Tresor und verschlüsselte Dokumente
Wednesday, May 4, 2022

Wie gut schützt Azure Information Protection (AIP) Ihre Daten?

Wie findet man die passende Verschlüsselungssoftware für das eigene Unternehmen? Wir haben für Sie die wichtigsten Details über die Dateiverschlüsselungslösung Azure Information Protection zusammengestellt, um Sie bei der Entscheidungsfindung zu unterstützen.

Inhalt

Was ist Azure Information Protection?

Azure Information Protection (AIP) ist ein Produkt von Microsoft. Es handelt sich um eine Cloud-basierte Verschlüsselungssoftware, die es Unternehmen ermöglicht, Dokumente und E-Mails zu erkennen, zu klassifizieren und zu schützen. Diese Prozesse erfolgen automatisiert im Hintergrund. Die Zielgruppe von AIP sind Unternehmen, die sich bereits voll im „Microsoft-Universum“ befinden.

Unterstützte Dateiformate und Plattformen

AIP ist auf die Klassifizierung und den Schutz von Microsoft Office Dateien optimiert, die auf einem Windows-Rechner verarbeitet und in OneDrive oder SharePoint gespeichert werden.

Für Unternehmen, die genau diesen Anwendungsfall haben, ist Azure Information Protection deshalb eine gute Verschlüsselungslösung. Wenn Sie auf Windows-Geräten im Windows-Universum arbeiten, können Sie mit AIP einen Großteil Ihrer Dateien durch Verschlüsselung schützen und bearbeiten. Wenn Sie jedoch andere Dateiformate nutzen, oder auf anderen Plattformen, wie macOS oder iOS, arbeiten, gibt es Einschränkungen.

Azure Information Protection unterstützt auf Windows die Dateiformate aller Windows-Programme. Generische Dateiformate (JPEG, PNG, GIF, PDF, SVG oder MP4) können hingegen nur in einer Viewer-App betrachtet und nicht bearbeitet werden. Auf macOS, iOS und Android können jegliche mit AIP geschützten Dateiformate nur mit einer Viewer-App geöffnet, aber nicht bearbeitet werden.

Alle Details zu den Dateiformaten, die von Azure Information Protection unterstützt werden, finden Sie direkt auf der Website von Microsoft: Admin Guide: File types supported by the Azure Information Protection classic client

Im Arbeitsalltag kann die Begrenzung auf bestimmte Dateiformate eine lästige Einschränkung sein. Möglicherweise wird dadurch die unerlaubte Nutzung von Software gefördert, die nicht vom Unternehmen freigegeben wurde. Lesen Sie mehr dazu in unserem Artikel zum Thema Shadow-IT.

Screenshot Google Play Store

Achten Sie bei der Auswahl einer Verschlüsselungssoftware für Ihr Unternehmen unbedingt darauf, dass sie die Verschlüsselung alle Dateiformate unterstützt, die in Ihrem Unternehmen zum Einsatz kommen.

Klassifizierung von Dokumenten in Azure Information Protection

Einen weiteren Service bietet Azure Information Protection mit der Klassifizierung von Dokumenten durch den AIP-Scanner. Das ist ein Programm, das alle Dateien und E-Mails einer Organisation nach vertraulichen Informationen durchsucht. So können beispielsweise alle Dokumente, in denen eine E-Mail-Adresse enthalten ist, als Datei mit einem personenbezogenen Datum eingestuft werden. Automatisch werden dann technische und organisatorische Maßnahmen ergriffen, die zur Einhaltung der DSGVO-Konformität notwendig sind.

Folgende Labels vergibt der AIP-Scanner:

  • Öffentlich
  • Allgemein
  • Vertraulich
  • Streng vertraulich

Die Nutzerinnen und Nutzer haben zusätzlich die Möglichkeit, über ein Dropdown-Menü für einzelne Dateien selbst das passende Label auszuwählen.

Der AIP Client für einheitliche Bezeichnungen befindet sich seit dem 01. Januar 2022 im Wartungsmodus. Fortan werden keine neuen Features mehr für den AIP Client entwickelt und hinzugefügt. Hier erhalten Sie mehr Informationen zu dieser Entscheidung.

Die Klassifizierung schränkt zum Beispiel ein, ob und von wem ein Dokument ausgedruckt werden kann. Auch ob eine Datei verschlüsselt wird oder nicht, wird über die Klassifizierung festgelegt. Indem nur bestimmte Dateien verschlüsselt werden, wird weniger Rechenleistung benötigt als für die Verschlüsselung aller Dokumente. Ob diese Einschränkung technisch gesehen notwendig ist, hängt von den verfügbaren Ressourcen ab.

Der AIP-Scanner kann nur Dateien scannen, die in folgenden Datenspeichern liegen:

  1. UNC-Pfade für Netzwerkfreigaben, die die Protokolle SMB oder NFS (Vorschauversion) verwenden.
  2. SharePoint-Dokumentbibliotheken und -Ordner

In einem Unternehmen mit vielen Angestellten kann man nie sicher sein, ob wirklich jeder, der an Prozessen beteiligt ist, die Datenschutzrichtlinien hundertprozentig verstanden hat und sie im Alltag zuverlässig einhält. Da kann ein Scanner, wie der von Azure Information Protection, nützlich sein.

Erfahren Sie hier mehr über die Vertraulichkeitsbezeichnungen bei Azure Information Protection: Informationen zu Vertraulichkeitsbezeichnungen.

Externe Klassifizierung und Sicherheit – ein Widerspruch

Der Einsatz eines solchen Scanners widerspricht dem Prinzip, niemals Außenstehenden (seien es nun Personen oder Computerprogramme) Zugriff auf die eigenen Daten zu gewähren. Dieser Zugriff geht immer mit einem gewissen Kontrollverlust einher. Und ein Kontrollverlust ist in der IT-Security nicht empfehlenswert. Zudem möchten wir an dieser Stelle darauf hinweisen, dass Microsoft der Gerichtsbarkeit der USA unterliegt: Alle Daten, auf die das Unternehmen Zugriff hat, müssen auf Antrag an US-Behörden übergeben werden.

Wenn Sie die Klassifizierung von AIP verwenden und absichern möchten, können Sie AIP auch in Kombination mit Boxcryptor verwenden. Genaueres zu Boxcryptor und AIP finden Sie hier

Ein weiteres erwähnenswertes Feature ist das Tracking der Aktivitäten. So kann man – mit den notwendigen Admin-Rechten – einsehen, welche Nutzerinnen und Nutzer welche Dateien wann geöffnet haben.

Datensicherheit und Verschlüsselung von AIP im Check

Neben hilfreichen Funktionen sind ein hoher Datenschutzstandard sowie die Verschlüsselungsart entscheidende Kriterien bei der Wahl der richtigen Lösung. Im Folgenden erklären wir die wichtigsten Informationen zur Schlüssellänge und deren sicheren Verwaltung.

Schlüssellänge

Bei der Verschlüsselung ist der Faktor der Schlüssellänge ganz entscheidend. Hier wird nach der Bit-Länge unterschieden. Je höher die Anzahl an Bits, desto mehr Runden durchläuft er. Mit jedem zusätzlichen Schlüssel-Bit steigt die Komplexität der Verschlüsselung. Das bedeutet: Der Schlüsselraum wird größer und ein Angriff, bei dem die verschiedenen Schlüsseloptionen durchprobiert werden, dauert länger. Azure Information Protection verwendet den Verschlüsselungsalgorithmus mit einer Länge von 2048-Bit.

Besonders für Unternehmen mit Sitz in Deutschland sind die Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik eine gute Entscheidungshilfe in Bezug auf IT-Sicherheit und Verschlüsselung. Dieses empfiehlt ab dem Jahr 2023 eine Schlüssellänge von 3.000 Bit zu nutzen.

Für einen Einsatzzeitraum über das Jahr 2022 hinaus wird durch die vorliegende Richtlinie empfohlen, eine Schlüssellänge von 3000 Bit zu nutzen, um ein vergleichbares Sicherheitsniveau für alle asymmetrischen Verfahren zu erreichen. Quelle: BSI TR-02102-1, Seite 15

Die von Azure Information Protection verwendete Schlüssellänge genügt demnach den Anforderungen des BSI spätestens ab dem Jahr 2023 nicht mehr. Die Anforderungen des BSI sind jedoch keinesfalls überzogen. Vielmehr ist eine Verschlüsselung mit einer 4096-Bit-Länge – die Boxcryptor schon seit über 10 Jahren verwendet – durchaus üblich:

Verschlüsselte Dateien müssen auf möglichst lange Zeit in der Zukunft sicher sein, da stets die Möglichkeit besteht, dass sie in falsche Hände geraten. Wenn irgendwann beispielsweise deutlich mehr Rechenleistung zur Verfügung stehen würde, bestünde die Gefahr, dass die Daten geknackt werden können. Um dieses Risiko zu minimieren, nutzen wir bei Boxcryptor seit jeher RSA-Schlüssel mit einer Länge von 4096-bit.

Die Verwaltung der kryptografischen Schlüssel in AIP

Microsoft bietet vier Möglichkeiten des Schlüsselmanagements an.

  1. Microsoft Managed Keys: Die Standard-Einstellung bei AIP ist, dass Microsoft die Schlüssel zur Verfügung stellt.
  2. Bring Your Own Key/BYOK: Unternehmen haben außerdem die Möglichkeit, ihren eigenen Schlüssel mitzubringen.
  3. Hold Your Own Key/HYOK: Auch können Unternehmen ihre Schlüssel selber halten. Dazu kann Azure Key Vault verwendet werden und es gibt Support für Hardware Security Modules.
  4. Double Key Encryption

Bei diesen Varianten hat Microsoft Zugriff auf die Schlüssel und kann dadurch theoretisch verschlüsselte Daten wieder entschlüsseln und bei Behördenanfragen (CLOUD Act) ausgeben.

Double Key Encryption: Volle Kontrolle über einzelne Dokumente

Anfang 2021 hat Microsoft eine vierte Variante, die Double Key Encryption, eingeführt. Hier haben die Unternehmenskunden die alleinige Kontrolle über die Verschlüsselungsschlüssel. Da Microsoft selbst nicht mehr auf die Schlüssel zugreifen kann, kann das Unternehmen auch keine Daten auf Regierungsanfrage herausgeben. Natürlich schützt das Double Key-Verfahren auch gegen Zugriffe durch Mitarbeiterinnen und Mitarbeiter des Unternehmens Microsoft selbst. Ob nun mit böser Absicht oder durch einen Fehler – wenn Dateien in falsche Hände geraten, sind sie im verschlüsselten Zustand völlig unbrauchbar. In diesem Fall besteht keine Gefahr für die Datensicherheit.

Hier finden Sie alle Informationen zur Schlüsselverwaltung in Azure Information Protection.

Eine alternative, flexible Verschlüsselungslösung

Es mag Organisationen geben, die genau die Anforderungen haben, die Microsoft mit Azure Information Protection erfüllt. Unsere Erfahrung aus vielen Gesprächen mit Unternehmen jeglicher Größe ist jedoch eine andere: Die meisten Teams arbeiten nicht ausschließlich mit Windowsgeräten und -programmen und Multi-Cloud-Strategien sind oft im Einsatz und bringen viele Vorteile.

Zusammengefasst: Flexibilität ist bei Verschlüsselungslösungen gefragt. Mit Azure Information Protection ist eine solche Arbeitsweise jedoch nicht oder nur mit Einschränkungen möglich.

Mitarbeiterinnen und Mitarbeiter wünschen sich mobile Arbeitsplätze, nutzen verschiedene Geräte und erwarten auch, dass das jeweils bevorzugte Betriebssystem verwendet werden kann. Diese modernen Unternehmen brauchen Datensicherheits-Lösungen, die ebenso flexibel und vielseitig sind. Organisationen besitzen die Verantwortung, eine geeignete Verschlüsselungslösung zu finden, die diese Anforderungen erfüllt. Mit AIP erreichen Sie ein gutes Schutzniveau für Ihre Daten. Wenn Sie mehr Flexibilität benötigen, lohnt sich ein Blick auf Boxcryptor.

Azure Information Protection (AIP) vs. Boxcryptor

Wir empfehlen grundsätzlich immer zusätzliche Sicherheitsmaßnahmen bei Ihren sensiblen Daten zu ergreifen. Verschlüsselungslösungen sind geeignete Mittel, Ihre Daten effizient und vor allem sicher zu schützen.

In dem verlinkten Artikel finden Sie einen Vergleich zwischen Azure Information Protection (AIP) und Boxcryptor. Wir vergleichn unter anderem Funktionen, die Sicherheit sowie die Verschlüsselungsalgorithmen der beiden Lösungen.

Klicken Sie hier um den Vergleichsartikel zu lesen
Beitrag teilen