Achtung: Dieser Beitrag ist auf dem Stand von 2016, es könnte sein, dass die Informationen inzwischen veraltet sind. Gerne beraten wir Sie im Rahmen unser Microsoft Office 365 Beratung zum Thema.
Viele Unternehmen scheuen den Weg in die Cloud, weil sie sich nicht sicher sind, ob das den Compliance Anforderungen gerecht wird oder weil sie schlichtweg den Nutzen nicht erkennen. Die Folge davon ist immer öfters eine entstehende Schatten-IT. Denn wenn sich die IT-Abteilung eines Unternehmens nicht darum kümmert, tun das die Angestellten einfach selbst. Diese nutzen dann Dropbox oder ähnliche Anbieter und schieben darüber sensible Firmendaten völlig unkontrolliert in die Cloud.
Moderne Arbeitsplätze für Wissensarbeiter setzen inzwischen flexibles Arbeiten voraus. Die freie Wahl des Arbeitsplatzes und flexible Arbeitszeiten sind wichtige Grundlagen für viele Arbeitnehmer. Es vereinfacht die Vereinbarkeit von Familie und Beruf, erlaubt aber auch zeitnahes Reagieren auf wichtige Anfragen und verbessert für Viele die Work-Life-Balance.
Unternehmen müssen Daten für Mitarbeiter verfügbar machen
Damit das flexible Arbeiten möglich ist, müssen die Daten entsprechend verfügbar sein. Dabei müssen bei der Datenhaltung, zwei Aspekte beachtet werden.
- Daten müssen so verschlüsselt sein, dass kein Unbefugter Zugriff hat
- Daten müssen so gespeichert werden, dass sie weder durch menschliche noch durch höhere Gewalt gelöscht oder ausgelesen werden können.
Wer seine privaten Daten oder seine Unternehmensdaten in die Cloud bringen möchte, muss sich deshalb überlegen, wie der Cloud-Anbieter seine Daten schützt. Microsoft hat mit der Microsoft Cloud DE einen neuen Maßstab gesetzt, die Lösung wird aber erst im 3. Quartal 2016 erwartet.
Für Entscheider, die sich mit der Sicherheit und dem Datenschutz von Clouds beschäftigen, gilt es deshalb die Eigenschaften des Cloud-Anbieters zu prüfen. Die wichtigsten Informationen über Microsoft Cloud-Dienste haben wir im Folgenden für Sie zusammengestellt.
Microsoft bietet unterschiedliche Cloud-Dienste an
Microsoft bietet mit Azure, Office 365 und SharePoint Online verschiedene Cloud-Dienste an, bei denen unterschiedlich viel Verantwortung beim Nutzer liegt.
SaaS – Software as a Service
- Microsoft ist für den Betrieb und die Sicherheit der Infrastruktur verantwortlich. Sicherheitskontrollen und Kapazitäten werden bereitgestellt.
- Der Anwender kontrolliert und sichert seine Daten sowie Identitäten. Zudem konfiguriert er die Applikationen, welche von der Cloud zur Verfügung gestellt werden.
Azure PaaS – Platform as a Service
- Microsoft ist für den Betrieb und die Sicherheit der Infrastruktur sowie für das Betriebssystem zuständig.
- Der Anwender kontrolliert seine Daten, Identitäten und Applikationen.
Zudem kontrolliert er allen Quellcode der Applikationen und Konfigurationen.
Azure IaaS – Infrastructure as a Service
- Microsoft ist für den Betrieb und die Sicherheit der Infrastruktur und des Betriebssystems zuständig.
- Der Anwender kontrolliert und sichert alle Daten, Identitäten, Applikationen virtuelle Systeme und alle Infrastruktur Einstellungen, welche von der Cloud zur Verfügung gestellt werden.
Private Cloud
- Private Clouds sind On-Premises Lösungen, die vom Anwender betrieben werden. Der Anbieter ist für die Sicherheit zuständig und er ist der Besitzer der Cloud.
- Private Clouds unterscheiden sich von den traditionellen On-Premises Anwendungen, weil sie die typische Charakteristik, wie Verfügbarkeit und Flexibilität, von Clouds haben.
Sieben Fakten zum Datenschutz und zur Sicherheit in Microsoft Clouds
1. Datenschutz bei Cloud Services von Microsoft
Eigentum der Daten
Alle Daten bleiben im Besitz derjenigen, die den Dienst beanspruchen.
Nutzungsrecht der Daten
Die Daten werden nicht ausgewertet und weiter verarbeitet. So wird zum Beispiel keine Werbung aufgrund der Daten geschalten.
