14. September 2020 Die Datensicherheit bei Office365 verbessern

Organisationen setzen zunehmend Cloud-basierte E-Mail-Systeme ein. Gartner erwartet, dass 70% der öffentlichen und privaten Unternehmen bis 2021 Cloud-E-Mail-Dienste nutzen werden. Beim Umstieg auf die Cloud sind Unternehmen gezwungen, ihre Datenschutz- und Sicherheitsgarantien, Kontrollen zur Verhinderung von Datenlecks (Data Leak Prevention, DLP) und Maßnahmen zur Sicherstellung der Einhaltung von Vorschriften neu zu bewerten.

Für große Unternehmen und Konzerne ist Microsoft Office 365 bei weitem die beliebteste Cloud Office-Lösung, vor allem wegen seines Schwerpunkts auf Sicherheits- und Bedrohungsschutzfunktionen. Organisationen, die hohe Sicherheits- oder Datenschutzanforderungen haben, zögern jedoch immer noch, auf Office 365 zu migrieren. Dies liegt daran, dass spezifische Verschlüsselungs-, Authentifizierungs- und DLP-Funktionen fehlen oder als unzureichend angesehen werden. Darüber hinaus berichten Kunden von Office 365 zunehmend über Schwierigkeiten bei der Konfiguration und Wartung der verschiedenen, separaten Module, die sich auf Sicherheit und Datenschutz beziehen. 

In der Praxis haben die Office 365-Tools einige Nachteile

schloss_860

Office 365 bietet verschiedene Produkte an, die Unternehmen beim Schutz ihrer Daten helfen können, wie Azure Information Protection (AIP), Data Loss Prevention Policies (DLP Policies), Richtlinientipps und Office Message Encryption (OME). In der Praxis haben diese Tools jedoch einige Nachteile. 

Um beispielsweise eine Nachricht in Outlook Desktop mit OME zu schützen, muss der Benutzer immer auf eine andere Schaltfläche in einem Untermenü einer der Registerkarten klicken. OME kann so konfiguriert werden, dass die OME-Verschlüsselung serverseitig angewendet wird. Dies gilt jedoch als kompliziert, zeitaufwendig und aufgrund von Regelbeschränkungen als nur begrenzt effektiv. 

Sensible Daten müssen geschützt werden

Darüber hinaus gibt es keine Möglichkeit zu sehen, wer die Nachricht gelesen oder auf die Anhänge zugegriffen hat, so dass Unternehmen die Auswirkungen eines Datenlecks nicht beurteilen können. 

Unternehmen, die mit sehr sensiblen Daten umgehen, wollen ihre Informationen so gut wie möglich schützen. In der Regel spielt dabei die Verschlüsselung eine entscheidende Rolle. Heutzutage verwenden die meisten Anbieter von Cloud-basierten E-Mail-Lösungen, wie zum Beispiel Microsoft, Verschlüsselung. Bei der Verschlüsselung besteht die größte Herausforderung nicht darin, sie anzuwenden, denn das ist einfacher und besser geworden. Die eigentliche Herausforderung liegt in der Schlüsselverwaltung; wer hat Zugang zu den Schlüsseln, die Informationen entschlüsseln können? 

Die Krux mit dem Schlüssel

Organisation wollen sicherstellen, dass nur autorisierte Personen auf die Informationen zugreifen können, d.h. sowohl der Absender, die Empfänger als auch eventuell Administratoren, z.B. im Falle von forensischen Untersuchungen. Dies schließt jedoch den Dienstanbieter von vornherein aus, da er ein zusätzliches Risiko darstellen würde, ein potenzielles Ziel für Hacker wäre und den Ermittlungen von Nachrichtendiensten unterliegen würde. 

Office 365 speichert Nachrichten und Dateien standardmäßig verschlüsselt. Microsoft hält jedoch immer eine Kopie der Schlüssel in seinem Besitz, auch wenn die Office-Nachrichtenverschlüsselung verwendet wird und Bring Your Own Key (BYOK) Anwendung findet. 

Microsoft gibt die Daten heraus

Auf seiner FAQ-Seite erklärt Microsoft: Ändert Office 365 Message Encryption und Bring Your Own Key mit Azure Information Protection die Vorgehensweise von Microsoft bei Datenanfragen von Drittanbietern wie z. B. Nachrichtendiensten? 

Nein. Die Office 365-Nachrichtenverschlüsselung und die Option, eigene Verschlüsselungsschlüssel mit BYOK Azure Information Protection zur Verfügung zu stellen und zu kontrollieren, wurde nicht entwickelt, um auf Vorladungen von Strafverfolgungsbehörden zu reagieren. 

Was FTAPI hinzufügt

FTAPI verwendet für den Transport und die Speicherung von E-Mails und Dateien eine asymmetrische Verschlüsselung. FTAPI kann nicht auf Kundendaten zugreifen, die auf der Plattform gespeichert sind, da FTAPI keinen Zugang zu den Schlüsseln eines Benutzers hat, um die Informationen zu entschlüsseln. Deshalb sind Ihre sensiblen Daten auch vor Dritten geschützt.

In unserem Webinar lernen Sie die Funktionsweise von FTAPI kennen und erleben, wie Sie kritische Sicherheitslücken schließen und gleichzeitig den Datenaustausch in Ihrem Unternehmen optimieren.

Jetzt kostenlos registrieren
zurück