Nachdem nun im letzten Kalenderquartal 2013 Microsoft die Verfügbarkeit von Windows Azure Active Directory Rights Management (AADRM) bekannt gegeben hat (berichtet habe ich unter anderem in diesem Blogbeitrag “So gelingt Datenverschlüsselung“), kommt nun schon die nächste Azure Integration.

Office 365 Message Encryption ist der offizielle Nachfolger des schon länger bestehenden Clouddienstes Exchange Hosted Encryption (EHE). Mit der angekündigten Verfügbarkeit im ersten Quartal 2014 wird das AADRM um die zusätzliche Schutzstufe des eMail Versands erweitert. Dies geschieht für den Benutzer vollkommen transparent im Hintergrund. Dabei wird es vollkommen unabhängig sein, welchen eMail Provider wie T-Online, Yahoo und Google Mail oder welches eMail System der Empfänger benutzt. Bei Aktivierung durch den Absender wird die eMail auf jeden Fall verschlüsselt übertragen.

(Mehr Informationen unter “Exchange Hosted Encryption Service-Abonnement für die E-Mail-Verschlüsselung in FOPE“)

Aber es gibt auch neue Funktionen zum Vergleich der Vorgängerversion EHE. Zum einen kann der Firmenadministrator ein Firmenlogo hinzufügen, den Kopf einer eMail oder auch einen eigenen Disclaimer hinzufügen.

Selbstverständlich arbeitet Office 365 Message Encryption nicht nur mit Office 365 oder Exchange Online Postfächern, sondern auch wie beim Vorgänger EHE, mit on-premises Postfächern zusammen, welche den Online Schutz aktiviert haben, hierbei ist keine Installation im lokalen Exchange erforderlich.

Angekündigt ist ebenfalls, das alle Office 365 E3 und E4 Benutzer diese Funktion kostenfrei erhalten, bzw. in die Pläne als Feature integriert wird. Für alle anderen Benutzer soll sich der Preis bei 2,- USD bewegen, AADRM und Message Encryption zusammen.

Doch wie wird die neue Funktion genutzt? Hier habe ich einige Screens aus verschiedenen Microsoft Quellen zusammen stellen können, da ich leider auch noch keinen Zugriff auf die Funktion habe.

Wie auch schon bei EHE, arbeitet die Verschlüsselung mit Unterstützung von Transportregeln. Je nachdem, welche Regel ein Administrator konfiguriert hat, wird die Verschlüsselung erzwungen oder kann als Folgeregel auch wieder aus der eMail entfernt werden.

Interessant ist bei dem Bild vielleicht auch die Einstellung, das man eine eMail zwingen kann, ausschließlich nur über eine mit TLS verschlüsselte SMTP Kommunikation, übertragen zu werden.

Selbstverständlich können die Regeln entweder per komfortabler Weboberfläche oder per PowerShell eingerichtet und verwaltet werden.

Der Empfänger der verschlüsselten eMail (hier ein Hotmail / Outlook.com Konto) erhält daraufhin die verschlüsselte eMail als Anhang inklusive dem Firmendesign und der Anweisung, wie die eMail zu behandeln ist, damit diese lesbar ist.

Anders wie bei der derzeitigen AADRM Implementierung, können sich dann zukünftig nicht nur Benutzer mit einem Microsoft Organisations Konto (welches im Azure Active Directory gespeichert und gepflegt wird) sondern auch mit einem Microsoft Konto (der ehemaligen LiveID) authentifizieren.

Bei diesen Worten höre ich mit meiner inneren Stimme gleich “Schon wieder will Microsoft, das ich mich mit einem Konto registriere….”
Ja und Nein…. Der Absender der eMail definiert das. Schließlich hat nicht Microsoft die eMail geschrieben, sondern der Absender. Und der Absender ist die Person oder Organisation, welche sich für den kostengünstigen Dienst entschieden hat, um vertrauliche Daten und Informationen nicht unverschlüsselt über das Internet zu übertragen. Ebenso hat der vielleicht private Absender sich dazu entschieden, keine eigene Zertifikatsinfrastruktur und weitere sichere Dienste in seinem privaten Umfeld zu betreiben, da er die Lauffähigkeit oder Sicherheit oder Wartung der Systeme vielleicht gar nicht garantieren kann. Denn es gehört einfach mehr dazu, als sich irgendwo einen “Billig PC” in die Ecke zu stellen und jeden Tag (oder jede Woche) an irgendwelchem Quellcode, den man als nicht Programmierer eh nicht versteht, “rumzudocktern”… Aber auch die Firma hat vielleicht einfach nicht ausreichend Fachpersonal oder technische Ressourcen, um all die Sicherheitsanforderungen zu erfüllen, die in solch einem Fall notwendig sind. Mal davon abgesehen, dass ich persönlich einer privaten, mir unbekannten Zertifikatsinstanz eh nicht vertrauen würde.
Dies aber nur mal nebenbei.. Wollen wir uns weiter mit Office 365 Message Encryption beschäftigen 😉

Nachdem sich nun der Empfänger erfolgreich authentifizieren konnte, wird die verschlüsselte eMail im Webbrowser angezeigt.

Das Dokument als solches kann im Übrigen noch zusätzlich mit AADRM verschlüsselt werden….

Zusätzlich kann nun der eigentliche Empfänger auch auf die empfangene eMail antworten. Hierbei wird die ursprüngliche Verschlüsselung beibehalten, so dass auch die Antwort als verschlüsselte eMail versendet wird.

Dieser Beitrag dient derzeit nur als Vorab Info, da die Bereitstellung in den nächsten Wochen vollzogen wird.

Doch zeigt auch diese Funktion, dass Microsoft immer mehr Sicherheitsfunktionen implementiert, wobei der Endanwender durch “einfache” Nutzung unterstützt wird.
Ich persönlich bin gespannt, was sich noch alles dieses Jahr in diesem Bereich tun wird.

Eine FAQ zum Upgrade auf den neuen Dienst für bestehende Abonnenten sind hier zu finden:
EHE to Office 365 Message Encryption upgrade FAQ

The short URL of the present article is: http://wp.me/p1MQAv-PW

Tagged with:

Filed under: AzureOffice365Security