GWAVACon 2015: Microsoft MVP - Ist die Cloud wirklich sicher?

Ist die Cloud wirklich sicher?- Microsofts Cloud Lösungen auf dem Prüfstand -

Michael Kirst (MVP Office 365)

Raphael Köllner (MVP Office 365)

1

Raphael KöllnerWissMit CBH Rechtsanwälte

IT & Jura Trainer und Dozent

E-Mail: raphael.koellner@rakoellner.com

http://products.office.com/de-de/business/office-365-trust-center-cloud-computing-

security

Blog | http://www.rakoellner.de und www.rakoellner.com

Microsoft | https://mvp.microsoft.com/en-us/mvp/Raphael%20Koellner-5000185

Podcast | iTunes oder direkt über meinen Blog oder www.mvpkaffeeklatsch.de

Michael Kirst-NeshvaANK Business Services GmbH

Senior IT-Infrastructure Architect

Cloud Ambassador

MVP Office 365, MCT Trainer

Communities:

Office 365 Community Deutschland (Lead)

UserGroup Office 365 Deutschland (Lead)

Azure Community Deutschland (Mitglied)

E-Mail: mkn@ankbs.de

Twitter: ankbs

Blog | http://blog.ugoffice365.ms

Agenda

4

Digitales

Arbeiten

technisch

juristische Anforderungen

Q&A +

Diskussion

Realitätscheck!

Wie sind Sie aufgestellt?

Ihre Sicherheits- und Compliance Prozesse?

Verfügbarkeit?

ISO Zertifizierungen? z.B. ISO27001, ISO 27018

Red und Blue Teams?

Angriffsreporting?

Einhaltung aller Empfehlungen der Trusted Cloud?

5

Reise nach München

Do & Fr

19:30

Stammtisch

Mo & Di

„Braukrug“

Meeting Webseite

25.02.2015

Schwiegereltern besuchen

SA

Konferenz-Speaker

Mo 07:00

Tennis

jedenMittwoch 16:00 Uhr

Vertrauen vs. Angst

8

Datendiebe im ICE

9

Opfer:• Dieter Kempf

• Vorstandsvorsitzende des Nürnberger

IT-Dienstleisters Datev

• Präsident des IT-Dachverbands Bitkom

• 14. IT-Sicherheitskongress in Bonn, wo

er eine Expertenrunde über „sichere

mobile Kommunikation“ moderieren.

Microsofts Grundprinzip

It’s your dataYou own it, you control it

We run the service for you

We are accountable to you

MDM/ EMS

RMS

Tracking

Office 365 Activity

API for Security

and compliance

monitoring

Wie ist Microsoft aufgestellt?

Expertenworkshop | Donnerstag, 27. Mai 2015 11

ISO

27018

2015

Advantage Threat

Protection

Compliance

CenterIRS

1075

Trust Center

Sicherheit & Datenschutz bei O365

Expertenworkshop | Donnerstag, 27. Mai 201512

Bedrohung Gegenmaßnahmen

1. Datenschutzverletzung Encryption at-Rest & In-Transit, erweiterte physische

Kontrollen, Compliance Center, APIs, RMS, use your own

key

2. Datenverlust (Backup/Recovery)Geo-replizierter Storage, VM Capture & Storage

Snapshots, Azure Site-Replica, DLP

3. Account Hijacking

Azure Active Directory Multifaktor-Authentifizierung,

TLS-Verschlüsselung erzwungen, Abwehr-Team,

Begrenzung der Loginversuche

4. Unsichere API-ZugriffeUmfangreicher Secure-Development-Lifecycle,

Red-/Blue Team Penetration Testing

5. Denial-of-Service Attacken

Nicht öffentliche Anwendungen können vom Internet

isoliert werden, Geo-redundantes Failover, hohe

Investitionen in DDoS Mechanismen

Office 365 - Rechenzentren

[6] United StatesRZ: Location:

US Central Iowa

US Ost Virginia

US Ost 2 Virginia

US Nord Central Illinois

US Süd Central Texas

US West California

[2] EuropeRZ: Location:

Europe Nord Irland

Europa West Niederlande

(more Power)

[1] BrasilienRZ: Location:

Brasilien Süd Sao Paulo

[2] JapanRZ: Location:

Japan Nord Isaitama

Japan West Osaka

[2] AsienRZ: Location:

Asien Ost Hong Kong

Asien Südost Singapur

NEW: [7] Kanada 2016RZ: Location:

Kanada Toronto

Kanada Quebec

Security& Complaince by Design

14

- ADV

Integrierte Sicherheit durch Verteidigungin der Tiefe

Physical controls, video surveillance, access control

Edge routers, firewalls, intrusion detection, vulnerability scanning

Dual-factor authentication, intrusion detection, vulnerability scanning

Access control and monitoring, anti-malware, patch and

configuration management

Secure engineering (SDL), access control and monitoring, anti-malware

Account management, training and awareness, screening

Threat and vulnerability management, security monitoring, and response,

access control and monitoring, file/data integrity, encryption

Facility

Network perimeter

Internal network

Host

Application

Admin

Data

Network Security

16

Quelle: O365 Security & Control BRK2194 - Ignite

Microsofts Wachsamkeit

17

Quelle: O365 Security & Control BRK2194 - Ignite

Verschlüsselung und Sicherheit

atRest

InTransit

18

Verschlüsselte Verbindung

File, Message Level

Encryption

Data loss

prevention (DLP)

Rights

Management

Service ISO 27001

(ISO 27018)

• Backend

Verschlüsselung der

Daten (Fort-Knox)

• regelmäßige

Sicherungen

• getrennte virtuelle

Storage

• Bitlocker

• Encryption

Gateway

99,99%SLA: Letztes Quartal

• Transport Layer

Security

• SSL

Content Level Encryption

Cosumer Control

Customer

controlled keys

Azure Key Vault

OneDrive: Per-file Encryption (Fort Knox)

19

Schutz durch optimale Mechanismen

20

Erzwingung von

starken Kennwörtern

für den Zugriff in die

Cloud

Mehrfachauthentifizierung (Multi-Faktor)

über App, Telefon bzw. SMS

Sicherheit & Datenschutz bei SharePoint Online

21

Zertifizierungen Sicherheit Sicherheitseinrichtungen

DLP-Operational Security

Assurance (OSA) -SDLC

Bitlocker

MDMMultifaktor

Information Right Management

Safe Harbor

Audits bei Microsoft

• regelmäßige Prüfungen durch Dritte (AICIPA, ISO, FedRamp, JAB)

• Kunde kann den letzten Report anfordern

• zusätzliche Zertifizierungen (Nachfragen)

• Compliance-Programm

• Office 365 Produkt Team ist immer ansprechbar (itpronetwork – Yammer)

22

Microsoft Transparenz Center

23

Quelle:

http://blogs.microsoft.com/eupolicy/transparency-center/ • Einblick in den Quellcode

Hand in Hand (Auszug)

24

• Microsofts Part

• Access Control,

• Risk Assessment,

• Communication Protection,

• Auditing & Logging,

• Identification & Authorisation & Information Integrity,

• Incident Response

• Unser Part

• eDiscovery

• Office 365 Message Encryption

• RBAC (Role Based Acccess Control)

• Right Management

• Data Loss Protection (DLP)

• S/MIME

• Legal Hold

Microsoft informiert: • Vorträge (z.B. Cloud Roadshow (MS) oder des Partners)

• Broschüren (Whitepapers, etc.)

• Hotline (Support)

• LCA (Rechtsabteilung von MS)

• Individuelle Beratung des MS Partners & seinem Kunden

Office 365 aus rechtlicher Sicht - Verträge

25

• Microsoft Online Services Security Amendment Amendment ID

MOS10

• Zusatzvereinbarung zum Microsoft Online-Abonnement-

Vertrag/zur Open-Programm-Lizenz

Datenverarbeitungsvertrag für Microsoft-Onlinedienste

Zusatzvereinbarung ID MOS11

• Zusatzvereinbarung zum Microsoft Online-Abonnement-

Vertrag/zur Open-Programm-Lizenz Zusatzvereinbarung zur

Datenverarbeitung bei Microsoft-Onlinediensten (mit EU-

Standardvertragsklauseln) Zusatzvereinbarung ID MOS12

• Business Associate Amendment Amendment ID MOS13

(HIPAA)

• Microsoft Online Service Terms Stand: April 2015

Office 365 aus rechtlicher Sicht - Verträge

26

Quelle: Compliance in der

Microsoft Enterprise Cloud Februar 2015

Microsoft Online

Service Terms

Stand: April 2015

Kanada:

http://reimagine.mi

crosoft.ca/en-ca/

Office 365 aus rechtlicher Sicht – Datenschutz

27

Verarbeitung von Daten nur mit:

• Einwilligung des/der Betroffenen

• Gesetzliche Erlaubnistatbestände

• Sonstige (Betriebsvereinbarung)

Grundsätzliches Verbot der Datenverarbeitung

Wer hat Zugriff auf meine Daten?

