Wie sich Microsoft aus seiner deutschen Cloud aussperrt Escort-Service im Rechenzentrum

Allen Kritikern zum Trotz verzeichnet Microsoft mit seinem Cloud-Geschäft im abgelaufenen Quartal erneut eine satte Steigerung. 5,2 Milliarden US-Dollar betrug allein der Gewinn und damit ein Wachstum von 3,6 Prozent – und die Analysten schließen ein weiteres Wachstum nicht aus.

Anbieter zum Thema

PresseBox - unn | UNITED NEWS NETWORK GmbH

Fujitsu Technology Solutions GmbH

FTAPI Software GmbH

Microsoft Deutschland GmbH

Der Erfolg gibt Microsofts „Cloud First“-Strategie Recht. Doch damit nicht genug. Die Wolkenreise soll definitiv weitergehen. Vor allem mit der im vergangenen Jahr eingerichteten, souveränen deutschen Cloud hat man noch viele Pläne: Mit Office 365 und Power BI Pro Deutschland hat das Unternehmen zwei weitere seiner Cloud-Services aus der Microsoft Cloud Deutschland zur Verfügung gestellt. Und weitere Dienste sind in der Pipeline und sollen noch in diesem Jahr folgen – Dynamics 365 ist quasi auf die Zielgerade eingebogen. Der Launch ist für Mitte 2017 geplant. Weitere Services wie Telefonie sollen ebenfalls bald in der Deutschland-Cloud bereitgestellt werden. Lediglich Fans des Enterprise Social Networks Yammer werden enttäuscht sein: dieser Dienst soll vorerst nicht aus der deutschen Cloud kommen, gab Julia White, Corporate Vice President der Microsoft Cloud Platform, bekannt.

Mit der konsequenten Umsetzung und Weiterführung der souveränen Cloud auf deutschem Hoheitsgebiet will sich Microsoft weiter als verlässlicher Cloud-Anbieter besonders für Kunden mit besonders streng gefassten Datenschutzbedingungen und Compliance-Vorgaben, wie beispielsweise Behörden oder Firmen der Finanz-, Versicherungs- oder Gesundheitsbranche, präsentieren. Und das sind keine Lippenbekenntnisse. Microsoft wehrt sich schon seit längerem gerichtlich dagegen, Kundendaten, die in Rechenzentren außerhalb der USA gespeichert sind, an US-Behörden herausgeben zu müssen. Erst vergangene Woche scheiterte ein entsprechender Vorstoß von Strafverfolgern in New York vor Gericht. Demnach muss Microsoft die in Irland gespeicherten E-Mail-Daten eines Kunden erst einmal nicht an die US-Strafverfolgungsbehörden herausgeben.

Mit ihrem Konzept einer Deutschland-Cloud sollen Vertrauen und Sicherheit in den US-amerikanischen Anbieter gestärkt werden. So sichert der Datenaustausch über ein privates Netzwerk den Verbleib der Daten in Deutschland. Noch wichtiger aber ist, dass der Zugang zu den Kundendaten, die in den Rechenzentren in Frankfurt am Main und Magdeburg gespeichert werden, bei dem Datentreuhänder T-Systems International GmbH liegt, einem unabhängigen Unternehmen mit Hauptsitz in Deutschland. Dieses Cloud-Bereitstellungsmodell mit Datentreuhänderschaft des Rechenzentrumspartners T-Systems hat inzwischen auch die strengen Zertifizierungsaudits ISO 27001 und ISO 27018 durchlaufen und auch bestanden. Ebenfalls angestrebt wird die Zertifizierung nach SOC 1 und 2 (Service Organization Control), die allerdings bis dato noch nicht vollständig durchlaufen wurde.

Wartung unter Begleitschutz

Die Qualitäts- und Sicherheitsaudits sind aber nur ein Teil von Microsofts Anstrengungen, die Datensicherheit und Compliance seiner Cloud-Dienste festzustellen. Eine weitere Komponente der Microsoft Cloud Deutschland soll beweisen, dass die vertraglich zugesicherte Datensicherheit durch das Datentreuhänderschaftsmodell auch praktisch und alltäglich wirklich funktioniert. Dafür hat der Rechenzentrumspartner T-Systems zwei sogenannte „Cloud Control Center Deutschland“ (CCCD) eingerichtet.

