Microsofts End-to-End-Verschlüsselung ist nicht sicher genug

Die Ende-zu-Ende-Verschlüsselung (E2EE) hat sich zum Goldstandard für die Sicherung der digitalen Kommunikation entwickelt. Tech-Giganten wie Microsoft reagieren darauf mit Aktualisierungen ihrer Tools, die "Ende-zu-Ende-Verschlüsselung" versprechen, insbesondere in Plattformen wie Microsoft Teams.

Aber was verbirgt sich eigentlich hinter diesen Versprechen? Und, was noch wichtiger ist: Reicht das wirklich aus für Unternehmen, die in kritischen Bereichen tätig sind oder strengen Vorschriften wie der NIS2-Richtlinie unterliegen?

Lassen Sie uns aufschlüsseln, was Microsofts E2EE wirklich bedeutet und warum sie möglicherweise nicht den Anforderungen sicherheitsorientierter Unternehmen entspricht.

Microsofts E2EE ist extrem eingeschränkt

Die offizielle Dokumentation von Microsoft bestätigt, dass die Ende-zu-Ende-Verschlüsselung in Teams verfügbar ist, allerdings mit erheblichen Einschränkungen. Sie deckt nur VoIP-Anrufe zwischen zwei Personen ab und lässt Gruppenanrufe, Meetings, Chats und die gemeinsame Nutzung von Dateien außen vor. Außerdem ist die Funktion nicht standardmäßig aktiviert: IT-Administratoren müssen sie proaktiv über Richtlinieneinstellungen aktivieren.

Einmal aktiviert, deaktiviert E2EE mehrere Kernfunktionen:

• Anrufaufzeichnung
• Live-Untertitel und Transkription
• Weiterleitung und Parken von Anrufen
• Begleitende Geräte

Das bedeutet, dass die Aktivierung der Verschlüsselung auf Kosten von Kooperationsfunktionen geht, auf die sich viele Unternehmen verlassen. Und was noch kritischer ist: Die Benutzer wissen möglicherweise nicht, ob ihre Anrufe überhaupt verschlüsselt sind.

Die Grenzen der optionalen Verschlüsselung

Microsofts Ansatz bietet zwar Flexibilität, ist aber aus Sicherheits- und Compliance-Sicht nicht unproblematisch:

• Verschlüsselung ist optional: Wenn E2EE nicht standardmäßig aktiviert ist, werden viele Anrufe ohne Verschlüsselung getätigt, sei es absichtlich oder aus Versehen.
• Unklares Nutzerbewusstsein: Für Nutzer ist es schwierig zu überprüfen, wann die Verschlüsselung aktiv ist, was das Vertrauen in die Plattform untergräbt.
• Offenlegung von Metadaten: Selbst wenn E2EE aktiv ist, bleiben Metadaten, z. B. wer wen wann angerufen hat, zugänglich, wodurch potenziell ausnutzbare Informationspfade entstehen können.
• Veraltetes Protokoll: Microsoft verwendet ein älteres Protokoll namens Datagram Transport Layer Security (DTLS), das die Vorwärtsverschlüsselung nur unzureichend unterstützt und keine Sicherheit nach einer Kompromittierung bietet und damit weit hinter modernen Protokollen wie MLS zurückbleibt.

Für Organisationen, die strengen rechtlichen Rahmenbedingungen wie NIS2 unterliegen, ist dies eine kritische Lücke. Die Verschlüsselung muss systemisch, robust und standardmäßig immer aktiviert sein, und nicht nur ein Kippschalter in den Verwaltungseinstellungen.

Möchten Sie sehen, wie dies mit den Erwartungen der Regulierungsbehörden übereinstimmt - oder nicht übereinstimmt? Laden Sie unser NIS2-Whitepaper herunter, um zu erfahren, was echte Compliance bedeutet.

Warum das für kritische Infrastrukturen und regulierte Sektoren nicht ausreicht

Wenn Ihr Unternehmen in Bereichen wie Energie, Finanzen, Telekommunikation oder öffentliche Dienste tätig ist, steht mehr auf dem Spiel. Diese Umgebungen erfordern in der Regel Folgendes:

• Verschlüsselung, die immer aktiv ist, nicht optional
• Abdeckung der gesamten Kommunikation: Chat, Sprache, Video und Dateifreigabe
• Manipulationssichere Prüfpfade für Untersuchungen und Compliance-Berichte
• Ausweich- und krisensichere Kommunikationskanäle zur Aufrechterhaltung des Betriebs bei Cyber-Vorfällen
• Null-Vertrauens-Prinzipien im Kern: Kompromittierung annehmen, alles verifizieren

In Rahmenwerken wie NIS2 sind Verantwortlichkeit auf Führungsebene und nachvollziehbare Sicherheitskontrollen jetzt nicht mehr verhandelbar. Microsoft Teams eignet sich zwar für die allgemeine geschäftliche Nutzung, aber seine enge und optionale E2EE reicht nicht aus, um sensible Daten zu schützen.

Neudefinition von E2EE für die reale Welt

Microsofts Implementierung der Ende-zu-Ende-Verschlüsselung sieht auf dem Papier gut aus, ist aber funktional. Für Unternehmen, die nur die Einhaltung von Richtlinien nachweisen müssen, mag sie "gut genug" sein. Aber für reale E2EE-Anforderungen, insbesondere für kritische Sektoren, regulierte Umgebungen oder Organisationen, die unter geopolitischer Beobachtung stehen, ist Microsofts Implementierung alles andere als sicher.

Die Botschaft ist einfach: Ende-zu-Ende-Verschlüsselung ist nur dann wichtig, wenn sie universell, robust, durchsetzbar und benutzerfreundlich ist. Optionale Funktionen, die nur bei einer Teilmenge der Kommunikation funktionieren, veraltete Protokolle verwenden, die Zusammenarbeit unterbrechen oder auf eine perfekte Konfiguration durch den Administrator angewiesen sind, werden den Anforderungen des Datenschutzes, des Risikomanagements und der Compliance in der Praxis nicht gerecht.