Es soll ja Leute geben, die können sich gar nicht mehr vorstellen, ohne Cloud-Services wie Microsoft Office 365 zurecht zu kommen. Dafür ist der Komfort und der schnelle Zugriff auf sämtliche Applikationen und Daten einfach zu gut, als dass sie jemals wieder darauf verzichten möchten.

Dabei bleibt allerdings leider viel zu oft die Sicherheit auf der Strecke. Denn mit jeder E-Mail, jedem vertraulichen Termin und mit jedem personenbezogenen Datum steigt das Risiko, dass sensible Daten in die falschen Hände geraten. Dabei ist es doch im Grunde so einfach, seine wertvollen Daten gegen den Zugriff von Unbefugten zu schützen.

Wussten Sie eigentlich, dass spätestens mit dem Inkrafttreten der DSGVO am 25. Mai 2018 nicht nur die Datenverantwortlichen eines Unternehmens in der Verantwortung stehen, sondern auch die sogenannten Auftragsverarbeiter? Das sind neben den klassischen Rechenzentrumsbetreibern auch die Anbieter von Cloud-Plattformen und Cloud-Diensten. Dazu zählt also auch Microsoft mit seinem Cloud-Service Office 365. Doch können Sie sicher sein, dass die Cloud Service Provider (CSP) sämtliche Auflagen rund um die DSGVO (und andere gesetzliche Regularien) auch wirklich vollständig einhalten? Sehen Sie, und genau das ist der Knackpunkt an der Geschichte. Und genau an der Stelle kommt das Thema Verschlüsselung ins Spiel.

Denn nur wenn Daten verschlüsselt in der Cloud gespeichert werden, kann man sich sicher sein, dass damit auch kein Unfug angestellt werden kann. Darüber hinaus will man keinen Aufwand generieren, der mit einer möglichen Anpassung der Verschlüsselungstechnik an den Cloud-Service wie Office 365 erforderlich macht. Eine Lösung, die beide Aspekt berücksichtigt, nennt sich eperi Cloud Data Protection (CDP). In diesem Fall geht die Sicherheit der Office-365-Daten noch ein erhebliches Stück weiter: Die Daten liegen faktisch gar nicht innerhalb der Office-365-Cloud-Umgebung, sondern auf einem geografisch und damit physikalisch getrennten Server, dem eperi Gateway.

eperi CDP = sichere Office 365-Cloud-Umgebungen

Damit stellt eperi Cloud Data Protection for Office 365 die ideale Ergänzung zu den Sicherheits- und Datenschutz-Funktionen dar, die Office 365 von Haus aus anbietet, indem es die Microsoft’sche Cloud-Umgebung um zentrale Datenschutz- und Compliance-Funktionen ergänzt. Damit werden sensible Informationen sicher verschlüsselt, bevor sie an die Office 365 Cloud übermittelt werden.

Ein weiterer Vorteil an dieser Lösung: Nur ein kleiner Kreis berechtigter Personen hat Zugang zu den kryptografischen Schlüsseln, die zum Ver- und Entschlüsseln sensibler Informationen in der Office 365-Cloud benötigt werden. Außerdem finden sämtliche Verschlüsselungs- und Entschlüsselungsprozesse ausschließlich unter der Kontrolle des Unternehmens außerhalb der Office 365-Cloud statt. So können nicht einmal Microsoft-Administratoren oder Mitarbeiter in externen Datenzentren auf die Daten im Klartext zugreifen.

Stellt sich nur die Frage, wie wichtige Anwendungsfunktionen, z. B. die Volltextsuche in E-Mails auf Exchange weiterhin funktionieren können, wenn die Daten in der Office 365-Cloud zu jedem Zeitpunkt verschlüsselt sind und die Microsoft Cloud-Services keinerlei Zugriff auf die Schlüssel haben? Die Antwort darauf liefert das eperi Gateway, das die Grundlage aller Cloud Data Protection-Lösungen darstellt, und die Art und Weise, wie es mit der Office 365-Cloud zusammenarbeitet und die Protokolle, die es unterstützt.

Office 365: Protokolle, Schnittstellen, Funktionen

HTTP(S): Mit dem Hypertext Transfer Protocol greifen die Anwender auf die Office-365-Anwendungen über einen Standard-Webbrowser zu. Dabei verschlüsselt HTTPS (Hypertext Transfer Protocol Secure) die Verbindungen zwischen Browser und Server. Hierbei kommt das Übertragungsprotokoll TCP/IP zum Einsatz, die Verschlüsselungstechnik dahinter wird mit SSL (Secure Socken Layer) bzw. TLS (Transport Layer Security) bezeichnet. Auf dem Server muss ein anerkanntes Zertifikat installiert sein, das eine Authentifizierung des Webbrowsers gegenüber des Webservers erlaubt.

