7

Sicherheit bei den Microsoft Online Services

Ein Thema, dass jedes Unternehmen bewegt, wenn es sich mit dem Gedanken trägt, ein Teil der Standard Anwendungen in die Cloud zu verlagern ist die Sicherheit. Ich möchte in dem Blogeintrag nicht umfassend auf die einzelnen Aspekte eingehen, sondern Ihnen einen kurzen Überblick verschaffen. Sie finden am Ende des Beitrages einen Link zu einem ausführlichem Whitepaper der Microsoft Online Services zum Thema Sicherheit.

Welche Aspekte sind bei dem Thema wichtig?

  1. Sicherheit für die Benutzer und Administratoren
  2. Sicherheit für den Software Dienst
  3. Sicherheit des Rechenzentrums

Sicherheit für die Benutzer und Administratoren:

finger print on background Die Verbindung zu den Microsoft Online Services erfolgt über den Webbrowser, bevorzugt dem Internet Explorer. Andere Browser werden selbstverständlich mit unterstützt. Dabei handelt es sich um eine mit einem SSL-Zertifikat verschlüsselte Verbindung. Damit das Zertifikat nicht immer neu bestätigt werden muss, macht es Sinn auf den Arbeitsplatzrechnern die SignIn Software zu installieren. Sie verwaltet die verschlüsselte Verbindung und konfiguriert den Internet Explorer für den Outlook Web Access Client, das Live Meeting und gegebenenfalls den Outlook Client. Achten Sie bei einer externen Verbindung darauf, ob es sich um ein öffentlichen oder privaten Rechner handelt. Bei letzterem können Sie z.B. die Anhänge ihrer Email öffnen, bei der Öffentlichen nicht. Weiterhin können Sie die Richtlinien für die Vergabe der Passwörter umfassend im Dienst regulieren.

Sicherheit für den Software Dienst:

virus Sie erhalten bei den Microsoft Online Services immer automatisch die neusten Softwareversionen. Neben den Funktionserweiterungen für Sharepoint Online, Exchange Online, Live Meeting und Office Communications, profitieren Sie von den regelmäßigen Sicherheitsupdates der Serverssysteme. Weiterhin ist ein Schutz in Exchange Online vor Viren und Spam enthalten. Bei der Softwareentwicklung gibt es eine fortlaufende Kontrolle der Qualität und hohe Testanforderungen. Schauen Sie einfach mal das Thema “Security Development Lifecycle” im Whitepaper unten genauer an. Wie Ernst es Microsoft bei dem Thema ist, erkennen Sie daran, dass es eine Rückerstattung gibt, wenn der Dienst unter 99,9% im Jahr verfügbar ist.

Sicherheit der Hostumgebung:

tresor Die Rechenzentren in Dublin und Amsterdam (zuständig für alle Kunden in Europa) entspricht den strengsten Sicherheitsanforderungen und wird regelmäßig von externen Institutionen zertifiziert. Sie sind speziell auf die Bedürfnisse einer schnellen, integrativen Erweiterung der System ausgerichtet. Bei der Konzeption kamen umweltschonende Aspekte zum Tragen. Neben einem Risikomanagement für verschiedene Ausfall Szenarien und die Datensicherheit müssen Mitarbeiter die in den Zentren arbeiten, sogar ein polizeiliches Führungszeugnis vorlegen. Wer gerne einen Blick in das Rechenzentrum werfen möchte, kann sich unser Video zu diesem Thema ansehen.

Sie haben noch Fragen zum Thema Sicherheit? Rufen Sie uns an 02984/9292-61  – wir beantworten Ihnen gerne ihre Fragen.

Whitepaper Sicherheit in BPOS in den Microsoft Online Services

FAQ Risikomanagement bei den Microsoft Online Services

Kerstin Rachfahl
 

Kerstin Rachfahl ist Internationale Betriebswirtin (IBS) und eine der geschäftsführenden Gesellschafter der Rachfahl IT-Solutions GmbH. Sie ist für den kaufmännischen Bereich des Unternehmens verantwortlich. Ihre Themen in den Blogs sind Cloud Computing und Microsoft Lizenzierung.

