Microsoft stärkt Datensicherheit mit Double-Key-Encryption: BSI rät zur Überprüfung der DKE-Implementierung nach Azure-Angriff
Microsoft hat ein Informationspapier zur effektiven Nutzung von Double-Key-Encryption (DKE) veröffentlicht. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät allen Anwendern von DKE, die Veröffentlichung zu nutzen, um die Wirksamkeit ihrer Implementierung zu überprüfen.
Im Sommer 2023 gelang es der Hackergruppe Storm-0558 in die Azure-Cloud einzudringen und Zugriff auf E-Mail-Konten von 22 Organisationen zu erlangen. Ermöglicht wurde der Angriff durch einen entwendeten Signaturschlüssel. Microsoft hat nun ein Informationspapier veröffentlicht, das die Funktionsweise und den Einsatz von Double-Key-Encryption (DKE) detailliert erklärt.
DKE bietet einen zusätzlichen Schutz für sensible Daten in der Cloud, indem es die Verschlüsselung mit einem kundenseitigen Schlüssel kombiniert. Dies soll die Kontrolle des Kunden über seine Daten erhöhen und auch bei einem Angriff auf die Cloud-Infrastruktur des Anbieters für Schutz sorgen.
- DKE-Implementierung überprüfen: Nutzer von DKE sollten mithilfe des Microsoft-Informationspapiers überprüfen, ob ihre Implementierung den beschriebenen Anforderungen entspricht.
- Schutzwirkung verstehen: Die Veröffentlichung ermöglicht es erstmals, die Schutzwirkung von DKE detailliert einzuschätzen und verbleibende Risiken zu erkennen.
- Transparenz schaffen: DKE schafft Transparenz darüber, unter welchen Bedingungen Daten vor unbefugtem Zugriff geschützt sind, auch im Falle eines Angriffs auf die Cloud-Infrastruktur.
Nachteile von Double-Key-Encryption
Neben den beschriebenen Vorteilen bringt Double-Key-Encryption auch einige Herausforderungen mit sich: So ist die Implementierung und Verwaltung von DKE komplexer als bei herkömmlichen Verschlüsselungsverfahren. Es müssen zwei Schlüsselpaare verwaltet werden, was zusätzliche Prozesse und Infrastruktur erfordert. Auch die Integration mit anderen Systemen und Anwendungen kann aufwändiger sein.
Darüber hinaus entstehen bei DKE zusätzliche Kosten für die Speicherung und Verwaltung des kundenseitigen Schlüssels. Dies kann insbesondere für Unternehmen mit großen Datenmengen relevant sein. Hinzu kommen mögliche Lizenzgebühren für die Nutzung von DKE-Lösungen. Darüber hinaus unterstützen nicht alle Anwendungen und Systeme Double-Key-Verschlüsselung, was zu Kompatibilitätsproblemen und Einschränkungen bei der Nutzung in bestimmten Umgebungen führt.
Letztlich kann der Verlust des clientseitigen Schlüssels zu einem vollständigen Datenverlust führen, da die Daten ohne diesen Schlüssel nicht mehr entschlüsselt werden können.