Eines ist in Berlin, das andere in Magdeburg, um auch hier Redundanz sicherzustellen. Für Microsofts Deutschland-Chefin Sabine Bendiek sind die Cloud Control Center „die Krönung langer Planungen und Umsetzungsarbeiten innerhalb des Projekts Cloud Deutschland“. Die CCCDs sollen als Schaltstelle zwischen Anwender, Microsoft als Anbieter und dem Rechenzentrumsbetreiber und gleichzeitig Datentreuhänder sicherstellen, dass im Support-Fall der Datentreuhänder die Aufsicht darüber behält, welcher Microsoft-Mitarbeiter an welchen Anwendungen arbeitet, welche Arbeiten ausgeführt werden und für wie lange.

Jede Art von Betriebsaktivität, durch die möglicherweise auf Kundendaten zugegriffen werden müsste oder könnte, wie zum Beispiel Störungsmanagement oder Softwareupdates, unterliegen den technischen Kontrollen der CCCDs. Das bedeutet, dass eine Genehmigung der Zugangsanfrage durch den Datentreuhänder und in besonderen Fällen auch des Kunden erforderlich ist. Jede Art von Aktion steht somit unter Kontrolle des Datentreuhänders T-Systems, während Microsoft keinerlei Administrationsrechte besitzt.

Logische und physische Trennung

Die CCCDs sind in drei separate Bereiche eingeteilt.

• Im Sicherheitsbereich befinden sich die Sicherheitskräfte, die den physischen Zutritt zum Cloud Control Center durch eine Zwei-Faktor-Authentifizierung per Zugangskarte und hinterlegter biometrischer Daten überprüfen, den Zutritt bei Rechtskonformität gewähren und die Begleitung dieser Personen durch den Datentreuhänder initiieren.

• Im Datentreuhänderbereich der CCCDs befinden sich nur Mitarbeiter von T-Systems, die hier ihre regulären Betriebs-, Steuerungs- und Escort-Arbeiten ausführen. Microsoft-Mitarbeiter haben hier keinen Zutritt, es sei denn es liegt ausdrücklicher Bedarf vor, dem eine vertragskonforme Anfrage vorausgegangen ist. In diesem Fall werden sie aber durch einen Mitarbeiter der T-Systems begleitet.

• Lediglich den Konferenzbereich können Microsoft-Mitarbeiter und deren Kunden im Rahmen notwendiger Besprechungen vor Ort nutzen, zum Beispiel für IT-Audit-Projekte.

Die CCCD-Mitarbeiter, die mit dem Betrieb, der Steuerung und Überwachung der Microsoft Cloud Deutschland involviert sind, bilden eine eigene Abteilung bei T-Systems, die aber logisch und physisch von den restlichen T-Systems-Organisationen getrennt ist, um einen Informationsaustausch zu unterbinden und Interessenkonflikte zu vermeiden.

Aufgaben und Verantwortlichkeiten

Von all dem merkt der Kunde in der Regel erst einmal nichts. Bei Problemen richtet er seine Support-Anfragen zuerst an seinen Cloud-Vertragspartner Microsoft. Der Support für Office 365 Deutschland und Dynamcis 365 Deutschland umfasst die in Deutschland basierte technische 24/7-Unterstützung. Für Microsoft Azure Deutschland gilt ein EU-basiertes Supportmitarbeitermodell, was bedeutet, dass der Support außerhalb der deutschen Geschäftszeiten aus der EU kommt. Microsoft verwaltet alle Aspekte des Betriebs und der Bereitstellung der deutschen Cloud-Dienste, die keinen Zugang zu Kundendaten erfordern. Außerdem wird sichergestellt, dass es keine Verbindungen zu anderen Public-Cloud-Diensten von Microsoft gibt. Zudem bleibt Microsoft auch für die Service-Level-Vereinbarungen (SLAs) gegenüber dem Kunden verantwortlich.

Der deutsche Datentreuhänder führt hingegen alle Vorgänge und Aufgaben selbst aus, die den logischen oder physischen Zugang zu Kundendaten oder der Infrastruktur in Deutschland, auf der die Kundendaten gespeichert sind, erfordern. Sollte er das nicht selbst können, überwacht er die notwendigen Arbeiten.

Das Escort-Modell

T-Systems als Datentreuhänder gewährt Microsoft oder einem seiner Subunternehmen nur dann Zugang zu Kundendaten, wenn ein spezielles Kundenproblem gelöst werden muss oder eine Störung der Microsoft Cloud Deutschland nicht von T-Systems selbst behoben werden kann. Gleiches gilt für Wartungs- oder Verbesserungsarbeiten. In beiden Ausnahmefällen greift die „Zero Administrative Privilege“-Richtlinie. Für einen definierten und dokumentierten Zweck muss für den Zugang auf die Systeme der Microsoft Cloud Deutschland eine Begleitung angefragt werden. Wird diese Anfrage genehmigt, leitet der deutsche Datentreuhänder eine von zwei Verfahrensweisen ein. Diese muss der Microsoft-Bereitschaftstechniker dann einhalten, um sicherzustellen, dass der Datentreuhänder die Kontrolle über den Zugang zu bzw. Zugriff auf die Kundendaten behält.