Expertenworkshop | Donnerstag, 27. Mai 2015 28

Usage Data Address Book DataCustomer Data (excluding

Core Customer Data*)Core Customer Data

Operations Response

Team (limited to key

personnel only)

Yes. Yes, as needed. Yes, as needed. Yes, by exception.

Support Organization

Yes, only as required

in response to

Support Inquiry.

Yes, only as required in

response to Support Inquiry.

Yes, only as required in

response to Support Inquiry.No.

Engineering Yes.

No Direct Access. May Be

Transferred During Trouble-

shooting.

No Direct Access. May Be

Transferred During Trouble-

shooting.

No.

PartnersWith customer

permission. With customer permission. With customer permission.

With customer

permission.

Others in Microsoft No.

No (Yes for Office 365 for

small business Customers for

marketing purposes).

No. No.

Quelle: Microsoft Trust Center Mai 2015

„Ich darf meine Daten außerhalb von Deutschland nicht verarbeiten!“

• Sensitive Daten (Gesundheitsdaten/Versicherungsdaten)• § 3 Abs. 9 BDSG

• Einwilligung des Betroffen, Auftragsdatenverarbeitung

• EU Modelclauses

• Rechtsgutachten von Microsoft beauftragt worden

• = Ja, ist möglich

• Sozialdaten• § 35 SGB I

• z.B. Daten vor Zugriff schützen, Daten vor Veränderung schützen

• = Ja, ist möglich

• Finanzdaten• § 146 AO

• Mit Genehmigung des Finanzamtes auch an einem anderen Ort innerhalb der EU (Tipke/Lang/Hey)

• = Ja, ist möglich

29

Mandantendaten (Rechtsanwalt)• BRAK, Anwaltsverein = keine

Äußerung

• PWR Rechtsanwälte München setzt

Office 365 nach eigener Aussage ein

• Berufsordnung wohl nicht erlaubt für

sensible Mandantendaten.

Identity Management ab 2015

30

Quelle: https://sway.com/i9hc-VduIoTug5C-

Das Compliance Center

31

Admin Center (Preview)

32

Trust Center

33

34

Tools einsetzen

35

O365 Multifaktor

AuthentifizierungsmöglichkeitenData Loss Prevention (DLP)

Email Verschlüsselung

Client-unabhängig …

ohne Zertifikate / Agent!

Office 365 Message Encryption

36

Quelle: TechNet

RMS Tracking & Secure

37

Daten- Best Practise

• Einteilung der Daten in (?)1. Standarddaten / öffentliche Daten (grün)

2. interne Daten (gelb)

3. Daten unter Handelsaufbewahrungspflichten, Geheimhaltung, personenbezogene Daten (rot)

Empfehlung: Alles ist wichtig!

• Datenfluss-Diagramme

• Welchen Weg gehen meine Daten?

• Wer hat Zugriff?

38

Sicherheit & Datenschutz bei O365

• Sind Datenschutz & O365 vereinbar?

Expertenworkshop | Donnerstag, 27. Mai 201539

Transparency-Reports, über Datenaustausch ist hier abrufbar - Auswahl auf Deutschland möglich:

http://www.microsoft.com/about/corporatecitizenship/en-us/reporting/transparency/

Wie oft gibt die Deutsche Telekom, Vodafone, O2,

Fluglinien oder einschlägige

Hosting-Anbieter Daten an Behörden raus?

Microsoft reagiert auf Zugriffsversuche

Expertenworkshop | Donnerstag, 27. Mai 2015 40

• Anfrage mit Aufforderung zur Herausgabe von Daten

• Folge: Microsoft leitet die Behörde an den Kunden weiter. Wenn es sich um Daten lagernd in der EU handelt, wird Microsoft gerichtlich dagegen vorgehen.

• Aktuell:

• Anfechtungsverfahren gegen das erstinstanzliche Verfahren vor einem New Yorker Gericht.

• In der zweiten Instanz wurde die Herausgabe bestätigt, dennoch wurde ein Aufschub gewährt. Microsoft schöpft alle Rechtsmittel aus.

• Alle Daten inTransit und atRest sind verschlüsselt.

Feedback + Q&A

41

Raphael Köllner

Mail: raphael.koellner@rakoellner.com

Twitter: ra_koellner

Blog: www.rakoellner.de

42