Microsoft Purview Double Key Encryption ist die Microsoft Lösung, die als Nachfolger von ADRMS bekommen ist und das Prinzip der Mitbringens eines eigenen Schlüssels zur Verschlüsselung von Dateien aufgreift und zur Verfügung stellt. Nun stellt Microsoft mit einem neuen Whitepaper weitere umfangreichere Informationen zur Ergänzung zur Dokumentation
Microsoft Purview Double Key Encryption
Microsoft Purview Double Key Encryption hat den großen Vorteil, dass der Schlüssel zur Verschlüsselung beim Kunden liegt und in eigenem Herrschaftsbereich. Ein zweiter Schlüssel liegt bei Microsoft, also klassische wie bei der Verschlüsselung mit RMS bei Microsoft.
Verfügbar für
- Office Dateien
- E-Mails (neu)
Nicht verfügbar
- macOS, iOS
- Android, Linux Distributionen
DKE Konflikt und Herausforderungen
DKE wird sehr häufig von Unternehmen mit hohen regulatorischen Anforderungen getestet und auch erprobt. Leider ist es so, dass von 10 Unternehmen, sich 9 dafür entscheiden DKE nicht einzusetzen. Die Gründe für das Abwenden der Nutzung von DKE sind:
- keine iOS Unterstützung
- kein eigenes HMS Hardware /Module im eigenen RZ
- hohe Kosten für den Einsatz
- Implementierung erfordert VPN
- Betrieb oft umfangreich und oft nicht hausintern leistbar
- DienstleisterInnen übernehmen keine endgültige Haftung für den Ausfall (z.B. Thales, Entrust)
- eigener Betrieb OnPremises und z.B. in Azure möglich, aber nicht für die Produktion geeignet
- Windows Hardware benötigt
BSI und Microsoft
Das BSI arbeitet mit Microsoft Deutschland enger zusammen. Daher verwundert es nicht, dass es nun auch eine Pressemitteilung zur Veröffentlichung des Whitepaper gab.
„Zum Schutz von Office-Dokumenten bewirbt Microsoft die sogenannte „Double Key Encryption„, bei welcher Inhaltsdaten mithilfe eines zusätzlichen Schlüssels geschützt werden, der vom Kunden bereitgestellt wird. DKE soll damit die Kontrolle des Kunden und die Transparenz beim Datenzugriff erhöhen. Insbesondere sollen Kunden mit DKE auch in die Lage versetzt werden, ihre Daten vor dem Cloud Service Provider selbst oder bei einem Angriff auf dessen Cloud-Infrastruktur vor unbefugtem Zugriff zu schützen.
Korrekt eingesetzt ist DKE imstande, die eigenen Daten vor einem Angriff wie dem oben beschriebenen zu schützen. Dies zu erreichen, ist jedoch nicht trivial und auch das Zusammenwirken mit anderen Schutzmechanismen muss dafür geeignet abgestimmt sein.
Die Veröffentlichung von Microsoft befähigt Kunden nun erstmals, die Schutzwirkung von DKE detailliert und faktenbasiert einschätzen zu können. Eine fachkundige Öffentlichkeit wird dadurch heute in die Lage versetzt, DKE effektiv zu verwenden, d.h. erwartete Schutzwirkungen zu realisieren und verbleibende Risiken abzuschätzen. Insbesondere erzeugt es eine bisher nicht vorhandene Transparenz, unter welchen Vorbedingungen DKE vor einem Vertraulichkeitsverlust gegenüber Microsoft bzw. gegenüber Microsoft-Infrastruktur im Falle ihrer Kompromittierung – wie es bei oben genannten Angriff durch Storm-0558 der Fall war – zu schützen in der Lage ist.“
Quelle:
Microsoft Whitepaper RW1m3Uu (microsoft.com)
Autoren: Ralf Wigand und Michael Wirth (Microsoft Deutschland)
Unterstützung?
Sie benötigen Unterstützung bei der Umsetzung von DKE, dann können Sie dies sehr gerne bei uns anfragen. Wir haben bereits mehrfach erfolgreich DKE umgesetzt und arbeiten eng mit der Microsoft Produktgruppe zusammen. Es gibt ein eigenes DKE Paket für Kunden und auch eine Partnerschaft mir Thales zu dem Thema.
www.koellnservice.de und vertrieb@koellnservice.de
Blogbeitrag des BSI als Zitat
„Im Sommer 2023 hat ein Angriff auf die Azure Cloud durch die sogenannte Hackergruppierung Storm-0558 stattgefunden. Dabei wurde ein Signaturschlüssel genutzt, der zuvor von den Angreifern Microsoft auf einem noch nicht abschließend geklärten Weg entwendet wurde.
Die Angreifer konnten so Zugang zu E-Mail-Konten von 22 Organisationen und staatlichen Einrichtungen, vorrangig in der USA, nicht jedoch in Deutschland, erlangen. Mutmaßlich hätte der Schlüssel auch verwendet werden können, um einen Zugang auf andere Cloud-Services von Microsoft zu eröffnen.
Seit Bekanntwerden des Angriffs stand das BSI in einem technischen Austausch mit Microsoft zu möglichen Abwehrmaßnahmen angesichts der eingesetzten Angriffstechniken. Microsoft hat nun ein technisches Informationsdokument zur effektiven Verwendung von „Double Key Encryption„ (DKE) veröffentlicht. In diesem werden verschiedene Bedrohungsszenarien herangezogen und dargestellt, wie DKE eingesetzt werden sollte, um diesen angemessen zu begegnen. Das BSI rät Nutzerinnen und Nutzern der DKE, mithilfe der Veröffentlichung zu überprüfen, ob sie dieses Verschlüsselungsverfahren wirksam verwenden.
Zum Schutz von Office-Dokumenten bewirbt Microsoft die sogenannte „Double Key Encryption„, bei welcher Inhaltsdaten mithilfe eines zusätzlichen Schlüssels geschützt werden, der vom Kunden bereitgestellt wird. DKE soll damit die Kontrolle des Kunden und die Transparenz beim Datenzugriff erhöhen. Insbesondere sollen Kunden mit DKE auch in die Lage versetzt werden, ihre Daten vor dem Cloud Service Provider selbst oder bei einem Angriff auf dessen Cloud-Infrastruktur vor unbefugtem Zugriff zu schützen.
Korrekt eingesetzt ist DKE imstande, die eigenen Daten vor einem Angriff wie dem oben beschriebenen zu schützen. Dies zu erreichen, ist jedoch nicht trivial und auch das Zusammenwirken mit anderen Schutzmechanismen muss dafür geeignet abgestimmt sein.
Die Veröffentlichung von Microsoft befähigt Kunden nun erstmals, die Schutzwirkung von DKE detailliert und faktenbasiert einschätzen zu können. Eine fachkundige Öffentlichkeit wird dadurch heute in die Lage versetzt, DKE effektiv zu verwenden, d.h. erwartete Schutzwirkungen zu realisieren und verbleibende Risiken abzuschätzen. Insbesondere erzeugt es eine bisher nicht vorhandene Transparenz, unter welchen Vorbedingungen DKE vor einem Vertraulichkeitsverlust gegenüber Microsoft bzw. gegenüber Microsoft-Infrastruktur im Falle ihrer Kompromittierung – wie es bei oben genannten Angriff durch Storm-0558 der Fall war – zu schützen in der Lage ist.“