Was bringen Gateway Lösungen bei SaaS Applikationen wie Microsoft 365 für den Datenschutz?

Mit dem Schrems2 Urteil des Europäischen Gerichtshofes und dem Wegfall des Privacy Shield Abkommen mit den USA, sowie die zusätzlichen Anforderungen an die EU Standardvertragsklauseln lösen den Dreiklang: Verschlüsselung, Anonymisierung und Pseudonymisierung aus.Also müssen Unternehmen prüfen, wie sie mit SaaS Lösungen, wie zum Beispiel Microsoft 365 umgehen. Viele der Unternehmen, die diese Technologie einsetzen, haben keine eigene PKI-Struktur oder Verschlüsselungsexperten. So müssen Alternativen gesucht werden, diese könnten in Verschlüsselungsgateways liegen, deren Anbieter genau diese Zielgruppe für sich entdeckt haben. Doch können diese Gateways wirklich die Lösung der Herausforderungen im Datenschutz bei us-cloud Lösungen wie Microsoft 365 sein? 

Auf dem deutschen Markt sind:

Auf dem deutschen Markt gibt es drei Anbieter, die aus Deutschland entsprechende Systeme entwickelt haben. Diese bieten alle ein Gateway an, welches Daten, die in die Microsoft Cloud gelangen zu verschlüsseln. Die Schlüssel der Verschlüsselung liegen beim Anbieter des Gateways. Es wird verhindert, dass Microsoft oder Dritte auf die Daten zugreifen können.

Jedoch verhindert dieser Zugriff auch einige klassische Funktionen wie die Suche oder eben die Indexierung in der Cloud. Dazu kommen im Detail viele kleinere und größere Herausforderungen, die in vielen Nutzungsszenarien die Vorteile einer Cloudlösung teilweise komplett aufheben. 

Dementsprechend verlangt jede Lösung entsprechende Entgelte und man holt sich einen weiteren Dienstleister mit ins Boot.

Telekom

Datenverschlüsselung nach europäischen Standards (t-systems.com)

  • Exchange Online
  • SharePoint Online
  • OneDrive for Business (in der Beschreibung steht falsch nur OneDrive)
  • Microsoft Teams (teilweise)
  • Suche soll unterstützt sein

ACHTUNG: Das Angebot der Telekom ist nur das Paket für ein Epri Gateway. Es gibt kein Telekomgateway.

Rode & Schwarz

R&S®Trusted Gate | Solution for Microsoft® 365 | Rohde & Schwarz (rohde-schwarz.com)

  • Exchange Online
  • SharePoint Online
  • OneDrive for Business 
  • Microsoft Teams (teilweise)

Eperi Gateway

eperi Cloud Data Protection für Microsoft 365

  • Exchange Online
  • SharePoint Online
  • OneDrive for Business (in der Beschreibung steht falsch nur OneDrive)
  • Microsoft Teams (teilweise)
  • Suche soll unterstützt sein

M365 Total Encryption

Microsoft Office 365 Verschlüsselung für Ihr Unternehmen (hornetsecurity.com)  (

  • Exchange Online

Empfehlung: 

Ihr müsst euch die einzelnen Produkte in einem POC genauer anschauen. Jede hat die eigenen Stärken und Schwächen. Grundsätzlich ist es aber so, dass keine der Lösungen alle Produkte von Microsoft 365 bedienenden kann und so alle personenbezogenen Daten verschlüsselt. Es handelt sich größtenteils nur um klassische Dokumente im SharePoint Online und Emails in Exchange Online. Dazu kommt neuerdings ein Angebot in Teams in Richtung Chat und Kanalchat. Aber Sway oder Kaizala, sowie Whiteboard oder auch Teams Meetings könne nicht hiermit zusätzlich verschlüsselt werden.

Alternativen zu Proxy/Gateway Lösungen

Verschlüsselung-Hoster der Architektur

aus der EU gibt es zwei:  Thales und Entrrust, ggf. HashiCorp (USA)

Die ersten Beiden ermöglichen es sowohl Schlüssel für IaaS, PaaS und SaaS, wie DKE für Microsoft 365 anzubieten. Neben DKE (Double-Key-Encryption) gibt es dazu auch noch die Möglichkeit BYOK (Bring-your-own-key) für die Applikationsverschlüsselung von SharePoint Online, Exchange Online und neu Microsoft Teams einzubringen. Dazu gibt es die Möglichkeit für die Emailverschlüsselung S/MIME entsprechende Schlüssel bereitzustellen.

Helfen Gateways?

Die Gateways helfen definitiv, um personenbezogene Daten zusätzlich in SaaS Lösungen wie Microsoft 365 zu schützen. Dennoch kommen erhöhte Kosten und ein neuer Anbieter dazu, dazu ein Funktionsverlust. Man muss ganz genau prüfen, ob eine Gateway Lösung oder die Verschlüsselung ins System mitzubringen die passende Lösung ist. Aus meiner aktuellen Sicht von 10 Jahren Projekterfahrung und 5 Jahren mit Proxies bevorzuge ich die native Lösung, also die Alternative, um z.B. eine Verschlüsselung einzubringen, um Patientendaten in der Cloud zu verarbeiten. 

Vortrag dazu: Verschlüsselung und und aus der Cloud auf der CIM Lingen 2021