Mit Microsoft Office 365 steht eine erprobte Exchange- und Office-Arbeitsumgebung zur Verfügung, und das mit allen Vorteilen, die eine Cloud-Infrastruktur bietet. Dass dabei aber der Sicherheitsaspekt nicht zu kurz kommen darf und auch der Cloud-Anbieter als Risikofaktor in Betracht gezogen werden muß, wird spätestens mit Inkrafttreten der DSGVO klar. Daher sollten E-Mails, Termine und andere datenschutzrelevante Daten auf jeden Fall durch Verschlüsselung und Pseudonymisierung vor dem Zugriff unbefugter Dritter geschützt sein.
Das schließt auch den Cloud-Anbieter ein, denn sobald dieser auch nur potentiell Zugriff auf personenbezogene Daten erhält, sieht er sich mit in der Verantwortung und damit auch in der Verantwortung des Unternehmens als Cloud-Nutzer, sämtliche Datenschutz-Maßnahmen auf Seiten des Cloud Service-Anbieters auf den Prüfstand zu stellen. Diese Verantwortung wird man als Unternehmen nicht los, man kann sich die Arbeit aber enorm erleichtern und gleichzeitig das Risiko minimieren, wenn man dem Cloud-Service-Provider zu keinem Zeitpunkt einen Zugriff auf personenbezogene - weil verschlüsselte - Daten gewährt.
Damit aber gleichzeitig keine Anpassungen am Office 365 Cloud-Service erforderlich sind, kommt man um den richtigen Verschlüsselungslösung wie eperi Cloud Data Protection (CDP) kaum herum. Denn jede E-Mail und jede Datei, die personenbezogene Daten enthält, kann in die falschen Hände geraten und stellt damit ein Risiko für das Unternehmen dar, was in letzter Konsequenz zu hohen Strafzahlungen führen kann. Zeit also, über einen effektiven Datenschutz in der Office 365 Cloud-Umgebung nachzudenken.
eperi CDP sorgt für mehr Sicherheit in Office 365-Cloud-Umgebungen
eperi Cloud Data Protection for Office 365 ist die ideale Ergänzung zu den Sicherheits- und Datenschutz-Funktionen, die Office 365 von Haus aus anbietet. Es erweitert die eingebauten Sicherheitsfunktionen von Office 365 um eine zentrale Datenschutz- und Compliance-Plattform. Die Lösung sorgt dafür, dass sensible Informationen sicher verschlüsselt sind, bevor sie an die Office 365 Cloud übermittelt werden.
Nur ein kleiner Kreis berechtigter Personen aus dem Unternehmen hat Zugang zu den kryptografischen Schlüsseln, die zum Ver- und Entschlüsseln sensibler Informationen in der Office 365 Cloud benötigt werden. Sämtliche Verschlüsselungs- und Entschlüsselungsprozesse finden ausschließlich unter der Kontrolle des Unternehmens außerhalb der Office 365 Cloud statt. So können nicht einmal Microsoft-Administratoren oder Mitarbeiter in externen Datenzentren auf die Daten im Klartext zugreifen.
Stellt sich nur die Frage, wie wichtige Anwenderfunktionen, z. B. die Volltextsuche in E-Mails auf Exchange weiterhin funktionieren kann, wenn die Daten in der Office 365 Cloud zu jedem Zeitpunkt verschlüsselt sind und die Microsoft Cloud-Services keinerlei Zugriff auf die Schlüssel haben? Die Antwort darauf liefert das eperi Gateway, das die Grundlage aller Cloud Data Protection-Lösungen darstellt, und die Art und Weise, wie es mit der Office 365 Cloud zusammenarbeitet und die Protokolle, die es unterstützt.
Office 365 und seine Schnittstellen: Das können sie, so funktionieren sie
Für den Zugriff auf verschlüsselte Daten innerhalb einer Office 365-Umgebung ist es natürlich unbedingt erforderlich, dass sämtliche Anwendungen und ihre zugehörigen Schnittstellen vom eperi Gateway unterstützt werden. Auf Seiten der Applikationen sieht das wie folgt aus:
Outlook für das Verwalten von E-Mail-Konten, Kalender für die Terminpflege, ein Aufgabentool, SharePoint zu Kollaborationszwecken und OneDrive für das Speichern von Daten auf einem Cloud-Laufwerk - diese Dienste umfassen im Wesentlichen Office 365.
