Live-Webinar am 21. Oktober 2021 um 08:00 Uhr << IT-Sicherheit – eine Herausforderung für KMU >>

Was versteht man unter Double Key Encryption, Microsoft Information Protection, einer Appliance und SaaS?

Double Key Encryption

Unter Double Key Encryption versteht man die Verschlüsselung eines Dokuments mit 2 unabhängigen Schlüsseln, die von getrennten Providern zur Verfügung gestellt werden. Der Zugriff ist nur mit beiden möglich.

Microsoft Information Protection

Microsoft Information Protection stellt Funktionen bereit, um die Klassifizierung von Dokumenten zu unterstützen.

Appliance

Eine Appliance stellt die Funktion der Schlüsselverwaltung in Form einer vorkonfigurierten Hardware zur Verfügung. Diese sind von verschiedenen Anbietern verfügbar und können im internen Rechenzentrum betrieben werden und so den zweiten Schlüssel bereitstellen.

SaaS

Die Abkürzung SaaS steht für „Software as a Service“ und wird verwendet, wenn ein Cloudanbieter eine direkt nutzbare Lösung zur Verfügung stellt. Auch bei den Schlüsselverwaltungssystemen gibt es mittlerweile solche Anbieter, was eine Implementierung deutlich vereinfacht und ggf. für kleinere Unternehmen interessant macht.

Wie Sie Ihre sensiblen Daten mit Information Protection schützen

Eine besondere Herausforderung ist die Speicherung sensibler Daten in der Public Cloud. Schon lange gibt es in Mircosoft 365 die Möglichkeit mit Information Protection Inhalte zu schützen. Durch Verschlüsselung kann so der Zugriff auf Inhalte durch nicht berechtigte Personen verhindert werden – und dies unabhängig vom Speicherort. Der Knackpunkt liegt darin, dass der dafür benötigte Key durch Microsoft bereitgestellt wird und somit nicht unter Kontrolle des Kunden ist. Genau dies wird aber für sensible Daten in vielen Fällen vorgeschrieben.

Seit einigen Monaten gibt es genau dafür einen Lösungsansatz von Microsoft: das sogenannte Double Key Verfahren. Durch eine Verschlüsselung mit 2 Keys von verschiedenen Quellen wird sichergestellt, dass nur mit beiden auf das Dokument zugegriffen werden kann. Einer der Schlüssel wird wie sonst auch von Microsoft bereitgestellt. Der zweite Schlüssel ist vollständig in der Obhut des Kunden. Das dafür notwendige System muss entweder im eigenen Rechnezentrum in Form einer Appliance bereit gestellt werden oder kann bei spezialisierten Anbietern auch als SaaS Applikation bezogen werden. Über Microsoft Information Protection erfolgt dann die Verknüpfung mit dem Dienst und Dokumente können über die sog. Sensitivity Labels mittels der DKE Option doppelt verschlüsselt werden.
Allerdings bringt das Verfahren auch Nachteile mitsich. Neben der gesteigerten Komplexität durch die Abhängikeit von zwei Systemen können bestimmte Funktionen aus der Cloud nicht mehr genutzt werden (z.B. Indexierung, Office Web Apps) – der Online Service hat keinen Zugriff auf den 2. Schlüssel und kann somit auch nicht mehr in die Dokumente schauen.

Zusammengefasst bietet Microsoft mit DKE nun eine Möglichkeit an, auch sensible Dokumente in Microsoft 365 abzulegen – mit voller Kontrolle über den zweiten Schlüssel.

Ihr Ansprechpartner

Sven Differt - innobit ag
Ich freue mich Sie zum Thema Security zu beraten. Ich freue mich über Ihre Mail!

Melden Sie sich direkt bei Sven Differt, Lead Architect

Sven Differt
sven.differt@innobit.ch
+41 61 695 98 13

Wir freuen uns auf Ihren Anruf!