Office 365 – da wird doch geklaut?!

Office 365 in der Cloud – und was ist mit der Sicherheit?
Kommentare

Office 365. Ein blöder Name. Aber eine noch blödere Idee, wenn man auch nur drei Sekunden darüber nachdenkt. Ein Office, das seine Daten in der „Cloud“ speichert? Ernsthaft – das soll irgendjemand nutzen?

Office 365 – ein kleiner Rant muss sein!

Erinnern Sie sich noch daran, was los war, als Word (oder alle Office-Programme?) vor etlichen Jahren eine eindeutige User-ID erzeugte, die in allen Dokumenten enthalten war und auch an Microsoft geschickt wurde? War das damals eine Aufregung. Microsoft könnte damit jeden Word-Text eindeutig dem Urheber zuordnen. Unmöglich!

Erklärt wurde das Ganze von Microsoft dann mit einem Zufall, das war alles gar nicht beabsichtigt. Die ID wurde also nur ganz zufällig erzeugt. Und zufällig an den Microsoft-Server geschickt. Auf dem zufällig ein Programm lief, dass die ID entgegennahm und, ganz zufällig natürlich, in die ebenfalls zufällig laufende Datenbank eintrug. Zufälle gibt es, kaum zu glauben, nicht wahr?

Da ist inzwischen reichlich Gras drüber gewachsen, und über eine eindeutige Benutzer-ID regt sich heutzutage wohl niemand mehr auf. Es haben ja sowieso fast alle einen Facebook- und Google-Account, da kommt es auf eine ID mehr oder weniger auch nicht mehr an.

Aber jetzt kommt jemand bei Microsoft auf die Idee, ein Office zu entwickeln, dass seine Daten in der Cloud speichert. Und seine Vorgesetzten ziehen den Betreffenden nicht mal kurz zur Seite, sagen ihm, dass das eine wirklich blöde Idee ist, auch wenn Google die zuvor schon hatte, und dass er die besser schnell vergisst, wenn er noch lange bei Microsoft arbeiten möchte. Nein, ganz im Gegenteil, die rennen damit zu ihren Vorgesetzten, und die zu ihren … und das so lange, bis irgendjemand eine noch blödere Idee hat: das Ganze zur Entwicklung freizugeben.

Office-365-Nutzer sollen also ihre ganzen Dokumente auf Microsofts Server speichern. Das wären bei Privatleuten also so vertrauliche Sachen wie Liebesbriefe, Arztbefunde, Einkommensdaten …; bei Unternehmen z. B. ihre Kalkulationen, Angebote, Kundendaten, Entwicklungsunterlagen …

Eigentlich sollte man nach der Erfahrung mit der User-ID erwarten, dass bei der Vorstellung des Konzepts höhnisches Gelächter ausbricht (oder in Zeiten von Facebook und Co. wohl eher ein gewaltiger Shitstorm). Aber was passiert? Nichts! Ganz im Gegenteil, diese eigentlich blödsinnige Idee wird sogar positiv aufgenommen und findet Nutzer.

Hallo? Sonst geht es aber gut? Nur mal zur Erinnerung: Das ist die Cloud! Oder wie Graham Cluley es so schön formuliert hat: „somebody else’s computer“, also der Computer eines anderen.

Ersetzen Sie privat gedanklich mal Cloud jedes Mal durch „Computer eines Fremden“ (denn den „anderen“ kennen Sie ja gar nicht). Möchten Sie da wirklich Ihre privaten Daten drauf speichern? Ja? Tatsächlich? Das ist aber nicht nur der Computer eines Fremden, außer Ihnen nutzen den auch noch viele andere Leute, die Sie ebenfalls nicht kennen. Und, möchten Sie Ihre Dateien immer noch darauf speichern?

Und wenn Sie für ein Unternehmen entscheiden, dann ist die Cloud der „Computer eines anderen Unternehmens“. Auf dem noch viele weitere Unternehmen zugreifen können. Und da wollen Sie Ihre vertraulichen Daten drauf speichern? Ernsthaft?

