Cloud Privacy Service zur DSGVO-konformen Nutzung von Microsoft 365
Cloud-Dienste wie Microsoft 365 vertragen sich schlecht mit der DSGVO. T-Systems verspricht Abhilfe mit einem Cloud Privacy Service fĂĽr Unternehmen.
- Dr. Hans-Peter SchĂĽler
Der in der DSGVO vorgeschriebene Schutz für personenbezogene Daten erfordert besondere Vorkehrungen, wann immer diese zur Speicherung oder Verarbeitung ins Internet gelangen. Dann muss der Auftraggeber den Datenschutz gewährleisten, indem er schriftliche Vereinbarungen zur Auftragsdatenverarbeitung mit seinen Cloud-Dienstleistern abschließt. In vielen Fällen bleibt ihm dann nichts weiter, als sich auf den Einhalt dieser Verträge zu verlassen.
Sofern es lediglich darum geht, Daten in der Cloud zu speichern, lässt sich der Schutz zwar darüber hinaus durch eine Ende-zu-Ende-Verschlüsselung absichern. Dann erbeuten Datendiebe nur kryptischen Bytesalat, mit dem sie nichts anfangen können. Der Ansatz taugt aber nicht, wenn die Daten auf dem Internetserver auch bearbeitet werden sollen, etwa mit einer Bürosuite wie Microsoft 365.
Unter diesem Namen bietet Microsoft ein komplettes Office-Paket mit diversen Cloud-Anwendungen an, die sich über einen Browser im Web bedienen lassen. Bei den herkömmlichen Abo-Angeboten von Microsoft 365 ist es aber unvermeidbar, dass in dem Rechenzentrum, das die Microsoft-Dienste hostet, fremde Personen – auch Microsoft-Mitarbeiter – mit Admin-Rechten Zugriff auf die gespeicherten Daten der Anwender haben. Zwar sind deutsche Hoster und deren Mitarbeiter durch europäische Gesetze und die abgeschlossenen Vereinbarungen zur Auftragsdatenverarbeitung auf den Datenschutz gemäß der DSGVO verpflichtet. Doch nach aktuellen Empfehlungen der EU genügt das nicht für Anbieter, die ihren Sitz außerhalb der EU in unsicheren Drittstaaten haben.
Zu diesen unsicheren Drittstaaten gehören etwa die USA. Microsoft, dem die Wartung der Office-Anwendungen obliegt, ist als US-amerikanisches Unternehmen an US-Gesetze gebunden und muss Forderungen von US-Behörden auf die Herausgabe von Anwenderdaten nachkommen – selbst wenn diese Forderungen gegen europäisches Recht verstoßen. Entsprechend schwammig verspricht Microsoft in seinen Lizenzbedingungen lediglich, den Datenschutz "nach Möglichkeit" einzuhalten – und da, wo es nicht möglich sei, finanzielle Entschädigungen zu leisten.
Um dieses politische Problem technisch zu lösen, bietet T-Systems seinen Cloud Privacy Service an. Er ist praktisch der Nachfolger der inzwischen eingestellten Microsoft Cloud Deutschland. Im Unterschied dazu baut er zum Datenschutz nicht nur auf vertragliche Regelungen, sondern vor allem auf technische Vorkehrungen. Basis dafür ist das nach einer Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte Gateway des Herstellers Eperi. Der Dienst ist für einen Mehrpreis von zwei Euro je Nutzer und Monat gegenüber sonstigen Microsoft-365-Abo-Kosten aktuell für Großbetriebe verfügbar. In einigen Wochen will T-Systems den Dienst für monatliche Aufpreise von vier bis fünf Euro je Nutzer auch für kleinere Unternehmen anbieten. In dem Preis machen sich die Einrichtungskosten stärker bemerkbar. Wir haben uns live vorführen lassen, wie das Eperi Gateway auf dem T-Systems-Server mit den Microsoft-Anwendungen zusammenspielt.
Per Proxy verschlĂĽsselt
Für Abonnenten des Cloud Privacy Service hostet T-Systems in seinen Rechenzentren die Anwendungsserver für die Web-Apps von Word & Co. Die Software läuft bei T-Systems in einer speziellen Umgebung, die es Dieben und auch Admins praktisch unmöglich machen soll, Anwenderdaten abzugreifen oder zu verändern.
