Den folgenden Artikel habe ich geschrieben, da mir in den letzten Tagen (oder bald Wochen) doch die eine oder andere Auseinandersetzung zum Thema Sicherheit in der Cloud, sukzessive in Office 365 über den Weg gelaufen ist. Insbesondere der eine oder andere Kommentar in diversen Foren, von “Hauptamtlichen Anti-Microsoft bashern” hat mich bewegt, hier den einen oder anderen Ausweg zu beschreiben.

Sicherheit in der Cloud ist nicht nur eine Frage des Cloud Anbieters, sondern auch der einzusetzenden Tools.

Es ist aber so, dass viele Benutzer im privaten Bereich, aber auch einige Anforderer im Business Bereich erwarten bzw. denken, dass die nutzenden Server oder Applikationen sicher sind und daher als Benutzer nichts mehr zu tun ist. Das stimmt leider so nicht.

Richtig ist, dass man davon ausgehen kann, dass eine IT-Infrastruktur sicher umgesetzt wurde. Für den Cloud Bereich Office 365 hat Microsoft hierzu einige Dokumente zur Einsicht erstellt. [1] Aber sowohl der Transportweg zum Server als auch die eigentliche Information / Datei könnte auf dem Weg zum sicheren Server abgefangen und geändert werden. Denn die eigentliche Sicherheit fängt in einem IT System erst hinter der ersten äußeren Netzwerkkarte an. Dies liegt an der Abgrenzung zum Kunden (auch interne Mitarbeiter werden in Unternehmen oft als Kunden betrachtet) um als Systemverantwortlicher eben nicht für Gott und die Welt verantwortlich zu sein.

Im Falle von Microsoft fängt diese Grenze am Netzübergabepunkt zum Rechenzentrum an. Alles ab diesem Punkt liegt in der Kontrolle von Microsoft bzw. des Rechenzentrumsbetreibers. Trotzdem muss auch hier der Betreiber (und vor allem der Benutzer) die Annahme vertreten lassen, dass bis zum physikalischen Speichern einer Datei, diese noch “abgefangen” werden könnte.

In einem internen Szenario hat man durchaus die Möglichkeiten, hier noch einiges mehr zu tun. Dies kostet nicht nur Geld sondern auch eine “Overall” Planung der Architektur.
Zum Beispiel könnte eine SharePoint Farm im internen Rechenzentrum hinter einer Applikations Firewall komplett transparent versteckt werden, ähnlich wird es auch bei einigen DMZ Szenarien getan. Zusätzlich könnten dann alle SharePoint Server, SQL Server und andere verbundenen Dienste per IPSec Richtlinie eine eindeutige Punkt-zu-Punkt Verbindung aufbauen, so kann kein Gerät im Netzwerk des Rechenzentrums sich unbeobachtet in den Datenverkehr zwischen den Servern einklinken und eventuell den Datenverkehr mitlesen. Das der SQL Server nun schon seit vielen Jahren mit verschlüsselten Datenbanken umgehen kann, sollte auch kein Geheimnis sein. Was aber oft unbekannt ist, das zum einen nicht jede Backup Software damit umgehen kann und das es dann tatsächlich zu Problemen in der Praxisumsetzung kommen kann. Es müsste entweder eine neue SQL Backup Software eingesetzt werden oder sofern der SQL Server z.B. nur für SharePoint betrieben wird, eine erweiterte SharePoint Backup Software eines Drittanbieters wie AvePoint zum Einsatz kommen. [10]

In meinem Konferenzvortrag auf der “SharePoint Konferenz 2013 in Wien” habe ich einige Punkte vorgestellt, welche man als IT Verantwortlicher in Betracht ziehen könnte.