Click Here to Leave a Comment Below 7 comments
Markanalyse der Experton Group zum Thema Security Services auf dem Weg in die Cloud » Himmlische IT - Blog zu den Microsoft Online Services - 12. Juli 2010

[…] P.S. Sie möchte mehr über die Sicherheit der Microsoft Online Services wissen? Dann lesen Sie unseren Beitrag: Sicherheit bei den Microsoft Online Services […]

Reply
Norbert Lammers - 12. Oktober 2011

Hallo Frau Rachfahl

Wie auch in einem Microsoft-Blog berichet erhält man beim TRACERT auf die für die bei Offcie 365 verwendeten IP-Adressen in den USA, genauer „n/a, USA“. Auf einer Karte wird ein Punkt nödlich von Wichita angezeigt, möglicherweise einfach deshalt weil dort der geografische Mittelpunkt ist.
Der vorangehende Hop führt nach Anaheim an der US-Westküste.
Sind diese Ergebniss vielleicht irreführen und es geht intern doch wieder zurück nach Amsterdam oder Dublin?
Inwiefern ist nun sichergestellt, dass die Datenspeicherung tatsächlich in Europa erfolgt und europäischem Recht unterliegt?
Gruß
Norbert Lammers

Reply
Kerstin Rachfahl - 13. Oktober 2011

Hallo Herr Lammers,
die Aussage von Microsoft ist, dass die Daten für europäische Kunden in Amsterdam liegen. Mit dem Thema IP-Adressen kenne ich mich nicht aus, maximal die Grundlagen 🙂 Von meinem Verständnis aus, kann eine IP-Adresse durchaus auf die USA örtlich zeigen und dann doch im Neztwerkverbund anders genutzt werden. Lass mich aber gerne eines besseren belehrens 🙂 Wichtiger ist für sie ja die Frage, ob die Datenspeicherung dem europäischen Recht unterliegt. Ich habe gerade einen neuen Artikel zu dem Thema auf unserem Blog veröffentlicht und hoffe, dass in Kürze auch mein Interview vom 05.10.2011 in Hamburg mit dem Chief Security Advisor von Microsoft veröffentlicht werden kann. Da gehen wir intensiver auf die Themen ein.
Soweit mir bekannt ist gibt es zur Form der Datenspeicherung keine speziellen rechtlichen Gesetze. Sie haben für Deutschland die Abgabenordnung zu beachten, wenn es um steuerlich relevante Daten geht. Sie haben den Datenschutz zu beachten, wenn es um personenbezogene Daten geht. Diese rechtlichen Anforderungen gelten für Alle unabhängig wie und wo sie die Daten speichern. Geben sie die Daten an einen Anbieter ab (im Falle der Microsoft Online Services an Microsoft) müssen Sie als Dateninhaber sicherstellen, dass ihre Daten entsprechend den gesetzlichen Anforderungen aufbewahrt werden. Im Falle von Microsoft, bleiben Sie der Inhaber der Daten d.h. Behörden wenden sich an Sie, wenn Sie Informationen oder Daten von ihnen haben möchten. Nach den mir vorliegenden Informationen, empfinde ich persönlich, dass meine Daten besser bei Microsoft in der Cloud aufbewahrt sind, als auf einem Server bei uns im Büro. Obwohl wir ein IT-Systemhaus sind und uns ständig mit den neusten Technologie beschäftigen, sind auch unsere Systeme manchmal nicht geupdatet, einfach weil im Alltagsgeschäft uns die Zeit für unsere eigene IT-Infrastruktur fehlt. Ich denke, dass ist in vielen anderen kleinen und mittelständischen Unternehmen, deren Geschäft nicht die IT ist, noch viel mehr der Fall. Ich bin aber kein Rechtsanwalt. Schauen Sie sich auf jeden Fall mein Internview an :-), danach können wir gerne die offenen Fragen versuchen gemeinsam zu klären.
Herzliche Grüße
Kerstin Rachfahl

