet wird.  

Ein zweiter Schlüssel alleine ist dabei allerdings nicht ausreichend. Um Informationen wirksam zu schützen, bedarf es weiterer Lösungsbausteine, in Abhängigkeit vom Schutzbedarf und vom jeweiligen Bedrohungsszenario.  

Deshalb hat Microsoft ein Whitepaper zur Planung und zum Einsatz der Double Key Encryption (DKE) entwickelt.  

Das Whitepaper beschreibt neben der Funktionsweise von “Microsoft Purview Information Protection”, einem Tool zum Erkennen vertraulicher und unternehmenskritischer Daten, im Allgemeinen und zu Double Key Encryption im Besonderen, auch einige mögliche Bedrohungsszenarien, die es zu berücksichtigen gilt, sowie entsprechende geeignete Gegenmaßnahmen.  

Die Maßnahmen sind dabei bewusst als Einzelbausteine beschrieben, die auch in geeigneten Kombinationen eingesetzt werden können.  

Wenn es Angreifende zum Beispiel schaffen, Zugriff auf Identitäten von Nutzer*innen zu erlangen, und dies nicht im Bedrohungsmodell berücksichtigt wurde, dann ist der Mehrwert eines zweiten Schlüssels unter diesen Umständen nicht gegeben.  

“Microsoft Purview Information Protection” hilft Administrator*innen vertrauliche und unternehmenskritische Daten zu erkennen, zu verwalten und zu schützen, und zwar über unterschiedliche Clouds, Anwendungen und Geräte hinweg.  

Es ist deshalb gut geeignet, viele Anwendungsszenarien und Umgebungen abzudecken und ein benutzerfreundlicheres, leicht zu nutzendes, flexibleres Rechtemanagement, als es mit herkömmlichen Freigabe- oder Verschlüsselungslösungen möglich ist, zu bieten.  

Die gewährten Rechte bleiben mit den Informationen verbunden und Daten sowie Berechtigungen sind durch Client-seitige Verschlüsselung geschützt. “Microsoft Purview Information Protection” ist ein natives Feature der Microsoft 365 Client Applikationen und ist mit Microsoft Entra ID als Identity Management Plattform integriert. Es erlaubt dabei nicht nur die gleichzeitige simultane Bearbeitung der Daten durch Benutzer*innen, sondern auch die Verarbeitung in der Cloud.  

Gleichzeitig ist die Nutzung durch die Integration in die M365 -Produkte sehr einfach und insbesondere das Schlüsselmanagement läuft hierbei komplett automatisiert im Hintergrund.  

Wie jede andere Implementierung kryptographischer Verfahren kann ein solches Projekt sehr schnell komplex werden und die fachliche Expertise eines kompetenten Partners erfordern. Das Whitepaper soll daher nur als Einstieg bzw. als Diskussionsgrundlage dienen, sowie einige Hintergrundinformationen bereitstellen. Es darf keinesfalls als eine Klick-Anleitung zur Installation verstanden werden.  

Hier finden Sie weitere Informationen zu Double Key Encryption: Double Key Encryption (DKE) | Microsoft Learn  


Ein Beitrag von Michael Wirth,
Security
Architect
 

Michael Wirth

und Ralf Wigand
National Security & IT Compliance Officer bei Microsoft Deutschland

Das Foto zeigt Ralf Wigang, den National IT Compliance Officer von Microsoft Deutschland

 

Weitere Infos zu diesem Thema

2. November 2023
Eine neue Welt der Sicherheit: Microsofts Secure Future Initiative

In den letzten Monaten sind wir bei Microsoft zu dem Schluss gekommen, dass die zunehmende Geschwindigkeit, das Ausmaß und die Raffinesse von Cyberangriffen eine neue Antwort erfordern. Aus diesem Grund starten wir heute unternehmensweit eine neue Initiative, um die nächste Generation des Cybersicherheitsschutzes voranzutreiben – wir nennen sie Secure Future Initiative (SFI).

7. Mai 2024
Neue Funktionen für IT-Sicherheit und Governance im KI-Zeitalter

Künstliche Intelligenz verändert unsere Welt und eröffnet uns neue Möglichkeiten, unsere Fähigkeiten zu verbessern und globale Herausforderungen zu meistern. Um das zu schaffen, müssen wir sicherstellen, dass KI auf verantwortungsvolle Weise entwickelt, eingesetzt und genutzt wird. Dabei stehen die Sicherheit von IT-Infrastrukturen und Daten sowie der Schutz der Privatsphäre im Mittelpunkt.