<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=908082315970423&amp;ev=PageView&amp;noscript=1">

UPGREAT Blog

Cloud-Sicherheit - Microsoft Office 365 - aber sicher!

Der Zugriff auf Daten und Anwendungen von Microsoft Office 365 über das Web ist denkbar einfach. Im einfachsten Fall reichen ein Webbrowser, ein Benutzername, ein Passwort und ein beliebiges Endgerät. Die Cloud macht es uns möglich mobil zu arbeiten. Doch wie steht es um die Sicherheit und den Zugriff auf geschäftskritische Daten? Reichen die "Boardmittel"? Meine Erfahrung sagt mir nein. Es sind weitere Sicherheitsmassnahmen notwendig. Folgen Sie meinem Exkurs. Es wird etwas technisch, aber es lohnt sich sicher.

Ein Passwort für alles

Idealerweise wird für den Zugang auf Microsoft Office 365 der gleiche Benutzername und das gleiche Passwort, wie schon im firmeneigenen Netzwerk (Active Directory) verwendet. Realisiert resp. synchronisiert wird das z.B. mittels einem Verbunddienst wie der Active Directory Federation Services (ADFS) von Microsoft (vgl. Bild). Zusätzlich gibt es noch diverse Applikationen, die genau das gleiche Prinzip im Hintergrund verwenden, z.B. Outlook oder Mobile Clients mit ActiveSync. In diesem Fall, muss der Benutzer das Passwort nicht einmal mehr explizit eingeben, sondern es ist bereits im Hintergrund gespeichert oder "gecached".

ADFS_Schema.png

Daten auf dem Endgerät

Was für den Benutzer sehr einfach und bequem ist, muss jedem IT Verantwortlichen Sorgenfalten bereiten. Wenn wir davon ausgehen, dass wir der Microsoft Cloud vertrauen und die Daten dort sicher sind, so stellt sich dennoch die Frage des sicheren Zugriffs auf die Daten und was mit den Daten geschieht, wenn sie einmal von der Cloud auf ein Endgerät kopiert wurden. Wenn wir uns vor Augen führen, dass man beim oben beschriebenen Szenario nur mit Hilfe von Benutzername und Passwort von jedem beliebigen Gerät aus auf Firmendaten gelangen kann und die Daten ausserhalb des physischen Einflussbereichs, nämlich irgendwo in der Cloud, liegen, so ist es offensichtlich, dass die Standard-Konfiguration in den meisten Fällen nicht ausreicht.

Ich möchte deshalb hier einige Verfahren und Ansätze vorstellen, wie der Zugriff auf Office 365 Daten sicherer gemacht werden kann. Ich werde mich dabei auf die prominenteste Office 365 Applikation, nämlich E-Mail, konzentrieren. Grundsätzlich lassen sich diese Überlegungen in leicht abgewandelter Implementation auch für andere Office 365 Anwendungen wie z.B. OneDrive oder Microsoft SharePoint anwenden.

Dual Factor Authentication

Wenn von sichererem Zugriff gesprochen wird, so ist die Antwort, neben der heutzutage ohnehin selbstverständlichen Verschlüsselung, meistens Dual Factor Authentifizierung (vgl. Bild). Dual Factor Authentifizierung kann auf verschiedene Arten erfolgen, klassischerweise über Hard- oder SMS-Token, wie auch bekannt aus Online Banking. Es gibt noch andere Faktoren wie Fingerprints oder Zertifikate. Das Prinzip ist, dass ich für die Authentifizierung etwas wissen muss (Benutzername / Password) und etwas haben muss (Token Code, Fingerprint, Zertifikat).

Dual_Factor_Authentication.png

Leider haben die klassischen Dual Factor Methoden zwei gewichtige Nachteile: Erstens nagt diese Logon Methode in grossem Masse an der Benutzerfreundlichkeit, denn z.B. das ständige Eingeben von One Time Passcodes (OTP) macht keinem Benutzer Freude. Und zweitens ist gerade die OTP Methode in vielen Fällen gar nicht einsetzbar, da sie von vielen Applikationen nicht unterstützt werden, zumindest nicht ohne weiteres. Für unser Office 365 E-Mail Beispiel wären das der klassische Outlook Client und der ActiveSync. Entweder ich schalte diese beiden Zugriffsarten komplett aus und beschränke meine Benutzer auf Outlook Web Access oder ich muss anderen Methoden suchen.

Data at Rest

Wie schon erwähnt geht es aber nicht nur um den Zugriff auf das E-Mail, sondern auch um die gesicherte Ablage der Daten und die Verhinderung von sogenanntem Data Leakage. Unter Data Leakage verstehe ich die unabsichtliche Weiterverbreitung von Geschäftsdaten durch einen Mitarbeitenden, z.B. über sein mobiles Endgerät. Explizit nicht damit gemeint ist das vorsätzliche Weitergeben von Daten durch den Mitarbeitenden.

Ich möchte deshalb die Lösungsansätze in zwei grobe Kapitel unterteilen: Sicherung des Office 365 E-Mail Zugriffs und Sicherung der Daten auf mobilen Endgeräten.