Natürlich tut Microsoft alles technisch mögliche, um Ihre Daten vor unbefugten Zugriffen zu schützen. Die Frage ist nur, ob das reicht. Und Sie kennen ja Murphys Gesetz – irgendwann wird es einen Fehler geben, durch den Unbefugte auf Ihre Daten zugreifen können. Und wenn die Daten dann irgendwo anders landen, dann bestimmt da, wo sie den größten Schaden anrichten können.

Von den Angriffen Cyberkrimineller ganz zu schweigen. Nur, weil es bisher keine Angriffe gab (oder auch nur keine bekannt wurden?), muss das ja nicht auf Dauer so bleiben.

Und dann sind da natürlich noch NSA und Co. sowie allgemein US-Behörden. Vor deren Zugriff kann Microsoft Ihre Daten gar nicht wirkungsvoll schützen, wenn die da wirklich dran wollen. Was will Microsoft machen, wenn ein US-Gericht sie dazu verdonnert, die Daten rauszurücken und darüber zu schweigen?

Als US-Unternehmen muss Microsoft sich an die US-Gesetze halten, und daher auch auf Anordnung Daten rausrücken, selbst wenn die auf europäischen Servern gespeichert sind.

Microsoft hat zwar schon mal eine Anfrage erfolgreich abgewehrt, aber das war ein zweifelhafter Sieg: Das die Anfrage stellende FBI hat sie zurückgezogen, nachdem Microsoft Widerspruch eingelegt und vor Gericht gegangen ist. Das aber vielleicht auch nur, weil man die Daten auch anderweitig beschaffen konnte oder sie nicht unbedingt brauchte. Warum soll man sich vor Gericht rumärgern, wenn es nicht wirklich nötig ist? Wie die Sache ausgeht, wenn NSA und Co. die Daten wirklich wollen und die Sache vor Gericht ausfechten, steht auf einem anderen Blatt.

Und ein seit Dezember 2013 (!) andauernder Rechtstreit darüber, ob Microsoft in Irland gespeicherte E-Mails an die US-Behörden herausgeben muss oder nicht, ist noch immer nicht geklärt (Link 1, Link 2, Link 3, Link 4, Link 5). Ich schätze ja, im Ernstfall haben die US-Behörden den längeren Atem und sitzen auch am längeren Hebel. Wie wäre es zum Beispiel mit einer Klage gegen Microsofts Führungskräfte, weil die durch ihren Widerstand die Ermittlungen behindern?

Und nun zu den Fakten …

Genug geranted, kommen wir zu den Fakten. Da sieht es für Office 365 bisher gar nicht so schlecht aus. Denn tatsächliche Angriffe sind bisher nicht bekannt geworden, und auch auf den Sicherheitskonferenzen war sehr wenig los.

Office 365 auf den Sicherheitskonferenzen

So wenig, dass ich bis ins Jahr 2011 zurückgehen musste, um überhaupt einen Vortrag zu Office 365 zu finden: Auf der Black Hat Abu Dhabi 2011 haben Rich Lundeen und Jesse Ou einen Vortrag mit dem Titel „New Ways I’m Going to Hack Your Web App“ gehalten. Und eines ihrer Angriffsziele war Office 365, denn die zugehörigen Anwendungen sind ja auch „nur“ ganz normale Webanwendungen. Es ist aber zumindest für Office 365 nichts Schlimmes passiert: Darin wurde noch vor der Veröffentlichung eine Möglichkeit für einen Cross-site-Request-Forgery-Angriff gefunden und behoben.

Und das war es dann auch schon. Wenn man mal von Vorträgen wie dem von Justin Hendricks auf der DefCon 21 im Jahr 2013 über die Sicherheit von Domaincontrollern absieht. Der Vortrag hatte zwar nichts mit Office 365 zu tun, aber Justin Hendricks gehört zum Office-365-Securityteam.

Die Cloud auf den Sicherheitskonferenzen, ganz allgemein

Vorträge zur Cloud in allen möglichen Ausführungen gab es natürlich etliche, aber die haben alle nichts mit Office 365 zu tun. Ein Angriff auf und über einen Cloud-Dienst, der die Ausführung eigenen Codes erlaubt, ist ja auch deutlich einfacher als einer auf Office 365, dass zwar seine Programme aus der Cloud lädt und Dateien darin speichert, aber keine Möglichkeit bietet, eigenen Code auf den Microsoft-Servern auszuführen.