Auf diese Dienste kann man auf drei verschiedenen Wege zugreifen. Entweder über den Office Desktop, der für Mac- und Windows-Rechner bereit steht, oder über die mobile Microsoft-Anwendung oder aber man startet und nutzt die webbasierten Office-365-Apps mithilfe eines Internetbrowsers. Für den Zugriff auf sämtliche Anwendungen stehen nachfolgende Schnittstellen bzw. Protokolle zur Verfügung:
HTTP(S): Mit dem Hypertext Transfer Protocol erfolgt der Zugriff auf die Anwendungen über einen handelsüblichen Webbrowser. Dank HTTPS (Hypertext Transfer Protocol Secure) stehen auch verschlüsselte Verbindungen zwischen Browser und Server parat. Das Übertragungsprotokoll, das hierbei zum Einsatz kommt, nennt sich TCP/IP, die Verschlüsselungstechnik dahinter wird mit SSL (Secure Socket Layer) bzw. TLS (Transport Layer Security) bezeichnet. Der Datenaustausch über das HTTPS-Protokoll erfolgt entweder asymmetrisch oder symmetrisch. Serverseitig muss ein anerkanntes Zertifikat installiert sein, das eine Authentifizierung des Webbrowsers gegenüber des Webservers erlaubt.
SMTP: Mit dem Simple Mail Transfer Protocol werden innerhalb einer Office-365-Umgebung E-Mails versendet. Die Schnittstelle basiert auf dem Übertragungsprotokoll TCP/IP und nutzt SSL/TLS für den verschlüsselten Versand von E-Mails. Im Falle des SSL/TLS-basierten Versands spricht man auch von SMTPS (Simple Mail Transfer Protocol Secure).
Exchange Web Services (EWS): Mit den EWS können Anwender sehr sicher und komfortabel auf Postfachdaten zugreifen, die in Office 365 gespeichert sind. Dazu gehören E-Mails genauso wie Kalendertermine und Kontakte. Dabei kommt ebenfalls HTTPS als sicheres Zugriffsprotokoll zum Einsatz.
Exchange ActiveSync (EAS): Analog zu den Exchange Web Services erlaubt EAS den Zugriff auf E-Mails, Kalender und Termine, allerdings mithilfe von Mobilgeräten wie Smartphone und Tablet. Hierbei ist besonders die EAS-Funktion „Direct Push“ erwähnenswert, die für den regelmäßigen und automatischen Austausch von E-Mails, Terminen, etc. zwischen Office 365 und dem mobilen Endgerät sorgt. Damit landen neue Nachrichten und Terminvereinbarungen in nahezu Echtzeit auf iPhone und Co. Die Daten zwischen Server und Mobilgerät werden auch über HTTPS übertragen.
MAPI over HTTP(S): Mit dem Messaging Application Programming Interface lassen sich E-Mail-Nachrichten direkt aus anderen Anwendungen als dem Mail-Programm verschicken. So können beispielsweise Textdokumente aus Word versendet werden, ohne dass man diese zuvor in den E-Mail-Client von Office 365 kopieren muss. MAPI over HTTPS wurde mit Microsoft Exchange 2013 eingeführt und hat seinerzeit das Vorgängerprotokoll RPC over HTTP abgelöst. Vor allem die deutlich schnellere Verbindung eines tragbaren Rechners mit dem Office 365-Mailserver via MAPI over HTTPS bietet erhebliche Vorteile gegenüber RPC over HTTP.
Autodiscover: Mit dieser Office 365-Mail-Funktion wird das Einrichten neuer E-Mail-Postfächer wesentlich vereinfacht. Hierfür müssen lediglich E-Mail-Adresse und Kennwort eines neuen Anwenders eingetragen werden, den Rest übernimmt Autodiscover. Wichtig sind vor allem die richtig konfigurierten DNS-Server sowie die passenden Zertifikate. Die richtige Zuordnung von Exchange-Server und Autodiscover-Informationen findet mithilfe des Active Directory statt.
Es versteht sich fast von selbst, dass das eperi Gateway all diese Protokolle, Funktionen und Schnittstellen von Office 365 umfänglich unterstützt. Denn nur dann ist eine durchgängige Verschlüsselung innerhalb der Office 365 Cloud-Umgebung zu realisieren. Obendrein werden die Anwender aufgrund dieses breiten Technologie-Supports zu keiner Zeit bei der Nutzung von Office 365 beeinträchtigt, und Änderungen am Cloud-Service müssen ebenfalls nicht vorgenommen werden.
