Double-Key-Encryption (DKE) Update März 2025 – Erweiterter Schutz auch bei KI Systemen

Die Informationssicherheit von Daten eines Unternehmens und auch von Privatleuten ist ein hohes Gut. Insbesondere wird diese um so wichtiger bei der weltweiten Unsicherheiten in den USA. Es wird um so wichtiger auch die Schlüssel unter eigener Kontrolle zu haben, hier kommt nun DKE ins Spiel.

Was ist Double-Key-Encryption (DKE)?

Double Key Encryption (DKE) ist ein Verschlüsselungslösung von Microsoft, die für Organisationen entwickelt wurde, die absolute Kontrolle über ihre sensibelsten Daten benötigen. Früher kannte man diese Lösung unter ADRMS und war auch schon von Beginn an möglich, mit zunächst vielen Einschränkungen und nur für die Windows Plattform.

DKE ist verfügbar in März 2025 für:

  • Office Dateien
  • E-Mail

Auf den folgenden Plattformen

  • Windows
  • iOS
  • Android
  • MacOS (Private Preview) // Gerne mich anfragen.

 

Im Gegensatz zu herkömmlichen Verschlüsselungsmodellen, bei denen Microsoft die Verschlüsselungsschlüssel verwaltet, verwendet DKE einen Dual-Key-Ansatz:

  1. Ein Schlüssel wird vollständig von Eurer Organisation/Unternehmen kontrolliert und in eurer eigenen Umgebung (lokal oder in der Cloud) in einem HSM Modul gespeichert. (Kontrolle, Speicherung, Verarbeitung unter euerer Kontrolle)
  2. Ein Schlüssel wird von Microsoft in einem Azure Key Vault HSM Dedicated verwaltet, wie wir es vom Customer Key und auch Right-Management-System (RMS) her kennen. (Kontrolle, Speicherung, Verarbeitung unter Kontrolle von Microsoft)

Erst wenn der Zugriff auf die Daten beide Schlüssel vorhanden ist, also er ist zwingend erforderlich kann die Datei geöffnet werden.

 

 Warum DKE verwenden?

🔹 Maximale Sicherheit für hochklassifizierte Daten (Einhaltung von Vorschriften, Geschäftsgeheimnisse, geistiges Eigentum)

🔹 Volle Kontrolle – Microsoft kann ohne den Schlüssel Ihrer Organisation nicht auf Ihre Daten zugreifen

🔹 Nahtlose Integration in Microsoft Purview Information Protection

🔹 Ideal für Branchen mit strengen regulatorischen Anforderungen (Finanzwesen, Gesundheitswesen, Regierung, Verteidigung)

 

NEU März 2025 

1. Es funktioniert mit Gastbenutzern in der B2B-Zusammenarbeit!

Der eigentliche Durchbruch? DKE ist mit externen B2B-Benutzern in Microsoft Entra ID kompatibel! Das bedeutet, dass Organisationen hochsensible Dateien sicher austauschen und gemeinsam bearbeiten können, ohne die Datensicherheit zu gefährden.

2. iOS und MacOS Unterstützung

DKE ist nun auch in der Apple Welt angekommen und damit in der Welt der CEOs und GeschäftsführerInnen.

 

 typische Anwendungen aus der Praxis

✔️ Sichere Zusammenarbeit bei vertraulichen Projekten intern

✔️ Sichere Zusammenarbeit mit externen Partnern

✔️ Sichere Zusammenarbeit ohne Zugriffsmöglichkeit des Herstellers Microsoft

✔️ Sichere Zusammenarbeit ohne Zugriffsmöglichkeit von KI Systemen wie Microsoft 365 Copilot

✔️ Einhaltung strenger Datenschutzbestimmungen (DSGVO, ITAR, CMMC, CJIS usw.)

✔️ Schutz für hochklassifizierte Regierungs- und Finanzdaten

 

Wie fange ich mit DKE an?

Um die Double Key Encryption zu implementieren, müssen Organisationen einen vertrauenswürdigen Lösungsanbieter nutzen. Wir von KöllnService GmbH gemeinsam mit unserem Partner Thalys unterstützen Sie gerne mit einer SaaS Lösung zu DKE oder den Thalys Modul im eigenen Hause.

Der übliche Ablauf nach dem KöllnService Prinzip:

  1. Test und POC mit dem GitHub, Azure Key Vault HSM und Connector mit einem Testlabel
  2. Einbau und Einstellung des HSM Module für den produktiven Betrieb
  3. Umsetzung in das produktive System und Umstellung der entsprechenden Label
  4. Test
  5. Rollout in die gesamte Organisation

 

Wie viele Prozent der Dateien sollten mit DKE geschützt werden?

Nach über 500 Tests und davon nur gut 10% produktive Umsetzungen wegen fehlender Funktionen bei iOS bis Ende 2024:

0,5-3% der strictly confidential Daten mit DKE
20-25% confidential mit RMS (kein BYOK, MS verwaltet)
50% interne & Businessdaten
20% öffentliche Daten

Grafik ist eine von 4. en. Hier am Bespiel der Kollegen von Thales aus BW mit RZ in Frankfurt.

2025 zeigt sich, dass wir auf Basis der KI Gefahren wie Datenabfluss

 

5-10% der strictly confidential Daten mit DKE  (Plus!)

20-25% confidential mit RMS (kein BYOK, MS verwaltet)

30% interne & Businessdaten (Minus zu 2024)

10% öffentliche Daten (Minus zu 2024)

 

Übliche Preiskalkulation mit Listenpreisen als Anhaltspunkte

  1. Eigenes HSM und Betrieb (HSM 2mal 50.000-60.000 Euro und Betrieb 1/4 Stelle 24/7 also 5 Personen & DKE Connector 15.000 Euro
  2. HSM als SaaS Dienst z.B. von Thales (100.000 Euro bis 150.000 Euro für drei Jahre mit HSM Modulen, Keys, Verwaltungskonsole und 24/7 Support und DKE Connector)

 

Sie benötigen Unterstützung bei DKE Projekten, ISMS und mehr?

vertrieb@koellnservice.de  oder sprechen Sie mich an!