SMTP: Mit dem Simple Mail Transfer Protocol werden innerhalb einer Office-365-Umgebung E-Mails versendet. Die Schnittstelle basiert ebenfalls auf dem Übertragungsprotokoll TCP/IP und nutzt SSL/TLS für den verschlüsselten Versand von E-Mails. Im Falle des SSL/TLS-basierten Versands spricht man auch von SMTPS (Simple Mail Transfer Protocol Secure).

Exchange Web Services (EWS): Mit den EWS greifen Anwender sicher und komfortabel auf Office 365-Postfachdaten zu. Dazu gehören E-Mails genauso wie Kalendertermine und Kontakte. Hier kommt auch HTTPS als Zugriffsprotokoll zum Einsatz.

Exchange ActiveSync (EAS): Analog zu den Exchange Web Services greift man mit EAS auf E-Mails, Kalender und Termine zu, allerdings mittels seiner Mobilgeräte wie iPhone und Tablet. Erwähnenswert ist in diesem Kontext die EAS-Funktion „Direct Push“, mit dessen Hilfe E-Mails, Terminen, etc. zwischen Office 365 und dem mobilen Endgerät synchronisiert werden. Die Daten zwischen Server und Mobilgerät werden auch über HTTPS übertragen.

MAPI over HTTP(S): Mit dem Messaging Application Programming Interface lassen sich E-Mail-Nachrichten direkt aus anderen Anwendungen als dem Mail-Programm verschicken. So lassen sich Textdokumente aus Word versendet werden, ohne dass man diese zuvor in den E-Mail-Client von Office 365 kopieren muss. MAPI over HTTPS wurde mit Microsoft Exchange 2013 eingeführt und hat seinerzeit das Vorgängerprotokoll RPC over HTTP abgelöst. Vor allem die deutlich schnellere Verbindung eines tragbaren Rechners mit dem Office 365-Mailserver via MAPI over HTTPS bietet erhebliche Vorteile gegenüber RPC over HTTP.

Müßig zu erwähnen, dass das eperi Gateway diese Protokolle, Funktionen und Schnittstellen von Office 365 unterstützt. Denn nur dann ist eine durchgängige Verschlüsselung innerhalb der Office 365 Cloud-Umgebung möglich.

eperi Gateway & Office 365: ein erprobtes E-Mail-Team

Eine Besonderheit des eperi Gateway ist seine unkomplizierte Verschlüsselungstechnik. Damit muss sich der Anwender nicht um passende Schlüssel oder ähnliche Dinge kümmern. So verfasst er einfach eine unverschlüsselte E-Mail-Nachricht und versendet diese. Diese landet auf dem E-Mail-Server des Empfängers, wo sie unmittelbar nach Erhalt vom eperi Gateway verschlüsselt und dann automatisch an Office 365 weitergeleitet wird. Da nur das Unternehmen des Empfängers über den Schlüssel zum Dekodieren der Nachricht verfügt, können ausschließlich berechtige Anwender des Unternehmens und sonst niemand die Nachricht lesen.

Interessant ist obendrein die Option, über die Outlook Web Apps auf die Office 365-Umgebung zuzugreifen. Da sich zwischen Browser und Office 365 Cloud-Umgebung ebenfalls das eperi Gateway um die Ver- und Entschlüsselung der Nachrichten kümmert, können E-Mails ganz bequem von jedem Ort der Welt via Webbrowser abgerufen werden – und das vollkommen geschützt.

Trotz Verschlüsselung nach E-Mails und Dateien suchen

Mit einem speziellen Trick können Anwender innerhalb einer Office 365 Cloud-Umgebung verschlüsselte E-Mails und Dateien suchen und finden. Hierzu legt das eperi Gateway einen vollständigen Index aller E-Mails und Dateien an, der nicht in der Office 365-Cloud, sondern in der sicheren Kundenumgebung, z.B. auf dem eperi Gateway-Server gespeichert wird. Das entkoppelt die Office-Umgebung vom eperi Gateway, was zusätzlich die Sicherheit erhöht.

Sucht dann ein Benutzer nach einem Datum oder Begriff, wird dieses/r zunächst an das eperi Gateway weitergeleitet. Dort wird die modifizierte Suchanfrage mithilfe der richtigen Datenset-ID an die Office 365-Cloud-Umgebung gesendet, die anhand dieser eindeutigen Nummer das richtige, verschlüsselte Suchergebnis aus der Office 365-Umgebung an das eperi Gateway zurückgibt. Dort wird die E-Mail oder Datei entschlüsselt und dem Anwender als Klartext zur Verfügung gestellt. Damit wird zu jeder Zeit sichergestellt, dass Suchergebnisse wie E-Mails oder Dateien niemals öffentlich vorliegen und damit Office 365-Inhalte auch nicht kompromittiert werden können.

Disclaimer: Dieser Beitrag basiert auf diesem verlinkten Blogartikel, den ich für meinen Kunden eperi verfasst habe.

Ein Gedanke zu „Office 365-Umgebungen mithilfe von eperi DSGVO-konform absichern

Kommentare sind geschlossen.