Reply
Norbert Lammers - 15. November 2011

Hallo Frau Rachfahl

Das Interview war tatsächlich sehr interessant, insbesondere der letzte Teil. Insbesondere das Thema „Ausfall im Rechenzentrom Dublin“ fand ich sehr aufschlussreich: Damit gibt es einen Hinweis darauf, dass zumindest ein Teil der Server sich tatsächlich dort befindet.
Übrigens habe ich meinen in meinem vorangegangenen Versuch angesprochenen Tracert-Versuch noch einmal wiederholt und erhalte nun als letztes nachvollziehbares Ziel Seatle. Darauf folgen jeweils 18 bis 20 weitere Schritte auf dem Weg zu „meinen“ für Webmail, Sharepoint und Office-Dienste zuständigen Office365-Server – was auch immer das nun bedeuten mag.
Sie können das ganz einfach mal selbst probieren – es ist sicher kein Geheimnis: z.B. tracert portal.microsoftonline.com an der Eingabeaufforderung eingeben, dann die letzte lesbare Adresse mit einem Tool wie z.B. utrace.de lokalisieren.

Über das Thema „was sind Schnittstellen für Dienstleistungen Servicelevel beim Cloudcomputing“ muss sicherlich in der gesamten IT-Landschaft noch eine weitere Diskussion stattfinden und Ihren Beitrag dazu kann man nur berüßen. Viele Administratoren in Unternehmen müssen hier sicher umdenken und vielleicht auch ein wenig loslassen – und sich wieder mehr auf der Implementierung von Geschäftsprozessen zuwenden, die sicherlich in der Produktzentrierten IT-Welt der letzten 15 bis 20 Jahre zu kurz gekommen ist.
Muss ich wirklich wissen, wo sich die Sever befinden? Vielleicht nicht –
aber Vertrauen schaffen würde es schon!

Bei der Frage „welche Firma stellt Terroristen an?“ kann einem aber durchaus auch das Lachen vergehen. Wer die aktuellen Nachrichten verfolgt, könnte leicht beginnen sich auszumalen, dass vielleicht sogar staatliche Stellen selbst… ???
Einzelne Bürger und mittelständische Unternehmen können was die _praktische_ Umsetzung gesetzlicher Vorschriften zum Datenschutz und zur so genannten informationalen Selbstbestimmung angeht immer nur eingeschränkt Details erfahren und ihr Marktverhalten danach richten. Umso mehr kann dies ein großes international aufgestellter Cloudanbieter – kann dann aber _natürlich nicht_ konkret und öffentlich darüber sprechen.

Reply
Kerstin Rachfahl - 15. November 2011

Hallo Herr Lammers,
Klasse, dass Sie zu diesem Thema soviel Input geben. Ich finde es interessant, dass ich immer wieder zum Thema Sicherheit in der Cloud angesprochen werde, aber sich so wenige die Zeit nehmen, sich genauer zu informieren 🙁 Daran sehe ich, dass die tatsächliche Auseinandersetzung und die Gedanken, die Sie sich machen, doch scheinber seltener sind. Das ist schade, denn ich denke in einer Welt, die wir uns ohne eine vernetzte IT-Infrastruktur gar nicht mehr vorstellen können ist es ein wichtiges Thema.
Ich glaube das wichtigste was Sie ansprechen ist das Wort „Vertrauen“. Wir können die Synergieeffekte eines großen Anbieters nutzen und Microsoft ist insofern interessant, als die Produkte eben sehr weit verbreitet sind, so dass sich die Angebot attraktiv in eine Geschäftsumgebung einbinden lässt, aber wir müssen dem Anbieter vertrauen können.
Bei dem Wort Vertrauen muss ich dann wieder unterscheiden in die sachliche und die emotionale Komponente. Sachlich kann Microsoft einen beträchtlichen Nachweis zu diesem Thema erbringen und sogar faktisch, wie die letzten vergangenen Jahre zeigen. Emotional bleibt Microsoft ein amerikanischer Konzern, die eine andere Mentalität besitzen, als wir deutsche Unternehmen. Tatsache ist allerdings, wenn wir uns Cloud Computing anschauen, dass der überwiegende Teil der Anbieter amerikanische Unternehmen sind. Ich denke ist wird immer ein abwägen der Vor- und Nachteile sein. Was ich bei der Lösung von Microsoft sehr gut finde ist, dass ich eben auch die Möglichkeit habe zu entscheiden, ob ich einen Teil in Cloud verlege oder nicht. Der IT-Administrator muss sich mit keiner neuen Software auseinandersetzen, genauso wenig wie der Anwender und sie können ihr Wissen eins zu eins von der Inhouse Lösung in die Cloud übernehmen. Deshalb beschäftigen wir uns in unserem Unternehmen auch mit der Public und Privat Cloud mit der Microsoft-Technologie.
LG Kerstin Rachfahl

