MS-Office aus der Cloud

Sicherheit und Datenschutz in Office 365

| Autor / Redakteur: Patrick Müller / Peter Schmitz

Die Themen Sicherheit und Datenschutz müssen bei der Einführung von Office 365 unbedingt beleuchtet werden, um Probleme schon frühzeitig auszuschließen.
Die Themen Sicherheit und Datenschutz müssen bei der Einführung von Office 365 unbedingt beleuchtet werden, um Probleme schon frühzeitig auszuschließen. (Bild: gemeinfrei / Pixabay)

Nicht an einfachen Zugriff, wegfallende Wartung oder gebrauchsabhängige Abrechnung denken Anwender zunächst, wenn es um Cloud-Dienste geht. Sondern an Sicherheit und Datenschutz respektive deren Gefährdung oder Nichtein­haltung. In jüngster Zeit wurden durch Presse­berichte starke Zweifel an Datenschutz und Security bei der Cloud-Variante Office 365 geäußert. Was ist an den Berichten dran?

Ausgiebig wurde im April in einer Veröffentlichung auf heise.de über mögliche Schwachstellen von Office 365 räsoniert. Genug Stoff, um für ausreichend Wirbel zu sorgen und Misstrauen zu sähen. Signifikante Unzulänglichkeiten bei der Datensicherheit warf der Autor der cloudbasierten Office-Variante vor und stellte dies anhand konkreter Beispiele dar. Diese lohnt es sich näher zu betrachten, denn die Dinge verhalten sich – wie zumeist – etwas komplizierter.

Werden zum Beispiel Office 365-Dateien nur am Transportweg verschlüsselt und dann unverschlüsselt in den Microsoft-Rechenzentren abgelegt? Wohl kaum. Sondern die Daten werden während des Transports verschlüsselt und liegen auch im Ruhezustand verschlüsselt im Rechenzentrum. Es ist auch möglich, sie mit einem eigenen Zertifikat zu verschlüsseln. Hier ist allerdings Vorsicht beim Zertifikatsmanagement geboten, da sonst Datenverluste drohen.

Geheime Office 365-API zum Ausspähen von Benutzern

Mail-Nutzer-Überwachung in Office 365

Geheime Office 365-API zum Ausspähen von Benutzern

12.07.18 - Administratoren in Office 365 können die Ak­ti­on­en von Mail-Anwendern auslesen. Ei­gent­lich ist die dazu entsprechende, geheime API aus Sicherheits- und Forensik-Gründen integriert, um Hackangriffen auf die Spur zu kommen. Zwar lassen sich keine Texte lesen, aber durch Analyse der Metadaten sind Kommunikations­verläufe nachvollziehbar. Microsoft hat die Existenz der API bestätigt. lesen

Nicht neu ist der Vorwurf, die Webserver für Office-Installation und -Updates nutzten ein Zertifikat mit 14 Wildcard Domains. In der Tat sind Wildcard Domains nicht unumstritten, da eine Kompromittierung des Zertifikats aufgrund der vielen Webserver schwieriger zu bemerken ist. Außerdem muss im Fall einer Kompromittierung das Zertifikat auf allen Webservern getauscht werden. Nichtsdestotrotz sind Wildcard-Zertifikate nach wie vor im gesamten Internet gängige Praxis. Und solange die im Zertifikat enthaltenen Domains nur für die Office-365-Server genutzt werden, macht es sicherheitstechnisch auch keinen Unterschied, ob das Zertifikat eine oder 14 Domains enthält.

Das „HTTP Public Key Pinning“-Verfahren wird mittlerweile kontrovers diskutiert und stand auch bei heise.de selbst bereits in der Kritik. Google hat die Unterstützung im Chrome Browser bereits 2017 eingestellt (https://www.heise.de/security/meldung/HTTPS-Verschluesselung-Google-verabschiedet-sich-vom-Pinning-3876078.html). Bei Office 365 als Webanwendung wäre eine Implementierung dieses Mechanismus auch sinnlos. Dies entkräftet den Vorwurf, weder bei der Installation von Office 365 noch bei der Anmeldung werde HTTP Public Key Pinning genutzt.

Passwort-Übertragung über TLS-Tunnel

Über den laxen Umgang mit Passwörtern, und wie Kriminelle zu leichte Zugangsdaten im Handumdrehen knacken, liest man jeden zweiten Tag in der Zeitung. Kein Wunder, dass Panik herrscht, wenn man hört, dass das Passwort des Benutzers bei der Anmeldung an Office 365 im „Klartext“ übertragen wird. Dem ist glücklicherweise nicht so. Passwörter werden vielmehr über einen TLS-Tunnel verschlüsselt an die Office 365-Server gesendet. Um sie auszulesen, ist eine administrative Manipulation des Clients nötig. Dafür muss ein potenzieller Angreifer sein gefälschtes Zertifikat am Client hinterlegen – wofür wiederum Administratorrechte nötig sind. Ein Angreifer, der bereits Administratorrechte am Client im Firmennetzwerk besitzt, kann schon deutlich schlimmere Schäden anrichten. In diesem Szenario allerdings wird ein ausgelesenes Passwort wohl das kleinere Problem sein.

HTTPS mit TLS 1.3 in der Praxis

Transportverschlüsselung Teil 3

HTTPS mit TLS 1.3 in der Praxis

11.06.18 - Wem die Sicherheit von HTTPS-Verbindungen am Herzen liegt, der ist gut beraten, die TLS-Konfiguration zu überdenken, denn ohne eine moderne Transportverschlüsselung sind gute Vorsätze beim Datenschutz nur ein Papiertiger. Zwar ist TLS 1.3 nun offiziell aus den Startlöchern, aber die Implementierung ist leider voller Tücken und Überraschungen. lesen

Natürlich sollten Unternehmen auf jeden Fall die mehrstufige Authentifizierung für Office 365 aktivieren. So sind die Firmendaten in der Web-Applikation trotz Bekanntwerden eines Benutzer-Passwortes über Angriffe oder Phising effektiv geschützt. Über die neuen, in jedem Office 365 Plan enthaltenen „Conditional Access Baseline Policies“ lässt sich außerdem konfigurieren, dass ein zweiter Faktor zur Anmeldung nur bei riskanten Anmeldungen (z.B. aus dem Ausland) benötigt wird – eine neue Funktion, die kaum Auswirkungen auf die Endbenutzer hat, die Sicherheit aber enorm erhöht.

Betriebsvereinbarung ist sinnvoll

Kritik daran, dass Telemetriedaten der Endbenutzer bereits vor deren Einwilligung und noch während der Installation der Office-Software an Microsoft gesendet, ist durchaus angebracht. Darin bestünde ein klarer Verstoß gegen die entsprechenden DSGVO-Regeln. Allerdings hat Microsoft hier nach einem aus den Niederlanden gemeldeten Verstoß inzwischen nachgebessert. In der aktuellen Office 365 ProPlus Version 1904 können die Telemetriedaten DSGVO konform konfiguriert werden. Auch die niederländische Regierung hat dies mittlerweile bestätigt.

Cloud-Sicherheit bei Office 365

Vertrauliche Dokumente in der Cloud

Cloud-Sicherheit bei Office 365

13.12.16 - Bürosoftware aus der Cloud wie Microsoft Office 365 wird auch für vertrauliche Dokumente genutzt und muss umfangreiche Sicherheitsanforderungen erfüllen. Office 365 hat bereits zahlreiche Sicherheitsfunktionen integriert. Doch reichen diese aus? lesen

Durch Mehrwertdienste wie Delve werden die Vorgänge der Nutzerinnen und Nutzer im Office 365-Bereich gespeichert. Theoretisch ist deshalb deren Überwachung möglich. Allerdings ist diese von Anmeldungen und Dateizugriffen der Mitarbeitenden auch in einer On-Premises-Infrastruktur ohne Probleme möglich. Deshalb sollte jedes Unternehmen bei der Einführung von Office 365 frühzeitig den Betriebsrat einbeziehen und über alle Möglichkeiten informieren. Eine Betriebsvereinbarung ist sinnvoll.

Fazit

Die Themen Sicherheit und Datenschutz müssen bei der Einführung von Office 365 unbedingt beleuchtet werden, um Probleme auszuschließen. Worauf im Einzelnen zu achten und welche Einstellung sinnvoll ist, hängt stark von den jeweils individuellen Anforderungen im Unternehmen ab. Ein korrekt konfigurierter Office 365-Tenant kann die Sicherheit eines Unternehmens allerdings auch signifikant erhöhen. Darum ist es wichtig, dass an Office 365 interessierte Firmen bereits frühzeitig qualifizierte Beratungsunternehmen ins Boot holen, die über ein Office 365 Security Konzept verfügen, dass sich an internationale Cloud Security Standards anlehnt.

Über den Autor: Patrick Müller ist Senior Technical Manager bei der novaCapta Software & Consulting. NovaCapta ist einer von sechs offiziellen Premium Partnern der Microsoft Consulting Services und Microsoft Gold-Partner für verschiedene Disziplinen, unter anderem für Cloud Productivity.

Microsoft Office 365 richtig schützen und sicher nutzen

Neues eBook „Office 365 Security“

Microsoft Office 365 richtig schützen und sicher nutzen

02.07.18 - Sicherheit und Datenschutz spielen in der Cloud eine entscheidende Rolle. Für Office 365 gilt dies ganz besonders, denn die Vorgänge, die Unternehmen damit bearbeiten, können sehr sensibel und vertraulich sein. Das neue eBook betrachtet deshalb die Risiken für Office 365 Anwender ebenso wie die verfügbaren IT-Sicherheitslösungen. lesen

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46066260 / Cloud und Virtualisierung)