Don´t be confused – Microsoft Security Werkzeuge früher, heute und morgen

Es ist immer schwerer die Begriffe, Werkzeuge und Funktionen zu verstehen und auseinander zu halten. Dazu kommt viel Bewegung in der Thematik, so dass ich nun mal eine kurze Erläuterung schreibe:

Unterschiede der Begriffe

Es ist wichtig zu verstehen, wo die Unterschiede sind und was sich für welche Anwendungsszenarien wie eignet. Dazu war ich mit Clemens in Hamburg beim Office 365 Meetup und wir haben einen ganzen Abend über diese Themen gesprochen. Ein paar Details greifen wir in diesem Artikel noch mal zusammen auf. 

Link zur Präsentation (OneDrive for Business)

Passwort für die Datei: MIP2019+

Right Management Services (RMS) 

RMS ist die Basis für die Verschlüsselung von Dokumenten bei Microsoft seit Office 2003. Es dient seitdem zum hauptsächlich zum Schutz von und Dokumenten und EmailSeit Anfang an konnte man damit – entsprechende Backendinfrastruktur vorausgesetzt  verhindern, dass Inhalte kopiert oder weitergeleitetet werden. Die Namensgebung des Backend hat sich seitdem hin und wieder verändert.  

Aktuell gibt es effektiv drei Varianten: 

  • Active Directory Rights Management (ADRMS) 
    ist  abgesehen von gelegentlicher Namensänderung seit 2003 – die Basis für RMS on Premise  
  • Azure Active Directory Rights Management (AADRMS) 
    ist die entsprechende Umsetzung, die seit einigen Jahren als Software as a Service (SaaS) von Microsoft in Office 365 Business und Enterprise Subscriptions zur Verfügung steht. 
  • Office Message Encryption (OME) 
    Email und Dokumenten Verschlüsselung steht seit 2018 nicht nur Business und Enterprise Kunden zur Verfügung, sondern kann auch von Office 365 Personal oder Home Abonenten aktiv genutzt. Es basiert auch auf der etablierten RMS-Plattform. 

In allen Fällen kann man auch Dokumente, Email etc.  mit Partnern, Kunden u.a. verschlüsselt teilen. Die Berechtigungen werden  ebenfalls verschlüsselt – in einer Policy im Dokument gespeichert und vom entsprechenden RMS-Service und dem Client ausgewertet. Mit Microsoft oder Google Konten kann man diese verwenden, um auf geschützte Inhalte zuzugreifen. In anderen Fällen bekommt der ursprüngliche Empfänger ein One Time Password für den Zugriff. Die angekündigte Apple-ID soll auch unterstützt werden. 

Dokumente und Email: Verschlüsselung, kein Labeling oder Klassifizierung 

Prognose: wird in MIP aufgehen, bleibt als Basis der Verschlüsselung – auch für Consumer 

https://docs.microsoft.com/de-de/security-updates/WindowsRightsManagementServices/18119029 

Information Right Management (IRM) 

Das Information Right Management oder auch IRM ist das am zweitlängsten bestehenden Werkzeuge und ist eine Integration mit SharePoint. Seit Microsoft Office SharePoint Server 2007 können Bibliotheken für bestimmte Dateitypen wie Office-Dokumente abgesichert werden und die individuellen Berechtigungen und Richtlinien der Bibliothek im Dokument verankert werden 

Es funktioniert auch im SharePoint Online, hat sich aber – abgesehen von den Möglichkeiten, die O365 und Azure als SaaS bieten – seit 2007 nicht wesentlich für Endanwender und (SharePoint-)Administratoren verändert. 

Die Dokumentenbibliothek wird mit IRM ausgestattet, aber erst beim Download werden die Dateien mit RMS verschlüsselt. Diese können dann nur von berechtigten Benutzeraccounts geöffnet werden und dann nur mit Ansicht oder Bearbeitungsrechten. 

Aktuell ist diese Variante noch immer eine Einfache und effiziente Möglichkeit Dokumentensicherheit auf breiter Basis ohne größeren Aufwand zu gewährleisten – insbesondere, wenn Nutzer gewohnt sind mit SharePoint zu arbeiten.  