Sicherung des Office 365 E-Mail Zugriffs

Dual-Factor Authentifizierung für Office 365 gibt es bereits seit einer Weile. Leider beschränkt sich diese Methode nach wie vor auf den Zugriff via Webinterface, also z.B. Outlook Web Access. Nicht verfügbar ist die Dual-Factor Authentifizierung für den Outlook Client oder Mobile Client via ActiveSync. Anstatt jetzt eine Lösung zu suchen, die eine OTP Abfrage für solche Clients erlaubt, gehen wir hier andere Wege. Die Eingabe eines OTP ist für Applikationen, die sich im Hintergrund synchronisieren sollen, schon prinzipiell ungeeignet. Also benötigen wir statt einem OTP einen anderen Faktor. Das könnte wie oben beschrieben ein Zertifikat sein, es muss auf jeden Fall etwas sein, dass sicher ist und das ohne grosse Interaktion mit dem Benutzer verwendet werden kann. Nur dann funktioniert das auch mit Clients auf ActiveSync Basis oder einem Outlook Client.

Wenn wir einen solchen zweiten Faktor haben, dann stellt sich noch die Frage, wie wir Office 365 dazu bringen können, diesen für die Authentifizierung zu akzeptieren bzw. den Zugang zu sperren, wenn dieser zweite Faktor nicht vorhanden ist. Office 365 ist ein standardisierter, verteilter Cloud Dienst von Microsoft und die Möglichkeiten für Einstellungen auf diesem Level sind relativ beschränkt. Schon gar nicht kann ich Office 365 dazu bringen, irgendwelche private Zertifikate zu akzeptieren. Deshalb sehe ich aktuell zwei Ansätze, wie eine Dual Factor Authentifizierung mit Outlook oder Mobile Clients mit Office 365 realisiert werden können:

  1. Einsatz eines Gateways: Für den Zugriff auf Office 365 wird ein Gateway vorgeschalten, der die Zugriffe auf Office 365 filtert. Office 365 wird so konfiguriert, dass Zugriffe nur über diesen Gateway möglich sind.

  2. Filterung der Anmeldung: Bei Single Sign On (SSO) mit ADFS laufen alle Anmeldungen über einen eigenen ADFS Server, der die Authentifizierung gegenüber dem Active Directory macht. Das wäre der Ort, wo eine Dual Factor Authentifizierung mit einem Zertifikat greifen kann.


Sicherung der Daten auf mobilen Geräten

Wenn der Zugriff auf die Server soweit über Dual Factor Authentifizierung gesichert ist, stellt sich noch die Frage, wie sicher die Daten auf den mobilen Geräten selbst sind. Gerade auf Smartphones ist die Gefahr besonders gross, dass Daten wie z.B. E-Mails, die über ActiveSync heruntersynchronisiert werden, im Hintergrund von anderen Applikationen, ohne Wissen des Benutzers, abgegriffen werden, oder auf dem Gerät bleiben, auch wenn das Gerät schon längst nicht mehr im Einsatz ist oder weitergegeben wurde. Kommt noch dazu, dass diese Geräte in den meisten Fällen sowohl für geschäftliche als auch für private Zwecke eingesetzt werden. Es ist deshalb wichtig, dass auf dem Gerät diese Bereiche getrennt werden können und die Interaktion zwischen geschäftlichen und privaten Applikationen kontrolliert und eingeschränkt werden kann.

Konkretes Beispiel: Wenn ein Attachment in der geschäftlichen Mailapplikation geöffnet wird, wo wird diese dann auf dem Gerät zwischengespeichert und wohin kann ich diese Datei sichern? Die Lösungen mit denen solche Einstellungen kontrolliert werden können sind unter Mobile Device Management (MDM) und Mobile Application Management (MAM) bekannt. Mit MDM kann ich sicherstellen, dass ein mobiles Device grundsätzlich meinen Anforderungen entspricht (z.B. verschlüsselter Speicher, adäquater PIN Code Schutz, kein Jailbreak, nötige Zertifikate vorhanden, etc.) und mit MAM kann ich einstellen, welche Applikationen miteinander interagieren dürfen, welches meine Geschäftsapplikationen sind und welchen zusätzlichen Schutz diese bekommen sollen. MAM bietet auch die Möglichkeit, die entsprechenden Geschäftsapplikationen direkt auf dem Device zu installieren und zu konfigurieren.

Daten-Sicherheit auf Notebooks

Im Falle von Windows Notebooks sind die Anforderungen ganz ähnlich, mittels Softwareverteilung und AD Policies sind die Möglichkeiten für ein sauberes Gerätemanagement bereits seit längerem gegeben. Wie so etwas aussehen kann, habe ich schon einmal in einem früheren Blog beschrieben. Die notwendigen Sicherheitseinstellungen, die für den sicheren Zugriff auf Office 365 nötig sind, können mit diesem Workspace Management problemlos auf dem Gerät implementiert werden.

In meinem nächsten Blogbeitrag "Cloud-Sicherheit: Microsoft Office 365 - aber sicher! (Teil 2)" werde ich aufzeigen, wie eine solche Lösung für den sicheren Zugriff auf Office 365 gebaut und implementiert werden kann. Nobody is prefect: Sollten Sie eine weiterentwickelte Zugriffsmethode kennen diskutieren Sie bitte mit. Wir können alle voneinander lernen.

Topics: Enterprise Mobility, Cloud, Office 365, Security, Sicherheit