Beim ersten Ansatz – dem physischen Escort-Modell – gewährt T-Systems dem Microsoft-Bereitschaftstechniker vorübergehend Zugang auf die Infrastruktur, auf der die Kundendaten gespeichert werden – allerdings nur unter Aufsicht des Datentreuhänders! Damit werden alle im Rechenzentrum vor Ort erforderlichen Arbeiten von einem T-Systems-Mitarbeiter persönlich überwacht. Da bereits im Vorfeld festgelegt wurde, welche Arbeiten notwendig sind und ausgeführt werden müssen, ist auch bei kurzer Abwesenheit des Aufpassers zum Beispiel für einen Toilettengang sichergestellt, dass keine unautorisierten Tätigkeiten unternommen werden können.

Der zweite Ansatz – das Remote-Escort-Modell – basiert auf einem technischen Genehmigungstool. So kann der Datentreuhänder beispielsweise über das Lockbox-System für Office 365 Deutschland den Zugang für eine begrenzte Zeit und zur Ausführung einer explizit erklärten Aufgabe gewähren. Er stellt hierzu die Verbindung zu einer virtuellen Maschine her und lädt den Microsoft-Bereitschaftstechniker dazu ein, die Sitzung zu begleiten. Anschließend übergibt er die temporären Rechte für die Ausführung der Arbeiten, beaufsichtigt und dokumentiert aber die gesamte Sitzung. T-Systems kann die Sitzung jederzeit beenden, die Verbindung zum Microsoft-Bereitschaftsmitarbeiter ist dann sofort unterbrochen. Wichtig dabei ist: Der deutsche Datentreuhänder kontrolliert den Zugang und protokolliert die Erledigung der Aufgaben in der Regel durch den (Video-)Mitschnitt der Online-Sessions. Und auch hier gilt: Sämtliche Dokumentationen und Nachweise werden vom Datentreuhänder aufbewahrt und in der Microsoft Cloud Deutschland gesichert. Somit hat Microsoft auch hier keine Möglichkeit, die Protokoll-Daten zu beeinflussen oder im Nachhinein zu verändern.

Schreddern unter Aufsicht

Der Begleitschutz funktioniert im Übrigen auch, wenn defekte Hardware, insbesondere Speichergeräte wie Festplatten ausgetauscht werden muss. Alle ersetzten Datenträger werden während der Arbeitsphase in einer verschließbaren Box verwahrt, deren Schlüssel nur der begleitende T-Systems-Mitarbeiter bei sich trägt. Anschließend werden die ausgetauschten Geräte zeitnah und ebenfalls unter Aufsicht geschreddert und damit vollständig und unwiederbringlich zerstört.

Sicherheit und Compliance

Die Offenlegung von Kundendaten ist mit dem Datentreuhändermodell und der Einrichtung der Cloud Control Center laut Microsoft quasi unmöglich geworden. Dennoch gibt es ein „außer“: Kundendaten können gegenüber Dritten offengelegt werden, a) wenn der Kunde selbst es erlaubt, b) die Datentreuhändervereinbarung es zulässt oder c) es deutsches Recht erfordert. Der Zugriff durch Strafverfolgungsbehörden muss durch also durch das deutsche Recht geregelt sein. US-Behörden erhalten keine Kundendaten, es sei denn dies ist geschieht unter Wahrung der deutschen Gesetze, zum Beispiel im Rahmen eines Rechtshilfeersuchens.

Unberührt bleibt dagegen, dass Microsofts Konzernmutter wie auch der T-Systems-International-Konzern ihren Sitz in den USA haben. T-Systems als Datentreuhänder kann entsprechende Anträge prüfen, muss aber keine Auskunft erteilen, wenn das deutsche Recht nicht erfüllt wird. Microsoft selbst hat durch die oben beschriebenen Maßnahmen weder rechtliche noch technische Möglichkeiten, um ohne Genehmigung durch den Datentreuhänder oder den Kunden an die Kundendaten in der deutschen Cloud zu gelangen.

Detaillierte Informationen sind in dem Whitepaper „Das Datentreuhändermodell und das Cloud Control Center für die deutsche Microsoft Cloud“ zusammengestellt, das am Ende des Artikels zum Download zur Verfügung steht.

(ID:44500169)