Wenn es auf die richtige Mischung ankommt: hybride Office 365-Installationen
Der Trend geht zwar in Richtung der Cloud-basierten Nutzung von Office 365, was aber nicht in jedem Fall eine probate Lösung darstellt. So gibt es in einigen Unternehmen bei der ein oder anderen Anwendergruppe durchaus Vorbehalte gegenüber der Cloud-Technik. Das kann ganz elegant umgangen werden, indem man für diese Anwendergruppen erst einmal bei der lokalen Exchange-Umgebung bleibt, andere Anwendergruppen mit weniger kritischen Daten aber in die Cloud-Umgebung transferiert. Darüber hinaus kann man mit solch einer hybriden Exchange-Office-365-Umgebung den vollen Funktionsumfang und die Verwaltungskontrolle lokaler Exchange-Konfigurationen in die Cloud mitnehmen. Mit eperi Cloud Data Protection for Office 365 wird auch dieses hybride Exchange-Office 365-Modell unterstützt.
eperi Gateway und Office 365: ein zuverlässiges E-Mail-Tandem
Der Clou des eperi Gateway ist seine unkomplizierte Verschlüsselungstechnik, die dafür sorgt, dass sich der Anwender nicht um passende Schlüssel oder ähnliche Dinge kümmern muss. So verfasst beispielsweise ein Nutzer eine unverschlüsselte E-Mail-Nachricht und versendet diese. Diese landet auf dem E-Mail-Server des Empfängers, wo sie unmittelbar nach Erhalt vom eperi Gateway verschlüsselt und an Office 365 weitergeleitet wird. Da nur das Unternehmen des Empfängers über den Schlüssel zum Dekodieren der Nachricht verfügt, können nur berechtige Anwender des Unternehmens und niemand sonst die Nachricht lesen. Alle anderen sehen lediglich kryptische Zeichen.
Interessant daran ist auch die Möglichkeit, über die Outlook Web Apps auf die Office 365-Umgebung zuzugreifen. Da sich zwischen Browser und Office 365 Cloud-Umgebung ebenfalls das eperi Gateway um die Ver- und Entschlüsselung der Nachrichten kümmert, können E-Mails ganz bequem von jedem Ort der Welt via Webbrowser abgerufen werden - und das vollkommen geschützt.
Mit eperi kann man trotz Verschlüsselung wie gewohnt nach E-Mails und Dateien suchen
Mit einem raffinierten Trick lassen sich innerhalb einer Office 365 Cloud-Umgebung verschlüsselte E-Mails und Dateien suchen und finden. Hierzu legt das eperi Gateway einen vollständigen Index aller E-Mails und Dateien an, der nicht in der Office 365-Cloud, sondern in der sicheren Kundenumgebung, z.B. auf dem eperi Gateway-Server gespeichert wird. Das entkoppelt die Office 365-Umgebung vom eperi Gateway, was zusätzlich die Sicherheit erhöht.
Gibt dann ein Benutzer einen Suchbegriff ein, wird dieser zunächst an das eperi Gateway weitergeleitet. Dort wird die modifizierte Suchanfrage mithilfe der richtigen Datenset-ID an die Office 365-Cloud-Umgebung gesendet, die anhand dieser eindeutigen Nummer das richtige, verschlüsselte Suchergebnis aus der Office 365-Umgebung an das eperi Gateway zurückgibt. Dort wird die E-Mail oder Datei entschlüsselt und dem Anwender als Klartext zur Verfügung gestellt. Damit wird zu jeder Zeit sichergestellt, dass Suchergebnisse wie E-Mails oder Dateien niemals öffentlich vorliegen und damit Office 365-Inhalte auch nicht kompromittiert werden können.
Fazit
Mit den zunehmenden Datenschutz- und Sicherheitsanforderungen, speziell im Cloud-Umfeld, und einer vermehrten Nutzung von Cloud-Diensten wie Microsoft Office 365 kommt der Verschlüsselung sensibler Daten in der Cloud eine immer größere Bedeutung zu. Natürlich darf darunter nicht die Funktionalität oder der Komfort leiden. Mit der eperi Cloud Data Protection Lösung werden Unternehmen diesem Anspruch gerecht.
AUCH INTERESSANT:
