single.php
< Beitrag von Frank Oltmanns-Mack

Microsoft Cloud Deutschland, powered by T-Systems

Die Microsoft Cloud Deutschland ist dieses Jahr erfolgreich in Magdeburg und Frankfurt gestartet und das Modell der Datentreuhand durch T-Systems bietet gerade deutschen Unternehmen einen sicheren Einstieg ins Cloud Computing. Im Zeitalter der Digitalisierung ist die Skalierbarkeit und Flexibilität der Services ein grundlegendes Kriterium. Die Cloud bietet genau dies und ist somit die ideale Grundlage der Digitalisierung. Viele Unternehmen haben aber gerade in Bezug auf die Sicherheit ihrer Daten starke Bedenken bei dem Einsatz von Cloud Computing. Der Patriot Act bildet dabei eine große Hürde.

Patriot Act und Cloud Computing

Im Jahr 2001 wurden nach dem Anschlag in New York die Befugnisse der Geheimdienste und Ermittlungsbehörden beträchtlich erweitert. Nach Section 215 „Access to Records and Other Items Under the Foreign Intelligence Surveillance Act“ kann das FBI zur Terrorbekämpfung den Foreign Intelligence Surveillance Court (FISC) anrufen. Über ihn erhält das FBI dann Zugang zu Daten aller Art. Dazu erlässt das Gericht einen Beschluss gegen z. B. einen Cloud-Anbieter, der dann die bei ihm gespeicherten Daten herausgeben muss.

Das FBI kann aber, ohne ein Gericht zu bemühen, selber einen National Security Letter (NSL) erlassen und damit den Cloud-Anbieter verpflichten, Daten zu übermittlen. Dabei muss der Betroffene nicht darüber informiert werden. NSLs haben in der Praxis somit eine weit höhere Bedeutung als die Zugriffe durch ein Gericht. Vergleicht man die Zahlen der Statistik des Electronic Privacy Information Center (EPIC), so wurden im Jahre 2010 zum Beispiel ca. 1.600 Gerichtsbeschlüsse nach dem FISA erlassen, die Zahl der NSLs liegt aber bei 24.000. Hierbei handelt es sich allerdings um Gesamtzahlen und die Zahl der Zugriffe auf Cloud-Anbieter ist dabei wesentlich geringer.

Da es sich bei Microsoft, Amazon Web Services und Google um amerikanische Unternehmen handelt, fallen diese natürlich auch unter den Patriot Act. Google und Microsoft haben die Herausgabe von Daten im Jahre 2011 auch selber zugeben müssen. Microsoft hat sich allerdings im Jahre 2015 mit dem deutschen Unternehmen T-Systems auf ein Modell einigen können, welches den Patriot Act aushebelt und somit vor den Zugriffen der amerikanischen Behörden schützt, die sogenannte Microsoft Cloud Deutschland.

Microsoft Cloud Deutschland

microsoft cloud deutschland

Quelle: Microsoft

Die Daten der Microsoft Cloud Deutschland werden dabei ausschließlich in Deutschland gespeichert. Der Kunde behält dabei die komplette Kontrolle und Entscheidungsgewalt über die Daten. T-Systems – der Datentreuhänder – agiert unter deutschem Recht und überwacht den Zugriff auf die Kundendaten.

Jeder physische und technische Zugriff auf die Kundendaten, mit Ausnahme des Zugriffs durch den Kunden selbst, wird von T-Systems überwacht und kontrolliert. Dies wird vertraglich zwischen Kunden und Datentreuhänder festgehalten. T-Systems handelt dabei im Auftrag des Kunden. Eine Herausgabe der Daten erfolgt nur, wenn der Kunde oder das deutsche Recht es erfordern. Microsoft hat dabei keinerlei Zugriff auf die Daten, welche in der Microsoft Cloud Deutschland gespeichert werden. Somit wird eine Herausgabe zum Beispiel nach dem Patriot Act durch das Datentreuhändermodell komplett unterbunden.

Zur Speicherung der Daten wurden von Microsoft 2 neue Rechenzentren in Frankfurt und Magdeburg zu den Regionen Deutschland Mitte und Deutschland Nordosten bereitgestellt. Diese befinden sich aus Gründen der Ausfallsicherheit in unterschiedlichen Teilen Deutschlands und sind über ein Datennetzwerk miteinander verbunden. Das Netz ist dabei vom öffentlichen Internet getrennt. Für die Ausfallsicherheit findet ein kontinuierlicher Datenabgleich zwischen den Rechenzentren statt.