Nun kann sich die Frage stellen: “Wenn ein Betreiber so sicher ist, wie kann ich dann sicher gehen, das der Betreiber oder eine Behörde nicht meine Dokumente oder eMails liest?”
Meiner Meinung nach, ist das nie zu 100% sicher lösbar. Aber es gibt Wege und Mittel, dies unheimlich zu erschweren. Das sind schon lange die Grundeigenschaften einer IT Security, in der keine 100%-ige Sicherheit möglich ist. Selbst wenn alles Erdenkliche in der IT berücksichtigt wurde, gibt es immer noch den Faktor Mensch. Nach Schätzung einiger Sicherheitsexperten, ist sogar der Mensch derzeit das größte Sicherheitsrisiko. Mag ein Mitarbeiter aus Versehen oder absichtlich Dokumente anderen Personen zugänglich machen, ist dies erst einmal geschehen, gibt es keinen Weg mehr zurück. Dies zeigt die aktuelle Diskussion um einen jungen Mann sehr deutlich. Immerhin hat er nicht die Dokumente durch das “Hacken” eines IT Systems erhalten, sondern sie wurden durch eine unzureichende Dokumentensicherheit mit Unterstützung eines IT Administratoren von einer Collaboration Plattform (SharePoint) weiter gereicht. [2]

Es fehlte demnach ein ausreichender Inhalts- und Dokumentenschutz, welcher die unkontrollierte Weitergabe von Dokumenten verhindert.

Hier kommen dann die “Rights Management” Systeme (Inhaltsverschlüsselung) [3] zum Einsatz. Sie befähigen jeden Dokumentenbesitzer (also die Person, welche ein Dokument mit zu schützenden Inhalten befüllt) Dokumente zu verschlüsseln und mit den entsprechenden Rechten auszustatten. Sei es, das nur eine bestimmte Gruppe von Personen das Dokument ausschließlich lesen darf, ohne dieses per eMail weiterzuleiten oder auszudrucken, oder gezielt einer weiteren Autorengruppe zur Verfügung stellt. Je nach System, sind die Berechtigungen granular anpassbar.

In einer Microsoft Cloud Welt mit Office 365, hat Microsoft hierzu den günstigen Dienst “Windows Azure Rights Management” [4] eingeführt. Die Benutzerbasierte Lizenzierung und Bezahlung ist integraler Bestandteil aller Office 365 Komponenten, welche unter dem Arbeitstitel “Wave 15” bereitgestellt wurden. Dies sind insbesondere SharePoint 2013 Online, Exchange Online 2013 und Lync Online 2013. Doch lässt sich selbstverständlich das Azure RM auch in anderen webbasierten Produkten verwenden oder auch als Hybrid Konfiguration in der on-premises Welt. Dadurch lässt sich im lokalen Netzwerk ohne den Aufbau und Betrieb einer eigenständigen RMS Infrastruktur kostengünstig die Inhaltsverschlüsselung umsetzen.

Alternativ gibt es auch andere sogenannte Cryptoprovider und Technologien. Viele davon sind zwar im ersten Moment kostenfrei und dadurch günstig, doch die wenigsten sind wirklich für einen “Otto-Normal” Verbraucher auch einsetzbar. Gerade bei der zurzeit laut werdenden Forderung vieler Forenschreiber nach der “Ich mach das zu Hause mit Open Source”, wird vergessen, dass ein Server keine
Cloud ist. Eine Cloud könnte man auch zu Hause aufsetzen, sofern man zwei unterschiedliche Wohnorte hat, aber die Kosten wären als Privatmensch nicht tragbar, für die meisten nicht einmal im Ansatz. Im geschäftlichen Bereich, wo außer der Schutz von Informationen gesetzlich geregelt ist, kommen dann professionelle Lösungen wie von der Firma Cryptzone zum Einsatz. Cryptzone bietet eine breite Palette von Softwarelösungen an, die sich nahtlos in ein Active Directory einbinden lässt. Weitere Informationen zum Beispiel zur Collaboration Lösung sind hier zu finden. [5] [6]

Aber auch Microsoft bleibt nicht stehen. Die derzeitige Diskussion, um angebliche unsichere Rootzertifikate, wird mit Erscheinen von Windows 2012 R2 wohl dann Geschichte sein. Wie unter anderem auf der TechEd im Sommer zu hören war, stattet Microsoft nicht nur den AZURE RMS Dienst mit neuen Funktionen aus, sondern auch die on-premises Version. Die Funktionen reichen bis hin zur persönlichen Übergabe und Verwendung eines eigenen Schlüssels zur Nutzung einer Hybrid Welt mit Microsoft Office 365, AZURE und Windows Intune (mobile Geräteverwaltung). In den folgenden Links erklärt Dan Plastina die derzeitige Vision und wie man Schritt für Schritt schon heute an der Entwicklung teilhaben kann. [7], [8]

