Drucksache: Windows Developer 11.15 - Office in der Cloud - und die Sicherheit?
Im windows.developer 11.15 ist ein Artikel zur Sicherheit von Office 365 erschienen.
Kann man Office 365 überhaupt nutzen, wenn einem die eigenen Daten lieb und teuer sind? Oder wirft man sie damit Microsoft, NSA & Co. und den Cyberkriminellen zum Fraß vor?
An Office 365 und allgemein Office-Anwendungen in der Cloud kann man ein paar Punkte kritisieren:
- Vertrauliche Daten werden auf Microsofts Servern
gespeichert.
Und Microsoft kann darauf zugreifen, selbst wenn die Dateien verschlüsselt sind, denn der Schlüssel wird ja ebenfalls auf dem Server gespeichert. Es gibt zwar organisatorische Schutzmaßnahmen, aber keine technischen. Microsoft hat bereits in der Vergangenheit auf gehostete Daten zugegriffen. Zum Beispiel automatisiert zur Suche nach Kinderpornographie. Dagegen ist wohl nichts einzuwenden, sofern die Möglichkeit von False Positives berücksichtigt wird. Aber auch zur Suche nach einem Datenleck hat man sich schon die Benutzerdaten angesehen. Persönlich. Und das ohne Gerichtsbeschluss, man hat sich den Zugriff selbst erlaubt. Was mir ganz und gar nicht gefällt. - Unbefugte können durch einen Fehler an die Daten der Benutzer
gelangen.
Microsoft gibt sich alle Mühe, die Daten durch technische und organisatorische Maßnahmen zu schützen. Fehler können immer passieren, aber diesen Punkt können wir wohl als relativ unwahrscheinlich abhaken. Bis Murphy zuschlägt. Aber der kann auch auf Ihrem lokalen Rechner zuschlagen. - Ein Cyberkrimineller kann sich mit einem Angriff Zugriff auf die in
der Cloud gespeicherten Daten verschaffen.
Dass das theoretisch möglich ist, wurde bereits 2011 von Rich Lundeen und Jesse Ou gezeigt. Angriffe "in the wild" gab es bisher nicht, und ich kann mir zur Zeit auch nicht vorstellen, wie Cyberkriminelle mit so einem Angriff Geld verdienen könnten. Und ohne finanziellen Anreiz dürften die die Cloud-Inhalte links liegen lassen. DoS-Angriffe auf die Cloud durch Cyberkriminelle mit dem Ziel einer Lösegelderpressung oder gezielte Angriffe durch Geheimdienste etc. um ganz bestimmte Informationen auszuspähen dürften früher oder später vorkommen. Aber für breit gestreute Angriffe auf alle Office-365-Nutzer fällt mir zur Zeit kein Motiv ein. Es sei denn, ein Cyberkrimineller kommt auf die Idee, die Benutzerkonten anzugreifen und dann zu versuchen, von Microsoft Schutzgeld zu erpressen oder ähnliches. Ich bezweifle stark, dass das eine besonders aussichtsreiche Taktik ist. - Die US-Geheimdienste etc. können auf die Daten
zugreifen.
Das ist in der Tat ein Problem, und bis das rechtlich geklärt ist dürfte es noch einige Zeit dauern. Wobei es für die meisten von uns ja eher ein theoretisches oder grundsätzliches Problem ist, warum sollten sich NSA und Co. für unsere Daten interessieren? Bei Unternehmensdaten hätte ich aber doch gewisse Bedenken, dass da mal jemand aus der Abteilung für Wirtschaftsspionage einen Blick drauf wirft. Zumindest wenn es ohne größeren Aufwand möglich ist. Und noch scheint der Aufwand ja doch etwas höher zu sein, da Microsoft nicht auf Befehl durch den Reifen springt, sondern sich bockig zeigt.
Außerdem bleibt abzuwarten, wie es in Sachen "Safe Harbor" weiter geht. Vielleicht hat sich dieses Problem damit ja bald erledigt. Ich fürchte aber, die EU wird unsere Daten bei nächster Gelegenheit wieder den USA zum Fraß vorwerfen.
Für zur Veröffentlichung bestimmte Daten wie Websites ist die Cloud eine geniale Lösung - wo sonst lässt sich die Leistung des Webservers etc. bei Bedarf so leicht anpassen wie in der Cloud?
Andere Daten würde ich nicht in der Cloud speichern, zumindest nicht wenn ich sie nicht mit einem selbst gewählten Schlüssel verschlüsseln kann. Und wirklich vertrauliche Daten würde ich nicht mal so verschlüsselt in der Cloud speichern. Denn jede Verschlüsselung ist nur ein Zeitschloss, irgendwann kann der verwendete Schlüssel gebrochen werden, oder eine Schwachstelle in Algorithmus oder Implementierung erlaubt die Entschlüsselung.
Ich werde Office 365 daher mit Sicherheit nicht nutzen, aber auch keine anderen Cloud-Dienste zur Verarbeitung oder Speicherung meiner nicht-öffentlichen Daten. Aus Prinzip nicht - ich setze meine Daten keiner Gefahr aus, wenn das nicht zwingend nötig ist. Egal wie gut die Daten vom Cloud-Anbieter gesichert werden (und Microsoft gibt sich da wirklich große Mühe) und wie abstrakt die Gefahr ist (NSA und Co. als zur Zeit einzige greifbare Gefahr dürften sich kaum für meine Daten interessieren).
