Wir werden von vielen Kunden gefragt, wie Office 365 und die Microsoft Online Services allgemein funktionieren. Gerne geben wir detailliert Auskunft über Sicherheitsfunktionen, -Prozesse und andere Maßnahmen, die Microsoft unternimmt, um die Online Services sicher zu gestalten.Seit Kurzem geht Microsoft selbst in die Offensive und gibt Schritt für Schritt auf verständlichem Niveau Einblicke in die Funktionsweise und Absicherung der Microsoft Online Services.

Unter dem Titel From inside the cloud werden unter regelmäßig (englischsprachige) Videos von den jeweiligen Verantwortlichen bei Microsoft bereitgestellt, die Auskunft über einzelne eingesetzte Technologien geben. Zusätzlich erscheinen die Videos natürlich auch im Office 365 Trustcenter.

Die ersten beiden Videos beschäftigen sich mit der Frage

  1. Wer hat Zugang zu meinen Daten (z.B. welche Rechte hat der Office 365 Support) und
  2. Wie werden meine Daten im Rechenzentrum gegen Fremdzugriff gesichert

Da die Videos auf Englisch sind, möchte ich die beiden Fragen an dieser Stelle kurz erläutern.

Wer hat Zugang zu meinen Daten?

Die kurze Antwort: während des laufenden Betriebs – niemand außer der Kunde!

Mit dem sogenannten Prinzip des “Role Based Access Control” bekommt jeweils nur der Supportmitarbeiter zeitlich begrenzten Zugriff auf die Ressourcen, die der Kunde anfragt, dem der Fall zugewiesen wurde.

 

Rolebased Access

Quelle: Microsoft

Beispiel: Erstellt der Kunde eine Serviceanfrage zum Bereich Exchange, wird diese Anfrage zunächst an einen Service Manager geleitet, welcher niemals Zugriff auf Kundendaten hat. Dieser Service Manager leitet die Anfrage an einen zufälligen Mitarbeiter seines Teams weiter, der dann für die Zeit der Anfrage auf diese bestimmte Ressource, auf die sich die Anfrage bezieht, Zugriff erlangt und mit dem Kunden an der Problemlösung arbeitet. Der Supportmitarbeiter kann also überhaupt nicht beeinflussen, welchen Kunden er für den nächsten Supportfall bekommt. In jeden Schritt sind immer mindestens zwei Personen eingebunden.

Dieses Prinzip steht im krassen Widerspruch zu dem sogenannten Long Standing Access, wie er in den meisten Unternehmen gehandhabt wird. Bei diesem erhalten Administratoren zeitlich unbegrenzt sämtliche Rechte für ein System, wie bei einem offenem Fenster. Jeder der dieses offene Fenster sieht, kann unbemerkt über dieses Konto die unterschiedlichsten Dinge ausführen.

Zusätzlich hierzu, wird jede Anforderung und Tätigkeit eines Servicetechnikers geloggt.

Wie werden meine Daten im Rechenzentrum gegen Fremdzugriff gesichert?

Auch hier gibt es zwei Antworten: Bitlocker und Nichtwissen. Zum einen ist es unmöglich, dass ein Administrator der Office 365 Dienste betreut, gleichzeitig Zugriff auf das Rechenzentrum hat, dort Festplatten oder ähnliches wechselt und im Kundenservice mit Zugriff auf sensible Kundendaten während einer Supportsitzung arbeitet. Damit kann dem Servicetechniker im Rechenzentrum gar nicht bekannt sein, auf welcher Platte sich welche Daten befinden. Er wird dadurch nicht die einem bestimmten Kunden zugeordnete Platte finden (obwohl zusätzlich Kundendaten meist auch über verschiedene Systeme verstreut sind).

Auf der anderen Seite sind sämtliche Systeme mit Microsoft Bitlocker verschlüsselt. Wenn eine Festplatte das Microsoft Rechenzentrum unbefugt verlassen sollte, sind die Daten darauf wertlos, weil die Verschlüsselungstechnologie bisher auch mit großem Aufwand noch nicht geknackt wurde.

 

Wir sind dicht an Microsoft und den Online Services dran. Gerne beantworten wir Ihnen Ihre weiteren Fragen zur Sicherheit der Microsoft Online Services. Wir helfen Ihnen, die Datensicherheit und den Betrieb von Office 365 und Microsoft Azure zu verstehen. Kontaktieren Sie uns gerne!

 

Kommentare sind geschlossen.