Retain richtig nutzen: Archivierung aus der Sicht eines Anwenders
GWAVACon 2015: Microsoft MVP - Ist die Cloud wirklich sicher?
1. Ist die Cloud wirklich sicher?
- Microsofts Cloud Lösungen auf dem Prüfstand -
Michael Kirst (MVP Office 365)
Raphael Köllner (MVP Office 365)
1
2. Raphael Köllner
WissMit CBH Rechtsanwälte
IT & Jura Trainer und Dozent
E-Mail: raphael.koellner@rakoellner.com
http://products.office.com/de-de/business/office-365-trust-center-cloud-computing-
security
Blog | http://www.rakoellner.de und www.rakoellner.com
Microsoft | https://mvp.microsoft.com/en-us/mvp/Raphael%20Koellner-5000185
Podcast | iTunes oder direkt über meinen Blog oder www.mvpkaffeeklatsch.de
3. Michael Kirst-Neshva
ANK Business Services GmbH
Senior IT-Infrastructure Architect
Cloud Ambassador
MVP Office 365, MCT Trainer
Communities:
Office 365 Community Deutschland (Lead)
UserGroup Office 365 Deutschland (Lead)
Azure Community Deutschland (Mitglied)
E-Mail: mkn@ankbs.de
Twitter: ankbs
Blog | http://blog.ugoffice365.ms
5. Realitätscheck!
Wie sind Sie aufgestellt?
Ihre Sicherheits- und Compliance Prozesse?
Verfügbarkeit?
ISO Zertifizierungen? z.B. ISO27001, ISO 27018
Red und Blue Teams?
Angriffsreporting?
Einhaltung aller Empfehlungen der Trusted Cloud?
5
6. Reise nach
München
Do & Fr
19:30
Stammtisch
Mo & Di
„Braukrug“
Meeting
Webseite
25.02.2015
Schwiegereltern
besuchen
SA
Konferenz-
Speaker
Mo 07:00
Tennis
jeden
Mittwoch
16:00 Uhr
9. Datendiebe im ICE
9
Opfer:
• Dieter Kempf
• Vorstandsvorsitzende des Nürnberger
IT-Dienstleisters Datev
• Präsident des IT-Dachverbands Bitkom
• 14. IT-Sicherheitskongress in Bonn, wo
er eine Expertenrunde über „sichere
mobile Kommunikation“ moderieren.
11. MDM/ EMS
RMS
Tracking
Office 365 Activity
API for Security
and compliance
monitoring
Wie ist Microsoft aufgestellt?
Expertenworkshop | Donnerstag, 27. Mai 2015 11
ISO
27018
2015
Advantage Threat
Protection
Compliance
Center
IRS
1075
Trust Center
12. Sicherheit & Datenschutz bei O365
Expertenworkshop | Donnerstag, 27. Mai 2015
12
Bedrohung Gegenmaßnahmen
1. Datenschutzverletzung Encryption at-Rest & In-Transit, erweiterte physische
Kontrollen, Compliance Center, APIs, RMS, use your own
key
2. Datenverlust (Backup/Recovery)
Geo-replizierter Storage, VM Capture & Storage
Snapshots, Azure Site-Replica, DLP
3. Account Hijacking
Azure Active Directory Multifaktor-Authentifizierung,
TLS-Verschlüsselung erzwungen, Abwehr-Team,
Begrenzung der Loginversuche
4. Unsichere API-Zugriffe
Umfangreicher Secure-Development-Lifecycle,
Red-/Blue Team Penetration Testing
5. Denial-of-Service Attacken
Nicht öffentliche Anwendungen können vom Internet
isoliert werden, Geo-redundantes Failover, hohe
Investitionen in DDoS Mechanismen
13. Office 365 - Rechenzentren
[6] United States
RZ: Location:
US Central Iowa
US Ost Virginia
US Ost 2 Virginia
US Nord Central Illinois
US Süd Central Texas
US West California
[2] Europe
RZ: Location:
Europe Nord Irland
Europa West Niederlande
(more Power)
[1] Brasilien
RZ: Location:
Brasilien Süd Sao Paulo
[2] Japan
RZ: Location:
Japan Nord Isaitama
Japan West Osaka
[2] Asien
RZ: Location:
Asien Ost Hong Kong
Asien Südost Singapur
NEW: [7] Kanada 2016
RZ: Location:
Kanada Toronto
Kanada Quebec
15. Integrierte Sicherheit durch Verteidigung
in der Tiefe
Physical controls, video surveillance, access control
Edge routers, firewalls, intrusion detection, vulnerability scanning
Dual-factor authentication, intrusion detection, vulnerability scanning
Access control and monitoring, anti-malware, patch and
configuration management
Secure engineering (SDL), access control and monitoring, anti-malware
Account management, training and awareness, screening
Threat and vulnerability management, security monitoring, and response,
access control and monitoring, file/data integrity, encryption
Facility
Network perimeter
Internal network
Host
Application
Admin
Data
20. Schutz durch optimale Mechanismen
20
Erzwingung von
starken Kennwörtern
für den Zugriff in die
Cloud
Mehrfachauthentifizierung (Multi-Faktor)
über App, Telefon bzw. SMS
21. Sicherheit & Datenschutz bei SharePoint Online
21
Zertifizierungen Sicherheit Sicherheitseinrichtungen
DLP
-Operational Security
Assurance (OSA) -SDLC
Bitlocker
MDM
Multifaktor
Information Right Management
Safe Harbor
22. Audits bei Microsoft
• regelmäßige Prüfungen durch Dritte (AICIPA, ISO, FedRamp, JAB)
• Kunde kann den letzten Report anfordern
• zusätzliche Zertifizierungen (Nachfragen)
• Compliance-Programm
• Office 365 Produkt Team ist immer ansprechbar (itpronetwork – Yammer)
22
24. Hand in Hand (Auszug)
24
• Microsofts Part
• Access Control,
• Risk Assessment,
• Communication Protection,
• Auditing & Logging,
• Identification & Authorisation &
Information Integrity,
• Incident Response
• Unser Part
• eDiscovery
• Office 365 Message Encryption
• RBAC (Role Based Acccess Control)
• Right Management
• Data Loss Protection (DLP)
• S/MIME
• Legal Hold
Microsoft informiert:
• Vorträge (z.B. Cloud Roadshow (MS) oder des Partners)
• Broschüren (Whitepapers, etc.)
• Hotline (Support)
• LCA (Rechtsabteilung von MS)
• Individuelle Beratung des MS Partners & seinem Kunden
25. Office 365 aus rechtlicher Sicht - Verträge
25
• Microsoft Online Services Security Amendment Amendment ID
MOS10
• Zusatzvereinbarung zum Microsoft Online-Abonnement-
Vertrag/zur Open-Programm-Lizenz
Datenverarbeitungsvertrag für Microsoft-Onlinedienste
Zusatzvereinbarung ID MOS11
• Zusatzvereinbarung zum Microsoft Online-Abonnement-
Vertrag/zur Open-Programm-Lizenz Zusatzvereinbarung zur
Datenverarbeitung bei Microsoft-Onlinediensten (mit EU-
Standardvertragsklauseln) Zusatzvereinbarung ID MOS12
• Business Associate Amendment Amendment ID MOS13
(HIPAA)
• Microsoft Online Service Terms Stand: April 2015
26. Office 365 aus rechtlicher Sicht - Verträge
26
Quelle: Compliance in der
Microsoft Enterprise Cloud Februar 2015
Microsoft Online
Service Terms
Stand: April 2015
Kanada:
http://reimagine.mi
crosoft.ca/en-ca/
27. Office 365 aus rechtlicher Sicht – Datenschutz
27
Verarbeitung von Daten nur mit:
• Einwilligung des/der Betroffenen
• Gesetzliche Erlaubnistatbestände
• Sonstige (Betriebsvereinbarung)
Grundsätzliches Verbot der Datenverarbeitung
28. Wer hat Zugriff auf meine Daten?
Expertenworkshop | Donnerstag, 27. Mai 2015 28
Usage Data Address Book Data
Customer Data (excluding
Core Customer Data*)
Core Customer Data
Operations Response
Team (limited to key
personnel only)
Yes. Yes, as needed. Yes, as needed. Yes, by exception.