Wenn es Sie nicht stört, dass die US-Behörden auf Ihre Daten zugreifen können, spricht aus Sicherheitssicht zumindest zur Zeit relativ wenig gegen die Verwendung von Office 365. Es wäre sicherer, wenn die Daten bereits auf dem Client verschlüsselt würden, so dass auf den Servern keine Entschlüsselung möglich ist. Aber dazu wäre eine grundlegende Änderung des Konzepts nötig. Und eigentlich müsste man sich dann ja auch wieder fragen, ob der Schlüssel nicht vielleicht doch heimlich mit übertragen wird. Also bleiben wir bei dem, was wir haben, so schlecht ist es ja nicht.
Ach ja: Office 365 hat sowohl in Form der Webanwendungen als auch als gestreamtes Programm auch einen großen Vorteil gegenüber der Desktop-Version: Es ist immer aktuell. Es kann also nicht passieren, dass Sie Opfer eines Exploits für eine eigentlich bereits behobene Schwachstelle werden, deren Patch sie noch nicht installiert haben.
Und hier noch die Links und Literaturverweise aus dem Artikel:
- [1] Graham Cluley: "Don't call it 'the cloud'. Call it 'someone else's computer'"
- [2] Zack Whittaker; ZDNet: "Microsoft admits Patriot Act can access EU-based cloud data"
- [3] Brad Smith; Microsoft on the Issues: "New success in protecting customer rights unsealed today"
- [4] Joseph Ax; Reuters: "U.S. judge rules search warrants extend to overseas email accounts"
- [5] Brad Smith; Microsoft on the Issues: "WSJ opinion by Brad Smith: We’re fighting the feds over your email"
- [6] Mike Masnick; Techdirt: "No, Microsoft Is Not Suddenly 'Defying' A Court Order To Turn Over Emails"
- [7] Brad Smith; Microsoft on the Issues: "What if? Microsoft appeal ponders U.S. reaction to foreign data demand"
- [8] Brad Smith; Microsoft on the Issues: "Our legal challenge to a US government search warrant"
- [9] Rich Lundeen, Jesse Ou; Black Hat Abu Dhabi 2011: "New Ways I'm Going to Hack Your Web App"
- [10] Justin Hendricks; DefCon 21: "So You Think Your Domain Controller is Secure?"
- [11] Ronny L. Bull, Jeanna N. Matthews; DefCon 23: "Exploring Layer 2 Network Security in Virtualized Environments" (Material dazu)
- [12] Sophia D'Antoine; Black Hat USA 2015: "Exploiting Out-of-Order Execution for Covert Cross-VM Communication"
- [13] Erik Peterson; Black Hat Europe 2014: "Bringing a Machete to the Amazon"
- [14] Andres Riancho; Black Hat USA 2014: "Pivoting in Amazon Clouds"
- [15] Shobhit Sahay; Microsoft Office Blogs: "Introducing Office 365 Message Encryption: Send encrypted emails to anyone!"
- [16] Shobhit Sahay; Microsoft Office Blogs: "One-Time Passcode for Office 365 Message Encryption"
- [17] Brad Smith; The Official Microsoft Blog: "Protecting customer data from government snooping"
- [18] Carsten Eilers: "Heute aufgezeichnet – morgen entschlüsselt?"; PHP Magazin 5.2014
- [19] Paul Andrew; Microsoft Office Blogs: "Multi-Factor Authentication for Office 365"
- [20] Rajesh Jha; Microsoft Office Blogs: "Enterprise-grade cloud services: a high bar required for security, compliance, and privacy"
- [21] Vijay Kumar; Microsoft Office Blogs: "Office 365—Our latest innovations in security and compliance"
- [22] Shobhit Sahay; Microsoft Office Blogs: "Office everywhere, encryption everywhere"
- [23] Rajesh Jha; Microsoft Office Blogs: "Enhancing transparency and control for Office 365 customers"
- [24] Vijay Kumar; Microsoft Office Blogs: "Announcing Customer Lockbox for Office 365"
- [25] Scott Charney; The Official Microsoft Blog: "Enabling greater transparency and control"
- [26] Outlook Team; Microsoft Office Blogs: "New access and security controls for Outlook for iOS and Android"
- [27] Office 365 Team; Microsoft Office Blogs: "Enhancing mail flow security for Exchange Online"
- [28] Alan Byrne; Cogmotive Reports Blog: "Vulnerability in Office 365 allows unauthorised Administrator access"
- [29] Omar Shahine; The OneDrive Blog: "Update for OneDrive and Office.com shared links"
- [30] Chang Kawaguchi, Travis Rhodes, Vijay Kumar; Microsoft Office Blogs:"From Inside the Cloud: What does Microsoft do to prepare for emerging security threats to Office 365?"
- [31] Carsten Eilers: "Die 0-Day-Exploits 2013 im Überblick"
- [32] Carsten Eilers: "Die 0-Day-Exploits 2014 im Überblick"
- [33] Carsten Eilers: "Die 0-Day-Exploits 2015 im Überblick"
- [34] Nart Villeneuve, Joshua Homan; FireEye Threat Research Blog: "A New Word Document Exploit Kit"
- [35] Naked Security writer; Sophos Naked Security: "Microsoft Word Intruder - the malware that writes new malware for you"
- [36] Alden Pornasdoro; Microsoft Malware Protection Center: "Before you enable those macros…"
- [37] Graham Chantry; Sophos Naked Security: "From the Labs: New developments in Microsoft Office malware"
- [38] Abraham Camba; TrendLabs Security Intelligence Blog: "Beware the "Insert and Link" Feature in Microsoft Office"
- [39] Lisa Vaas; Sophos Naked Security: "Microsoft scans email for child abuse images, leads to arrest?"
- [40] Lee Munson; Sophos Naked Security: "Microsoft admits reading blogger's Hotmail as part of leak investigation"
Trackbacks