Reply
Norbert Lammers - 13. Januar 2012

Hallo Frau Rachfahl

Vielen Dank zunächst einmal für Ihre ausführliche Antwort.

Hier noch eine technische Frage – diesmal zur Datensicherung:

Wie würden Sie SharePoint-Inhalte auf einer Office 365-Site sichern? Ich habe gelesen, dass es Versionen von Office 365 bzw. „Pläne“, wie es hier heißt gibt, bei denen individuelle Backups möglich sein sollen.
Bei den „kleinen“ Plänen scheint eine solche Funktion aber nicht enthalten zu sein. Und einen Zugang zur Zentraladministration oder zu – nur auf dem Server ausführbaren – STSADM-Befehlen, wo man auf eimen „eigenen“ SharePoint die Backups starten würde, hat man natürlich nicht.
Sicher macht Microsoft ordentliche Backups, aber

-> Klar, ich kann eine SharePoint-Site mit Inhalten speichern und die Vorlage herunterladen, aber nur bis zu 10 MB – und die sind schnell erreicht.

-> Sicher sind in vielen Fällen gelöschte Objekte im Mülleimer und können von dort wiederhergestellt werden. Eine Versionierung kann auf Dokumentenebene auch gegen Überschreiben mit „Blödsinn“ helfen. Aber ohne das hier im einzelnen auszuführen gibt es genug Fälle, in denen einerseits Versionierung und Mülleimer kein Backup ersetzen, andererseits man aber nicht gleich den Microsoft Support behelligen möchte!

-> Im SharePoint Designer 2007 gab es eine Backup-Funktion, die in der 2010er-version aber abgeschafft wurde – und SharePoint Designer 2007 kann ja nicht auf ein SharePoint 2010- bzw. Foundation-basierte Site zugreifen.

– > Ich habe mal gelesen, dass es eine Remote-API für die Windows PowerShell 2.0 speziell in Office 365 gibt.
z.B. hier: http://onlinehelp.microsoft.com/de-de/office365-enterprises/hh125002.aspx
Da scheint es aber eher um die Exchange-Komponente und die Benutzeradministration zu gehen, als um den ScharePoint-Teil, oder???

Haben Sie hier vielleicht einen Tipp für mich?

LG
Norbert Lammers

Reply
Kerstin Rachfahl - 14. Januar 2012

Hallo Herr Lammers,
das ist richtig PowerShell behinhaltet für Office 365 die Core cmdlets (User, License, Groups, Domains…). Eigenes Backup für SharePoint kann ich nachvollziehen, da wir bei der versehentlichen Löschung von einer Teamsite (ist mir mal im Beta passiert), was inzwischen zum Glück nicht mehr mögliche ist, längere Zeit ohne SharePoint auskommen mussten. Ich denke so eine Rückholung von einem Backup, je nachdem wieviele Kunden auf dem Server sind, ist auch nicht simple. Ich schau mal, ob ich etwas zu dem Thema finde, wenn ich Zeit habe. Ist bestimmt auch für andere Kunden interessant.
Sollte ich nichts zu dem Thema finden, werde ich die Frage mal nach Redmond mitnehmen, da bin ich ja Ende Februar und habe die Gelegenheit mit der Produktgruppe zu reden.
LG
Kerstin

Reply

Leave a Reply: