Microsoft, Office, Dropbox, OneDive, NSA …

Im heutigen Blog-Beitrag möchte ich mal einen Blick auf die im Artikeltitel aufgeworfenen Stichwörter werden. Im Angebot: Microsoft schließt Partnerschaft zur Dropbox-Integration in Office – und die Frage, was haben Windows-Verschlüsselung, OneNote und die NSA miteinander zu tun. Auf den Sicherheitsaspekt aus Sicht einer Firmen-IT gehe ich auch kurz ein …


Anzeige

Dropbox und Microsoft-Partnerschaft: Ziel, die Office-Integration

Ist gestern schon im Wallstreet Journal und bei The Verge bekannt geworden: Dropbox und Microsoft haben überraschend eine Partnerschaft geschlossen. Ziel ist es, eine Dropbox-Anbindung nahtlos in Office zu integrieren. Nutzer, die Dropbox als Online-Speicher verwenden, sollen ihre Dokumente aus Word, Excel und PowerPoint in Dropbox speichern können.

Im Gegenzug will Dropbox in seinen Apps Funktionen integrieren, die Benutzer zu Microsoft Office hin leiten sollen. Bereits in der ersten Hälfte des Jahres 2015 sollen die Dropbox-Apps für die diversen Plattformen Office-Online direkt unterstützen. Es scheint Microsofts Chef Nadella also zu gelingen, den Tanker auf neuen Kurs “Mobile first” zu bringen.

Ich gestehe allerdings, ich werde immer so wahnsinnig hibbelig, wenn ich feststelle, dass meine Daten gewollt oder ungewollt in die Cloud wandern. Stört mich an Android, iOS mit seinem iCloud und erst recht an Windows mit OneDrive oder Office mit OneDrive-Business. Eigentlich ein Fall von geht gar nicht. Und die Pläne von Apple sowie Google zur Verschlüsselung? Kritisieren die Geheimdienste nicht dieses Vorhaben von Apple und Google, wie man z.B. hier bei heise.de nachlesen kann? Es wird eine “bessere Kooperation dieser Unternehmen mit den Geheimdiensten gefordert”. Nur so viel, geht davon aus, dass hier ein paar Nebelkerzen geworfen werden. Hier verweise ich einmal auf diesen Telepolis-Artikel und die nachfolgenden Informationen.

OneDrive, Verschlüsselung und die NSA

Und weil wir schon beim Online-Speicher sind, möchte ich auch noch eine Prise Sicherheitsinfo zum “Artikel” dazu geben. Vor ein paar Tagen sind ja geheime Manuals bekannt geworden, die zeigen, wie Regierungen, Geheimdienste und andere Organisationen Systeme mit Spyware infiltrieren, um Daten auszuspionieren. Ich verweise auf diesen Artikel bei The Intercept, in dem sich auch ein Link auf die veröffentlichten Manuals findet.

Das ist das eine Informationshäppchen, der zweite Brotkrummen findet sich in diesem Cryptom-Beitrag. Und die Botschaft hat es in sich: In Kürze – Bitlocker-Schlüssel werden durch die Geräteverschlüsselung (Device Encryption) auch auf OneDrive übertragen (der Recovery-Schlüssel wird dort optional hochgeladen). So kann der Administrator den Schlüssel für ein Recovery aus der Cloud laden.

Und dann wird ein Auszug aus den Greenwald/Snowden-Dokumenten im Cryptom-Beitrag publiziert. Im Programm PRISM sammelt ‘man’ seit März 2013 auch Microsoft OneDrive-Daten – als ein Ergebnis einer mehrmonatigen Zusammenarbeit zwischen FBI und Microsoft. Schon nett – da liefert man die Recovery-Schlüssel der NSA quasi frei Haus. Bin mal gespannt, wie die IT dies den Firmen-Sicherheitsbeauftragten erklären will. Wie wusste schon Edmund Stoiber: “Die dümmsten Kälber, suchen sich ihren Metzger selber” – oder so.

