Sicher in die Cloud – die Notorious Nine & Office 365

Autor – Andreas Knauer, Teamlead SharePoint Solutions, Data One GmbH

Cloud Computing ist längst ein etablierter Begriff, der Betrieb von Unternehmenssoftware als Cloud Service muss heute von jedem modernen CIO in Erwägung gezogen werden. In der Debatte um Pro und Contra der Überführung von Unternehmenssoftware in die Cloud wird neben den „Exit Ways“ insbesondere die Sicherheit heiß diskutiert. Die Cloud Security Alliance (CSA) hat auf Grundlage von Befragungen die sogenannten „Notorious Nine“ aufgeführt ‒ eine Liste der größten Bedrohungen. Wie reagiert Microsoft mit Office 365 auf diese Bedrohungen?

Nach wie vor wird die Diskussion um die Nutzung von Online Services und Datenhaltung in der Cloud für Unternehmen von Unsicherheit geprägt. Wie ist die die rechtliche Lage, welche Wege zurück aus der Cloud gibt es und wie ist die Sicherheit – all diese Kernfragen machen die Diskussion rund um das Thema sehr komplex.

Liste der Bedrohungen

Transparenz in diesen Sachverhalt zur bringen, ist ein Ziel der CSA, eine der weltweit führenden Organisationen zur Sensibilisierung und Definition von Sicherheit beim Cloud Computing [1]. Daher hat die CSA bereits eine zweite, aktualisierte Liste der größten Herausforderungen an die Sicherheit beim Cloud Computing veröffentlicht, die sogenannten Notorious Nine.

Diese Liste wird durch eine internationale Befragung von CIOs aller Branchen erstellt und enthält die folgenden Punkte:
1. Data Breaches
2. Data Lost
3. Account Hijacking
4. Unsecure API
5. Denial of Service
6. Malicious Insider
7. Abuse of Cloud Service
8. Insufficent Due Dilligence
9. Shared Technologie Issues

Im Vergleich zu einer Studie aus dem Jahr 2010 zeigt sich eine deutliche Veränderung in der Priorisierung der Herausforderungen. Waren 2010 noch die größten Bedenken eine unsichere API, Kontoübernahme oder Missbrauch der Rechenleistung in der Cloud durch kriminelle Individuen, sieht man heute die größten Herausforderungen darin, die Sicherheit der Daten zu gewährleisten. Data Breaches (Datenpannen) und Data Lost (Datenverlust) sind aus dem Mittelfeld auf die ersten beiden Plätze vorgerückt. Grund genug zu überprüfen, wie Microsoft in Office 365 mit diesen Herausforderungen allgemein und mit dem Thema Datenpannen und Datenschutz umgeht.

Zertifizierte Sicherheit

Zur Sicherheit in der Cloud gehören zwei Parteien – zum einen der Anbieter der Cloud-Plattform, aber zum anderen auch der Kunde und Anwender der bezogenen Cloud Services. Microsoft ist stets bemüht, die Sicherheitsstandards seiner Cloud- Plattformen durch Zertifizierungen zu belegen, zuletzt wurde Office 365 von dem Britisch Standard Institute (BSI) nach den Sicherheitsstand ISO/IEC 27018 zertifiziert. Dieser Standard wurde erst im August 2014 verabschiedet, baut auf ISO 27001 und ISO 27002 auf und beschreibt Datenschutzbestimmungen, zum Beispiel für die Informationspflicht bei Behördenanfragen. Neben modernen Standards bei der Datenverschlüsselung und redundanter Datenhaltung garantiert Microsoft 99,9% Verfügbarkeit ‒ und dokumentiert im Office 365 Trust Center jedes Quartal, dass diese beachtliche Leistung bisher immer übertroffen wurde [2] [3].

Für den Anwender von Office 365 stellt Microsoft auch einige Funktionalitäten zur Verfügung, um den Notorious Nine gut gerüstet zu begegnen und jene Schwachstellen zu beseitigen, die in der Hand der Anwender liegen. Einige dieser Funktionalitäten, insbesondere zur Vermeidung von Datenverlust und Datenpannen, werden nun erläutert.

Freigabe

Das Teilen von Inhalten ist eine wichtige Funktionalität einer Cloud-Plattform ‒ und auch eine potenzielle Quelle für Datenpannen. Sogenannte Freigaben sind in Office 365 möglich und erlauben den Zugriff auf verschiedene Inhalte für Externe, auch anonym ohne Authentifizierung. Solche anonymen Freigaben sind ein nicht zu unterschätzendes Sicherheitsrisiko, denn sie stellen einen neuen Weg dar, auf dem Dokumente und Inhalte das Unternehmen verlassen können und benötigen daher zusätzliche Kontrolle. Wer Zugriff auf die Informationen und Dokumente des Unternehmens hat und auf welchem Weg ein Dokument das Unternehmen verlassen kann, muss aber immer transparent bleiben. Daher ist eine wichtige Maßnahme zur Vermeidung von Datenpannen die Steuerung der Freigaben im Administrations-Portal des Office 365-Mandanten.

Dokumentenfreigabe

Der Benutzer kann das Dokument freigeben, indem er Personen „einlädt“, ihnen also eine E-Mail zukommen lässt, welche eine persönliche Nachricht enthält und einen Link zum Dokument. Insbesondere kann der Benutzer auch steuern, dass keine Anmeldung für das Öffnen des Dokumentes erforderlich ist. Alternativ kann auch ein Freigabe-Link generiert werden, der beliebig verteilt werden kann und auch ohne Authentifizierung funktioniert. Diese Freigaben funktionieren für:

• Websites zum Zugriff auf abgelegte Dokumente,
• Kalender zur Freigabe des Kalenders über eine öffentliche URL,
• Lync zur Kommunikation mit externen Benutzern,
• integrierte Apps zum Zugriff der Apps auf Informationen im Office 365-Mandanten

und lassen sich granular konfigurieren, so dass Inhalte der einzelnen Bereiche entweder anonym, nur mit angemeldeten und damit kontrollierten Benutzern oder gar nicht geteilt werden können.

Data Loss Prevention (DLP)

Natürlich kann ein Datenverlust in der Cloud nicht nur über die neuen Möglichkeiten der Freigabe geschehen, sondern nach wie vor auf altbekannten Wegen wie z.B. E-Mail. Ein großer Anteil der Datenpannen – nicht nur in der Cloud- sind auf Anwendungsfehler und Unkenntnis des Benutzers zurückzuführen und nicht auf Diebstahl. Viele Benutzer sind sich beim Versenden von Informationen und Dokumenten gar nicht bewusst, dass sie gerade vertrauliche Daten freigeben und sie diese dem falschen Anwenderkreis zugänglich machen. Immerhin werden in Studien mehr als 35 Prozent der Datenpannen auf fahrlässiges Verhalten von Mitarbeitern zurückgeführt, die Kosten pro verlorenem Datensatz steigen auch kontinuierlich an [2]. In Office 365 helfen sogenannte Data Loss Prevention Policies dem Anwender dabei, sensible Daten zu erkennen und diese nicht fahrlässig freizugeben.

Vorlagen für DLP-Richtlinien

Diese DLP-Policies integrieren sich nahtlos nach Outlook 2013 und geben dem Anwender nicht nur einen Hinweis für sensible Inhalte im Textkörper der E-Mail, sondern auch bei Informationen in angehängten Dokumenten. Microsoft liefert eine große Liste an Vorlagen für Richtlinien mit, die beliebig erweitert werden kann. So bekommt der Anwender zum Beispiel einen Hinweis in Outlook, dass er gerade personenbezogene Daten versenden möchte und kann diese gegebenfalls nicht senden. DLP-Policies kommen auch im eDiscovery zum Einsatz, also beim unternehmensweiten Aufspüren sensibler Daten in SharePoint, OneDrive und Exchange. Darüber hinaus hat Microsoft eine noch tiefere Integration von DLP nach OneDrive for Business und in Office 2013 angekündigt [3].

Rights Management (RM)

Viele Benutzer sind heute schon privat sehr gut mit mobilen Endgeräten wie Ultrabooks, Tablets und Smartphones ausgestattet und an deren Anwendung gewöhnt. Die Cloud ist durch die ihre einfache Verfügbarkeit über das Internet für die Anwendung mobiler Geräte prädestiniert. Moderne Unternehmen ermöglichen daher immer öfter den Einsatz der privaten Geräte auch für Geschäftszwecke. Doch wie schützt man sensible Daten, wenn diese das Unternehmen verlassen haben und auf einem privat genutzten Gerät landen? Und was passiert mit Dokumenten, die auf regulärem Weg trotz aller Sicherheitshinweise das Unternehmen verlassen haben? Welche Wege diese Dokumente ab nun gehen, obliegt nicht mehr der Kontrolle der IT. Genau hier schließt das in Office 365 integrierte Rights Management (RM) eine Lücke, denn RM sichert nicht noch weiter den Speicherort der Daten ab oder versucht den Benutzer vor Datenpannen zu bewahren, bevor sie passieren. RM schützt die Dokumente selbst, unabhängig von deren Speicherort.

Rights Management ‒ Berechtigung eines Dokuments

Dieser Schutz funktioniert für alle Office-Dokumente und für PDF-Dateien und bewirkt, dass nur im Dokument selbst berechtigte Benutzer das Dokument öffnen können, denn man muss sich am Office 365-Mandanten als valider Benutzer authentifizieren. So können vertrauenswürdige Dokumente auch nicht von jemand anderem geöffnet werden, der diese beispielsweise per Email zugeschickt bekommt oder auf einem USB-Stick erhält. RM muss im Office 365 Admin Center aktiviert werden und steht dann umgehend zur Verfügung.

Fazit

Der Anwender bekommt mächtige Werkzeuge an die Hand, um sich in der Cloud vor Datenverlust und Datenpannen zu schützen. Das ist erstaunlich, denn der Einsatz von Office 365 erhöht die Gefahr von Datenpannen durch die Anwender mit den neuen Möglichkeiten der Freigaben an Externe nur unwesentlich, denn diese können mit wenigen Klicks kontrolliert werden. Die durchaus mächtigen Werkzeuge Data Loss Prevention und Rights Management hingegen schützen Inhalte, schließen aber keine Lücken, die erst durch den Einsatz von Online Services entstehen. Eine Herausforderung für viele Anwender wird es vielmehr sein, diese Werkzeuge auch richtig einzusetzen, denn diese müssen als Teil der Messaging-Infrastruktur und des Dokumentenmanagements gut durchdacht in bestehende Ablagen integriert werden.

Verweise
[1] Hompage der Cloud Security Alliance https://cloudsecurityalliance.org/about/
[2] Security in Office 365 Whitepaper http://www.microsoft.com/en-us/download/details.aspx?id=26552
[3] Office 365 Trust Center https://products.office.com/en-us/business/office-365-trust-center-cloud-computing-security
[3] Studie “2013 Cost of Data Breach Study: Global Analysis”
[4] Ankündigung neuer DLP- Funktionalität in SharePoint Online http://blogs.office.com/2014/10/28/expanding-data-loss-prevention-dlp-sharepoint-online-onedrive-business-windows-file-share-office-clients/

www.dataone.de

Andreas Knauer, Teamlead SharePoint Solutions bei der Data One GmbH., einem der führenden Beratungs- und Entwicklungshäusern rund um Office 365. Der Microsoft Gold Partner ist als Early Adopter seit zwölf Jahren aktiv und hat über 280 Collaboration-Projekten realisiert. Microsoft Office 365 aus der Cloud, Partnerlösungen mit Nintex und Metalogix, NET -Individualentwicklung.und Schulungen runden das SharePoint-Portfolio von Data One ab.