Microsoft debattiert gerade mit Sicherheitsforschern darüber, ob die eingebaute Nachrichtenverschlüsselung von Office 365 sicher ist oder nicht. Ohnehin stellt sich die Frage, für was die Office Message Encryption (OME) überhaupt gut sein soll.
Nach offizieller Lesart ist Office Message Encryption eine Möglichkeit, „zwischen Menschen innerhalb und außerhalb Ihrer Organisation verschlüsselte E-Mail-Nachrichten zu senden und zu empfangen“. Nach Einschätzung von WithSecure taugt die für OME verwendete Blockverschlüsselung ECB (Electronic Codebook) allerdings nicht für Daten mit sich wiederholenden Mustern wie Plain Text oder unkomprimierte Bilder und Videos. Microsoft sieht trotzdem keinen Anlass, dies zu ändern, wie unter anderem der britische Branchendienst „The Register“ berichtet.
Dabei ist WithSecure mit seiner Kritik alles andere als allein. Das renommierte Normungsinstitut NIST etwa urteilt, dass „die Nutzung von ECB zur Verschlüsselung vertraulicher Information eine gravierende Sicherheitslücke darstellt“. Da hilft es laut WithSecure auch nichts, dass OME mit AES eine eigentlich starke Chiffrierung verwendet. Als zusätzlichen Schwachpunkt kritisieren die Sicherheitsforscher, dass OME-Nachrichten als E-Mail-Anhänge verschickt werden: „Angreifer, die mehrere Nachrichten in die Finger bekommen, könnte die geleakten ECB-Informationen nutzen, um die verschlüsselten Inhalte herauszufinden“, erläutert Harry Sintonen von WithSecure.
Microsoft hält es nicht für nötig, auf den Report zu reagieren. „Der Bericht erfüllte weder die Anforderungen für eine Sicherheitswartung noch wird er als Sicherheitsverstoß betrachtet. Es wurde keine Code-Änderung vorgenommen und daher wurde für diesen Report kein CVE vergeben“, heißt es in einer Stellungnahme. Spätestens seit Einführung der hauseigenen Data-Governance-Lösung Purview im April dieses Jahres stuft der Konzern OME überdies selbst als Legacy-System ein.
WithSecure jedenfalls empfiehlt Unternehmen speziell mit Blick auf die strengen Datenschutzregeln in Europa und Kalifornien, mögliche rechtliche Konsequenzen der Nutzung von OME zu beachten. „Da Microsoft nicht vorhat, diese Schwachstelle zu beheben, kommt als Abhilfe nur in Betracht, die Nutzung von Office 365 Message Encryption zu vermeiden“, schreiben die Forscher abschließend.
Wer E-Mails sicher und standardkonform verschlüsseln möchte, kann dazu die Gateway-basierte Email Encryption von Retarus verwenden. Diese funktioniert mit jedem SMTP-basierten E-Mail-System, ist unabhängig vom verwendeten Endgerät und beherrscht S/MIME, PGP sowie OpenPGP. Dabei wird der Standard X.509 v3 inklusiver eigener Zertifikate vollumfänglich unterstützt; Retarus verwaltet alle internen und externen Schlüssel zentral. Empfänger ohne eigene Verschlüsselungslösung können Nachrichten über ein sicheres Webportal einsehen. Mehr Informationen erhalten Interessierte auf unserer Website oder direkt von ihrem Ansprechpartner vor Ort.