Mit eigenem Code ist es zum Beispiel möglich, den Netzwerkverkehr anderer Cloud-Benutzer zu manipulieren, Seitenkanalangriffe durchzuführen und vieles mehr (Link 1, Link 2). Aber diese Angriffe lassen sich nicht auf Office 365 übertragen und dienen hier nur als weiteres Beispiel, warum man der Cloud mit reichlich Misstrauen begegnen sollte.

Microsofts Anstrengungen, Office 365 sicherer zu machen

Mal abgesehen von immer mal wieder angepassten Nutzungs- und Datenschutzbestimmungen, die im Zweifelsfall nicht mal das Papier, auf dem sie nicht gedruckt sind, Wert wären, und verschiedenen organisatorischen Maßnahmen hat Microsoft auch immer wieder technische Maßnahmen ergriffen, um Office 365 sicherer zu machen. Während man bei den rechtlichen Schutzmaßnahmen am Ende auf die Entscheidung eines Richters angewiesen ist (wenn denn geklärt ist, welches Recht eigentlich gilt), helfen die technischen Maßnahmen mehr oder weniger effektiv bei der Abwehr möglicher Angriffe.

So wurde zum Beispiel im November 2013 mit der „Office 365 Message Encryption“ die Möglichkeit zum einfachen Versenden verschlüsselter E-Mails am Empfänger außerhalb des eigenen Unternehmens oder der eigenen Organisation eingeführt. Da die Nachrichten an einen Microsoft-Account gebunden sind, schränkt das den Empfängerkreis ein, was durch die Einführung eines One-Time-Passcodes ein knappes Jahr später korrigiert wurde. Was der Sicherheit aber nicht gerade zuträglich ist, da das Einmalpasswort per E-Mail geschickt wird. Ein Man-in-the-Middle-Angriff oder auch einfach jemand mit Zugriff auf die E-Mails erlangt also auch Zugriff auf die verschlüsselte E-Mail.

Im Dezember 2013 hat Microsoft dann angekündigt, dass man die ihnen anvertrauten Daten besser vor Zugriffen durch Regierungen schützen will. Dazu wird auf technischer Seite vor allem der Einsatz von Verschlüsselungstechniken ausgebaut. Die Daten werden durchgehend verschlüsselt, sowohl auf dem Weg vom Benutzer zu den Microsoft-Servern als auch bei der Übertragung zwischen verschiedenen Microsoft-Servern als auch während der Speicherung. Dabei kommen Perfect Forward Secrecy (die die nachträgliche Entschlüsselung aufgezeichneter Daten mit dem später erhaltenen privaten Schlüssel verhindert [1]) sowie 2 048 Bit lange Schlüssel zum Einsatz.

Im Februar 2014 wurde dann die Zwei-Faktor-Authentifizierung, die bis dahin nur für Administratoren möglich war, für alle Benutzer eingeführt. Der zweite Faktor wird entweder als SMS oder per Anruf bei einer registrierten Handy- oder Festnetznummer übertragen oder von einer Smartphone-App geliefert, an die entweder eine Notification geschickt oder von der ein One-Time-Code erzeugt wird.

Für Businesskunden gab es im Mai 2014 weitere verbesserte Schutzmaßnahmen: Der Zugriff auf Firmendaten von Mobilgeräten aus wird nun besser reglementiert, und in der Cloud abgelegte Dateien werden mit individuellen Schlüsseln verschlüsselt. Falls so ein Schlüssel Unbefugten in die Hände fällt, können sie damit nur eine einzelne Datei entschlüsseln und nicht mehr alle. Im Oktober 2014 wurden diese Funktionen weiter ausgebaut und ausgedehnt. Dabei wurde vor allem auch die Datenverlustverhinderung (Data Loss Prevention, DLP) verbessert. Einen Überblick über den aktuellen Stand bei der Verschlüsselung gibt zum Beispiel.