Außerdem fungiert der Cloud Privacy Service als Mittler zwischen Anwendern, den Servern für E-Mail (Exchange) und Webspeicher (OneDrive) sowie der Benutzerverwaltung durch Microsoft: Anwender melden sich ganz normal mit ihrem Namen bei Microsoft 365 an – nur nicht direkt am Microsoft-Server, sondern an einem Login-Server von T-Systems. Dieser übersetzt jeden Anwendernamen in ein Pseudonym und verwaltet Microsoft-365-Abonnenten unter diesen falschen Namen.
Vor der Speicherung auf einem Microsoft-Server werden Anwenderdaten durch das Eperi Gateway im T-Systems-Rechenzentrum sicher verschlüsselt. Sicher heißt: Es kommen tausende Schlüssel mit dem 256-Bit-AES-Verfahren zum Einsatz, die das Gateway normalerweise in einer Hardware-geschützten separaten Datenbank verwaltet. In Sonderfällen lässt sich der Dienst aber auch so konfigurieren, dass das Gateway den Vorrat an verwendeten Schlüsseln über eine per TLS gesicherte Verbindung aus einer lokalen Datenbank des Anwenders lädt und nur für die Dauer der Benutzung zwischenspeichert.
Beispiel: Textbearbeitung
Die Arbeit mit Microsoft 365 über die T-Systems-Verschlüsselung läuft für Anwender weitgehend transparent, allerdings müssen sie auf einige Sonderfunktionen verzichten. Dazu ein Beispiel mit der Textverarbeitung Word.
Max Müller loggt sich am T-Systems-Server ein und dieser authentifiziert ihn mit dem Pseudonym Klaus Schnurz für Microsoft 365. Müller startet die Web-App von Word auf dem T-Systems-Server und legt ein neues Dokument an. Er tippt an seinem lokalen Rechner Text ein und überträgt von dort auch eine Bilddatei zum Server – beides per HTTPS verschlüsselt. Auf dem T-Systems-Server landen Text- und Bilddaten zunächst unverschlüsselt im Hauptspeicher, sodass Müller sie ungehindert verändern, ergänzen und löschen kann. Sobald Müller oder die Speicherautomatik von Word das Dokument auf OneDrive speichert, tritt das Eperi Gateway als kryptografischer Proxy in Aktion. Es verschlüsselt den Inhalt und alle Metadaten, bevor sie unter dem Pseudonym Klaus Schnurz auf dem OneDrive abgelegt werden.
Das Eperi Gateway kodiert aber nicht das Dokument als Ganzes, sondern orientiert sich an den sogenannten Chunks, in welche Microsoft Office die Daten gliedert und die es im gespeicherten Dokument kontinuierlich aktualisiert. Bei diesen Chunks handelt es sich um kleine Abschnitte – einzelne Sätze, kurze Absätze oder im Fall von Excel um einzelne Tabellenfelder.
Durch die Aufteilung in Chunks können mehrere berechtigte Anwender gleichzeitig das ganze Cloud-Dokument bearbeiten, ohne sich gegenseitig in die Quere zu kommen. Zum Konflikt kommt es nur, wenn zwei Anwender gleichzeitig denselben Chunk bearbeiten. Dann erzeugt die Software separate Varianten des betroffenen Abschnitts und fordert den Besitzer später zur manuellen Bereinigung auf.
Jedes Mal, wenn ein Chunk auf OneDrive aktualisiert wird, kodiert ihn das Gateway mit einem der vielen tausend Schlüssel aus seiner Datenbank, generiert einen Header und speichert mit ihm zusammen das Chiffrat. Der Header enthält eine Zeichenfolge, an der das Gateway den Datenblock später als sein eigenes Chiffrat erkennt, sowie einen Pointer, der auf den verwendeten Schlüssel in seiner Datenbank zeigt.
Wenn nun ein Datendieb, ein unseriöser Administrator oder ein US-Geheimdienst das gespeicherte Word-Dokument von Max Müller aus dem OneDrive lesen will, muss er zunächst wissen, dass es dort unter dem Pseudonym Klaus Schnurz gespeichert wurde. Statt Klartext bekäme er aber auch dann nur die chiffrierten Chunks zu sehen, mit denen er nichts anfangen kann.
Anders der rechtmäßige Nutzer Max Müller: Er startet aus seinem Browser heraus die Word-App im Cloud Privacy Service von T-Systems, wo er als Klaus Schnurz angemeldet ist, und lädt sein Dokument. Der Cloud Privacy Service lädt das Dokument über den Eperi-Gateway-Proxy in seinen Hauptspeicher. Das Eperi Gateway schlägt Chunk für Chunk die passenden Schlüssel nach, dekodiert den Inhalt und gibt ihn im Klartext an die Word-App auf dem T-Systems-Server weiter.
