View
373
Download
1
Category
Preview:
Citation preview
Ist die Cloud wirklich sicher?- Microsofts Cloud Lösungen auf dem Prüfstand -
Michael Kirst (MVP Office 365)
Raphael Köllner (MVP Office 365)
1
Raphael KöllnerWissMit CBH Rechtsanwälte
IT & Jura Trainer und Dozent
E-Mail: raphael.koellner@rakoellner.com
http://products.office.com/de-de/business/office-365-trust-center-cloud-computing-
security
Blog | http://www.rakoellner.de und www.rakoellner.com
Microsoft | https://mvp.microsoft.com/en-us/mvp/Raphael%20Koellner-5000185
Podcast | iTunes oder direkt über meinen Blog oder www.mvpkaffeeklatsch.de
Michael Kirst-NeshvaANK Business Services GmbH
Senior IT-Infrastructure Architect
Cloud Ambassador
MVP Office 365, MCT Trainer
Communities:
Office 365 Community Deutschland (Lead)
UserGroup Office 365 Deutschland (Lead)
Azure Community Deutschland (Mitglied)
E-Mail: mkn@ankbs.de
Twitter: ankbs
Blog | http://blog.ugoffice365.ms
Agenda
4
Digitales
Arbeiten
technisch
juristische Anforderungen
Q&A +
Diskussion
Realitätscheck!
Wie sind Sie aufgestellt?
Ihre Sicherheits- und Compliance Prozesse?
Verfügbarkeit?
ISO Zertifizierungen? z.B. ISO27001, ISO 27018
Red und Blue Teams?
Angriffsreporting?
Einhaltung aller Empfehlungen der Trusted Cloud?
5
Reise nach München
Do & Fr
19:30
Stammtisch
Mo & Di
„Braukrug“
Meeting Webseite
25.02.2015
Schwiegereltern besuchen
SA
Konferenz-Speaker
Mo 07:00
Tennis
jedenMittwoch 16:00 Uhr
Vertrauen vs. Angst
8
Datendiebe im ICE
9
Opfer:• Dieter Kempf
• Vorstandsvorsitzende des Nürnberger
IT-Dienstleisters Datev
• Präsident des IT-Dachverbands Bitkom
• 14. IT-Sicherheitskongress in Bonn, wo
er eine Expertenrunde über „sichere
mobile Kommunikation“ moderieren.
Microsofts Grundprinzip
It’s your dataYou own it, you control it
We run the service for you
We are accountable to you
MDM/ EMS
RMS
Tracking
Office 365 Activity
API for Security
and compliance
monitoring
Wie ist Microsoft aufgestellt?
Expertenworkshop | Donnerstag, 27. Mai 2015 11
ISO
27018
2015
Advantage Threat
Protection
Compliance
CenterIRS
1075
Trust Center
Sicherheit & Datenschutz bei O365
Expertenworkshop | Donnerstag, 27. Mai 201512
Bedrohung Gegenmaßnahmen
1. Datenschutzverletzung Encryption at-Rest & In-Transit, erweiterte physische
Kontrollen, Compliance Center, APIs, RMS, use your own
key
2. Datenverlust (Backup/Recovery)Geo-replizierter Storage, VM Capture & Storage
Snapshots, Azure Site-Replica, DLP
3. Account Hijacking
Azure Active Directory Multifaktor-Authentifizierung,
TLS-Verschlüsselung erzwungen, Abwehr-Team,
Begrenzung der Loginversuche
4. Unsichere API-ZugriffeUmfangreicher Secure-Development-Lifecycle,
Red-/Blue Team Penetration Testing
5. Denial-of-Service Attacken
Nicht öffentliche Anwendungen können vom Internet
isoliert werden, Geo-redundantes Failover, hohe
Investitionen in DDoS Mechanismen
Office 365 - Rechenzentren
[6] United StatesRZ: Location:
US Central Iowa
US Ost Virginia
US Ost 2 Virginia
US Nord Central Illinois
US Süd Central Texas
US West California
[2] EuropeRZ: Location:
Europe Nord Irland
Europa West Niederlande
(more Power)
[1] BrasilienRZ: Location:
Brasilien Süd Sao Paulo
[2] JapanRZ: Location:
Japan Nord Isaitama
Japan West Osaka
[2] AsienRZ: Location:
Asien Ost Hong Kong
Asien Südost Singapur
NEW: [7] Kanada 2016RZ: Location:
Kanada Toronto
Kanada Quebec
Security& Complaince by Design
14
- ADV
Integrierte Sicherheit durch Verteidigungin der Tiefe
Physical controls, video surveillance, access control
Edge routers, firewalls, intrusion detection, vulnerability scanning