PS: Und nur als Randnotiz, wie dilettantisch manches “sichere” System gestrickt ist – in den USA rappelt es momentan ja mit Hacks von Zahlungsterminals, wo Millionen Zahlungsdaten gestohlen werden (siehe z.B. Home Depot-Hack: 56 Millionen Kartendaten betroffen). Daher sollen bis 2015 die Magnetstreifenkarten in den USA abgeschafft und durch Chip-Karten ersetzt werden. Auch die Bezahl-Terminals werden umgerüstet. Visa hat daher neue Chip-Kreditkarten für Großbritannien entwickeln lassen. Auf dem Chip ist natürlich Software – und nun haben Sicherheitsforscher gerade ein Sicherheitsproblem gefunden: Transaktionen bis zur Höhe von 999.999, die außerhalb Großbritanniens passieren, werden vom Sicherheitssystem nicht erfasst. Erbeuten Kriminelle die Kreditkarte, können Sie im Ausland also bis zu einer Million US $ abheben, ohne dass das bemerkt vorab verifiziert wird – ein Alptraum.

Update: Cloud First – ohne Plan B?

Und damit kommen wir auf ein spezielles Thema zu sprechen, nämlich die strategische Ausrichtung Microsofts durch den neuen Chef, Sayta Nadella. Dieser hat die Devise “Mobile First, Cloud First” ausgegeben. Das klingt auf den ersten Blick vernünftig, hat aber einen gewaltigen Pferdefuß. Ich brauche keinen Background als Sicherheitsexperte, um jetzt 2+2 zusammen zu zählen und über das Ergebnis (nicht wirklich) überrascht zu sein.


Anzeige

Microsoft strebt mit Office 365 mächtig in die Cloud, Dateien sollen auf OneDrive for Business-Laufwerken abgelegt werden. Microsoft Windows integriert in allen neueren Versionen OneDrive. Vor allem: Da wird alles automatisch synchronisiert (ist bei Apple und Google auch nicht anders). Und nun die Information, das die Verschlüsselungs-Keys auf OneDrive hochgeladen werden. Da hat man als Anwender zwar nur über seine Microsoft-Konto-Zugangsdaten Zugriff. Aber: Es ist bekannt, dass Microsoft auf alle OneDrive-Inhalte zugreifen kann und tut (siehe Artikel Auch Microsoft macht den Porno-Scan). Und nun wird bekannt, dass die Geheimdienste mit Prism auf OneDrive-Inhalt zugreifen. Dass Ex-Firmenmitarbeiter auch was leaken könnten, wäre ja nicht das erste Mal (siehe MS-Leaker Alex Kibkalo kommt bereits am 19. Juni frei).

Da brauche ich nicht viel Überlegung, Firmen, die Windows 8 und höher mit OneDrive und/oder Office 365 einsetzen, brauchen eigentlich keine IT-Fachkräfte für Cybersecurity mehr einsetzt. Was nützt es, wenn die Vordertür per Dreifach-Schließanlage gesichert wird, die Daten aber über den Hinterausgang frei Haus für jeden Interessierten geliefert werden. Und dass da “Interessierte” an die Daten heran kommen, davon sollte man ausgehen. Es wird zwar bestritten, aber es gibt durchaus Informationsströme zwischen Geheimdiensten und Industrie – Industriespionage wird da auf ein ganz neues Level gehoben.

Hier mal ein kurzer Ausriss einer Pressemitteilung, die mich Ende Oktober erreicht hat.

Dropbox-Alarm zeigt:
Allerwelts-Clouds sind nichts für die Firmendaten!

München, 23. Oktober 2014. Der Cloud-Speicherdienst Dropbox meldete kürzlich, er sei nicht gehackt worden, aber dennoch solle man lieber sofort sein Dropbox-Passwort ändern. Denn obwohl man nicht gehackt worden sei, und obwohl laut Dropbox keine sechs bis sieben Millionen Zugangsdaten von Dropbox-Kunden in den Händen von Hackern seien, wie diese zuvor behauptet hatten, sei es eben einfach sicherer, jetzt mal sein Passwort zu ändern und zusätzliche Sicherheitsmaßnahmen zu ergreifen, und deswegen solle man das unbedingt tun. Mehr oder weniger gleichzeitig wurde bekannt, dass aus manchen Dropbox-Accounts Dateien gelöscht worden waren, und zwar zunächst unbemerkt vom Nutzer. Daran waren keine Hacker schuld, sondern das war Dropbox selbst passiert – Softwarefehler, pardon, ein bedauerliches Versehen.