Mail-VerschlĂĽsselung
Die Speichermethoden und Portionierungen unterscheiden sich je nach Anwendung aus dem Microsoft-365-Paket. Während bei der Online-Bearbeitung von OneDrive-Dokumenten wie beschrieben einzelne Chunks verschlüsselt werden, chiffriert die Software zum Beispiel hochgeladene Dateien ebenso wie E-Mail-Anhänge als Ganzes. Chat-Beiträge kodiert das System jeweils einzeln. Audio- und Videostreams werden aus Performance-Gründen gar nicht verschlüsselt.
Empfangene E-Mails kodiert das Eperi Gateway vor der Weiterleitung an den Exchange-Online-Server von Microsoft zeilenweise mit jeweils eigenen Schlüsseln. Dadurch kann Outlook zum Beispiel in seiner Übersicht die ersten Zeilen jeder auf dem Server gespeicherten E-Mail anzeigen, ohne dass der Rest entschlüsselt werden müsste. Die zeilenweise Verschlüsselung gilt auch für die Kopfzeilen der Mails, schützt also auch Betreffangaben und Transportpfade. Lediglich Empfänger- und Absendername sowie der Zeitpunkt des Empfangs bleiben im Klartext erhalten, damit der Server die Mails im Postfach korrekt nach Datum oder Absender beziehungsweise im "Gesendet"-Verzeichnis des Anwenders nach Empfängern sortiert auflisten kann. Das Gateway verschlüsselt auch Ausgangsmail, bevor sie auf den Server gelangt, sodass auch Kopien in den "Gesendet"-Postfächern und Server-Backups keine lesbaren Mails enthalten. Erst wenn der Exchange-Server eine Mail in Richtung zum SMTP-Server verschickt, fängt das Gateway diese ab und entschlüsselt sie, damit sie in lesbarer Form auf die Reise geht.
VerschlĂĽsselte Suche
Sie fragen sich sicher: "Wozu dieser Aufwand? Ich kann doch einfach meine ganzen Dokumente selbst verschlüsseln, bevor ich sie auf einen Cloud-Speicher hochlade." Sicher, aber dann können Sie die verschlüsselten Daten nicht mehr in der Cloud durchsuchen, geschweige denn bearbeiten.
Deshalb pflegt der Cloud Privacy Service mit einer integrierten Solr-Suchmaschine einen eigenen, ausschließlich von T-Systems kontrollierten Index. Diese von der Apache-Foundation entwickelte quelloffene Suchplattform (ausgesprochen wie "solar") stellt dieselben Suchfunktionen zur Verfügung wie die eingebaute Microsoft-Suche. Forscht ein Anwender nach einem Begriff, fordert die Suchmaschine die im Index ausgewiesenen verschlüsselten Fundstellen mit den passenden Datensatz-IDs (Dateinamen, E-Mail-IDs …) von Microsoft 365 an und das Eperi Gateway entschlüsselt sie.
Eingeschränkter Komfort
Einige Klassen von Funktionen lassen sich mit dem bis hierhin beschriebenen Konzept nicht sicher ausführen: Das eine sind Microsofts sogenannte cognitive Services – zum Beispiel Fremdsprachübersetzungen und Web-Recherchen aus Word heraus. Die damit zu bearbeitenden Inhalte überträgt Word im Normalfall direkt aus dem Arbeitsspeicher an externe Microsoft-Serverfarmen, die möglicherweise auch in den USA stehen. Damit wäre der mühevoll aufgebaute Datenschutz hinfällig. In normalen Abonnements kann der Kunde diese cognitive Services im Microsoft 365 Admin Center deaktivieren; das müsste aber gezielt in der Governance des Kunden festgelegt und überwacht werden. Beim Cloud Privacy Service sind diese kognitiven Funktionen von vornherein deaktiviert, stehen den Nutzern also prinzipiell nicht zur Verfügung.
Eine weitere Funktionsgruppe sind serverseitig ausgeführte Funktionen, die auf geschützte Inhalte zugreifen müssen. Dazu gehört etwa die Malware-Analyse durch Exchange. Sie müsste den Body jeder Mail nach verdächtigen Bytemustern absuchen, ist damit aber bei einer verschlüsselten Mail zum Scheitern verurteilt.
