deen
A A A

Sicherheit und Datenschutz bei Microsoft Office 365

Nicht wenige Firmen scheuen noch den Einsatz von Cloud-Lösungen, weil sie nicht wissen, wie Microsoft die gehosteten Daten schützt. Sensible Kunden- bzw. Unternehmensdaten müssen vor Verlust, unberechtigtem Zugriff und nicht-autorisierter Weitergabe bewahrt werden. Microsoft gewährleistet dies, indem es geeignete technische und organisatorische Maßnahmen, interne und externe Kontrollen sowie Informationssicherheitsroutinen vorhält.

Wer sich als IT- oder Datenschutz-Verantwortlicher mit dem Thema näher befassen möchte, erhält von Microsoft umfangreiche Sicherheits-, Datenschutz- und Konformitätsinformationen für die Microsoft Online Services. Vielversprechend klingt v. a. folgende Aussage von Microsoft: „Wir lassen unsere Systeme von Drittanbietern prüfen und zertifizieren, damit Sie darauf vertrauen können, dass unsere Dienste mit strengen Schutzvorrichtungen entwickelt und ausgeführt werden.” (Quelle).

Geeigneter Einstiegspunkt zur Beschäftigung mit dem Sicherheitskonzept von Microsoft ist das sogenannte Trust Center von Microsoft, das proaktiv eine breit gefasste Reihe von Sicherheits- und Datenschutzfragen als vertrauensbildende Maßnahme beantwortet. Microsoft sorgt damit für die notwendige Transparenz, um die verständlichen Bedenken der Kunden bezüglich der Sicherheit von Kunden- und Unternehmensdaten zu zerstreuen. Aufgrund der Fülle der Maßnahmen, die Microsoft nach eigenen Aussagen unternimmt, ist ein Grundvertrauen in Microsoft durchaus gerechtfertigt. Sie können davon ausgehen, dass die Rechenzentren von Microsoft besser abgesichert sind als die kundeninternen IT-Server. Immer mehr kleine und große mittelständische Unternehmen wagen den Sprung in die Cloud und berichten im Internet von ihren durchweg positiven Erfahrungen.



Die deutschen Datenschutz-Aufsichtsbehörden haben am 28./29. September 2011 auf ihrer 82. Konferenz der Datenschutzbeauftragten des Bundes und der Länder in München eine Entschließung zum Thema “Datenschutzkonforme Gestaltung und Nutzung von Cloud-Computing” verabschiedet. Diese Orientierungshilfe der Arbeitskreise Technik und Medien ist eine gute Überblicksdarstellung und bisher die einzige greifbare Unterstützung der Landesdatenschützer zum Thema Cloud Computing.

Im übrigen ist der berühmte “USA Patriot Act” von 2001, der es dem FBI unter strengen Auflagen zur Bekämpfung des Terrorismus erlaubt, Zugriff auf Unternehmensdaten von US-amerikanischen Unternehmen (z. B. Microsoft) zu nehmen, kein Todschlagargument gegen die Übermittlung sensibler Daten in die Cloud mehr. Nicht nur sind die Zugriffe des FBI seit Mai 2011 gerichtlich überprüfbar, sondern es existieren wirksame Gegenmaßnahmen wie vertragliches Herausgabeverbot (“Abwehrklausel”), Vertragsabschlüsse mit EU-Tochter (Schutzschirm “EU-Datenschutzrecht”) und Verschlüsselung der Daten.

Folgende umfassende Kurzdarstellung aller wichtigen Zertifizierungen, gesetzlichen Verpflichtungen und Sicherheitsmaßnahmen, mit denen Microsoft als amerikanischer Cloud-Anbieter um das Vertrauen der europäischen Kunden wirbt, könnte Sie interessieren:

