Microsoft nutz Sensitivity Label und bietet den Dienst als Software as a Service schon einige Jahre an. Dennoch sind alt bekannte Probleme bis heute nicht behoben worden und neue Probleme sind dazu gekommen.
Top 1: Der RMS Schlüssel ist nicht extrahierbar
Im Rahmen von Souveränität und Abhängigkeit müssen wir auch betrachten, dass die Schlüsselverwaltung und auch Möglichkeit diese nach 30 oder 50 Jahren auch ohne Microsofts RMS Dienst zu nutzen, um Dateien aus einem Archiv zu entschlüsseln. Eine Entschlüsselung muss also auch ohne RMS Dienst möglich sein.
Problem
- Eine Extraktion des RMS Schlüssel ist nicht möglich.
- Keine Gewalt über den Schlüssel auch nicht bei Double Key Encryption.
- Microsoft gibt den Schlüssel nicht raus und man kann als Kunde den AES 256 nicht extrahieren.
Abschwächung des Problems?
- Abkündigung des RMS Dienstes 12 Monate vorher / vor Änderungen dessen. Man bekommt aber keinen Schlüssel ausgehändigt, sondern muss seine verschlüsselten Dateien entschlüsseln.
- RMS Dienst besteht seit über 10 Jahren und es gibt keine Gerüchte diesen einzustellen.
Lösung
- Archivierung nur ohne RMS Verschlüsselung
- RMS Verschlüsselung nur als temporärer Schutz
- ggf. eigenes Dokumenten Management System
Top 2: User können das Label in den Metadaten verändern auch ohne CoOwner zu sein
Nicht verhinderbar bei unverschlüsselten Dateien die Label zu ändern. Dies ist möglich über die Metadaten im Dokument, so dass Nutzer hier manuell es ändern.
Hier en Beispiel:
Beispiel eines klassifizierten Dokumentes
Grund: Owner/Ersteller der Datei hat volle Zugangsrechte und kann die Custom Felder in den Metadaten ändern.
Lösung: Um ein Label zu erzwingen, muss man dieses verschlüsseln und erzwingen, dass ein Label gesetzt wird. Dies ermöglicht es zumindest etwas, dass manuell nicht das Label verändert, auf dem Dokument entfernt oder insgesamt entfernt werden.
Top3: Erst Sensitivity Label und dann Retention Label
Im Rahmen dessen muss beachtet werden, dass immer erst das Sensitivity Label gesetzt wird und dann erst das Retention Label setzen. Dies liegt im Bereich der Governance, dass ein Retention Label, welches die Daten einfriert (Regulatory Retention) keine Änderung der Datei zulässt. Dies bedeutet, dass eben und technisch korrekt keine Änderung gemacht werden kann und damit nicht gelabelt.
Ergebins: Erst Sensitvity Label und dann Retention Label setzen, um das Dokument / E-Mail entsprechend zu archivieren.
Top 4: Sensitivity Label nach der eSign verändert das Dokument und man muss neu unterschreiben
Im Rahmen der
Adobe und DocuSign kapputt
-> Grundregel erst Labeln und dann unterschreiben.
Top 5: shared Mailboxen, delegierte Mailboxen und Verschlüsselung
Im Rahmen der Nutzung der neuen Outlook hat sich die Berechtigung für shared Mailboxen geändert. Dies bedeutet, dass nun alle mit ihrer Copilot Lizenz (Chat, Copilot for Microsoft 365, auf alle shared Mailboxen und delegierte Mailboxen zugreifen können, auch wenn der Nutzer selber kein Copilot nutzt oder besitzt.
Abwehr ist nur möglich über die Datenklassifikation und DLP Policy oder eben keine Rechte für die Mailbox zu erteilen.
TOP 6: Dateien erst verschlüsselt, wenn geöffnet und gespeichert & eSign
Dateien werden endgültig erst verschlüsselt, wenn diese auf dem Rechner oder in der WebApp gespeichert werden. Dies hat mit der technischen Umsetzung zu tun. Denn der RMS Schlüssel muss auf den Rechner und über den TPM Chip umgesetzt werden, um dann das Dokument zu verschlüsslen.
Dazu gehört auch das Problem mit Signaturen. Eine Verschlüsselung und ein Label ändern das Dokument in den Metadaten ab und damit muss es neu signiert werden.
Lösung:
Immer erst speichern und das Dokument klassifizieren, bevor man damit weiter arbeitet.
Immer erst klassifizieren und dann signieren.
Top 7: Label auf den Dokumenten oft durch Layer versteckt
Dieses Thema ist eines für die Diskussion von Marketingabteilung und Information Security Officer. In meinem Unternehmen und vieler Kunden ist es dies nun und auch immer wieder, gerade wenn man das Label auf dem Dokument platzieren will, so dass die Markierung auf dem Dokument richtig und korrekt angezeigt wird.
Problem
Es ist so, dass das Label immer in den Hintergrund des Dokumentes oder der Email geschoben wird. Dies bedeutet, dass Bilder und Elemente davor dieses immer verdecken. Es ist nicht möglich eine Ebene zu bestimmen oder das Label auf dem Dokument oder Email in Millimetern zu platzieren.
Lösung: Man muss das Layout verändern und keine Layer über den Bereich legen.
Top 8: Trojaner mit RMS .. Da die Content Security nicht zugreifen kann
Microsoft RMS ist ein Verschlüsselungsmechanismus, welcher nicht durch alle Content Security Werkzeuge gebrochen werden kann. Dies ist so, da viele und gerade die Konkurrenz die API nicht implementiert haben. So könnten nun aber Angreifer durch die Verschlüsselung als Trojanisches Pferd Schadsoftware in die Umgebung einschleusen.
Wer kann die Verschlüsselung brechen:
- Nutzer mit Berechtigung und Zugriff auf den RMS Dienst
- Defender Services, wie Defender for Cloud Apps (Proxy)
- Purview Services, wie eDiscovery
- Superadmin (PowerShell)
Lösung
- Microsoft Ökosystem bleiben und mit Defender arbeiten
- Keine Verschüsselung mit RMS nutzen
- Datenübertragung in die USA der Dateien zur Entschlüsselung akzeptieren (zB. Skykick)
Top 9: Custom Permission und das Drucken
Top 10: Custom Permission und eDiscovery (gelöst)
Dieses langjährige Problem ist gelöst worden, aber erst Ende 2025 mit der Umstellung auf das neue eDiscovery Premium, welches z.B. in de E5 verfügbar ist. Nun ist es möglich, dass in einem eDiscovery Fall auch die Dateien mit custom Permissions geöffnet werden können.