Weitergabe der Daten an Regierung
Wenn die Regierung Daten anfragt, werden diese Anfragen, wenn möglich, immer direkt an den Kunden weitergeleitet.
Datenschutz Überprüfung
Im Zuge des Entwicklungsprozesses wird der Datenschutz überprüft, um sicherzustellen, dass alle Zugriffsrechte richtig gesetzt sind und eingehalten werden.
Datenzugriff
Der Nutzer des Cloud-Dienstes hat jederzeit die Kontrolle darüber, wie seine Daten abgelegt werden. Dazu gehört, dass er kontrolliert, wo die Daten gespeichert werden und wie auf diese zugegriffen werden kann.
Übertragbarkeit der Daten
Nach Beendigung des Services-Vertrags werden alle Daten gelöscht.
2. Datenverschlüsselung und Rechtemanagement
Transport der Daten
Microsoft nutzt die Verschlüsselungsverfahren von Marktführern, um die Daten beim Transport zwischen den Datencentern und den Anwendern zu verschlüsseln. Zusätzlich können die Kunden noch „Perfect Forward Security“ (PFS) einsetzen, eine Technik, die für jede Verbindung einen eigenen Verschlüsselungs-Code nutzt.
Verschlüsselung von Lösungen, die auf Azure basieren
Bei Lösungen, die auf Azure basieren, kann der Anwender selbst entscheiden, welche Verschlüsselungsmethoden zusätzlich implementiert werden.
Azure Key Vault
Der „Azure Key Vault“ schützt kryptografische Schlüssel. Microsoft kann diese Schlüssel nicht einsehen oder entschlüsseln.
Gespeicherte Daten
Office 365 und andere Software as a Service Angebote nutzen Verschlüsselungs-Methoden, um die gespeicherten Daten auf den Microsoft Servern zu schützen.
Azure Rights Management (Azure RMS)
Azure RMS nutzt Verschlüsselungs-, Identitäts- und Authentifizierungsrichtlinien, um die Dateien und E-Mails der Anwender zu schützen.
3. Identifizierung und Zugriff
Der Anwender kontrolliert den Zugriff auf die Daten und die Anwendungen
Microsoft bietet umfassendes Identität- und Zugriffs-Management Lösungen an. Dabei wird die Anwendung für den Nutzer erleichtert, da Azure, Office 365 und weitere Services zusammengelegt werden.
Azure Active Directory and Multi-Factor Authentication
Die Azure Active Directory ermöglicht es den Kunden, den Zugriff auf Azure, Office 365 und weitere Cloud Applikationen zu koordinieren. Der Zugang wird über eine Multi-Factor Authentication möglich.
Third Party SaaS Identity Management
Azure AD ermöglicht auch eine einfache Integration von Single-Sign On über andere SaaS Applikationen.
4. Software und Service
Secure Development Lifecycle (SDL)
Überlegungen zur Privatsphäre und Sicherheit werden in den Software Entwicklungsprozess mit einbezogen, was zu sicheren Anwendungen führt.
Weitere Informationen zum Thema finden Sie hier: Security Development Lifecycle
5. Proaktives testen und monitoren
Microsoft testet seine Services ständig auf Sicherheitslücken
Weitere Informationen zum Thema finden Sie hier: Microsoft Digital Crimes Unit
6. Datencenter Infrastruktur und Netzwerksicherheit
Privates Netz
Es ist möglich, ein privates Netz zu den Azure Datencentern einzurichten.
7. Physikalische Datencenter Sicherheit
Die Datencenter von Microsoft werden rund um die Uhr überwacht.
Die Datencenter werden so konstruiert, betrieben und überwacht, dass die Daten und Services vor unautorisiertem Zugriff und vor Umweltkatastrophen geschützt sind.
Zero standing privileges
Der Zugang zu Kundendaten über Microsoft-Arbeiten oder Support-Personal ist standardmäßig nicht erlaubt. Wenn der Zugang erlaubt wurde, wird der Vorgang zuverlässig durchgeführt und dokumentiert.
Daten Vernichtung
Wenn Anwender Daten löschen oder den Service kündigen, werden strenge Standards eingehalten, um den Speicherplatz zu überschreiben, bevor dieser wieder genutzt wird. Fehlerhafte Festplatten und Hardware werden entmagnetisiert und zerstört.
Ihr Weg in die Cloud?
Den Weg in die Cloud werden in Zukunft viele Unternehmen gehen müssen. Alternativ kann eine hybride Infrastruktur, also ein Mix aus SharePoint On-Premises und Online-Dienste, das Beste für Ihr Unternehmen sein.
Im Rahmen der Office 365 Strategie Workshops können Sie mit uns in einem Workshop den besten Weg für Ihr Unternehmen erarbeiten.
