Drei Fragen und Antworten: Verschlüsselung in der Azure Cloud meistern

close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

Don’t show this again.

Wer seine Daten in der Azure-Cloud hat, will sie sicher wissen – und das heißt verschlüsselt. Die Gretchenfrage lautet: Reichen die Microsoft-Schlüssel, oder sollen es lieber eigene sein? Azure bietet da Optionen und Kombinationsmöglichkeiten, aber das Angebot ist nicht leicht zu überblicken. Armin Berberovic, Titelautor der neuen iX 3/2026, erklärt, wie man es angehen kann und wo man unbedingt Herr der Schlüssel sein sollte.

Von Pressemitteilungen über Terminkalender bis hin zu Geschäftsgeheimnissen halten Unternehmen so einiges an Daten vor. Wie kann man da strukturiert Schutzklassen bestimmen?

Maßgeblich für die Einordnung von Daten in eine Schutzklasse ist der Schaden, den diese Daten in den falschen Händen verursachen können. Üblich ist hier eine Einteilung in öffentliche, interne, vertrauliche und streng vertrauliche Daten. Eine Pressemitteilung wäre ein Beispiel für eine öffentliche Information, die das Unternehmen aus freien Stücken mit der Allgemeinheit teilt. Da ist nicht zu erwarten, dass ein Angreifer mit diesen Informationen das Unternehmen schädigen kann. Anders sieht das aus, wenn Geschäftsgeheimnisse erbeutet werden. Hier droht nicht nur ein Imageverlust, auch die Erpressung durch kriminelle Banden oder eine Schwächung der eigenen Wettbewerbsfähigkeit liegt im Spektrum der möglichen Folgen.

Ab wann sollte man auf eigene Schlüssel setzen, wann sind vielleicht auch die von Microsoft verwalteten akzeptabel? Und wie ist die Verwendung eigener Schlüssel bei Azure implementiert?

Zum Schutz öffentlicher und interner Daten sind von Microsoft verwaltete Schlüssel ausreichend. Sie erfordern wenig Aufwand und sind kostengünstig. Das ist wie so oft in der IT-Sicherheit eine Ermessensentscheidung, bei der Kosten und Aufwände den potenziellen Schäden gegenüberzustellen sind. Hier sollte weder mit Kanonen auf Spatzen geschossen noch am falschen Ende gespart werden, weshalb spätestens ab der Schutzklasse „vertraulich“ die Verwaltung der Schlüssel in die eigenen Hände zu nehmen ist.

Für die kundeneigenen Schlüssel nutzt Azure ein mehrstufiges Verschlüsselungsverfahren, welches als Envelope Encryption bekannt ist. Diese Technik kennt zwei Schlüssel, den Key Encryption Key (KEK) und einen Data Encryption Key (DEK). Mit dem KEK wird, wie der Name bereits verrät, ein zweiter Schlüssel verschlüsselt, etwa um den zweiten Schlüssel sicher irgendwo abzulegen. Dieser als „wrapping“ bekannte Prozess wird auf den DEK angewendet, mit dem die Daten verschlüsselt sind.

Soll eine Datei entschlüsselt werden, muss zunächst mit dem KEK der DEK „unwrapped“ (entschlüsselt) werden, um mit dem DEK dann die Datei zu entschlüsseln. Bei einem selbstverwalteten Schlüssel in Azure handelt es sich um den KEK. Dieser kann in Azure Key Vault wahlweise mit softwarebasiertem Schutz oder im Premium-Tier auch in einem HSM abgelegt und über diverse Schnittstellen mit anderen Azure-Diensten genutzt werden. Dabei schützt er in seiner Funktion als KEK den DEK, mit dem der jeweilige Dienst seine Daten verschlüsselt.

Was empfiehlt sich an zusätzlichen Maßnahmen für die höchste Vertraulichkeitsstufe?

Unerlässlich für streng vertrauliche Daten ist der Einsatz eines Hardware Security Modules (HSM). Ein HSM ist ein dediziertes Hardware-Modul, das kryptographische Operationen mithilfe eines integrierten Mikroprozessors ausführt und dort verwahrten Schlüsseln einen besonderen Schutz bietet. So verfügt es über zusätzliche Sicherheitsmechanismen, die aktiv auf Manipulationsversuche reagieren. Wird ein solcher Versuch festgestellt, können die gespeicherten Schlüssel gelöscht oder das HSM deaktiviert werden. Damit bieten HSMs einen besseren Schutz vor Manipulationen als rein Software-basierte Schutzmaßnahmen.

Armin, vielen Dank für die Antworten! Einen Überblick zur Verschlüsselung unter Azure gibt es in der neuen iX. Außerdem zeigen wir, wie man über die Microsoft-Cloud das Monitoring lokaler Windows-Server abwickeln kann – und richten den Blick darauf, was bei Microsoft noch on Prem geht. All das und viele weitere Themen finden Leser im März-Heft, das ab sofort im heise Shop oder am Kiosk erhältlich ist.

In der Serie „Drei Fragen und Antworten“ will die iX die heutigen Herausforderungen der IT auf den Punkt bringen – egal ob es sich um den Blick des Anwenders vor dem PC, die Sicht des Managers oder den Alltag eines Administrators handelt. Haben Sie Anregungen aus Ihrer täglichen Praxis oder der Ihrer Nutzer? Wessen Tipps zu welchem Thema würden Sie gerne kurz und knackig lesen? Dann schreiben Sie uns gerne oder hinterlassen Sie einen Kommentar im Forum.

(axk)