Support Organization
Yes, only as required
in response to
Support Inquiry.
Yes, only as required in
response to Support Inquiry.
Yes, only as required in
response to Support Inquiry.
No.
Engineering Yes.
No Direct Access. May Be
Transferred During Trouble-
shooting.
No Direct Access. May Be
Transferred During Trouble-
shooting.
No.
Partners
With customer
permission.
With customer permission. With customer permission.
With customer
permission.
Others in Microsoft No.
No (Yes for Office 365 for
small business Customers for
marketing purposes).
No. No.
Quelle: Microsoft Trust Center Mai 2015
29. „Ich darf meine Daten außerhalb von Deutschland nicht
verarbeiten!“
• Sensitive Daten (Gesundheitsdaten/Versicherungsdaten)
• § 3 Abs. 9 BDSG
• Einwilligung des Betroffen, Auftragsdatenverarbeitung
• EU Modelclauses
• Rechtsgutachten von Microsoft beauftragt worden
• = Ja, ist möglich
• Sozialdaten
• § 35 SGB I
• z.B. Daten vor Zugriff schützen, Daten vor Veränderung schützen
• = Ja, ist möglich
• Finanzdaten
• § 146 AO
• Mit Genehmigung des Finanzamtes auch an einem anderen Ort innerhalb der EU (Tipke/Lang/Hey)
• = Ja, ist möglich
29
Mandantendaten (Rechtsanwalt)
• BRAK, Anwaltsverein = keine
Äußerung
• PWR Rechtsanwälte München setzt
Office 365 nach eigener Aussage ein
• Berufsordnung wohl nicht erlaubt für
sensible Mandantendaten.
38. Daten- Best Practise
• Einteilung der Daten in (?)
1. Standarddaten / öffentliche Daten (grün)
2. interne Daten (gelb)
3. Daten unter Handelsaufbewahrungspflichten, Geheimhaltung,
personenbezogene Daten (rot)
Empfehlung: Alles ist wichtig!
• Datenfluss-Diagramme
• Welchen Weg gehen meine Daten?
• Wer hat Zugriff?
38
39. Sicherheit & Datenschutz bei O365
• Sind Datenschutz & O365 vereinbar?
Expertenworkshop | Donnerstag, 27. Mai 2015
39
Transparency-Reports, über Datenaustausch ist hier abrufbar - Auswahl auf Deutschland möglich:
http://www.microsoft.com/about/corporatecitizenship/en-us/reporting/transparency/
Wie oft gibt die Deutsche Telekom, Vodafone, O2,
Fluglinien oder einschlägige
Hosting-Anbieter Daten an Behörden raus?
40. Microsoft reagiert auf Zugriffsversuche
Expertenworkshop | Donnerstag, 27. Mai 2015 40
• Anfrage mit Aufforderung zur Herausgabe von Daten
• Folge: Microsoft leitet die Behörde an den Kunden
weiter. Wenn es sich um Daten lagernd in der EU
handelt, wird Microsoft gerichtlich dagegen vorgehen.
• Aktuell:
• Anfechtungsverfahren gegen das erstinstanzliche
Verfahren vor einem New Yorker Gericht.
• In der zweiten Instanz wurde die Herausgabe
bestätigt, dennoch wurde ein Aufschub gewährt.
Microsoft schöpft alle Rechtsmittel aus.
• Alle Daten inTransit und atRest sind verschlüsselt.