48
Office 365 Datenschutz & Security Raphael Köllner MVP Office 365
Office 365
Datenschutz & Security
Raphael Köllner
MVP Office 365
About me
MVP
Office 365
Blog:
rakoellner.de
ra_koellner
§
Community
AGENDA
Einführung Datenschutz
& Security
Infos &
Tipps
4
Microsoft
& wir
Einführung Office 365
Datenschutz/Security & Cloud Computing
Gute Freunde VS Streithähne
Vertrauen
Angst vs Vertrauen
Grundprinzip Datenschutz
§ 1 Absatz 1 BundesdatenschutzgesetzZweck dieses Gesetzes ist es, den Einzelnen davor zu schützen,
dass er durch den Umgang mit seinen personenbezogenen
Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.
Grundprinzip des Datenschutzes
Verarbeitung von Daten nur mit:
• Einwilligung des/der Betroffene(n)
• Gesetzliche Erlaubnistatbestände
Grundsätzliches Verbot der Datenverarbeitung
Probleme - Beispiele
Arbeitsrecht BIG DATA
Datenschutz – In Bewegung
EU - Kommission
• EU Grundverordnung
• Digitale Agenda 2020
• Smart Cities
• (EU Urheberrecht)
• TTIP
Bundesregierung
• Digitale Agenda 2020
• Klagerecht für Verbände
• IT Sicherheitsgesetz
• Expertenkommissionen
• Konsultationen
Rechtsprechung
• Google – z.B. Löschung (EuGH)
• Streaming (OLG & LG Köln)
• Recht auf informelle
Selbstbestimmung (BVerfG)
• Neue Vorabentscheidungsverfahren
(EuGH)
Prinzipien Office 365
Office 365 Trust Center
Der Weg zu allen Informationen
rund um Datensicherheit und
Datenschutz mit Office Cloud
Anwendungen.
14
Was ist passiert ?
Microsofts Grundprinzip
It’s your dataYou own it, you control it
We run the service for you
We are accountable to you
Built-in Security through Defense in depth
Physical controls, video surveillance, access control
Edge routers, firewalls, intrusion detection, vulnerability scanning
Dual-factor authentication, intrusion detection, vulnerability scanning
Access control and monitoring, anti-malware, patch and
configuration management
Secure engineering (SDL), access control and monitoring, anti-malware
Account management, training and awareness, screening
Threat and vulnerability management, security monitoring, and response,
access control and monitoring, file/data integrity, encryption
Facility
Network perimeter
Internal network
Host
Application
Admin
Data
Datenschutz Office 365
Microsoft Datacenter
Dublin, Irland
Rechenzenten für One Drive for Business
Wo befinden sich meine Daten?
Dublin, Irland
Amsterdam, Niederlande
Backup: USA (Notfall)
20
Der Vergleich
onPremise Cloud Computing
Standards & Zertifikation
SSAE/SOC
ISO27001
EUMC
FISMA
HIPAA
HITECH
ITAR
HMG IL2
CJIS
Global
Global
Europe
U.S.
U.S.
U.S.
U.S.
UK
U.S.
Finance
Global
Europe
Government
Healthcare
Healthcare
Defense
Government
Law Enforcement
Standard & Zertifikation for Europe/BRD
1. Auftragsdatenverarbeitungsverträge (ADVs)
2. ISO 27001
3. EU-Standardvertragsklauseln // Artikel 29 Arbeitsgruppe prüfte dies
4. US-EU – Bestimmungen des US-Handelsministeriums "Safe Harbor"
23
Wir und Office 365 - Auftragsdatenverarbeitung
Auftragsdatenverarbeitungsverträge
(ADVs)
Office365 = Zug
Wir = Passagiere
Microsoft bietet Dienstleistungen an und
verarbeitet unsere Daten auf unseren Auftrag
hin.
oder auch
Microsoft stellt den Dienst und wir den Inhalt.
Microsofts Part
Access Control,
Risk Assessment,
Communication Protection,
Auditing & Logging,
Identification & Authorisation & Information Integrity,
Incident Response
Was können wir machen
• eDiscovery
• Office 365 Message Encryption
• RBAC
• Right Management
• Data Loss Protection (DLP)
• S/MIME
• Legal Hold
Optionale Vertragsergänzungen
27
Datenschutz I
Sicherung von der Speicherung bis zum Abruf:
• Rund um die Uhr überwachte physische Rechenzentren.
• Logisches Trennen von Mandantendaten.
• Administrativer Zugriff auf Office 365, gesteuert von einem rollenbasierten Zugriffssteuerungsverfahren (RBAC).
• Trennung des internen Rechenzentrumsnetzwerks vom externen Netzwerk sowie Verschlüsselung der Daten, die über die
Netzwerke übertragen werden.
• Verschlüsselung von E-Mail-Daten im Ruhezustand mit BitLocker und SSL/TLS-Verschlüsselung von Daten bei der Übertragung.
• Anwendungen, die nach Maßgabe des Microsoft Security Development Lifecycle (SDL) entwickelt werden. Unser Security
Development Lifecycle stellt sicher, dass Sicherheit und Datenschutz integrale Bestandteile der Entwicklung sind, von der
Softwareentwicklung bis zum Dienstbetrieb.
28
Datenschutz II
• Der Rechteverwaltungsdienst ermöglicht es Benutzern und Administratoren, Inhalte basierend auf Identität und Richtlinie intelligent zu verschlüsseln.
• Identitätssysteme und Dienste wie Windows Active Directory, Windows Azure Active Directory und Active Directory Federation Services können aktiviert werden, um
den Zugriff auf Office 365 zu sichern.
