Suchen

MS-Office aus der Cloud Sicherheit und Datenschutz in Office 365

| Autor / Redakteur: Patrick Müller / Peter Schmitz

Nicht an einfachen Zugriff, wegfallende Wartung oder gebrauchsabhängige Abrechnung denken Anwender zunächst, wenn es um Cloud-Dienste geht. Sondern an Sicherheit und Datenschutz respektive deren Gefährdung oder Nichtein­haltung. In jüngster Zeit wurden durch Presse­berichte starke Zweifel an Datenschutz und Security bei der Cloud-Variante Office 365 geäußert. Was ist an den Berichten dran?

Firmen zum Thema

Die Themen Sicherheit und Datenschutz müssen bei der Einführung von Office 365 unbedingt beleuchtet werden, um Probleme schon frühzeitig auszuschließen.
Die Themen Sicherheit und Datenschutz müssen bei der Einführung von Office 365 unbedingt beleuchtet werden, um Probleme schon frühzeitig auszuschließen.
(Bild: gemeinfrei / Pixabay )

Ausgiebig wurde im April in einer Veröffentlichung auf heise.de über mögliche Schwachstellen von Office 365 räsoniert. Genug Stoff, um für ausreichend Wirbel zu sorgen und Misstrauen zu sähen. Signifikante Unzulänglichkeiten bei der Datensicherheit warf der Autor der cloudbasierten Office-Variante vor und stellte dies anhand konkreter Beispiele dar. Diese lohnt es sich näher zu betrachten, denn die Dinge verhalten sich – wie zumeist – etwas komplizierter.

Werden zum Beispiel Office 365-Dateien nur am Transportweg verschlüsselt und dann unverschlüsselt in den Microsoft-Rechenzentren abgelegt? Wohl kaum. Sondern die Daten werden während des Transports verschlüsselt und liegen auch im Ruhezustand verschlüsselt im Rechenzentrum. Es ist auch möglich, sie mit einem eigenen Zertifikat zu verschlüsseln. Hier ist allerdings Vorsicht beim Zertifikatsmanagement geboten, da sonst Datenverluste drohen.

Nicht neu ist der Vorwurf, die Webserver für Office-Installation und -Updates nutzten ein Zertifikat mit 14 Wildcard Domains. In der Tat sind Wildcard Domains nicht unumstritten, da eine Kompromittierung des Zertifikats aufgrund der vielen Webserver schwieriger zu bemerken ist. Außerdem muss im Fall einer Kompromittierung das Zertifikat auf allen Webservern getauscht werden. Nichtsdestotrotz sind Wildcard-Zertifikate nach wie vor im gesamten Internet gängige Praxis. Und solange die im Zertifikat enthaltenen Domains nur für die Office-365-Server genutzt werden, macht es sicherheitstechnisch auch keinen Unterschied, ob das Zertifikat eine oder 14 Domains enthält.

Das „HTTP Public Key Pinning“-Verfahren wird mittlerweile kontrovers diskutiert und stand auch bei heise.de selbst bereits in der Kritik. Google hat die Unterstützung im Chrome Browser bereits 2017 eingestellt (https://www.heise.de/security/meldung/HTTPS-Verschluesselung-Google-verabschiedet-sich-vom-Pinning-3876078.html). Bei Office 365 als Webanwendung wäre eine Implementierung dieses Mechanismus auch sinnlos. Dies entkräftet den Vorwurf, weder bei der Installation von Office 365 noch bei der Anmeldung werde HTTP Public Key Pinning genutzt.

Passwort-Übertragung über TLS-Tunnel

Über den laxen Umgang mit Passwörtern, und wie Kriminelle zu leichte Zugangsdaten im Handumdrehen knacken, liest man jeden zweiten Tag in der Zeitung. Kein Wunder, dass Panik herrscht, wenn man hört, dass das Passwort des Benutzers bei der Anmeldung an Office 365 im „Klartext“ übertragen wird. Dem ist glücklicherweise nicht so. Passwörter werden vielmehr über einen TLS-Tunnel verschlüsselt an die Office 365-Server gesendet. Um sie auszulesen, ist eine administrative Manipulation des Clients nötig. Dafür muss ein potenzieller Angreifer sein gefälschtes Zertifikat am Client hinterlegen – wofür wiederum Administratorrechte nötig sind. Ein Angreifer, der bereits Administratorrechte am Client im Firmennetzwerk besitzt, kann schon deutlich schlimmere Schäden anrichten. In diesem Szenario allerdings wird ein ausgelesenes Passwort wohl das kleinere Problem sein.

Natürlich sollten Unternehmen auf jeden Fall die mehrstufige Authentifizierung für Office 365 aktivieren. So sind die Firmendaten in der Web-Applikation trotz Bekanntwerden eines Benutzer-Passwortes über Angriffe oder Phising effektiv geschützt. Über die neuen, in jedem Office 365 Plan enthaltenen „Conditional Access Baseline Policies“ lässt sich außerdem konfigurieren, dass ein zweiter Faktor zur Anmeldung nur bei riskanten Anmeldungen (z.B. aus dem Ausland) benötigt wird – eine neue Funktion, die kaum Auswirkungen auf die Endbenutzer hat, die Sicherheit aber enorm erhöht.

Betriebsvereinbarung ist sinnvoll

Kritik daran, dass Telemetriedaten der Endbenutzer bereits vor deren Einwilligung und noch während der Installation der Office-Software an Microsoft gesendet, ist durchaus angebracht. Darin bestünde ein klarer Verstoß gegen die entsprechenden DSGVO-Regeln. Allerdings hat Microsoft hier nach einem aus den Niederlanden gemeldeten Verstoß inzwischen nachgebessert. In der aktuellen Office 365 ProPlus Version 1904 können die Telemetriedaten DSGVO konform konfiguriert werden. Auch die niederländische Regierung hat dies mittlerweile bestätigt.

Durch Mehrwertdienste wie Delve werden die Vorgänge der Nutzerinnen und Nutzer im Office 365-Bereich gespeichert. Theoretisch ist deshalb deren Überwachung möglich. Allerdings ist diese von Anmeldungen und Dateizugriffen der Mitarbeitenden auch in einer On-Premises-Infrastruktur ohne Probleme möglich. Deshalb sollte jedes Unternehmen bei der Einführung von Office 365 frühzeitig den Betriebsrat einbeziehen und über alle Möglichkeiten informieren. Eine Betriebsvereinbarung ist sinnvoll.

Fazit

Die Themen Sicherheit und Datenschutz müssen bei der Einführung von Office 365 unbedingt beleuchtet werden, um Probleme auszuschließen. Worauf im Einzelnen zu achten und welche Einstellung sinnvoll ist, hängt stark von den jeweils individuellen Anforderungen im Unternehmen ab. Ein korrekt konfigurierter Office 365-Tenant kann die Sicherheit eines Unternehmens allerdings auch signifikant erhöhen. Darum ist es wichtig, dass an Office 365 interessierte Firmen bereits frühzeitig qualifizierte Beratungsunternehmen ins Boot holen, die über ein Office 365 Security Konzept verfügen, dass sich an internationale Cloud Security Standards anlehnt.

Über den Autor: Patrick Müller ist Senior Technical Manager bei der novaCapta Software & Consulting. NovaCapta ist einer von sechs offiziellen Premium Partnern der Microsoft Consulting Services und Microsoft Gold-Partner für verschiedene Disziplinen, unter anderem für Cloud Productivity.

(ID:46066260)