Dokumente: Verschlüsselung, kein Labeling oder Klassifizierung 

Prognose: wird in MIP aufgehen, bleibt aktuell noch eine valide Lösung für bestimmte Szenarien 

Link: https://support.office.com/en-us/article/Apply-Information-Rights-Management-to-a-list-or-library-3BDB5C4E-94FC-4741-B02F-4E7CC3C54AA1 

 

Azure Information Protection (AIP, Azure-IP) 

Azure Information Protection ist eine Cloud-basierte Lösung, die einem Unternehmen hilft, seine Dokumente und E-Mails zu klassifizieren und optional durch Aufkleber zu schützen. Labels können von Administratoren, die Regeln und Bedingungen definieren, automatisch angewendet werden, von Benutzern manuell oder in einer Kombination, bei der Benutzern Empfehlungen gegeben werden. In Azure Information Protection wurden Technologien wie RMS und auch zugelaufte Technologien/Unternehmen wie Secure Island zusammengefasst. 

Auch wenn man im Rahmen von Datenschutzrichtlinien im Unternehmen Dokumentenklassen definiert hat, muss man sich noch Gedanken machen, wie diese entsprechend auf unterschiedliche Benutzergruppen herunter gebrochen werden können und müssen.  

Des Weiteren müssen – auch mit existierender Datenschutzrichtlinie – die Nutzer akzeptieren, dass sie sich beim Speichern von Dokumenten Gedanken über die Klassifizierung machen müssen.  

Es gibt zwar in den Premium Plänen auch einer Erkennung von Wort- und Zeichenkombinationen, die entweder eine Klassifizierung vorschlagen oder erzwingen, allerdings ist auch diese Methode mit einem hohen Aufwand bei der Analyse und Einführung verbunden. 

IRM (siehe oben) ist im Vergleich (noch) einfacher einzuführen, da es sich „nur“ am Ablageort orientiert. 

Dokumente: Labeln, Klassifizieren, Verschlüsseln 

Prognose: wird in MIP aufgehen und wohl in Zukunft auslaufen 

Lizenzen: EM+S E3, E5 ; MIP E3 und E5; AIP P1 oder P2;  

 

Microsoft Information Protection (MIP) 

Microsoft Information Protection ist als Framework die Zukunft von der Informationssicherheit von Labeling bis Klassifizierung und Verschlüsselung. Dazu kommen Neuerungen von der Klassifizierung von SharePoint Online Sites, Teams und Groups bis hin zur Nutzung auch ohne Client in Office Apps (heute schon) bis hin zu Desktop-Apps wie Word.  

Mit MIP gibt es nun eine Cross-Plattform, Cross Software und Device Lösung für die Klassifizierung, Labeling und Verschlüsselung von Daten, sowie SharePoint Sites und Umgebungen (z.B. Groups/Teams/Yammer) mit Retention und DLP verknüpft.  

Insbesondere die Integration mit Teams und SharePoint online die eine komplette Klassifikation von Sites etc. und deren Inhalte vorsieht und derzeit nur als Private Preview zur Verfügung steht, wird eine Ablösung vom in die Jahre gekommenen IRM und mehr ermöglichen. 

Dokumente: Labeln, Klassifizieren, Verschlüsseln, Retention und DLP 

SharePoint und Groups: Klassifizieren 

Prognose: Zukunft  (Komplettllösung) 

Lizenzen: Microsoft 365 E5, E3  

https://www.microsoft.com/de-de/security/technology/information-protection 

 

Unified Labeling 

Details zu Unified Labeling (UL) sind bereits oben unter Microsoft Information Protection beschrieben. Einfach ausgedrückt handelt es sich um eine Vereinfachung und Verlagerung der Administration (siehe unten). Es bietet allerdings auch ein paar neue Möglichkeiten und bessere Integration mit anderen Diensten und Anwendungen.  

Eine Klassifizierung und Schutz von PDFs ist zwar schon lange möglich, die Nutzung war aber immer etwas umständlich. Mit Unified Labeling hat auch Adobe zusammen mit Microsoft einen neueren PDF ISO-Standard implementiert, so dass auch Acrobat mit klassifizierten und RMS-geschützten PDFs umgehen kann. 

