Telefon: +49 211 968 56 0 | info(at)rds.de

Ist die Office 365 Cloud sicher?

Sobald es dahin geht, Services aus der Cloud zu nutzen, kommt es zwangsläufig zu der Frage „Ist die Office 365 Cloud sicher?“. Der Anbieter, in diesem Fall Microsoft, kann viel versprechen und Papier ist geduldig. Der Anwender selbst hat keine Möglichkeit, zu prüfen was im Hintergrund alles passiert, geschweige denn die Sicherheit zu überprüfen. Im Hinblick darauf, dass ein Unternehmen seine sensiblen Daten in der Cloud ablegt, muss die Sicherheit oberste Priorität haben.

Diesbezüglich trifft Microsoft einige zentrale Sicherheitsaussagen, um das Vertrauen der Anwender zu erlangen:

Integrierte Sicherheitsfunktionen

Datenschutz bei der Entwicklung von Anfang an berücksichtigt

Durchgängige Compliance

Transparente Verarbeitung

Seitens Microsoft werden die Themen Datenschutz- und Sicherheitsfunktionen von Office 365 ganz besonders betont. Als Beispiel wird hier die Verschlüsselung der Daten bei der Übertragung wie auch deren Speicherung angeführt.

Welche Sicherheitsaspekte hat denn nun Office 365?

Hier einige Beispiele:

  • Exchange Online Datenbanken werden mit Bitlocker verschlüsselt
  • Daten, die in SharePoint Online oder OneDrive for Business abgespeichert werden, sind zu jeder Zeit mit einem eigenen 256-bit Advanced Encryption Standard (AES) Schlüssel vor dem Zugriff Dritter verschlüsselt
  • Ein physischer Zugang zum Microsoft Rechenzentrum ist mit sehr hohen Sicherheits- Prozessen versehen
  • Die Administratoren erhalten nur so lange wie notwendig Zugriff auf die Systeme.
  • Microsoft überwacht den gesamten Zugriff auf die Mandantendaten und sorgt dafür, dass Daten nicht von einem Mandanten zu einem anderen überlaufen können.
  • TLS-Verschlüsselung (Transport Layer Security) schützt die zwischen dem Office 365-Datencentern und Clients gesendeten/ausgetauschten Informationen und Nachrichten, z.B. die zwischen Exchange Online Benutzers gesendet werden.
  • Zusätzliche Sicherheitsmechanismen können von den Usern selber genutzt werden. Hierzu zählen zum Beispiel Azure Information Protection, Date Loss Prevention, Advanced Threat Protection, oder S/MIME

Außerdem hat Microsoft vor einiger Zeit Advanced Threat Protection (ATP) als Ergänzung zu Exchange Online Protection eingeführt, um Office-365-Benutzer und die Systeme besser vor Zero-Day-Angriffen zu schützen. Die Office-365-Sicherheitsfunktionen Safe Links und Safe Attachments bieten Echtzeitschutz vor bösartigen Links und Anhängen.

Anfang diesen Jahres hat Microsoft ATP um die Funktionen URL Detonation und Dynamic Delivery ergänzt. Diese Features  erhöhen die Sicherheit, in dem sie Links und Anhänge proaktiv auf Verdächtiges analysieren und so das Risiko einer Infektion sowie die Verbreitung von Malware zu verringern beziehungsweise zu verhindern.

Da stellt sich ja nun die Frage, wie kann ich denn feststellen ob mein Office 365 Tenant sicher ist?

Vor ein paar Monaten hat Microsoft ein Tool namens Secure Score veröffentlicht, das von jedem verwendet werden kann, der Administratorrechte für ein Office 365-Abonnement besitzt, nicht nur um zu analysieren, sondern auch Best Practices zu implementieren in Bezug auf die Sicherheit im Office 365 Umfeld.

Neben den technischen Sicherheitsaspekten orientiert sich Microsoft im Compliance-Bereich an den folgenden Gesetzen und Regulatorien:

Datenverarbeitungsbedingungen

Microsoft bietet seinen Kunden zusätzliche vertragliche Zusicherungen in Form von Datenverarbeitungsbedingungen hinsichtlich der Handhabung und Sicherung von Kundendaten durch Microsoft an. Indem Microsoft diesen Bedingungen zustimmt, verpflichten sich Microsoft zu mehr als 40 spezifischen Sicherheitsverpflichtungen, die weltweit aus Verordnungen erhoben werden. Diese robusten Verpflichtungen in dem Microsoft Datenverarbeitungsbedingungen stehen den Microsoft Kunden standardmäßig zur Verfügung.