Im April 2015 wurde die „Customer Lockbox“ angekündigt. Microsoft muss nur sehr selten auf die Daten der Benutzer zugreifen, der Umgang mit den Konten ist fast vollständig automatisiert. Ist doch einmal ein Zugriff nötig, muss dieser intern mehrfach genehmigt werden. Die Customer Lockbox führt einen zusätzlichen Schutz ein, indem nun auch der Benutzer dem Zugriff zustimmen muss. Verweigert er die Zustimmung oder ignoriert er die Anfrage, kann Microsoft nicht auf die Daten zugreifen. Was natürlich den Nachteil hat, dass dann im Fall eines Problems auch das Problem nicht behoben werden kann. Aber darauf wird der Benutzer dann explizit hingewiesen.

Ebenfalls im April 2015 wurden auch erweiterte Logfiles und weitere Verbesserungen bei der Verschlüsselung angekündigt. Im Juni 2015 gab es dann verbesserte Zugriffskontrollen für Outlook und Verbesserungen bei der Verschlüsselung für Exchange.

Man kann Microsoft also bestimmt nicht vorwerfen, bei der Absicherung von Office 365 untätig zu sein. Leider hat der Einsatz von Verschlüsselung an der Cloud meist einen großen Haken: Um von überall her auf die Daten zugreifen zu können, wird der Schlüssel meist ebenfalls auf dem Server gespeichert. Und egal wie gut er dort geschützt ist, die Gefahr eines Angriffs besteht immer. Von Zugriffen durch Microsoft, zum Beispiel nach einer Anweisung durch ein US-Gericht, ganz zu schweigen (aber dazu komme ich im Fazit noch mal).

Software Architecture Summit 2017

The Core of Domain-Driven Design

mit Carola Lilienthal (Workplace Solutions)

Distributed Systems

mit Kyle Kingsbury (Independent Consultant)

Schwachstellen gibt es natürlich auch …

… und die werden auch behoben, wenn sie bekannt werden. Wie zum Beispiel eine XSS-Schwachstelle, über die ein normaler Benutzer sich Administratorrechte verschaffen konnte – wenn auch nur im Rahmen der eigenen Organisation. Oder eine allgemein ausnutzbare Schwachstelle in den Dokumentfreigaben, über die die Serverbetreiber in einem Dokument verlinkter Drittwebsites Zugriff auf das betroffene Dokument erlangen konnten. Wie Microsoft mit solchen Gefahren umgeht, beschreibt zum Beispiel folgender Link.

Auch bei den Schwachstellen kann man Microsoft nicht vorwerfen, nichts zu tun. Mitunter dauert es etwas, bis Schwachstellen behoben werden, aber im Ernstfall kann so etwas auch sehr schnell gehen.

Wie es bei den Desktopversionen von Office in den vergangenen Jahren des Öfteren nötig war. Denn für die gab es 2013 zwei, 2014 drei und 2015 bisher ebenfalls drei 0-Day-Exploits, mit denen Schwachstellen ausgenutzt werden, für die es bei den ersten Angriffen noch keine Patches gibt.

Aber auch bereits gepatchte Schwachstellen werden von den Cyberkriminellen nach wie vor gerne ausgenutzt. So gerne, dass es sogar ein Tool gibt, das Word-Dokumente mit integrierten Exploits erzeugt (Link 1, Link 2). Achten Sie also darauf, immer die aktuellsten Programmversionen zu verwenden, sodass zumindest die Exploits für längst behobene Schwachstellen ins Leere laufen. Womit wir bei einem Vorteil der Cloud-Versionen sind, die ja automatisch immer auf dem aktuellen Stand sind.

… und auch Schädlinge

Mit Exploits für Schwachstellen in den zuständigen Programmen präparierte Dokumente sind nur eine Möglichkeit, wie Office zum Einfallstor von Schadsoftware werden kann.