Dual-factor authentication, intrusion detection, vulnerability scanning
Access control and monitoring, anti-malware, patch and
configuration management
Secure engineering (SDL), access control and monitoring, anti-malware
Account management, training and awareness, screening
Threat and vulnerability management, security monitoring, and response,
access control and monitoring, file/data integrity, encryption
Facility
Network perimeter
Internal network
Host
Application
Admin
Data
Network Security
16
Quelle: O365 Security & Control BRK2194 - Ignite
Microsofts Wachsamkeit
17
Quelle: O365 Security & Control BRK2194 - Ignite
Verschlüsselung und Sicherheit
atRest
InTransit
18
Verschlüsselte Verbindung
File, Message Level
Encryption
Data loss
prevention (DLP)
Rights
Management
Service ISO 27001
(ISO 27018)
• Backend
Verschlüsselung der
Daten (Fort-Knox)
• regelmäßige
Sicherungen
• getrennte virtuelle
Storage
• Bitlocker
• Encryption
Gateway
99,99%SLA: Letztes Quartal
• Transport Layer
Security
• SSL
Content Level Encryption
Cosumer Control
Customer
controlled keys
Azure Key Vault
OneDrive: Per-file Encryption (Fort Knox)
19
Schutz durch optimale Mechanismen
20
Erzwingung von
starken Kennwörtern
für den Zugriff in die
Cloud
Mehrfachauthentifizierung (Multi-Faktor)
über App, Telefon bzw. SMS
Sicherheit & Datenschutz bei SharePoint Online
21
Zertifizierungen Sicherheit Sicherheitseinrichtungen
DLP-Operational Security
Assurance (OSA) -SDLC
Bitlocker
MDMMultifaktor
Information Right Management
Safe Harbor
Audits bei Microsoft
• regelmäßige Prüfungen durch Dritte (AICIPA, ISO, FedRamp, JAB)
• Kunde kann den letzten Report anfordern
• zusätzliche Zertifizierungen (Nachfragen)
• Compliance-Programm
• Office 365 Produkt Team ist immer ansprechbar (itpronetwork – Yammer)
22
Microsoft Transparenz Center
23
Quelle:
http://blogs.microsoft.com/eupolicy/transparency-center/ • Einblick in den Quellcode
Hand in Hand (Auszug)
24
• Microsofts Part
• Access Control,
• Risk Assessment,
• Communication Protection,
• Auditing & Logging,
• Identification & Authorisation & Information Integrity,
• Incident Response
• Unser Part
• eDiscovery
• Office 365 Message Encryption
• RBAC (Role Based Acccess Control)
• Right Management
• Data Loss Protection (DLP)
• S/MIME
• Legal Hold
Microsoft informiert: • Vorträge (z.B. Cloud Roadshow (MS) oder des Partners)
• Broschüren (Whitepapers, etc.)
• Hotline (Support)
• LCA (Rechtsabteilung von MS)
• Individuelle Beratung des MS Partners & seinem Kunden
Office 365 aus rechtlicher Sicht - Verträge
25
• Microsoft Online Services Security Amendment Amendment ID
MOS10
• Zusatzvereinbarung zum Microsoft Online-Abonnement-
Vertrag/zur Open-Programm-Lizenz
Datenverarbeitungsvertrag für Microsoft-Onlinedienste
Zusatzvereinbarung ID MOS11
• Zusatzvereinbarung zum Microsoft Online-Abonnement-
Vertrag/zur Open-Programm-Lizenz Zusatzvereinbarung zur
Datenverarbeitung bei Microsoft-Onlinediensten (mit EU-
Standardvertragsklauseln) Zusatzvereinbarung ID MOS12
• Business Associate Amendment Amendment ID MOS13
(HIPAA)
• Microsoft Online Service Terms Stand: April 2015
Office 365 aus rechtlicher Sicht - Verträge
26
Quelle: Compliance in der
Microsoft Enterprise Cloud Februar 2015
Microsoft Online
Service Terms
Stand: April 2015
Kanada:
http://reimagine.mi
crosoft.ca/en-ca/
Office 365 aus rechtlicher Sicht – Datenschutz
27
Verarbeitung von Daten nur mit:
• Einwilligung des/der Betroffenen
• Gesetzliche Erlaubnistatbestände
• Sonstige (Betriebsvereinbarung)
Grundsätzliches Verbot der Datenverarbeitung
Wer hat Zugriff auf meine Daten?
Expertenworkshop | Donnerstag, 27. Mai 2015 28
Usage Data Address Book DataCustomer Data (excluding
Core Customer Data*)Core Customer Data
Operations Response
Team (limited to key
personnel only)
Yes. Yes, as needed. Yes, as needed. Yes, by exception.
Support Organization
Yes, only as required
in response to
Support Inquiry.
Yes, only as required in
response to Support Inquiry.
Yes, only as required in
response to Support Inquiry.No.
Engineering Yes.
No Direct Access. May Be
Transferred During Trouble-
shooting.
No Direct Access. May Be
Transferred During Trouble-
shooting.
No.
PartnersWith customer
permission. With customer permission. With customer permission.
With customer
permission.
Others in Microsoft No.
No (Yes for Office 365 for
small business Customers for
marketing purposes).
No. No.
Quelle: Microsoft Trust Center Mai 2015
„Ich darf meine Daten außerhalb von Deutschland nicht verarbeiten!“
• Sensitive Daten (Gesundheitsdaten/Versicherungsdaten)• § 3 Abs. 9 BDSG
• Einwilligung des Betroffen, Auftragsdatenverarbeitung
• EU Modelclauses
• Rechtsgutachten von Microsoft beauftragt worden
• = Ja, ist möglich
• Sozialdaten• § 35 SGB I
• z.B. Daten vor Zugriff schützen, Daten vor Veränderung schützen
• = Ja, ist möglich
• Finanzdaten• § 146 AO
• Mit Genehmigung des Finanzamtes auch an einem anderen Ort innerhalb der EU (Tipke/Lang/Hey)
• = Ja, ist möglich
29
Mandantendaten (Rechtsanwalt)• BRAK, Anwaltsverein = keine
Äußerung
• PWR Rechtsanwälte München setzt
Office 365 nach eigener Aussage ein
• Berufsordnung wohl nicht erlaubt für
sensible Mandantendaten.
Identity Management ab 2015
30
Quelle: https://sway.com/i9hc-VduIoTug5C-
Das Compliance Center
31
Admin Center (Preview)
32
Trust Center
33
34
Tools einsetzen
35
O365 Multifaktor
AuthentifizierungsmöglichkeitenData Loss Prevention (DLP)
Email Verschlüsselung
Client-unabhängig …
ohne Zertifikate / Agent!
Office 365 Message Encryption
36
Quelle: TechNet
RMS Tracking & Secure
37
Daten- Best Practise
• Einteilung der Daten in (?)1. Standarddaten / öffentliche Daten (grün)
2. interne Daten (gelb)
3. Daten unter Handelsaufbewahrungspflichten, Geheimhaltung, personenbezogene Daten (rot)
Empfehlung: Alles ist wichtig!
• Datenfluss-Diagramme
• Welchen Weg gehen meine Daten?
• Wer hat Zugriff?
38
Sicherheit & Datenschutz bei O365
• Sind Datenschutz & O365 vereinbar?
Expertenworkshop | Donnerstag, 27. Mai 201539
Transparency-Reports, über Datenaustausch ist hier abrufbar - Auswahl auf Deutschland möglich:
http://www.microsoft.com/about/corporatecitizenship/en-us/reporting/transparency/
Wie oft gibt die Deutsche Telekom, Vodafone, O2,
Fluglinien oder einschlägige
Hosting-Anbieter Daten an Behörden raus?
Microsoft reagiert auf Zugriffsversuche
Expertenworkshop | Donnerstag, 27. Mai 2015 40
• Anfrage mit Aufforderung zur Herausgabe von Daten
• Folge: Microsoft leitet die Behörde an den Kunden weiter. Wenn es sich um Daten lagernd in der EU handelt, wird Microsoft gerichtlich dagegen vorgehen.
• Aktuell:
• Anfechtungsverfahren gegen das erstinstanzliche Verfahren vor einem New Yorker Gericht.
• In der zweiten Instanz wurde die Herausgabe bestätigt, dennoch wurde ein Aufschub gewährt. Microsoft schöpft alle Rechtsmittel aus.
• Alle Daten inTransit und atRest sind verschlüsselt.
Feedback + Q&A
41
Raphael Köllner
Mail: raphael.koellner@rakoellner.com
Twitter: ra_koellner
Blog: www.rakoellner.de
42
Recommended