Rechtliche Aspekte

microsoft cloud deutschland

Quelle: Microsoft

Die Daten des Kunden werden durch die Vertragskonstruktion ausreichend geschützt. Dabei haben die Parteien folgende Pflichten und Rollen:

Rolle des Datentreuhänders

  • Kontrolle des physischen und logischen Zugriffs auf Kundendaten (außer vom Kunden)
  • Aufsicht über den Zugriff auf Kundendaten oder eigene Ausführung bei Notwendigkeit
  • Überwachung und Prüfung des im Einzelfall gewährten Zugriff durch Microsoft
  • Zugriff auf die Daten wird nach der Lösung von Problemen beendet

Rolle von Microsoft

  • Grundsätzlich kein Zugriff auf Kundendaten
  • Kein Zugriff auf Kundendaten ohne Zustimmung des Datentreuhänders oder des Kunden (geregelt durch Zugangskontrollrichtlinien)
  • Physischer Zugang nur in Begleitung durch den Datentreuhänder

Schutz durch den Datentreuhänder

  • T-Systems International GmbH agiert als Datentreuhänder im Auftrag des Kunden
  • Der Datentreuhänder muss jede einzelne Datenherausgabe an Dritte freigeben
  • Er darf keine verwalteten Daten (Kundendaten oder Daten über den Kunden) für kommerzielle Zwecke nutzen
  • Er verpflichtet sich vertraglich direkt gegenüber dem Kunden, dass Kundendaten nicht gegenüber Drittparteien offengelegt werden (Ausnahme: Anweisung Kunde oder Notwendigkeit durch deutsches Recht)
  • Das zusätzliche Datentreuhändlermodell schützt die Kundendaten in der Microsoft Cloud Deutschland vor „Herausgabeverlangen ausländischer Behörden“ oder richterlichen Anordnungen
  • Commitment der Telekom als Datentreuhänder an den Kunden

Verfügbarkeit von Services

Folgende Services werden aus der Microsoft Cloud Deutschland bereitgestellt:

  • Cloud-Plattform Microsoft Azure Deutschland
  • Office 365 Deutschland
  • Kundenmanagement-Software Dynamics CRM Online

Die Services sind im Moment nur für Kunden verfügbar, welche ein Enterprise Agreement mit Microsoft besitzen. Die allgemeine Online-Verfügbarkeit soll voraussichtlich Ende 2016 erfolgen. Dabei werden zurzeit noch nicht alle Services aus der Microsoft Cloud Deutschland angeboten, sondern nur ein bestimmter Anteil.

Compliance

An die Microsoft Cloud Deutschland werden die gleichen Sicherheits- und Compliance-Anforderungen wie an die weltweite Public Cloud gestellt. Dies wird durch verschiedene Audits reguliert und es kann dabei schon auf ein existierendes Repertoir zurückgegriffen werden (ISO 27001/18 und SSAE16/ISAE 3402). T-Systems als Datentreuhänder wird zusätzlich separat auditiert. Zusätzlich wird noch ein „Compliance-Kundenhandbuch“ geplant, mit welchem Kunden die entsprechenden Anforderungen erreichen können. Außerdem sind noch weitere Datentreuhandaudits durch anerkannte externe Prüfer geplant.

Zusätzlich sind noch folgende weitere Sicherheitskontrollen in Planung:

  • IT-Grundschutz-Zertifizierung
  • BSI Cloud Computing Compliance Controls Catalogue C5
  • TÜV-Zertifizierung nach der Rechenzentrums-Norm EN 5060

Support

Der Support für Office 365 und CRM Online wird rund um die Uhr aus Deutschland bereitgestellt. Für Azure ist ein EU-basiertes, hybrides Supportteam zuständig. Auch der Service und Support wird streng überwacht. Jeder Support, welcher einen Zugriff auf die Kundendaten erfordert, wird durch den Datentreuhänder beaufsichtigt. Jeder Supportmitarbeiter aus Deutschland muss zusätzlich eine einfache Sicherheitsüberprüfung (SÜ 1) absolvieren. Die Tools und Prozesse werden an die Datenschutzvorgaben des deutschen Cloud-Modells angepasst. Der Support wird dabei auf Deutsch und Englisch angeboten und steht rund um die Uhr zur Verfügung.

Zusätzlich zu diesen Informationen bieten wir am 30.11.2016 ein Webinar zum Thema „Microsoft Cloud Deutschland, powered by T-Systems“ an. Wir freuen uns, Sie dort begrüßen zu dürfen.

Folgen
X

Folgen

E-mail : *
Kategorie: Cloud | Schlagwörter: , , | Kommentare: 0

Beitrag kommentieren

CAPTCHA * Time limit is exhausted. Please reload CAPTCHA.