Zum Abschluss dieses doch eher persönlichen Artikels, möchte ich nochmals darauf hinweisen, dass die Installation irgendwelcher Open Source Servertools eben nicht die notwendige Sicherheit mit sich bringt. Ein Benutzer, welcher das Internet nutzt, sollte sich unterrichten, wie er mit den Programmen, die er einsetzt und mit dem Provider, mit dem er zusammenarbeitet, die eigene Sicherheit verbessert. Einmal Implementierte Sicherheit muss immer wieder neu überprüft werden, genau wie beim Auto die sich wiederholende TÜV Überprüfung.

Nutzen Sie eMail- und Dateiverschlüsselung mit den in Office 365 und weiteren Microsoft integrierten Mechanismen, entweder kostengünstig als SaaS Angebot oder mit Ihrer eigenen IRM /RMS Infrastruktur. Sicherheit gibt es nicht kostenfrei, auch nicht bei Open Source. Auch Open Source Produkte, vor allem auf Linux basierende Distributionen und die ganzen verschiedenen Applikationen, können erhebliche Gefahren bergen. Zum Beispiel wurde fast zwei Jahre lang ein nicht unerhebliches Sicherheitsloch in einer Debian Distribution nicht entdeckt und das obwohl “so viele” Linux Programmierer den gesamten Quellcode “kontrollieren”. [9] Es ist einfach utopisch zu behaupten und auch noch zu glauben, Millionen von Zeilen Quellcode verschiedener Programmiersprachen zu verstehen, zu kontrollieren und zu beherrschen. Und das alle paar Wochen, wenn irgendwelche neuen Funktionsupdates erscheinen.

Nutzen Sie daher Tools und Lösungen, von denen Sie nicht nur denken, diese auch beherrschen zu können, sondern auch wirklich verstehen. Selbstverständlich gibt es Experten, die Ihnen helfen können, aber diese Hilfe erhalten Sie nicht immer kostenfrei (Webbeiträge, Blogs und Communityforen natürlich in der Regel ausgenommen). Bei erhöhten Anforderungen, wie ortsunabhängige Nutzung, Gesamtarchitektur oder ähnlichem, kontaktieren Sie erfahren Projektmitarbeiter, die eine Projektübergreifende Sicht haben und garantieren, nur so fahren Sie nicht doch in eine Sackgasse. Denn eine einseitige Sicht innerhalb eines kleinen Teilprojekts kann gerade bei dem Sicherheit und Identitätsmanagement erhebliche Nebeneffekte in anderen Projekten oder Applikationen haben.
Selbst wenn Sie ein Groß Projekt planen, die interne Sicherheit zu verstärken oder sogar RMS einzusetzen, nutzen Sie möglichst einfach und schnell zu implementierende Lösungen als “Interimslösung” bevor Sie bis zum Projektabschluß gänzlich ungeschützt sind.

Im festen Glauben, dass Sie noch immer Spass an der Cloud haben werden,
wünsche ich nun einen schönen Abend
Gruss
Michael

Links:

[1]: Office 365 und die integrierten Sicherheitsmaßnahmen

[2]: NSA chief leaks info on data sharing tech: It’s SharePoint

[3]: Funktionsweise von RMS

[4]: Was ist Active Directory Rights Management in Windows Azure?

[5]: Cryptzone Whitepaper – Secured eCollaboration – Document Encryption for Microsoft SharePoint

[6]: Cryptzone – Secured eCollaboration

[7]: Dan Plastina – Enabling RMS Everywhere

[8]: Dan Plastina – Hybrid RMS, Generic Protection, and iOS/Android/WinRT Support

[9]: Sicherheitslücke in Debian-Paketen – OpenSSL

[10]: DocAve Administrator

The short URL of the present article is: http://wp.me/p1MQAv-NU

Tagged with:

Filed under: AzureCloudOffice365Security