Post on 12-Jun-2020
Herzlich willkommen!
Christian Hahn, Microsoft Deutschland GmbH, Behördentag Cloud Computing, 25./26. Januar 2012
Datenschutz und IT-Sicherheit & die Microsoft Cloud – wie geht das
zusammen?!
Agenda
Herausforderungen Cloud Computing
3
Heraus-forderungen
Wachsende Vernetzung zwischen
öffentlicher Verwaltung, Bürgern und
Wirtschaft
Mit diesen wachsenden Abhängigkeiten
geht gleichzeitig die Annahme einher, dass
die verwendete Plattform sicher sei
Komplexe regulatorische Vorgaben und
Anforderungen an Industriestandards
auf globaler Ebene
Beinahe jedes Land hat andere
Anforderungen an Online-Angebote und
Cloud Services.
Technologischer Wandel, veränderte
Geschäftsmodelle und dynamische
Betriebsmodelle für Cloud Dienste
Schritthalten mit dem rasanten
technologischen Fortschritt und frühes
Erkennen zukünftiger Anforderungen ist
wesentlich für Erfolg in diesem Bereich.
Steigende Qualität und Quantiität von
Angriffen
Mit der Verbreitung von Cloud Diensten
wird die Anzahl und Qualität von Angriffen
zunehmen.
Geschäfts-
prozesse
Daten-
schutz
Zuverläs-
sigkeit Sicherheit
2002 TWC Memo – Bill Gates
I Love You, CodeRed, Nimda
Trustworthy Computing Initiative
Der Microsoft Security Development Lifecycle
Ziele • Schutz von Microsoft-Kunden durch
Reduzierung der Anzahl und Schwere von Sicherheitslücken
Schlüsselfaktoren • Pragmatische Vorgehensweise
• Proaktiv – nicht nur Retrospektiven
• Sicherheitsprobleme schnell beseitigen
• SD3 – Secure by Design, Default & in Deployment
Konzeption
Freigabe
Security Development Lifecycle im Detail
Wesentliche Sicherheitsmerkmale:
• Geographisch verteilte und sich gegenseitig absichernde
Rechenzentren (in Europa: Dublin in Irland und Amsterdam in den
Niederlanden)
• Redundante Systeme innerhalb der Rechenzentren
• 9 Ebenen von Datensicherheit
• Verschlüsselte Datenkommunikation über SSL
• Betriebsprozesse an etablierten Konzepten (ITIL/MOF) ausgerichtet
und laufend überprüft
• Permanenter Support, 24 Stunden am Tag, 365 Tage im Jahr
• Dienstgütevereinbarung (SLA) mit 99,9% garantierter Verfügbarkeit
(SLAs auf Produktseiten verfügbar)
• SAS70- bzw. SSAE 16- und ISO 27001-Zertifizierung für die
Rechenzentren
Ein deutsches Whitepaper zu Sicherheitsfeatures der Microsoft
Online Services ist online verfügbar!
Sicherheit und Datenschutz in Microsoft RZ
Cloud Computing bedeutet Wahlfreiheit – die Cloud zu Ihren Bedingungen
Server bei CC* Software in der Cloud (Globaler Anbieter)
Server Software vor Ort
Client Software vor Ort
Unternehmenskritische Anwendungen
Regularien und gesetzliche Vorgaben (z.B. SGB)
Vertrauen, Kontrolle (Besitz von Daten))
Offline-Szenarien
Eigene Hard- und Software (flexible Konfiguration, aber Admin-Kosten)
Vorab-Kosten für eigene Infrastruktur
Einfluss auf Server-konfiguration möglich
Individuelle Anforderungen möglich
Kurze Time-to-Market
Vereinbarung von Service Leveln
* Community Cloud
Massive Skalierbarkeit
Self-Service Verwaltung
Automatisiertes Anwendungs-management
Kürzeste Time-to-Market
Nutzungsabhängige Abrechnung
Auswahl von Service Leveln (i.d.R. 99,9%)
„Office 365 ist die erste und derzeit einzige Cloud-
basierte Produktivitätslösung, die jedem Kunden
die EU Model Clauses als Standardvertragsklauseln
anbietet.“
Standardisierte
Erklärung zur
Auftragsdaten-
verarbeitung
(ADV/DPA)
Wir kombinieren diese Standardvertragsklauseln mit
einer ebenfalls standardisierten Erklärung zur
Auftragsdatenverarbeitung (Data Processing Agreement)
Seit Mitte Dezember 2011
Wir sind konform mit den Empfehlungen der „Orientierungshilfe – Cloud Computing“ der Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder
Wir erfüllen die datenschutzrechtlichen Anforderungen!
ADV-Vertrag mit EU-
Auftragnehmer
Offenlegung von
Subunternehmern (inkl.
Relevanter Vertragsinhalte)
Technische und
organisatorische
Maßnahmen (TOM)
Kontrolle durch AG Vorort-Kontrollen oder
Zertifizierungs-/Gütesiegelverfahren einer
unabhängigen Prüfstelle
• Dataprocessing Agreeement (DPA)
• Model Clauses (Ziffer 5j, 11.4)
• Trust Center
• Dataprocessing Agreeement (Ziffer 5a)
• In Model Clauses (Appendix 2)
• Model Clauses
• Zertifizierung nach ISO 27001 plus TOM
nach § 9 BDSG (DPA Ziffer 5b)
Drittstaatentransfer: angemessene
Garantien, z.B. Model Clauses • Dataprocessing Agreement (Ziffer 5a)
• In Model Clauses (Appendix 2)
Drittstaatentransfer: zusätzlich
ADV-Vertrag • Ergänzende Regelungen zu Model
Clauses mit MSFT Corp (Appendix 1 und 2)
Forderung Maßnahme Microsoft Ergebnis
(…)
Ergänzt um neues Trust Center seit 14. Dezember
Neues Trust Center.
Erreichbar über Office365.de
Homepage.
Es bietet klare Informationen:
• wo sich die Daten eines Kunden
befinden
• wer Zugang zu diesen Daten hat
• wie Microsoft diese Daten schütz
• welche Zertifizierungen MS erfüllt • (u.a. ISO 27001, SAS 70 Type II, FISMA,
Save Harbour)
http://trustcenter.office365.de
Amerikanische Behörden:
3194 gerichtlich genehmigte „Lauschangriffe“ in den USA in 2010
Deutsche Behörden:
5301 Verfahren – 17.208 Erst- und 3150 Verlängerungsanordnungen –
allein zur Telekommunikationsüberwachung in Deutschland in 2009
(offizielle Statistik des Bundesamtes für Justiz 2009)
Patriot Act – was ist wirklich dran?
Unser Ziel