Der Schutz von Informationen vor unbefugtem Zugriff oder Diebstahl ist eine Kernaufgabe jeder IT-Abteilung. Die modernen Werkzeuge, die heutzutage dafür zur Verfügung stehen, wie Identitätsmanagement, Berechtigungsvergabe und Verschlüsselung, werden immer ausgefeilter und bieten, wenn sie richtig eingesetzt werden, ein sehr hohes Maß an Sicherheit.
Eine besondere Herausforderung für den*die IT-Administrator*in stellt dabei die Kryptographie, also die Verschlüsselung von Daten, dar. Nicht nur weil das Schlüsselmanagement selbst sehr komplex sein kann, sondern auch, weil immer mehr Unternehmen auf die Vorteile der Cloud setzen und Daten bei Drittanbietern liegen können. Die Dokumentenbearbeitung durch mehrere User*innen, Indizierung und Suche, begrenzte Freigabefunktionen und nicht zuletzt die Auslagerung von Informationen in die Hände eines Drittanbieters selbst erfordern ein hohes Maß an Expertise kombiniert mit einem präzisen Aufsetzen der Sicherheits- und Verschlüsselungsstruktur. Erst dadurch kann ein hoher Schutz gewährleistet werden.
Es gibt besondere Situationen, in denen Daten so gesichert werden müssen, dass selbst der Cloudprovider keinen Zugriff erhält. Die Double Key Encryption, kurz DKE, baut auf “Microsoft Purview Information Protection” auf und verwendet einen zweiten Schlüssel, der nicht vom Anbieter, sondern vom Kunden selbst verwaltet wird.
Ein zweiter Schlüssel alleine ist dabei allerdings nicht ausreichend. Um Informationen wirksam zu schützen, bedarf es weiterer Lösungsbausteine, in Abhängigkeit vom Schutzbedarf und vom jeweiligen Bedrohungsszenario.
Deshalb hat Microsoft ein Whitepaper zur Planung und zum Einsatz der Double Key Encryption (DKE) entwickelt.
Das Whitepaper beschreibt neben der Funktionsweise von “Microsoft Purview Information Protection”, einem Tool zum Erkennen vertraulicher und unternehmenskritischer Daten, im Allgemeinen und zu Double Key Encryption im Besonderen, auch einige mögliche Bedrohungsszenarien, die es zu berücksichtigen gilt, sowie entsprechende geeignete Gegenmaßnahmen.
Die Maßnahmen sind dabei bewusst als Einzelbausteine beschrieben, die auch in geeigneten Kombinationen eingesetzt werden können.
Wenn es Angreifende zum Beispiel schaffen, Zugriff auf Identitäten von Nutzer*innen zu erlangen, und dies nicht im Bedrohungsmodell berücksichtigt wurde, dann ist der Mehrwert eines zweiten Schlüssels unter diesen Umständen nicht gegeben.
“Microsoft Purview Information Protection” hilft Administrator*innen vertrauliche und unternehmenskritische Daten zu erkennen, zu verwalten und zu schützen, und zwar über unterschiedliche Clouds, Anwendungen und Geräte hinweg.
Es ist deshalb gut geeignet, viele Anwendungsszenarien und Umgebungen abzudecken und ein benutzerfreundlicheres, leicht zu nutzendes, flexibleres Rechtemanagement, als es mit herkömmlichen Freigabe- oder Verschlüsselungslösungen möglich ist, zu bieten.
Die gewährten Rechte bleiben mit den Informationen verbunden und Daten sowie Berechtigungen sind durch Client-seitige Verschlüsselung geschützt. “Microsoft Purview Information Protection” ist ein natives Feature der Microsoft 365 Client Applikationen und ist mit Microsoft Entra ID als Identity Management Plattform integriert. Es erlaubt dabei nicht nur die gleichzeitige simultane Bearbeitung der Daten durch Benutzer*innen, sondern auch die Verarbeitung in der Cloud.
Gleichzeitig ist die Nutzung durch die Integration in die M365 -Produkte sehr einfach und insbesondere das Schlüsselmanagement läuft hierbei komplett automatisiert im Hintergrund.
Wie jede andere Implementierung kryptographischer Verfahren kann ein solches Projekt sehr schnell komplex werden und die fachliche Expertise eines kompetenten Partners erfordern. Das Whitepaper soll daher nur als Einstieg bzw. als Diskussionsgrundlage dienen, sowie einige Hintergrundinformationen bereitstellen. Es darf keinesfalls als eine Klick-Anleitung zur Installation verstanden werden.
Hier finden Sie weitere Informationen zu Double Key Encryption: Double Key Encryption (DKE) | Microsoft Learn
Ein Beitrag von Michael Wirth,
Security Architect
und Ralf Wigand
National Security & IT Compliance Officer bei Microsoft Deutschland