Office 365 und Datenschutz: Ei des Kolumbus – oder Kuckucksei? · Secorvo Security Consulting GmbH, Secorvo Security Consulting

Secorvo Security Consulting GmbH

Office 365 und Datenschutz Ei des Kolumbus – oder Kuckucksei? Seite 1 von 5Vortrag_Ei_des_Kolumbus_oder_Kuckucksei_06.docx Stand 02.11.2015

Ei des Kolumbus – oder Kuckucksei?Microsoft Office 365 und Datenschutz

Christoph SchäferSecorvo Security Consulting GmbH

Als Christoph Kolumbus 1493 von seiner ersten Reise nach Amerika zurückgekehrtwar, soll er zu einem Festmahl bei Kardinal Mendoza eingeladen worden sein. Auf sei-nen Reisebericht erwiderten einige Gäste, dass seine Entdeckung nicht außergewöhn-lich gewesen sei – jeder andere hätte das auch gekonnt. Daraufhin soll Kolumbus dieanwesenden Zweifler gebeten haben, ein hartgekochtes Ei auf eine der Spitzen zu stel-len. Niemandem gelang es. Kolumbus schlug das Ei mit der Spitze auf den Tisch undstellte es hin. Empört wurde ihm vorgehalten, jeder hätte das tun können. Kolumbuserwiderte: „Der Unterschied ist, meine Herren, dass Sie es hätten tun können, ich hin-gegen habe es getan.“

Das Ei des KolumbusIT-Outsourcing in "die Cloud" liegt im Trend.Die Anbieter locken mit skalierbaren undanpassungsfähigen Anwendungen und Inf-rastrukturen. Bei Cloud-Dienstleistungenbefinden sich Hard- und Software ganz oderteilweise in den Rechenzentren des Anbie-ters. Auch kurzfristige Anpassungen an dentatsächlichen Bedarf sind oft viel schnellermöglich als beim klassischen Outsourcing.Höhere Flexibilität bei geringeren Kosten istdie gewünschte Folge.

Eine solche Lösung ist auch MicrosoftOffice 365, bei dem die Anwendung aus derMicrosoft-Cloud bezogen und Dokumenteund E-Mails in Microsoft-Rechenzentren ge-speichert werden. Könnte das das moderneEi des Kolumbus sein?

Datenschutz-DenkeWährend Cloud-Anwendungen bei Nutzernund IT-Verantwortlichen oft Jubelschreie obder Möglichkeiten auslösen, zucken Daten-schützer eher zusammen. Gerade wenn esum außereuropäische Anbieter geht, sindviele rechtliche Vorgaben zu beachten.

Oft überrascht der Ansatz des Gesetzge-bers: Grundsätzlich darf man keine perso-nenbezogenen Daten erheben, verarbeitenoder nutzen. Von dieser Regel gibt es zwei

1 § 4 Abs. 1 BDSG

Ausnahmen: Entweder ein Gesetz erlaubtes bzw. ordnet es an oder der Betroffene,dessen Daten verarbeitet werden sollen, hateingewilligt. Man spricht hierbei vom „Ver-bot mit Erlaubnisvorbehalt“.1

Das Erheben, Verarbeiten und Nutzen so-wie die Übermittlung personenbezogenerDaten für eigene Geschäftszwecke ist zu-lässig, wenn es für die Begründung, Durch-führung oder Beendigung eines Vertragesmit dem Betroffenen erforderlich ist, es zurWahrung berechtigter Interessen der ver-antwortlichen Stelle erforderlich ist und keinGrund zu derAnnahme be-steht, dassschutzwür-dige Interes-sen des Be-troffenen dementgegenste-hen oderwenn die Da-ten allgemeinzugänglichsind oder dieverantwortli-che Stelle sieveröffentli-chen dürfte.2

2 § 28 Abs. 1 Satz 1 Nr. 1-3 BDSG

Bild: Indigolotos/Bigstock.com



Eine Form des Verarbeitens im Sinne desDatenschutzes ist das Übermitteln3 perso-nenbezogener Daten. Dies liegt immer dannvor, wenn gespeicherte oder durch Daten-verarbeitung gewonnene personenbezo-gene Daten Dritten4 (außerhalb der für dieDatenverarbeitung verantwortlichen Stelle)durch Weitergabe oder durch Bereithaltenzum Abruf oder zur Einsicht bekanntgege-ben werden.

Für eine solche Übermittlung bedarf es ei-ner Rechtsgrundlage, die unter Umständennicht ohne größeren Aufwand oder auch garnicht nachgewiesen werden kann.

Datenschutz und Dienstleister

Als Dritte gelten jedoch nicht Personen oderStellen, die im Inland, in einem anderen Mit-gliedstaat der EU/EWR personenbezogeneDaten im Auftrag erheben, verarbeiten odernutzen (Auftragsdatenverarbeitung).5 Lie-gen die Voraussetzungen vor und schließtman einen entsprechenden Vertrag mit demDienstleister, erspart man sich das Erforder-nis einer gesonderten Rechtsgrundlage.Dies macht viele Datenverarbeitungendurch Dienstleister überhaupt erst möglich,da man hierdurch nicht z. B. Einwilligungenaller seine Kunden einholen muss.

Problematischer wird es, wenn der Dienst-leister in einem Drittland (außerhalbEU/EWR) sitzt. Eine Auftragsdatenverarbei-tung ist in diesem Fall gar nicht möglich, sodass nur die Übermittlung als Lösung bleibt.Das Bundesdatenschutzgesetz (BDSG)

3 § 3 Abs. 4 Satz 2 Nr. 3 BDSG4 § 3 Abs. 8 Satz 2 BDSG5 § 3 Abs. 8 Satz 3 BDSG

stellt besondere Anforderungen an die Zu-lässigkeit einer Übermittlung in Drittländer.

Die Übermittlung ist unzulässig, wenn derBetroffene ein schutzwürdiges Interesse andem Ausschluss hat, insbesondere dann,wenn bei den empfangenden Stellen außer-halb der EU kein angemessenes Daten-schutzniveau gewährleistet ist. Die Gewähr-leistung eines angemessenen Datenschutz-niveaus kann unter anderem durch den Ab-schluss der EU-Standardvertragsklauseln(EU-Model Clauses) erfolgen.Safe Harbor

Bis vor kurzem konnten sich US-Unterneh-men dem Safe Harbor-Abkommen unterwe-fen, wodurch formal ein angemessenesSchutzniveau hergestellt wurde. Daten-schutz-Aufsichtsbehörden genügte SafeHarbor schon lang nicht mehr, allerdingsmusste zunächst der Europäische Gerichts-hof (EuGH) tätig werden. Dieser hat SafeHarbor, einen Beschluss der EU-Kommis-sion aus dem Jahr 2000, für unwirksam er-klärt (Urteil vom 06.10.2015 – C-362/14).6

Besonders europäische Töchter amerika-nischer Unternehmen stehen nun vor demProblem, dass ihrer konzerninterne Daten-verarbeitung – die meist auf Safe Harborgestützt wurde – die Rechtsgrundlage fehlt.

Besondere Daten, besondere Probleme

Während man für „normale“ personenbezo-gene Daten noch relativ schnell eine daten-schutzrechtliche Lösung finden kann, gibt

6 http://curia.europa.eu/juris/documents.jsf?num=C-362/14



es bestimmte Daten und Regelungen, diezusätzlich beachtet werden müssen.

Bei besonderen Arten personenbezogenerDaten (Angaben über die rassische/ethni-sche Herkunft, politische Meinung, religi-öse/philosophische Überzeugung, Gewerk-schaftszugehörigkeit, Gesundheit oder Se-xualleben) gelten zusätzliche Anforderun-gen – die schutzwürdigen Interessen derBetroffenen sind besonders hoch zu ge-wichten, weswegen eine Interessensabwä-gung als Rechtsgrundlage für die Übermitt-lung ausscheidet.

Sind Daten von Berufsgeheimnisträgern(Rechtsanwälte, (Betriebs-)Ärzte, Steuerbe-rater, Psychologen…) betroffen, muss eineunberechtigte Kenntnisnahme der Daten7

ausgeschlossen sein – auch durch Adminis-tratoren.

Will man Steuerdaten außerhalb Deutsch-lands speichern, bedarf es einer Genehmi-gung der Finanzbehörden.8 In Betriebsver-einbarungen sind unter Umständen Aus-schlüsse von Cloud-Datenverarbeitungenzu finden. Außerdem können vertraglicheAusschlüsse von Cloud-Verarbeitung mitKunden vereinbart sein, deren Missachtungzu hohen Vertragsstrafen führen kann.

Während man die letzten Punkte schlichtbeachten und ggf. regeln muss, besteheninsbesondere bei der Cloud-Verarbeitungbesonderer Arten personenbezogener so-wie einem Berufsgeheimnis unterliegenderDaten hohe Hürden.

Die einzige Möglichkeit, diese Daten even-tuell doch bei einem Cloud-Dienstleisterverarbeiten zu dürfen, ist eine angemes-sene Verschlüsselung, die aber gewissenAnforderungen gerecht werden muss. Somuss der Auftraggeber die Ver- und Ent-schlüsselung sowie die Schlüssel selbstvollständig beherrschen. Dies in einerCloud-Umgebung zu gewährleisten ist nichttrivial und bei Office 365 derzeit nur mit ei-ner Drittanbieter-Lösung denkbar.

7 § 203 Abs. 1 StGB8 § 146 Abs. 2a S. 1 AO9 http://ec.europa.eu/justice/data-protection/article-

29/index_de.htm

StolpersteineMicrosoft hat den Datenschutz schon frühals Nadelöhr erkannt und ist in einen Dis-kussionsprozess mit den europäischen Auf-sichtsbehörden (Art.-29-Gruppe9) eingetre-ten.

Das Ergebnis dieses mehrjährigen Prozes-ses sind die im Juli 2014 veröffentlichtenund zuletzt im Januar 2015 aktualisiertenOnline Service Terms (OST)10, die eineVielzahl bisher einzelner Vertragsdoku-mente zusammenfassen und als Anlage dieEU-Standardvertragsklauseln enthalten.

Um den europäischen Datenschutzanforde-rungen gerecht zu werden garantiert Micro-soft unter anderem die Speicherung vonDaten innerhalb Europas, nämlich in denRechenzentren in Dublin und Amsterdam.

Ganz ohne die USA kommt Office 365 den-noch nicht aus, da die Microsoft-Infrastruk-tur auf einen globalen Betrieb ausgerichtetist. Unter anderem wird das AD-Adressver-zeichnis auch außerhalb Europas (in denUSA) verarbeitet.

Hinzu kommen Support-Fälle, in denen dieUnterstützung von US-Mitarbeitern erforder-lich ist. Daher genügt ein Vertrag zur Auf-tragsdatenverarbeitung mit Microsoft Irlandallein nicht. Zusätzlich müssen die EU-Stan-dardvertragsklauseln mit der Microsoft Cor-poration (USA) geschlossen werden.

Rechtsgrundlage für Microsoft Office 365

Neben der Vereinbarung zur Auftragsdaten-verarbeitung mit Microsoft Irland werdenEU-Standardvertragsklauseln mit der Micro-soft Corporation (USA) geschlossen. Dadies mit einer Datenübermittlung in die USAeinhergeht, wird eine Rechtsgrundlage be-nötigt.

Wie eingangs erläutert kommen dafür einegesetzliche Erlaubnis oder die Einwilligungder Betroffenen (in der Regel der Mitarbei-ter und/ oder Kunden) in Betracht.

10 http://www.microsoftvolumelicensing.com/ DocumentSearch.aspx?Mode=3&DocumentTypeId=31



Die Einwilligung der Mitarbeiter scheidetbeim Cloud-Outsourcing als Rechtsgrund-lage regelmäßig aus. Eine der gesetzlichenAnforderungen an die Einwilligung ist dieFreiwilligkeit.11 Im Arbeitsverhältnis ist Frei-willigkeit allerdings kaum zu gewährleisten.

Als gesetzliche Grundlage könnte die Inte-ressensabwägung zwischen den berechtig-ten Interessen des Unternehmens und denschutzwürdigen Interessen der Mitarbei-ter/Kunden herangezogen werden.

Prüfung des Datentransfers in Drittländer

Die Prüfung erfolgt in zwei Schritten:

(1) Es muss eine Rechtsgrundlage gefun-den werden.

(2) Im Zielland muss ein angemessenesDatenschutzniveau sichergestellt wer-den.

Bei der Interessenabwägung als Rechts-grundlage muss eine sorgfältige Abwägungaller Aspekte – positiver wie negativer – er-

11 § 4a Abs. 1 Satz 1 BDSG12 http://ec.europa.eu/justice/data-protection/docu

ment/international-transfers/adequacy/index_en.htm

folgen. Insbesondere muss bewertet wer-den, welche Arten von Daten in der Cloudverarbeitet werden sollen und welche nicht.Auch mögliche Zugriffe durch US-Strafver-folgungsbehörden oder Geheimdienstemüssen bewertet werden.

Die möglichen Vorteile eines Cloud-Out-sourcings dürfen dabei nicht vergessenwerden – möglicherweise kann durch dieAuslagerung sogar ein höheres Sicherheits-niveau erreicht werden. In jedem Fall solltedie Abwägung auf Fakten basieren.

Auf der zweiten Prüfungsstufe muss sicher-gestellt werden, dass im Zielland (hier:USA) ein dem europäischen Datenschutz-recht entsprechendes „angemessenesSchutzniveau“ herrscht. Neben einer vonder EU-Kommission definierten Liste12 vonsicheren Drittländern (å), auf der die USAnicht zu finden sind, käme das Safe-Harbor-Abkommen13 (ç) in Frage. Dieses wurdejedoch kürzlich vom EuGH für unwirksamerklärt. Microsoft bietet daher im Rahmenseiner OST die EU-Standardvertragsklau-seln als Grundlage an. (é)

Trau, schau, wem

Auch nach der Abstimmung des Microsoft-Vertragswerks mit der Art.-29-Gruppe oblie-gen dem Auftraggeber umfangreiche Prüf-pflichten der Verträge. Problematisch istinsbesondere, dass die Auftragsdatenverar-beitung in Deutschland sehr explizit gere-gelt ist. Denn es finden sich nicht alle Anfor-derungspunkte des Bundesdatenschutzge-setzes direkt im Vertrag wieder.

…oder KuckuckseiVielleicht ist Office 365 aber auch eher einKuckucksei. Das Risiko des möglichen Da-tenherausgabeanspruchs seitens US-Straf-verfolgungsbehörden gegenüber Tochterun-ternehmen und Niederlassungen US-ameri-kanischer Unternehmen muss bewertetwerden. Dies wird besonders in den Medienoft diskutiert und heftig kritisiert. Microsoftwehrt sich derzeit in einem Rechtsstreit in

13 http://eur-lex.europa.eu/LexUriServ/LexUriS-erv.do?uri=OJ:L:2000:215:0007:0047:DE:PDF



den USA gegen einen solchen Herausgabe-anspruch. Der Ausgang des Prozesseskann derzeit nicht abgesehen werden. Diebloße Unterstellung, die USA hätten jeder-zeit Zugriff auf Daten amerikanischer Unter-nehmen in Europa, kann jedoch nicht in ei-ner grundsätzlichen Beurteilung der daten-schutzrechtlichen Zulässigkeit die rechtlicheUnzulässigkeit bereits vor der tatsächlichenVornahme einer solchen rechtswidrigenÜbermittlung annehmen.

Fraglich ist, wie der oft diskutierte Datenzu-griff durch (US-)Geheimdienste zu bewertenist. Hierzu gibt es keine gesicherte Fakten-lage, die bewertet werden kann. Der Ge-heimdienstzugriff ist daher im Rahmen einerRisikoeinschätzung zu betrachten.

Und nun?Cloud-Datenverarbeitung wird sich vermut-lich nicht aufhalten lassen. Derzeit tun sichdie Datenschutz-Aufsichtsbehörden inDeutschland noch sehr schwer damit. Un-ternehmen können sich nicht allein auf dieMicrosoft-Verträge verlassen. Soll Office365 eingeführt werden, muss eine ausführli-che Prüfung und Bewertung – unter ande-rem durch den betrieblichen Datenschutz-beauftragen – erfolgen. Ein datenschutz-rechtliches Restrisiko lässt sich nicht aus-schließen.Office 365 kann möglich sein

Unter den oben dargestellten Vorausset-zungen kann ein datenschutzkonformer Ein-satz von Microsoft Office 365 möglich sein,wenn er auch nicht frei von Risiken ist.Trotz valider Prüfung bleibt aufgrund der er-forderlichen Interessensabwägung als Teilder Rechtsgrundlage aus § 28 Abs. 1 Nr. 2BDSG ein Rechtsrisiko bezüglich der Ausle-gung bestehen: Die zuständige Daten-schutz-Aufsichtsbehörde könnte zu einer

anderen Wertung gelangen und die Daten-verarbeitung in Office 365 untersagen.

Dies kann auch nachträglich beispielsweisedurch eine Veränderung des Kenntnisstan-des über Datenzugriffe oder -herausgabe-verlangen aus Drittstaaten eintreten. Übri-gens: Microsoft behält sich die Änderungenan seinen Diensten aufgrund der Änderungrechtlicher Rahmenbedingungen vor, sodass der geprüfte Stand plötzlich ganz an-ders aussehen kann. Für diesen Fall benö-tigt man eine Fallback-Strategie, um die Da-ten aus der Cloud zurückholen zu können.

Die Sicht der Aufsichtsbehörden

Insbesondere müssen die künftigen Aussa-gen von Datenschutz-Aufsichtsbehördenverfolgt werden. Sowohl der Berliner alsauch der Hamburgische Beauftragte für Da-tenschutz und Informationsfreiheit haben imRahmen des 9. Europäischen Datenschutz-tages am 28.01.2015 geäußert, die Vorga-ben für Datenübermittlungen in die USA kri-tisch prüfen und gegebenenfalls untersagenzu wollen. Die Auswirkungen des Safe Har-bor-Urteils sind noch nicht absehbar. DerEuGH kritisierte insbesondere, dass durchdas Abkommen kein angemessenes Daten-schutzniveau in den USA hergestellt wer-den kann. Konsequent weitergedacht, istdies durch EU-Standardvertragsklauseln al-lerdings ebenso wenig möglich.Kolumbus oder Kuckuck?

Ob Microsoft Office 365 nun das Ei des Ko-lumbus oder das des Kuckucks ist, lässtsich weder pauschal noch final beantwor-ten. Unternehmen müssen den Einsatz injedem Fall sehr kritisch prüfen und letztlichentscheiden, ob der Einsatz trotz einesRechtsrisikos gewollt ist. Die Antwort aufdiese Frage wird je nach Unternehmen un-terschiedlich ausfallen

Über den Autor:

Christoph Schäfer ist Security Consultant bei der Secorvo Security Consulting GmbH,zertifizierter betrieblicher Datenschutzbeauftragter (GDDcert.), Datenschutzauditor (TÜV)und TeleTrusT Information Security Professional (T.I.S.P.). Seine Beratungsschwer-punkte sind datenschutzrechtliche Fragestellungen und technisch-organisatorischer Da-tenschutz. Zudem hält er regelmäßig Schulungen und Vorträge zu Datenschutzthemen.

Telefon: 0721 255171-312 | E-Mail: [email protected]

1 Was ist Azure RMS?

Microsoft Azure ist die Cloud Computing-Plattform von Micro-soft. Die Azure Rights Management Services (RMS) dienen da-zu, Informationen bei der Verarbeitung mit Microsoft Office 365 Anwendungen vor nicht autorisierter Verwendung zu schützen.

Die Eigentümer von Dokumenten können in Azure RMS fest-legen, wer diese öffnen, ändern, drucken, weiterleiten oder ande-re Aktionen mit ihnen ausführen darf. Der Schutz ist an das je-weilige Dokument gebunden – es ist also unerheblich, wo es ge-speichert oder verarbeitet wird.

Die im Verfahren verwendeten Schlüssel und Zertifikate wer-den im Beitrag jeweils an der Stelle eingeführt, an der sie zum ers-ten Mal verwendet werden. Die Erzeugung und die Verteilung der Schlüssel sind nicht Gegenstand dieses Beitrags.

2 Verschlüsselung

An einem fiktiven Beispiel stellen wir die Funktionsweise von Azure RMS vor. Dabei stehen nicht die konkreten kryptografi-

schen Bausteine im Vordergrund. Diese können sich jederzeit än-dern. Wir wollen die komplexen Abläufe transparent machen.

2.1 Berechtigungen

Ein Mitarbeiter erstellt mit einer Office-Anwendung ein Doku-ment und möchte es mit Azure RMS schützen. In unserem Bei-spiel legt dieser Mitarbeiter (M) zunächst Berechtigungen für das Dokument fest (Abbildung 1): Alle Mitarbeiter mit der Rolle „Ver-trieb“ sollen lesen und schreiben [RW] können. Mitarbeiter mit der Rolle „Support“ sollen nur lesen dürfen [RO].

2.2 Content Key

Durch den Client wird zum Schutz des Dokuments ein zufälli-ger 128 bit langer AES-Schlüssel erzeugt. Für mobile Geräte wird dieser von Microsoft generiert und dem Endgerät übermittelt.

Dieser symmetrische Schlüssel wird als Content Key bezeichnet. Das Dokument wird dann durch die Anwendung mit dem Con-tent Key symmetrisch mit AES 128 verschlüsselt (Abbildung 2).

Der Mitarbeiter M hat nun � das ungeschützte Dokument, � den zufälligen 128 bit langen Content Key, der dauerhaft auf seinem Endgerät gespeichert wird,

� die Berechtigungsliste, die er erzeugt hat, und � eine AES-verschlüsselte Version seines Dokuments.

2.3 Public Key

Für den nächsten Schritt besorgt sich die Office-Anwendung des Mitarbeiters den öffentlichen Schlüssel (Public Key) des RMS Ser-vers, das sogenannte Server Licensor Certficate (SLC). Der Pub-lic Key des RMS-Servers ist ein 2048 bit langer RSA-Schlüssel.

Mit dem Public Key des RMS Servers wird der Content Key per RSA-Verfahren verschlüsselt (Abbildung 3).

2.4 Publishing License

Für den nächsten Schritt benötigt der Client seinen privaten Schlüssel (Private Key) und den zugehörigen öffentlichen Schlüs-sel aus dem Client Licensor Certficate (CLC).

Kai Jendrian

Security Consultant bei der Secorvo Security Consulting GmbH, lizenzierter Auditor und OWASP- Mitglied. Beratungsschwerpunkte: Information Security Management und Anwendungssicherheit.E-Mail: [email protected]

Christoph Schäfer

Security Consultant bei der Secorvo Security Consulting GmbH, zertifizierter betrieblicher Datenschutzbeauftragter (GDDcert.), Beratungsschwerpunkte: Datenschutz und Datensicherheit. E-Mail: [email protected]

Kai Jendrian, Christoph Schäfer

Verschlüsseln in der CloudVisualisiert am Beispiel von Microsoft Azure RMSIT-Outsourcing in „die Cloud“ liegt im Trend. Die Anbieter locken mit skalierbaren und anpassungsfähigen Anwendungen und Infrastrukturen und versprechen höhere Flexibilität bei geringeren Kosten. Doch Datenschutz- und IT-Sicherheitsbeauftragte sind alarmiert: Wie können personenbezogene Daten und sensible Informationen vor Dritten geschützt werden? Sind die Verschlüsselungsansätze der Cloud-Anbieter eine Lösung? Eine Analyse am Beispiel von Microsoft Azure RMS zeigt, dass die sichere Verwahrung von Schlüsseln nicht genügt.

548 DuD • Datenschutz und Datensicherheit 8 | 2015

GOOD PRACTICE

Die Berechtigungsliste, der verschlüsselte Content Key und der Public Key des Clients (aus dem CLC) werden zusammengestellt. Mit dem Private Key des Clients (CLC) wird diese Zusammen-stellung signiert. Microsoft setzt dafür einen SHA-256-Hash ein.

Die signierte Zusammenstellung von Berechtigungen und Schlüsseln heißt Publishing License (Abbildung 4).

2.5 Protected Document

Die Publishing License in einem weiteren Schritt mit dem Public Key des RMS verschlüsselt. Die verschlüsselte Publishing Licence und das verschlüsselte Dokument werden in einer Datei zusam-mengestellt. Diese Datei wird als Protected Document bezeich-net (Abbildung 5).

3 Entschlüsselung

Der Prozess der Entschlüsselung erfordert einige Schritte mehr als die Verschlüsselung.

3.1 Empfang des Dokuments

Ein Empfänger (R) erhält ein Protected Document und will die-ses nutzen (Abbildung 6). Er extrahiert die Publishing License und den verschlüsselten Inhalt (Abbildung 7).

Für die weitere Verarbeitung sendet der Empfänger zunächst die Publishing License und den Public Key seines Rights Account Certificates (RAC) an den RMS-Server (Abbildung 8). Das Zer-tifikat hat zwei Funktionen: es enthält seine ID für die Berechti-gungsprüfung und seinen Public Key, mit dem später sicherge-stellt wird, dass nur er das Dokument verwenden kann.

Abbildung 1 - 5 | Verschlüsseln

Abbildung 6 - 8 | Entschlüsseln – Empfang

DuD • Datenschutz und Datensicherheit 8 | 2015 549

GOOD PRACTICE

3.2 AD und HSM

Für die weiten Schritte benötigt Azure RMS zusätzlich zum RMS-Server noch zwei weitere Komponenten:

� Ein Active Directory (AD) mit Zuordnung von Individuen (IDs) zu Gruppen (Rollen).

� Ein Hardware Security Module (HSM), um kritische Entschlüs-selungsfunktionen auszuführen. Das HSM hält dazu den pri-vaten Schlüssel des SLC-Schlüsselpaares. Das HSM entschlüs-selt alles, was der RMS-Server ihm zur Entschlüsselung vorlegt.

3.3 Berechtigungsprüfung

Um zu prüfen, ob der Empfänger das Dokument verwenden darf, benötigt der RMS-Server die entschlüsselte Publishing Licence.

Der RMS-Server selbst kann das Dokument nicht entschlüs-seln, das kann nur das HSM. Der RMS-Server übergibt deshalb

die verschlüsselte Publishing License an das HSM zur Entschlüs-selung (Abbildung 9). Das HSM gibt dann die entschlüsselte Pub-lishing License an den RMS-Server zurück (Abbildung 10).

Mit Hilfe des AD prüft der RMS-Server die Berechtigungen des Empfängers für das Dokument (Abbildung 11). Der RMS-Ser-ver hat nun die tatsächlichen Berechtigungen des Empfängers für das Dokument ermittelt – in unserem Beispiel darf der Empfän-ger das Dokument nur lesen (Abbildung 12). Falls der Empfänger nicht berechtigt ist, wird die weitere Bearbeitung abgebrochen.

3.4 RMS und HSM arbeiten zusammen

Der RMS-Server übergibt nach erfolgreicher Berechtigungsprü-fung den verschlüsselten Content Key aus der Publishing License zur Entschlüsselung an das HSM (Abbildung 13). Das HSM ent-schlüsselt anschließend den Content Key und gibt ihn unverschlüs-selt an den RMS-Server zurück (Abbildung 14).11Der RMS-Server

Abbildung 9 - 12 | Entschlüsseln – Berechtigungsprüfung Abbildung 13 - 16 | Entschlüsseln – RSM, HSM


GOOD PRACTICE

hat nun die tatsächlichen Berechtigungen des Empfängers und den unverschlüsselten Content Key sowie den Public Key des RAC des Empfängers vorliegen (Abbildung 15). Der Server stellt diese Be-rechtigungen und den unverschlüsselten Content Key zur soge-nannten Use License zusammen und lässt diese durch das HSM mit dem Private Key des SLC signieren (Abbildung 16).

Das HSM liefert jetzt die signierte Use License an den RMS-Ser-ver zurück (Abbildung 17) und der der RMS-Server verschlüsselt die Use License mit dem Public Key aus dem RAC des Empfän-gers (Abbildung 18).

3.5 Zurück zum Empfänger

Nach diesen Prozessschritten übermittelt der RMS-Server die ver-schlüsselte Use License an den Empfänger (Abbildung 19), der nun das verschlüsselte Dokument sowie die verschlüsselte Use Licen-se vorliegen hat (Abbildung 20). Die Anwendung des Empfängers entschlüsselt die Use License anschließend mit dem Private Key aus dem Schlüsselpaar zum RAC des Empfängers (Abbildung 21).

Die Anwendung prüft die Berechtigungen aus der Use Licen-ce. Ihr liegt jetzt die Berechtigungsliste und der unverschlüsselte Content Key vor (Abbildung 22).

Mit dem Content Key kann die Anwendung des Empfängers nun das Dokument entschlüsseln (Abbildung 23). Die Anwen-dung beschränkt die Nutzung des Dokuments nach den Vorga-ben der Berechtigungsliste (Abbildung 24).

4 Thesen

These I

Wenn in einer Organisation kooperativ in der Cloud gearbeitet werden soll, ist Verschlüsselung eine Herausforderung. Im Hin-tergrund laufen bei Azure RMS komplexe Schritte ab. Gleichwohl bietet Microsoft damit eine funktionierende und dem Stand der Technik entsprechende Lösung an.

Abbildung 17 - 18 | Entschlüsseln – RSM, HSM Abbildung 19 - 24 | Entschlüsseln – Zurück zum Empfänger

DuD • Datenschutz und Datensicherheit 8 | 2015 551

GOOD PRACTICE

These II

Cloud-Outsourcing setzt Vertrauen in den Dienstleister voraus. Mit Diensten wie Azure RMS kann ein hohes Schutzniveau von Informationen gewährleistet und die Durchsetzung einer Info-klassifizierung effektiv unterstützt werden.

Die Cloud-Anbieter können ein hohes technisches und organi-satorisches Schutzniveau bieten und dabei auch den alleinigen Zu-griff ihrer Mitarbeiter ausschließen, insbesondere auch der Admi-nistratoren. Dennoch besteht weiterhin das Risiko des missbräuch-lichen Zugriffs auf Daten seitens des Cloud-Anbieters als Organisa-tion, solange keine Ende-zu-Ende-Verschlüsselung eingesetzt wird.

These III

Um auch sensible Informationen in der Cloud speichern zu kön-nen, muss der Auftraggeber sowohl die Ver- als auch die Ent-schlüsselung alleine beherrschen und dabei auch die Schlüssel kontrollieren. Da Cloud-Verschlüsselungen für Kollaboration in der Regel auf Berechtigungslisten aufbauen, genügt die Schlüssel-hoheit allein nicht, wie das Beispiel Azure RMS zeigt.

Entweder muss man das System zur Ver- und Entschlüsselung selbst betreiben oder aber auf eine Lösung eines Drittanbieters setzen – mit allen damit verbundenen Vor- und Nachteilen.

These IV

Wenn der Zugriff des Dienstleisters nicht vollständig ausgeschlos-sen werden kann, benötigt man trotz einer Verschlüsselung wie bei Azure RMS einen Auftragsdatenverarbeitungsvertrag gemäß § 11 des Bundesdatenschutzgesetzes (BDSG) mit dem Dienstleister.

Azure RMS dient primär dem Berechtigungsmanagement und gerade nicht dem Schutz von Daten oder Berufsgeheimnissen vor dem Dienstleister. Es ist daher ungeeignet, einen Zugriff vollstän-dig auszuschließen.

Die hier vorgestellte Verschlüsselung ist dennoch aus Daten-schutzsicht eine Bereicherung. Insbesondere für Interessensab-wägungen – beispielweise als Grundlage für Datenübermittlun-gen – kann sie ein wichtiger Aspekt sein. Gleichzeitig stellt sie ge-nerell eine Maßnahme zur Verbesserung der Datensicherheit dar.

5 Fazit

Ist Kryptographie also das Allheilmittel der Cloud? Diese Frage muss man klar mit „Jein“ beantworten. Die Verschlüsselungs-Lö-sung eines Cloud-Anbieters einzusetzen, setzt Vertrauen in die-sen voraus. Drittanbieter-Lösungen sind zwar erhältlich, schei-tern aber im täglichen Betrieb oft an geringer Performance.

Nach einer Risikoabwägung wird man daher derzeit vermutlich zu einer Mischlösung kommen: Die allgemeine Datenverarbeitung kann möglicherweise unter Beachtung aller rechtlichen und tech-nischen Rahmenbedingungen in die Cloud ausgelagert werden. Für besonders schützenswerte Informationen, wie beispielsweise dem Berufsgeheimnis unterliegende Daten, Gesundheitsdaten oder die „Kronjuwelen“ des Unternehmens, wird man vielleicht eher ei-ne klassische interne Rechenzentrumslösung wählen.

In jedem Fall muss der Auftraggeber die jeweilige Verschlüsse-lungslösung genau prüfen. Anbieter wären gut beraten, ihre Lö-sungen umfänglich und verständlich zu dokumentieren, um po-tenziellen Kunden eine solide Entscheidungsgrundlage zu bieten.

Von Thomas Mann Service lernen

Bernd StaussWenn Thomas Mann Ihr Kunde wäreLektionen für Servicemanager

2012. V, 210 S. mit 9 Abb. Geb. € (D) 24,95ISBN 978-3-8349-4030-8Wenn Servicemanager exzellenten Service liefern wollen, dann sollten sie ihr Handeln weniger an abstrakten Zahlen-werten und Modellen orientieren, sondern lieber Thomas Mann lesen. Die in diesem Buch präsentierten Textpassa-gen aus seinen Novellen und Romanen zeigen, wie präzise er Dienstleistungssituationen erfasst, die von bleibender Aktualität sind. Denn bei allem technischen Wandel hat sich nichts daran geändert, wie Menschen andere Menschen im Servicekontakt erleben und wie sie als Menschen be-handelt werden wollen. Thomas Mann beschreibt meister-haft das Denken, Empfi nden und Handeln von Dienst-leistungs kunden. Daher eignen sich die geschilderten Epi-soden hervorragend dazu, zentrale Lektionen für heutige Servicemanager abzuleiten. Auf diese Weise führt uns der große deutsche Schriftsteller und Nobelpreisträger vor Augen, was modernes wissenschaftliches und praktisches Dienstleistungsmanagement ausmacht. „Wie seine litera-rischen Geschöpfe war Thomas Mann ein bürgerlicher, wohlhabender Mann mit sehr hohen Ansprüchen an Kom-fort und Servicequalität […] Was er seinen Erzähler in der Novelle ‚Das Eisenbahnunglück‘ sagen lässt, gilt absolut auch für ihn selbst: ‚Ich reise gern mit Komfort.‘“

springer-gabler.de

Änd

erun

gen

vorb

ehal

ten.

Erh

ältli

ch im

Buc

hhan

del

od

er b

eim

Ver

lag.

Einfach bestellen: [email protected] Telefon +49 (0)6221 / 3 45 – 4301


GOOD PRACTICE

Documents

Office 365 und Datenschutz: Ei des Kolumbus – oder Kuckucksei? · Secorvo Security Consulting GmbH, Secorvo Security Consulting