Wie schütze ich sensible Dokumente in Microsoft 365 durch doppelte Verschlüsselung?

Double Key Encryption

Unter Double Key Encryption versteht man die Verschlüsselung eines Dokuments mit 2 unabhängigen Schlüsseln, die von getrennten Providern zur Verfügung gestellt werden. Der Zugriff ist nur mit beiden möglich.

Microsoft Information Protection

Microsoft Information Protection stellt Funktionen bereit, um die Klassifizierung von Dokumenten zu unterstützen.

Appliance

Eine Appliance stellt die Funktion der Schlüsselverwaltung in Form einer vorkonfigurierten Hardware zur Verfügung. Diese sind von verschiedenen Anbietern verfügbar und können im internen Rechenzentrum betrieben werden und so den zweiten Schlüssel bereitstellen.

SaaS

Die Abkürzung SaaS steht für „Software as a Service“ und wird verwendet, wenn ein Cloudanbieter eine direkt nutzbare Lösung zur Verfügung stellt. Auch bei den Schlüsselverwaltungssystemen gibt es mittlerweile solche Anbieter, was eine Implementierung deutlich vereinfacht und ggf. für kleinere Unternehmen interessant macht.

Eine besondere Herausforderung ist die Speicherung sensibler Daten in der Public Cloud. Schon lange gibt es in Mircosoft 365 die Möglichkeit mit Information Protection Inhalte zu schützen. Durch Verschlüsselung kann so der Zugriff auf Inhalte durch nicht berechtigte Personen verhindert werden – und dies unabhängig vom Speicherort. Der Knackpunkt liegt darin, dass der dafür benötigte Key durch Microsoft bereitgestellt wird und somit nicht unter Kontrolle des Kunden ist. Genau dies wird aber für sensible Daten in vielen Fällen vorgeschrieben.

Seit einigen Monaten gibt es genau dafür einen Lösungsansatz von Microsoft: das sogenannte Double Key Verfahren. Durch eine Verschlüsselung mit 2 Keys von verschiedenen Quellen wird sichergestellt, dass nur mit beiden auf das Dokument zugegriffen werden kann. Einer der Schlüssel wird wie sonst auch von Microsoft bereitgestellt. Der zweite Schlüssel ist vollständig in der Obhut des Kunden. Das dafür notwendige System muss entweder im eigenen Rechnezentrum in Form einer Appliance bereit gestellt werden oder kann bei spezialisierten Anbietern auch als SaaS Applikation bezogen werden. Über Microsoft Information Protection erfolgt dann die Verknüpfung mit dem Dienst und Dokumente können über die sog. Sensitivity Labels mittels der DKE Option doppelt verschlüsselt werden.
Allerdings bringt das Verfahren auch Nachteile mitsich. Neben der gesteigerten Komplexität durch die Abhängikeit von zwei Systemen können bestimmte Funktionen aus der Cloud nicht mehr genutzt werden (z.B. Indexierung, Office Web Apps) – der Online Service hat keinen Zugriff auf den 2. Schlüssel und kann somit auch nicht mehr in die Dokumente schauen.

Zusammengefasst bietet Microsoft mit DKE nun eine Möglichkeit an, auch sensible Dokumente in Microsoft 365 abzulegen – mit voller Kontrolle über den zweiten Schlüssel.