Erinnern Sie sich noch an die Makroviren, die sich früher über Office-Dokumente verbreitet haben? Falls Sie denken, damit ist es seit Langem vorbei, muss ich Sie enttäuschen, die Cyberkriminellen setzen Makros nach wie vor ein. Teilweise verbunden mit einem Social-Engineering-Angriff, der die Benutzer zum Einschalten der Makros bewegen soll, weil die Datei sonst angeblich nicht korrekt dargestellt werden könne. Ende 2014 gab es sogar einen starken Anstieg der Makroschädlinge, die inzwischen vor allem dazu dienen, weitere Schadsoftware einzuschleusen. Bevor Sie also die Ausführung von Makros erlauben, überlegen Sie sich das sehr gut. Sie können sich damit schnell einen Schädling einfangen.

Wie in Visual Basic for Applications (VBA) geschriebene Makroschädlinge funktionieren, hat Graham Chantry von Sophos ausführlich beschrieben.

Aber auch ohne Exploit oder gefährlichen Makro in der Datei kann ein Word-Dokument gefährlich werden: Über das „Insert and Link“-Feature zum Einbetten von Bildern können Links zu bösartigen URLs eingefügt werden, die beim Prüfen der Datei durch einen Virenscanner keinen Alarm auslösen, da es ja keine gefährlichen oder verdächtigen Bestandteile im Dokument gibt. Erst wenn die Datei geöffnet wird, wird die verlinkte Datei geladen. Diese Taktik wurde bereits im Rahmen von Spearphishing genutzt; welche Möglichkeiten für einen Angriff sich daraus ergeben, ist noch nicht abschließend geklärt.

Fazit

Gehen wir mal meine Kritikpunkte vom Anfang der Reihe nach durch.

Vertrauliche Daten werden auf Microsofts Servern gespeichert: Und Microsoft kann darauf zugreifen, selbst wenn die Dateien verschlüsselt sind, denn der Schlüssel wird ja ebenfalls auf dem Server gespeichert. Daran ändert vermutlich auch die Lockbox nichts, denn die scheint mir nur eine organisatorische Lösung zu sein: Stimmt der Benutzer nicht zu, wird dem Microsoft-Mitarbeiter der Zugriff auf die geschützten Daten nicht erlaubt. Technisch dürfte er trotzdem möglich sein. Bleibt die Frage, ob Microsoft auf die auf seinen Servern gespeicherten Daten zugreifen würde. Nun, das haben sie bereits getan. Zum einen mit automatisierten Prozessen, die anhand von Fingerprints nach kinderpornografischen Bildern suchen. Dagegen ist erst mal nichts einzuwenden. Ich hoffe nur, Microsoft hat auch die Möglichkeit von False Positives berücksichtigt, auch wenn die beim verwendeten Verfahren ziemlich unwahrscheinlich erscheinen. Unschöner finde ich einen anderen Fall: Um einem Leck auf die Spur zu kommen, wurde der Hotmail-Account eines Bloggers durchsucht. Und das ohne Gerichtsbeschluss, das unternehmenseigene „Office of Legal Compliance“ hat der Durchsuchung zugestimmt, das reichte. Und das gefällt mir ganz und gar nicht.

Unbefugte können durch einen Fehler an die Daten der Benutzer gelangen: Microsoft gibt sich alle Mühe, die Daten durch technische und organisatorische Maßnahmen zu schützen. Fehler können immer passieren, aber diesen Punkt können wir wohl als relativ unwahrscheinlich abhaken.

Ein Cyberkrimineller kann sich mit einem Angriff Zugriff auf die in der Cloud gespeicherten Daten verschaffen: Dass das theoretisch möglich ist, wurde bereits 2011 von Rich Lundeen und Jesse Ou gezeigt. Angriffe „in the wild“ gab es bisher nicht, und ich kann mir zurzeit auch nicht vorstellen, wie Cyberkriminelle mit so einem Angriff Geld verdienen könnten. Und ohne finanziellen Anreiz dürften die die Cloud-Inhalte links liegen lassen.

DoS-Angriffe auf die Cloud durch Cyberkriminelle mit dem Ziel einer Lösegelderpressung oder gezielte Angriffe durch Geheimdienste etc., um ganz bestimmte Informationen auszuspähen, dürften früher oder später vorkommen, aber für breit gestreute Angriffe auf alle Office-365-Nutzer fällt mir zurzeit kein Motiv ein.

