Ab dem 01. August 2018 aktiviert Microsoft die Office 365 Message Encryption auf allen unterstützten Tenants.
https://docs.microsoft.com/en-us/azure/information-protection/deploy-use/activate-service Ein Grund, sich mit der Lösung zu beschäftigen.
Was macht die Office 365 Message Encryption ?
OMEv2 basiert auf Azure Information Protection und ist bereits im Enterprise Plan E3 enthalten. Azure Information Protection ist das Cloud-Gegenstück von Active Directory Rights Managements. Unterstützte Datenformate werden hier durch einen Unternehmensschlüssel verschlüsselt, sodass nur berechtigte Benutzer Zugriff auf die geschützten Dokumente erhalten. Selbst wenn also das Dokument versehentlich auf einem öffentlich zugänglichen Ordner abgelegt würde, bleibt der Inhalt geschützt. Insofern ist dies ein Ansatz für Data Loss Prevention.
Auch die Zugriffe auf die Dokumente lassen sich protokollieren und im Nachhinein wieder entfernen. Ebenso kann eine Gültigkeit für das Dokument definiert werden.
Mittels OMEv2 können Nachrichten entweder durch den Benutzer in Outlook bzw. Outlook on the Web mit dem Protection Tag versehen werden oder durch Exchange Transportregeln können Nachrichten geschützt werden.
An externe Empfänger können die Nachrichten ebenfalls gesendet werden, hierzu nutzt Microsoft eine webbasierte Portal-Lösung. Um den Zielbenutzer zu authentifizieren, wird entweder eine Authentifizierung mit einem Microsoft-Konto benötigt, ein Social-Media-Provider-Account (Google, Yahoo, Facebook) oder es kann ein Einmal-Passwort verwendet werden:
Mit der Outlook App für iOS und Android können die Nachrichten innerhalb der Exchange Online Umgebung ebenfalls auf Smartphones und Tablets geöffnet werden. Über native ActiveSync-Verbindungen können die Nachrichten ebenfalls abgerufen werden.
Bei Verwendung des Einmal-Passworts wird dem Zielempfänger der verschlüsselten Nachricht eine E-Mail mit einem zeitlich befristeten Kennwort zugesendet.
Welche Vorteile bietet die Office 365 Message Encryption ?
- Es ist bereits lizenziert und mit wenig Aufwand mit aktuellen Clients (OWA, Outlook, iOS Outlook App) nutzbar
- Neben der klassischen „Verschlüsselung“ kann über ein weiteres in OMEv2 verfügbares Protection-Flag auch das Weiterleiten oder Drucken verhindert werden
- Sicherheitsanforderungen mit externen Partnern können hier einfach durch Ziel-Domänen oder Zielempfänger-Regeln über Exchange Online Transportregeln umgesetzt werden
- Für die Archivierung mittels des Exchange Online Journals können die verschlüsselten Nachrichten automatisch entschlüsselt werden, so dass hier compliance-konform archiviert werden kann
Welche Nachteile ergeben sich aus der Nutzung ?
- In der im E3-Plan integrierten Lösung ist lediglich die Nutzung eines von Microsoft generierten und gepflegten Schlüssels vorgesehen. Will man seinen eigenen Schlüssel hierfür verwenden, muss man nachlizenzieren und eine entsprechende Infrastruktur bereitstellen
- Einmal verschlüsselte Daten bleiben verschlüsselt, es gibt keinen einfachen Schalter um alle verschlüsselten Inhalte wieder zu entschlüsseln. Zwar kann Microsoft auf Anforderung den verwendeten Schlüssel exportieren und mittels Azure Information Protection Tools die Inhalte nachträglich wieder entschlüsseln, wie dies allerdings in verteilten Inhalten über mehrere Mailboxen hinweg in Exchange Online zu bewerkstelligen ist, ist nochmal eine andere Frage
- OMEv2 schützt nicht nur die Nachricht, sondern vererbt das Protection Tag auch auf angehangeneunterstützte Dokumente (z. B. Word-Dateien). Bedeutet, dass auf einem gemeinsamen Teamverzeichnis abgelegte Dokumente von einer geschützten Mail (Protection Tag „Verschlüsselung“) auch weiterhin nur von dem Zielempfänger geöffnet werden können und nicht von anderen Team-Mitgliedern. Das ist aus Sicht der Data Loss Prevention natürlich löblich, aus Sicht der Verwendbarkeit in Drittsystemen allerdings nicht so handhabbar
- Bei Empfängern auf OnPremise Exchange-Servern (Stand heute) in einer hybriden Bereitstellung greifen nur die externen Portal-Mechanismen und nicht die native Ver-, und Entschlüsselung
- Die über das native ActiveSync-Protokoll synchronisierten, verschlüsselt empfangenen Nachrichten werden (wenn man diese Nachrichten hierüber lesen möchte) – um diese lesbar zu machen – nach Anpassung der OMEv2-Konfiguration unverschlüsselt übertragen
- Werden Nachrichten verschlüsselt an Shared Mailboxen gesendet, lässt sich der Inhalt von niemandem öffnen. Lediglich der Zielbenutzer kann die Nachricht öffnen. Im Falle der Shared Mailbox ist das Benutzerkonto üblicherweise deaktiviert, da nur so die Lizenzierung der Shared Mailbox entfällt
- Das Einhalten gewisser Compliance-Anforderungen, wie beispielsweise die Archivierung für Kommunikationspartner, wird faktisch unmöglich. Der Partner erhält lediglich die Portal-Nachricht mit dem Link auf das Portal. Die eigentliche Nachricht kann durch den Partner nicht durch klassische Mail-Flow-Archivierung archiviert werden
Welche Alternativen gibt es?
Eine mögliche Alternative ist die Verschlüsselung mittels S/MIME über Ende-zu-Ende-Lösungen, entweder nativ mit dem Outlook-Client (aufwendig in der Schlüsselpflege) oder eine Mischung zwischen interner Ende-zu-Ende-Verschlüsselung und Umverschlüsselung bei externer Kommunikation durch gateway-basierte Lösungen. Viele Mailverschlüsselungs-Provider verfügen über an Exchange Online integrierbare Lösungen. In diesem Fall erhalten Sie auch die vollständige Schlüsselkontrolle und können je nach Lösung Ihre Daten vollständig verschlüsselt in Exchange Online ablegen und damit den vermeintlichen Zugriff auf die Daten durch Microsoft unterbinden. Ohne Entwicklung eines ganzheitlichen Azure Information Protection-Konzepts, werden die Anforderungen im professionellen Einsatz durch diese Lösungen deutlich besser abgedeckt.
Fazit
Office 365 Message Encryption ist eine kostengünstige Lösung für die Erfüllung gelegentlich auftretender Verschlüsselungsanforderungen. Gerade für kleine Unternehmen, die große Investitionen scheuen, ist dies eine gute Lösung. Allerdings sollte die Einführung geplant werden und die Risiken durch den Einsatz eines nicht von Ihnen verwalteten Schlüssels beachtet werden. Eine durchgängige Archivierungslösung, die über alle Nachrichten in unverschlüsselter Form verfügt, ist hier sicherlich ratsam.
Gerne unterstützen wir Sie bei der Evaluation oder Einführung von Office 365 Message Encryption in Ihrem Unternehmen.