  • Einhaltung weltweit gültiger Datenschutzgesetze
  • finanziell abgesicherte, garantierte 99,9-prozentige Verfügbarkeit (bei Unterschreitung Geld zurück, sehr geringe Ausfallzeiten) und 24×7-Zuverlässigkeit
  • Stets aktueller Antiviren- und Antispam-Schutz durch mehrere erstklassige Virenscan-Engines und MS Forefront Online Protection for Exchange (Exchange Online): Geringe Gefahr durch Schadsoftware, reduzierte IT-Belastung
  • Daten werden in geografisch verteilten Rechenzentren mit mehrstufigen Sicherheitskonzepten repliziert (kontinuierliche Datensicherungen), wobei die Rechenzentren mit neuester Hardware, redundant ausgelegter Energieversorgung und autorisierten Zugang ausgestattet sind
  • Notfall-Datenwiederherstellung nach Hardwareausfällen oder Verlusten, versehentlichen Löschungen oder nach fehlerhaften Datenübertragungen
  • Zertifizierung des Informationssicherheits-Managementsystems durch unabhängige Dritte nach internationalem Standard ISO/IEC 27001:2005 (strenge physische, Prozess- und Verwaltungskontrollen auf Normenkonformität und Funktionsfähigkeit): Im Rahmen des Audits wurden von der British Standards Institution (BSI) die von Microsoft erstellten Referenzdokumente geprüft, eine Vor-Ort-Prüfung durchgeführt und ein Auditbericht erstellt (Quelle)
  • Die Vertraulichkeits- und Datenschutzverpflichtung für die Microsoft Online Services (Quelle)
  • per Vertragsabschluss annehmbares Angebot von Microsoft zur Einhaltung der Standardvertragsklauseln der EU („EU-Model Clauses“) und Einbezug der zusätzlichen Anforderungen aus einzelnen EU-Mitgliedsstaaten wie Deutschland in die Office 365-Datenverarbeitungsvereinbarung: stellt nach Auffassung der deutschen Datenschutzbehörden ein angemessenes Datenschutzniveau entsprechend den europäischen Vorgaben her, auch wenn der externe Dienstleister außerhalb der EU tätig ist (Quelle)
  • Einhaltung der erweiterten Auftragsdatenverarbeitungsvereinbarung (§ 11 BDSG): beschreibt im Detail, welche Rechte, Pflichten und Maßnahmen im Einzelnen durch Vertrag zwischen Auftraggeber (verantwortliche Stelle) und Auftragnehmer (Dienstleister) im Rahmen der Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch den Dienstleister zu treffen sind (Quelle)
  • Security audits: Microsoft beurteilt regelmäßig selbst seine Microsoft Online Services Infrastructure
  • Whitepaper zum Datenschutz: Microsoft erklärt seinen philosophischen und praktischen Ansatz zum Schutz von Informationen in der Cloud (Quelle)
  • Stellungnahme zu den Cloud Control Matrix (CCM)-Empfehlungen der Cloud Security Alliance (CSA) (Quelle)
  • Gesetzliche Verpflichtung zur Durchführung technisch-organisatorischer Maßnahmen (TOM) nach § 9 Bundesdatenschutzgesetz (BDSG) inkl. Anlage: Gewährleistung von Sicherheits- und Datenschutz durch die geeignete Kombination von Grundtechniken organisatorischer, baulicher und informationstechnischer Art (Quelle)
  • Statement On Auditing Standard (SAS 70) mit Type I- und Type II-Bescheinigung: Wirtschaftsprüfungsgesellschaften zertifizieren jährlich das interne Kontrollsystem von Microsoft für die auf ihn ausgelagerten Funktionen und bestätigt die Einhaltung und Kontrolle definierter Prozesse bei der Informationsverarbeitung. Berichtstyp I umfasst dabei die Bescheinigung zur Darstellung und Angemessenheit des eingerichteten internen Kontrollsystems, Berichtstyp II ergänzend die Wirksamkeit (Quelle)
  • SSAE 16 (Statement on Standards for attestation Engagement No. 16), SOC 1 Type I+II: Microsoft lässt die Einhaltung bzw. Effektivität seiner internen Sicherheitskontrollen unabhängig gemäß der Überwachungsnorm SSAE 16 von externen Drittanbietern prüfen (Quelle)
  • FISMA-Sicherheitszertifikat (“Federal Information Security Management Act”), Level ATO (Authority to Operate): Dieser Standard, der auf die USA begrenzt ist, bestätigt die Einhaltung verpflichtender Standards im Bereich der Informationssicherheit für den öffentlichen Sektor und autorisiert den Cloud-Provider für den Umgang mit öffentlichen Daten (Quelle). FISMA Moderate ATO wird gewährt, wenn “a government cyber security team reviews over 400 controls, ranging from policies encompassing employee training & criminal background checks to certifying the cryptography strength used to secure government data”. (Quelle)
  • Unterzeichnung der Bestimmungen des „Health Insurance Portability and Accountability Act“ für Geschäftspartner (HIPAA-BAA): Gesetz, das für amerikanische Organisationen des Gesundheitswesens wie Krankenversicherungen oder Verrechnungsstellen strenge Regeln zum Schutz der Vertraulichkeit und Integrität von Patientendaten aufstellt (Quelle). FISMA und HIPAA zeigen den Willen von Microsoft auf, spezielle Branchen bzw. Länderstandards zu prüfen und gegebenenfalls für sich umzusetzen.
  • US-amerikanischer HITECH-Act (Health Information Technology for Economic and Clinical Health): verspricht die Einhaltung der Sicherheitsstandards bei der Verwaltung der elektronischen Gesundheitsdaten (Quelle)
  • Beitritt von Microsoft zum „Save-Harbour“-Abkommen: eine besondere Datenschutz-Vereinbarung zwischen der EU-Kommission und der US-Regierung Vereinigten Staaten, die es europäischen Unternehmen ermöglicht, personenbezogene Daten legal in die USA zu übermitteln und die öffentliche Verpflichtung enthält, bestimmte Prinzipien einzuhalten und die die dazu gehörenden verbindlichen häufig gestellten Fragen zu beachten (Quelle). Diese freiwillige Selbstverpflichtung des Cloud-Anbieters führt nach allgemeiner Auffassung zu einem angemessenen Datenschutzniveau.

    • Disclaimer: Die dargestellten Informationen erheben keinen Anspruch auf Vollständigkeit, Richtigkeit und Aktualität.