Diese Reaktion von Dropbox erinnert ein wenig an längst überholt geglaubte Techniken der Krisen-PR, wie sie etwa Sony 2011 anwandte. Dropbox ist vor allem bei Endanwendern beliebt. Doch auch viele Mitarbeiter von Firmen laden bei der beruflichen Kommunikation innerhalb und außerhalb des Unternehmens schon mal ein Dokument in die Dropbox, schlicht deshalb, weil es in ihrem Unternehmen keine andere praktikable Lösung gibt, und denken sich: Ist doch nichts dabei. Von Dropbox gibt es zudem sogar eine spezielle Version für Unternehmen, die jedoch anscheinend bisher wenig Verbreitung gefunden hat.

Was technisch nötig ist, um Firmen vor einem solchen Daten-GAU zu schützen, erklärt Datenschutzexperte Dr. Hubert Jäger, Geschäftsführer der Münchner Technologiefirma Uniscon, die die Sealed Cloud federführend entwickelt und weltweit patentiert hat: Überdeutlich zeigt der aktuelle Vorfall, dass für Firmen ein höherer Sicherheits- und Vertrauens-Standard gelten muss, als ihn die meisten Cloud-Anbieter für den Massenmarkt bieten können. Wichtig ist für Firmen ebenso wie für die öffentliche Verwaltung eine Cloud-Infrastruktur, in der weder ein Hacker noch der Betreiber selbst auf die Daten seiner Kunden zugreifen kann. Unternehmen erwarten zu Recht, dass ihre vertraulichen Daten in der Cloud sicher aufgehoben sind. Der Schutz vor Angriffen von außen reicht jedoch nicht, denn auch Mitarbeiter des Cloud-Anbieters können auf Daten zugreifen, sie absichtlich kopieren oder versehentlich löschen. Diese Anforderungen zu einem effizienten Schutz der Daten sind in der Sealed Cloud verwirklicht worden. Hier kennt nur der Anwender selbst sein Passwort und der Schlüssel zu den Dateien wird bei jedem Zugriff vom System neu generiert – aus einer Kombination aus dem Passwort und anderen Komponenten. Die Sealed Cloud, die von Uniscon in Kooperation mit Fraunhofer AISEC entwickelt wurde und zu den Gewinnern des Technologiepreises Trusted Cloud gehört, ist deshalb eine Referenz für die Sicherheit, die Firmen in der Cloud benötigen.“

Normalerweise werden Daten in den Rechnern eines Datenzentrums (den Anwendungsservern) immer unverschlüsselt verarbeitet. Das ist gefährlich, weil die Betreiberfirma des Datenzentrums selbst genau wie ein Angreifer von außen die Daten abzapfen können. Die Sealed Cloud Technologie verschließt diese Sicherheitslücke auf technische Weise. IDGARD von Uniscon ist ein Sealed-Cloud-basierter Service mit patentiertem Sicherheitskonzept, der die digitale Kommunikation und Zusammenarbeit mit Partnern und Kunden wie beschrieben auf höchstem Niveau absichert und gleichzeitig vereinfacht. IDGARD bietet eine ganze Reihe zusätzlicher Features, wie etwa sichere Chat Rooms und Push-Benachrichtigungen und schützt sogar Smartphones davor, unbemerkt Daten auf unsichere Server außerhalb Deutschlands hochzuladen, etwa auf Googles Cloud-Server oder in die iCloud.

Helloween ist zwar vorbei, aber das ist doch eine hübsche Gruselgeschichte. Dropbox kommt prominent drin vor – und genau dieser Verein geht nun eine Kooperation mit Microsoft ein, um die Dopbox-Integration in Microsoft-Produkte zu ermöglichen. Begründung: “Der Nutzer will das”. Und Microsoft? Entwickelt mit Macht Produkte, deren Strategie “Cloud first” ist. Wenn aber Firmen und Behörden irgendwann beschließen, dass die Daten dort nicht sicher sind (gut, der Behördenschlaf ist berühmt berüchtigt, das dauert – und auch Firmen machen da keinen “schlanken Fuß”, wie ihr hier nachlesen könntet), hat Microsoft ein Problem. Vielleicht hat man einen Plan B für diesen Fall – sicher bin ich nicht. Update: Die Puzzleteile fallen immer zur richtigen Zeit in’s Bild. Gerade lese ich, dass Russland ab 1. Januar 2015 den Zugriff auf Apple iCloud blockieren wird.