Wenn man mit Klassifizierung und RMS-Schutz anfängt, sollte man von vornherein auf Unified Labling setzen – auch wenn es noch in der Entwicklung ist 

Der „klassische“ AIP Client (Version 1.4.x) wird nur momentan nur noch wenig weiterentwickelt und die Lücken zwischen ihm und dem UL-Client (2.x.x) werden bei den aktuell ca. dreimonatigen Release Zyklen kleiner.  

Da man eine entsprechende Lösung  insbesondere Benutzergruppenbasierte Verschlüsselung – nicht von heute auf morgen einführt, spart man sich spätere Kopfschmerzen bei der Migration zu Unified Labeling.  

Prognose: Zukunft 

Lizenzen: Microsoft 365 E5, E3  

https://www.microsoft.com/de-de/security/technology/information-protection 

 

Klassifizierung der Daten aus Office 365 Security & Compliance Center (SCC) 

Die bisherige Möglichkeit eine Klassifizierung und Labeling über das SCC zu gewährleisten, wird in Zukunft das Hauptmodell sein. AIP und diese Möglichkeit wird zusammengefasst und nur noch eine gemeinsame Lösung sein. 

Prognose: wird in MIP aufgehen, die Migration von AIP & der Klassifizierung aus dem SCC startet bereits und ist möglich.  

Verschlüsselung  M BYOK  HYOK  S/Mime 

Zusätzlich zu der Historie mit Namens– und Plattformänderungen kann bring die Verschlüsselung noch einige weitere Verwirrung. 

Früher gab es nur ADRMS– und S/Mime-Verschlüsselung (das mit den Zertifikaten – ihr wisst schon, oder?) in Outlook, was beides heutzutage auch weiterhin eine Daseinsberechtigung hatHeute gibt es auch dazu noch AADRMS, was nicht nur eine weitere Verschlüsselungsinfrastruktur mitbringt und auch noch unterschiedliche Möglichkeiten der Schlüsselverwaltung. 

Fangen wir diesmal einfach und nicht historisch an: 

  • Microsoft Managed Key (MMK) 
    Der Masterschlüssel für RMS für eine Organisation wird von Microsoft verwaltet. Dies ist für OME und AADRMS für alle Kunden, ob Consumer oder Firmen initial der Fall. Jeder Business oder EnterpriseKunde bekommt von Microsoft dabei initial einen eigenen Schlüssel für AADRMS für seine Organisation. 
  • Bring Your Own Key (BYOK)  
    Man verwaltet seinen Organisationsschlüssel für AADRMS selbst in einem Azure Keyvault: 
  • Wenn man bereits ADRMS im Einsatz hat und auf AADRMS wechseln möchte kann man seinen Organisationsschlüssel unter bestimmten Bedingungen mitnehmen. 
  • Wenn man seinen Organisationsschlüssel selbst verwalten möchte, kann man ihn unter bestimmten Bedingungen on Premise erzeugen und in Azure importieren oder direkt in Azure erzeugen. 
  • Hold Your Own Key (HYOK) 
    Entweder behält man die bestehende on Premise ADRMS Infrastruktur oder setzt eine auf, weil man bestimmten Kronjuwelen an Dokumenten einen besonderen Schutz zu gute kommen lassen will.  
  • S/Mime 
    S/Mime ist u.a. für Verschlüsselung und signieren von Email bekannt und basiert auf öffentlichem und privatem Teil eines Zertifikates. Dafür benötigt man eine Privat Key Infrastruktur, der diese Zertifikate ausstellt und verwaltet. 

Bei AADRMS als Verschlüsselungsbasis kann man entscheiden, ob man den Key von MS behält oder auf BYOK wechselt. Ein Mix ist in einer Organisation nicht möglich. 

Mit AIP bzw. MIP kann man – Premium Plan 2 vorausgesetzt – pro Klassifikation entscheiden, ob S/Mime, ADRMS oder AADRMS (MMK bzw. BYOK) für Verschlüsselung zum Einsatz kommen soll.  

 

Autoren

Clemens von Bluecher, Raphael Kölllner 

Vielen herzlichen Dank für Clemens und seinen Imput!