Gesetz zur Übertragung und Übertragbarkeit von Gesundheitsversicherungen (HIPAA)

HIPAA stellt an die ggf. betroffenen Kundenunternehmen Sicherheitsanforderungen in Bezug auf die Verarbeitung elektronisch gespeicherter Patientendaten. Microsoft stellt Office 365 mit physischen, administrativen und technischen Sicherheitsvorkehrungen zur Verfügung, die es den Kunden erleichtern, die HIPAA-Anforderungen umfassend zu erfüllen.

Mehr Infos

Bundesgesetz über das Informationssicherheitsmanagement (FISMA)

FISMA erfordert, dass US-Regierungsbehörden Kontrollmechanismen entwickeln, dokumentieren und implementieren, um ihre Daten und Informationssysteme zu schützen. FedRAMP (Federal Risk and Authorization Program) ist ein Risikomanagementprogramm für Behörden, mit dem ein standardisierter Ansatz für die Bewertung und Überwachung der Sicherheit von Cloudprodukten und -diensten bereitsteht.

Mehr Infos

ISO 27001

ISO 27001:2013 ist einer der besten Sicherheitsbenchmarks der Welt. Zahlreiche Produkte in Office 365 erfüllen nachweislich die strengen physischen und logischen Kontrollanforderungen zum Schutz von Prozessen und Verwaltung, die von ISO 27001:2013 definiert werden. Dies schließt auch die Datenschutzkontrollen nach ISO 27018 ein, wie im jüngsten Audit bestätigt wurde. Mit der Aufnahme dieser neuen ISO 27018-Kontrollen in die ISO-Überprüfung wurde bestätigt, dass Office 365 seine Kunden zuverlässig vor der unzulässigen Offenlegung von Kundendaten schützen kann.

Mehr Infos

Modellklauseln der Europäischen Union (EU)

Gemäß der EU-Datenschutzrichtlinie, einem wichtigen Instrument der EU zur Durchsetzung von Datenschutz und Menschenrechten, müssen unsere Kunden in der EU den Transfer personenbezogener Daten in Länder außerhalb der EU legitimieren. Die EU-Standardvertragsklauseln gelten als die bevorzugte Methode zur Legitimierung des Transfers personenbezogener Daten in Cloudcomputing-Umgebungen außerhalb der EU. Das Angebot eines Vertragsschlusses unter den EU-Standardvertragsklauseln setzt Investitionen und die Entwicklung operativer Kontrollen und Prozesse voraus, um die hohen Anforderungen der EU-Standardvertragsklauseln zu erfüllen.

Mehr Infos

ISO 27018

In diesem Standard wird ein einheitlicher, internationaler Ansatz für den Schutz personenbezogener Daten in der Cloud festgelegt. Die Konformität mit ISO 27018 bedeutet, dass personenbezogene Daten nur gemäß den Anweisungen des Kunden verarbeiten, Transparenz hinsichtlich der Verwendung der Kundendaten walten lassen, strikte Schutzmechanismen für personenbezogene Daten in unserer Cloud bereitstellen, Kundendaten nicht zu Werbezwecken verwenden und Kunden über Zugriffe von Behörden auf ihre Daten informieren.

Mehr Infos

Health Information Trust Alliance (HITRUST)

Das Office 365-Team hat gemeinsam mit einem unabhängigen Sachverständigen ein Gutachten zur Bewertung unserer Konformität mit HITRUST erstellt. HITRUST hat das CSF (Common Security Framework) geschaffen, ein zertifizierbares System, das von jeglichen Organisationen verwendet werden kann, die persönliche Patienten- und Finanzdaten erstellen, speichern, austauschen oder abrufen. Das HITRUST CSF gilt bei US-amerikanischen Organisationen aus dem Gesundheitswesen als wichtiger Standard.

Mehr Infos

FAZIT

Abschließend kann festgestellt werden, dass es zwar keine 100% Sicherheit in der Cloud gibt, es aber durch ein umfangreiches Regelwerk sicher gemacht werden kann. Die Vorteile der Verwendung von Office 365 zur Sicherung der Daten und die damit einhergehenden Sicherheitsmechanismen sind sehr überzeugend und die Entscheidungsträger in Unternehmen werden zunehmend dazu aufgefordert, Cloud-Lösungen in Erwägung zu ziehen. Es wäre naiv zu glauben, dass mit dem Umzug in die Cloud alle Risiken beseitigt sind. Die Implementierung und Einrichtung von Office 365 mit den Werkzeugen, die Microsoft in der Cloud anbietet, beseitigt jedoch einige der Ängste, die die Entscheidungsfindung lahmlegen könnte.

Alexander Wolfshohl ist unser Experte, wenn es um IT-Infrastruktur und speziell Office 365 geht. Er begleitet und unterstützt Kunden bei der Einführung von Office 365 und zeigt, wie die Möglichkeiten von Office 365 optimal genutzt werden, um die tägliche Arbeit zu steigern. Alexander leitet das Team IT-Infrastructure bei RDS CONSULTING GmbH in Düsseldorf.

Kontakt