• Fortschrittliche Funktionen wie die Verhinderung von Datenverlust (Data Loss Prevention, DLP) können von Administratoren aktiviert werden, um zu verhindern, dass
sensible Daten die Organisation verlassen.
• Funktionen für die gesetzliche Aufbewahrungspflicht, Governance und Archivierung ermöglichen es Administratoren, sensible Daten für juristische und
Archivierungszwecke zu sperren.
• Mit Funktionen wie eDiscovery können Administratoren in SharePoint Online, Exchange Online und Lync Online auf einfache Weise Elemente für Audit- und
Sicherheitszwecke finden.
• Unsere Funktionen für den Schutz vor Schadsoftware und Spam sind komplex, können aber dennoch einfach eingesetzt und vom Administrator konfiguriert werden.
Unsere gerätbezogenen Sicherheitsfunktionen für mobile Geräte und PCs ermöglichen die Remote-Datenlöschung sowie Zugriffsbeschränkungen des Geräts.
29
Wer hat Zugriff auf die Daten?
30
Usage Data Address Book Data
Customer Data
(excluding
Core Customer Data*)
Core Customer Data
Operations Response
Team (limited to key
personnel only)
Yes. Yes, as needed. Yes, as needed. Yes, by exception.
Support
Organization
Yes, only as required
in response to
Support Inquiry.
Yes, only as required in
response to Support
Inquiry.
Yes, only as required in
response to Support
Inquiry.
No.
Engineering Yes.
No Direct Access. May Be
Transferred During Trouble-
shooting.
No Direct Access. May Be
Transferred During
Trouble-shooting.
No.
PartnersWith customer
permission. With customer permission. With customer permission.
With customer
permission.
Others in Microsoft No.
No (Yes for Office 365 for
small business Customers
for marketing purposes).
No. No.
Security Office 365
Security
1. Keine Nutzung oder Scanning / auch nicht für Werbung oder Werbeprodukte
2. Speicherort: Europa
3. Security by Design/Default
4. Physische Sicherheit der Rechenzentren (ISO 270001)
5. Rechte über die Daten bleiben beim Kunden/User
6. Umgehende Information über Änderung der Dienste in Bezug auf Sicherheit, Datenschutz und Richtlinientreue
7. 99,9 % Zugriff auf Daten und Dienste
33
Verschlüsselung
Data at Rest
Disks encrypted with Bitlocker
Encrypted shredded storage
Data in-transitSSL/TLS Encryption
Client to Server
Data center to Data center
User
Fort Knox Encrypted Storage
The technology moves beyond a
single encryption key per disk to
deliver a unique encryption key per
file. With advanced encryption
technology, every file stored in
SharePoint Online and OneDrive for
Business is encrypted with its own
key, and subsequent updates to a
file are encrypted with their own
unique key as well.
35
Audits bei Microsoft
• Regelmäßige Prüfungen durch Dritte (AICIPA, ISO, FedRamp, JAB)
• Kunde kann den letzten Report anfordern
• Zusätzliche Zertifizierungen (Nachfragen)
• Compliace-Programm
• Office 365 Team ist immer ansprechbar (itpronetwork – Yammer)
Compliance controls
Helps to identify
monitor
protect
Sensitive data through deep content analysis
Identify
Protect
Monitor
End user education
Data Loss Prevention (DLP)
Prevents sensitive data from leaving organization
Provides an Alert when data such as Social Security & Credit Card Number is emailed.
Alerts can be customized by Admin to catch Intellectual Property from being emailed out.
Empower users to manage their compliance• Contextual policy education
• Doesn’t disrupt user workflow
• Works even when disconnected
• Configurable and customizable
• Admin customizable text and actions
• Built-in templates based on common regulations
• Import DLP policy templates from security partners or
build your own
Protect sensitive documents
from being accidently shared
outside your organization
No coding required; simply
upload sample documents to
create fingerprints
Scan email and attachments to
look for patterns that match
document templates
RMS – Right Management Services
O365 Admin Center – Diensteinstellungen
– Andere Einstellungen Einstellungen
40
RMS - Right Management Services
• Vertrauliche Informationen werden geschützt
öffnen, modifizieren, drucken, weiterleiten; + eigene Einstellungen
• Dauerhafter Schutz ist verfügbar.
Schutz auch bei Kopieren der Dateien, kein entschlüsseln ohne passende Entität
• Nutzungsrechte und –bedingungen können besser verwaltet werden
Nutzungsrechte & Nutzungsbedingungen zuweisen; mit Bedingungen belegen, z.B. Ablauffrist
• Integration von RMS mit Office 365
Plugin in: Office Prof Plus; Office Online, OWA
41
Multi-Faktor-Authentifikation
/Eingabe von Benutzer & Passwort1.
2.
3.
4.
/Azure AD schickt Token (Zahlenreihe) (Handy)
/User gibt Token (Zahlenreihe) ein
/Prüfung des Tokens in Kombi. mit Benutzer &
Passwort
5. /Login erfolgreich
42
43
Aktuelle rechtliche Probleme ?
1. Urteil aus New York – Herausgabe der Daten auch aus anderen Ländern an US
Behörden
2. Grundverordnung der EU
3. Digitale Agenda 2020 (EU & BRD)
4. BIG Data – mit neuen Regelungen
5. Bitkom mit dem Sicherheitskompass
44
Deutsches Rechenzentrum von Microsoft?
Office Blog & Roadmap
http://office.microsoft.com/en-us/products/office-365-roadmap-
FX104343353.aspx
http://blogs.office.com/
Office Roadmap Office Blog
46
Rakoellner.de
Danke für die
Aufmerksamkeit
48
Kontakt
Raphael.Koellner
@rakoellner.de
www.rakoellner.de
Twitter:
@ra_koellner
49