In obigem Pressetext werden zwar das Produkt sealedcloud und die Schutzlösung idgard beworben. Aber ich bin mir nicht wirklich sicher, ob Drittanbieterprodukte da einen wirksamen Schutz bieten, um Daten über die Windows- bzw. Office-Cloudanbindung nicht unbewusst oder beabsichtigt abfließen zu lassen. Denn erstens ist das Ganze für mich (und ich schätze eigentlich für jeden Dritten) erst einmal eine “black box”, wo niemand weiß, was wo wirklich rausgeht. Und zweitens braucht es nur ein Update, wie wir sie die letzten Monate mit Windows erleben (Kernel- und Office-Update in der Größenordnung von 1 GByte am Patchday), damit externe Lösungen im dümmsten Fall nicht mehr funktionieren oder einfach mal ausgehebelt oder by-passed werden. Ohne fundamentale Analyse lässt sich also a priori nicht festlegen, ob eine solche Lösung sicher ist. Und ob eine solche Sicherheitsanalyse mit dem Ergebnis endet, dass die Sicherheitslösung niemals ausgehebelt werden kann, daran würde ich aus aktueller Sicht ein Fragezeichen dran machen.

Könnte also sein, dass die Cloud-First-Geschichte der Crash-Kurs direkt gegen die Betonwand ist. Ist schon weit mehr als 20 Jahre her, dass ich als Industrievertreter in Standardisierungsgremien an Kommunikationsstandards mitgewerkelt habe, die heute in der Industrie 4.0-Infrastruktur im Einsatz sein dürften. Lese ich heute ein Paper aus dem Automatisierungsbereich, kommt der gleiche Klugsprech, bestehend aus einer Ansammlung von Kürzeln und nichtssagenden Worthülsen, wie damals zum Einsatz. Aber ich habe nicht so wirklich den Eindruck, dass das Management, welches die bunten Prospekte in Auftrag gibt und solche Artikel verfasst, wirklich versteht, was sicherheitstechnisch demnächst auf uns zukommt.

Oder wie seht ihr das? Ich weiß, es lesen eine Reihe Leute aus dem Firmenumfeld und mit detaillierten Administrator- und IT-Kenntnissen, auch im Security-Umfeld, mit. Sehe ich das mal wieder zu kritisch und sollte den Alu-Hut endlich absetzen? Oder ist die Hütte lichterloh am Brennen und Cheffe von IT hat’s nur noch nicht gemerkt und faselt auf Kongressen (wie die Kuh vom Eierlegen) von Industrie 4.0?


Anzeige
Dieser Beitrag wurde unter Onlinespeicher, Sicherheit abgelegt und mit , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu Microsoft, Office, Dropbox, OneDive, NSA …


  1. Anzeige
  2. Tim sagt:

    Schon wieder DropBox ;) … die sind wohl grade fleissig…?

    Hab ich nicht grad überflogen (gelesen), das die DropBox auch irgendwie im neuen TeamViewer 10 eingebunden wird?

    Jaja, schöne neue Cloud Welt. Einerseits ja wirklich praktisch, andererseits beängstigend, weil keiner wirklich ahnt was da auf uns zukommt.

    Passend dazu von Spiegel Online heut die Schlagzeile des Artikels:
    “Deutsche im Netz: Ahnungslos, aber selbstsicher”

  3. Pecefix sagt:

    “Die Puzzleteile fallen immer zur richtigen Zeit in’s Bild. Gerade lese ich, dass Russland ab 1. Januar 2014 den Zugriff auf Apple iCloud blockieren wird.”

    Kleiner Fehler: muss heißen “1. Januar 2015” !

  4. Anzeige

  5. Günter Born sagt:

    Nachtrag: Gerade ist wohl Dropbox-Support bei Office for Android Phones nachgereicht worden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (SEO-Posts/SPAM lösche ich). Kommentare abseits des Themas bitte unter Diskussion.