Grenzen der Sicherheit
Das im Eperi Gateway angewandte Verschlüsselungsverfahren AES 256 gilt auf absehbare Zeit für Brute-Force-Angriffe als unüberwindlich. Sind keine weiteren Hinweise bekannt, kann ein Angreifer die Verschlüsselung nur brechen, wenn er durch Probieren den richtigen von 2256 möglichen Schlüsseln herausfindet. Anders liegt der Fall, wenn sich der Angreifer Zugriff auf die Schlüsseldatenbank des Eperi Gateways verschaffen kann. Dann braucht er nur die an jedem Chiffrat angebrachten Pointer in dieser Datenbank nachzuschlagen und kann den erbeuteten Inhalt automatisch entschlüsseln. T-Systems speichert diese Datenbank deshalb hinter einem Hardware Security Module.
Ein zweites Angriffsziel wäre der Hauptspeicher der Server von T-Systems, auf denen die Microsoft-365-Anwendungen laufen. Wenn ein Angreifer das Pseudonym des zu bespitzelnden Opfers herausfindet, könnte er sich theoretisch hinter dem Rücken des Hosters auf die Lauer legen und warten, bis die Zielperson ein interessantes Dokument öffnet. Um dessen Inhalt zu rekonstruieren, müsste der Angreifer zuerst den dazugehörigen Serverprozess identifizieren und den von ihm belegten Arbeitsspeicher mit einem Debugger kopieren. Dieses Unterfangen wäre um Längen aufwendiger als der Datendiebstahl in einem ungeschützten System: Dort könnte ein Angreifer mit Admin-Rechten mit einem einzigen Kommando alle Dokumente der Zielperson in einem Rutsch erbeuten.
Einsehbar bleiben zudem Mail-Kontakte. Trotz Verschlüsselung ist in den E-Mail-Postfächern sofort erkennbar, wer wann Mails von welchen Empfängern erhalten hat. Dagegen können sich Anwender theoretisch schützen, indem sie auch ihre E-Mail-Identitäten vom Cloud Privacy Service pseudonymisieren lassen. Diese Option ist aber problematisch: In diesem Fall muss jeder Anwender auch seine Alias-Adresse kennen und stets überlegen, wo er die echte oder die pseudonyme Adresse angeben sollte. Zum Beispiel könnte Max Müller seinen Kollegen Michael Meier zwar einfach unter dessen öffentlicher Adresse anmailen. Um seine Mails aber zur Urlaubsvertretung an diesen Kollegen umzuleiten, müsste er die Umleitungsvorschrift mit dessen Pseudonym formulieren. Der Server könnte nämlich intern keine Mails an Michael Meier umleiten, weil er keinen Michael Meier kennt, sondern eben nur dessen Pseudonym.
Bewertung
Im Detail sind die einzelnen Schritte der Ver- und Entschlüsselung noch deutlich komplexer, als wir sie hier nachzeichnen konnten. Jedoch wird bereits bei diesem Überblick deutlich, welche enormen Anstrengungen T-Systems unternimmt, um die in der Cloud verarbeiteten Daten verschlüsselt zu speichern und zumindest die notwendigen Funktionen von Microsoft 365 DSGVO-konform umzusetzen. Selbst Experten fällt es schwer, das System mit all seinen Feinheiten und Spezialformen zu durchschauen.
Anwenderdaten sind vor Einbrechern im Rechenzentrum ähnlich gut geschützt wie bei einer Ende-zu-Ende-Verschlüsselung. Trotzdem müssen Firmen, die unbedingt Microsoft 365 einsetzen wollen, ihre Daten weiterhin einem fremden Unternehmen anvertrauen. Beim Cloud Privacy Service sitzt dieses Unternehmen allerdings in Deutschland und nicht in den USA. Dadurch haben US-Behörden, die unter Verweis auf US-Gesetze Zugriff auf die Daten deutscher Kunden verlangen, bei diesem Dienst keine Handhabe.
Der technische Behelf macht aber einmal mehr deutlich, wie problematisch die Nutzung von Cloud-Dienstleistungen US-amerikanischer Großunternehmen sein kann und wie dringend eine unabhängige Lösung in Europa und Deutschland benötigt wird.
In c’t 19/2021 bauen wir einen maßgeschneiderten Server, vergleichen 60 Prozessoren in unserem großen CPU-Ratgeber und widmen uns der anstehenden Bundestagswahl: Wie stehen die Parteien zu Datenschutz, Überwachung und digitaler Souveränität? Außerdem im Heft: Mit der Fritzbox günstig ins Ausland telefonieren, Hotspots mit OpenWRT verwalten und PDF-Tabellen in Excel importieren. Ausgabe 19/2021 finden Sie ab dem 27. August im Heise-Shop und am gut sortierten Zeitschriftenkiosk.
(hps)