Die US-Geheimdienste etc. können auf die Daten zugreifen: Das ist in der Tat ein Problem, und bis das rechtlich geklärt ist, dürfte es noch einige Zeit dauern. Wobei es für die meisten von uns ja eher ein theoretisches oder grundsätzliches Problem ist, warum sollten sich NSA und Co. für unsere Daten interessieren? Bei Unternehmensdaten hätte ich aber doch gewisse Bedenken, dass da mal jemand aus der Abteilung für Wirtschaftsspionage einen Blick drauf wirft. Zumindest wenn es ohne größeren Aufwand möglich ist. Und noch scheint der Aufwand ja doch etwas höher zu sein, da Microsoft nicht auf Befehl durch den Reifen springt, sondern sich bockig zeigt.

Für zur Veröffentlichung bestimmte Daten wie Websites ist die Cloud eine geniale Lösung – wo sonst lässt sich die Leistung des Webservers etc. bei Bedarf so leicht anpassen wie in der Cloud?

Andere Daten würde ich nicht in der Cloud speichern, zumindest nicht, wenn ich sie nicht mit einem selbst gewählten Schlüssel verschlüsseln kann. Und wirklich vertrauliche Daten würde ich nicht mal so verschlüsselt in der Cloud speichern. Denn jede Verschlüsselung ist nur ein Zeitschloss, irgendwann kann der verwendete Schlüssel gebrochen werden, oder eine Schwachstelle im Algorithmus oder Implementierung erlaubt die Entschlüsselung.

Ich werde Office 365 daher mit Sicherheit nicht nutzen, aber auch keine anderen Cloud-Dienste zur Verarbeitung oder Speicherung meiner nicht öffentlichen Daten. Aus Prinzip nicht – ich setze meine Daten keiner Gefahr aus, wenn das nicht zwingend nötig ist. Egal wie gut die Daten vom Cloud-Anbieter gesichert werden (und Microsoft gibt sich da wirklich große Mühe) und wie abstrakt die Gefahr ist (NSA und Co. als zurzeit einzige greifbare Gefahr dürften sich kaum für meine Daten interessieren).

Wenn es Sie nicht stört, dass die US-Behörden auf Ihre Daten zugreifen können, spricht aus Sicherheitssicht zumindest zurzeit relativ wenig gegen die Verwendung von Office 365. Es wäre sicherer, wenn die Daten bereits auf dem Client verschlüsselt würden, sodass auf den Servern keine Entschlüsselung möglich ist. Aber dazu wäre eine grundlegende Änderung des Konzepts nötig. Und eigentlich müsste man sich dann ja auch wieder fragen, ob der Schlüssel nicht vielleicht doch heimlich mit übertragen wird. Also bleiben wir bei dem, was wir haben, so schlecht ist es ja nicht.

Ach ja: Office 365 hat sowohl in Form der Webanwendungen als auch als gestreamtes Programm einen großen Vorteil gegenüber der Desktopversion: Es ist immer aktuell. Es kann also nicht passieren, dass Sie Opfer eines Exploits für eine eigentlich bereits behobene Schwachstelle werden, deren Patch sie noch nicht installiert haben.

Windows Developer

Windows DeveloperDieser Artikel ist im Windows Developer erschienen. Windows Developer informiert umfassend und herstellerneutral über neue Trends und Möglichkeiten der Software- und Systementwicklung rund um Microsoft-Technologien.

Natürlich können Sie den Windows Developer über den entwickler.kiosk auch digital im Browser oder auf Ihren Android- und iOS-Devices lesen. In unserem Shop ist der Windows Developer ferner im Abonnement oder als Einzelheft erhältlich.

Links & Literatur

[1] Eilers, Carsten: „Heute aufgezeichnet – morgen entschlüsselt?“, in PHP Magazin 5.2014.

Aufmacherbild: Biometric fingerprint identification via Shutterstock / Urheberrecht: Sentavio

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -