Herzlich willkommen!

Christian Hahn, Microsoft Deutschland GmbH, Behördentag Cloud Computing, 25./26. Januar 2012

Datenschutz und IT-Sicherheit & die Microsoft Cloud – wie geht das

zusammen?!

Agenda

Herausforderungen Cloud Computing

3

Heraus-forderungen

Wachsende Vernetzung zwischen

öffentlicher Verwaltung, Bürgern und

Wirtschaft

Mit diesen wachsenden Abhängigkeiten

geht gleichzeitig die Annahme einher, dass

die verwendete Plattform sicher sei

Komplexe regulatorische Vorgaben und

Anforderungen an Industriestandards

auf globaler Ebene

Beinahe jedes Land hat andere

Anforderungen an Online-Angebote und

Cloud Services.

Technologischer Wandel, veränderte

Geschäftsmodelle und dynamische

Betriebsmodelle für Cloud Dienste

Schritthalten mit dem rasanten

technologischen Fortschritt und frühes

Erkennen zukünftiger Anforderungen ist

wesentlich für Erfolg in diesem Bereich.

Steigende Qualität und Quantiität von

Angriffen

Mit der Verbreitung von Cloud Diensten

wird die Anzahl und Qualität von Angriffen

zunehmen.

Geschäfts-

prozesse

Daten-

schutz

Zuverläs-

sigkeit Sicherheit

2002 TWC Memo – Bill Gates

I Love You, CodeRed, Nimda

Trustworthy Computing Initiative

Der Microsoft Security Development Lifecycle

Ziele • Schutz von Microsoft-Kunden durch

Reduzierung der Anzahl und Schwere von Sicherheitslücken

Schlüsselfaktoren • Pragmatische Vorgehensweise

• Proaktiv – nicht nur Retrospektiven

• Sicherheitsprobleme schnell beseitigen

• SD3 – Secure by Design, Default & in Deployment

Konzeption

Freigabe

Security Development Lifecycle im Detail

Wesentliche Sicherheitsmerkmale:

• Geographisch verteilte und sich gegenseitig absichernde

Rechenzentren (in Europa: Dublin in Irland und Amsterdam in den

Niederlanden)

• Redundante Systeme innerhalb der Rechenzentren

• 9 Ebenen von Datensicherheit

• Verschlüsselte Datenkommunikation über SSL

• Betriebsprozesse an etablierten Konzepten (ITIL/MOF) ausgerichtet

und laufend überprüft

• Permanenter Support, 24 Stunden am Tag, 365 Tage im Jahr

• Dienstgütevereinbarung (SLA) mit 99,9% garantierter Verfügbarkeit

(SLAs auf Produktseiten verfügbar)

• SAS70- bzw. SSAE 16- und ISO 27001-Zertifizierung für die

Rechenzentren

Ein deutsches Whitepaper zu Sicherheitsfeatures der Microsoft

Online Services ist online verfügbar!

Sicherheit und Datenschutz in Microsoft RZ

Cloud Computing bedeutet Wahlfreiheit – die Cloud zu Ihren Bedingungen

Server bei CC* Software in der Cloud (Globaler Anbieter)

Server Software vor Ort

Client Software vor Ort

Unternehmenskritische Anwendungen

Regularien und gesetzliche Vorgaben (z.B. SGB)

Vertrauen, Kontrolle (Besitz von Daten))

Offline-Szenarien

Eigene Hard- und Software (flexible Konfiguration, aber Admin-Kosten)

Vorab-Kosten für eigene Infrastruktur

Einfluss auf Server-konfiguration möglich

Individuelle Anforderungen möglich

Kurze Time-to-Market

Vereinbarung von Service Leveln

* Community Cloud

Massive Skalierbarkeit

Self-Service Verwaltung

Automatisiertes Anwendungs-management

Kürzeste Time-to-Market

Nutzungsabhängige Abrechnung

Auswahl von Service Leveln (i.d.R. 99,9%)

„Office 365 ist die erste und derzeit einzige Cloud-

basierte Produktivitätslösung, die jedem Kunden

die EU Model Clauses als Standardvertragsklauseln

anbietet.“

Standardisierte

Erklärung zur

Auftragsdaten-

verarbeitung

(ADV/DPA)

Wir kombinieren diese Standardvertragsklauseln mit

einer ebenfalls standardisierten Erklärung zur

Auftragsdatenverarbeitung (Data Processing Agreement)

Seit Mitte Dezember 2011

Wir sind konform mit den Empfehlungen der „Orientierungshilfe – Cloud Computing“ der Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder

Wir erfüllen die datenschutzrechtlichen Anforderungen!

ADV-Vertrag mit EU-

Auftragnehmer

Offenlegung von

Subunternehmern (inkl.

Relevanter Vertragsinhalte)

Technische und

organisatorische

Maßnahmen (TOM)

Kontrolle durch AG Vorort-Kontrollen oder

Zertifizierungs-/Gütesiegelverfahren einer

unabhängigen Prüfstelle

• Dataprocessing Agreeement (DPA)

• Model Clauses (Ziffer 5j, 11.4)

• Trust Center

• Dataprocessing Agreeement (Ziffer 5a)

• In Model Clauses (Appendix 2)

• Model Clauses

• Zertifizierung nach ISO 27001 plus TOM

nach § 9 BDSG (DPA Ziffer 5b)

Drittstaatentransfer: angemessene

Garantien, z.B. Model Clauses • Dataprocessing Agreement (Ziffer 5a)

• In Model Clauses (Appendix 2)

Drittstaatentransfer: zusätzlich

ADV-Vertrag • Ergänzende Regelungen zu Model

Clauses mit MSFT Corp (Appendix 1 und 2)

Forderung Maßnahme Microsoft Ergebnis

(…)

Ergänzt um neues Trust Center seit 14. Dezember

Neues Trust Center.

Erreichbar über Office365.de

Homepage.

Es bietet klare Informationen:

• wo sich die Daten eines Kunden

befinden

• wer Zugang zu diesen Daten hat

• wie Microsoft diese Daten schütz

• welche Zertifizierungen MS erfüllt • (u.a. ISO 27001, SAS 70 Type II, FISMA,

Save Harbour)

http://trustcenter.office365.de

Patriot Act – was ist wirklich dran?

Amerikanische Behörden:

3194 gerichtlich genehmigte „Lauschangriffe“ in den USA in 2010

Deutsche Behörden:

5301 Verfahren – 17.208 Erst- und 3150 Verlängerungsanordnungen –

allein zur Telekommunikationsüberwachung in Deutschland in 2009

(offizielle Statistik des Bundesamtes für Justiz 2009)

Patriot Act – was ist wirklich dran?

Unser Ziel