Skip to content

Drucksache: Windows Developer 11.15 - Office in der Cloud - und die Sicherheit?

Im windows.developer 11.15 ist ein Artikel zur Sicherheit von Office 365 erschienen.

Kann man Office 365 überhaupt nutzen, wenn einem die eigenen Daten lieb und teuer sind? Oder wirft man sie damit Microsoft, NSA & Co. und den Cyberkriminellen zum Fraß vor?

An Office 365 und allgemein Office-Anwendungen in der Cloud kann man ein paar Punkte kritisieren:

  1. Vertrauliche Daten werden auf Microsofts Servern gespeichert.
    Und Microsoft kann darauf zugreifen, selbst wenn die Dateien verschlüsselt sind, denn der Schlüssel wird ja ebenfalls auf dem Server gespeichert. Es gibt zwar organisatorische Schutzmaßnahmen, aber keine technischen. Microsoft hat bereits in der Vergangenheit auf gehostete Daten zugegriffen. Zum Beispiel automatisiert zur Suche nach Kinderpornographie. Dagegen ist wohl nichts einzuwenden, sofern die Möglichkeit von False Positives berücksichtigt wird. Aber auch zur Suche nach einem Datenleck hat man sich schon die Benutzerdaten angesehen. Persönlich. Und das ohne Gerichtsbeschluss, man hat sich den Zugriff selbst erlaubt. Was mir ganz und gar nicht gefällt.
  2. Unbefugte können durch einen Fehler an die Daten der Benutzer gelangen.
    Microsoft gibt sich alle Mühe, die Daten durch technische und organisatorische Maßnahmen zu schützen. Fehler können immer passieren, aber diesen Punkt können wir wohl als relativ unwahrscheinlich abhaken. Bis Murphy zuschlägt. Aber der kann auch auf Ihrem lokalen Rechner zuschlagen.
  3. Ein Cyberkrimineller kann sich mit einem Angriff Zugriff auf die in der Cloud gespeicherten Daten verschaffen.
    Dass das theoretisch möglich ist, wurde bereits 2011 von Rich Lundeen und Jesse Ou gezeigt. Angriffe "in the wild" gab es bisher nicht, und ich kann mir zur Zeit auch nicht vorstellen, wie Cyberkriminelle mit so einem Angriff Geld verdienen könnten. Und ohne finanziellen Anreiz dürften die die Cloud-Inhalte links liegen lassen. DoS-Angriffe auf die Cloud durch Cyberkriminelle mit dem Ziel einer Lösegelderpressung oder gezielte Angriffe durch Geheimdienste etc. um ganz bestimmte Informationen auszuspähen dürften früher oder später vorkommen. Aber für breit gestreute Angriffe auf alle Office-365-Nutzer fällt mir zur Zeit kein Motiv ein. Es sei denn, ein Cyberkrimineller kommt auf die Idee, die Benutzerkonten anzugreifen und dann zu versuchen, von Microsoft Schutzgeld zu erpressen oder ähnliches. Ich bezweifle stark, dass das eine besonders aussichtsreiche Taktik ist.
  4. Die US-Geheimdienste etc. können auf die Daten zugreifen.
    Das ist in der Tat ein Problem, und bis das rechtlich geklärt ist dürfte es noch einige Zeit dauern. Wobei es für die meisten von uns ja eher ein theoretisches oder grundsätzliches Problem ist, warum sollten sich NSA und Co. für unsere Daten interessieren? Bei Unternehmensdaten hätte ich aber doch gewisse Bedenken, dass da mal jemand aus der Abteilung für Wirtschaftsspionage einen Blick drauf wirft. Zumindest wenn es ohne größeren Aufwand möglich ist. Und noch scheint der Aufwand ja doch etwas höher zu sein, da Microsoft nicht auf Befehl durch den Reifen springt, sondern sich bockig zeigt.
    Außerdem bleibt abzuwarten, wie es in Sachen "Safe Harbor" weiter geht. Vielleicht hat sich dieses Problem damit ja bald erledigt. Ich fürchte aber, die EU wird unsere Daten bei nächster Gelegenheit wieder den USA zum Fraß vorwerfen.

Für zur Veröffentlichung bestimmte Daten wie Websites ist die Cloud eine geniale Lösung - wo sonst lässt sich die Leistung des Webservers etc. bei Bedarf so leicht anpassen wie in der Cloud?

Andere Daten würde ich nicht in der Cloud speichern, zumindest nicht wenn ich sie nicht mit einem selbst gewählten Schlüssel verschlüsseln kann. Und wirklich vertrauliche Daten würde ich nicht mal so verschlüsselt in der Cloud speichern. Denn jede Verschlüsselung ist nur ein Zeitschloss, irgendwann kann der verwendete Schlüssel gebrochen werden, oder eine Schwachstelle in Algorithmus oder Implementierung erlaubt die Entschlüsselung.

Ich werde Office 365 daher mit Sicherheit nicht nutzen, aber auch keine anderen Cloud-Dienste zur Verarbeitung oder Speicherung meiner nicht-öffentlichen Daten. Aus Prinzip nicht - ich setze meine Daten keiner Gefahr aus, wenn das nicht zwingend nötig ist. Egal wie gut die Daten vom Cloud-Anbieter gesichert werden (und Microsoft gibt sich da wirklich große Mühe) und wie abstrakt die Gefahr ist (NSA und Co. als zur Zeit einzige greifbare Gefahr dürften sich kaum für meine Daten interessieren).

Wenn es Sie nicht stört, dass die US-Behörden auf Ihre Daten zugreifen können, spricht aus Sicherheitssicht zumindest zur Zeit relativ wenig gegen die Verwendung von Office 365. Es wäre sicherer, wenn die Daten bereits auf dem Client verschlüsselt würden, so dass auf den Servern keine Entschlüsselung möglich ist. Aber dazu wäre eine grundlegende Änderung des Konzepts nötig. Und eigentlich müsste man sich dann ja auch wieder fragen, ob der Schlüssel nicht vielleicht doch heimlich mit übertragen wird. Also bleiben wir bei dem, was wir haben, so schlecht ist es ja nicht.

Ach ja: Office 365 hat sowohl in Form der Webanwendungen als auch als gestreamtes Programm auch einen großen Vorteil gegenüber der Desktop-Version: Es ist immer aktuell. Es kann also nicht passieren, dass Sie Opfer eines Exploits für eine eigentlich bereits behobene Schwachstelle werden, deren Patch sie noch nicht installiert haben.

Und hier noch die Links und Literaturverweise aus dem Artikel:

Carsten Eilers

Trackbacks

Keine Trackbacks