Microsoft eröffnet im Herbst an den Standorten Zürich und Genf je ein Datencenter, um die lokale Datenresidenz innerhalb der Schweiz zu erfüllen. Wir haben darüber bereits berichtet, dass diese Nachricht unter anderem die Schweizer Wirtschaft ankurbelt. Gleich zwei Datencenter werden benötigt, um die Koppelung der Datencenter sicherzustellen, die eine Wiederherstellung von Daten in regionalen Notfällen gewährleistet. Immer wieder erhalten wir die Frage nach der tatsächlichen Sicherheit der Daten. Diese Frage ist sehr schwer zu beantworten, da Sicherheit immer im Auge des Betrachters liegt und vor allem der Wissensstand aller Gesprächsteilnehmer vielfach unterschiedlich ist. Microsoft gibt sehr ausführliche Antworten auf Fragen der Sicherheit. Doch wer liest sich gern durch mehrseitige Dokumente auf Englisch? Wir haben in diesem Beitrag das Wichtigste zusammengefasst.
Wenn man der Sicherheit von Daten auf den Grund gehen möchte, sollte man zuerst zwei Kategorien unterscheiden:
- Die physische und technologische Sicherheit im Rechenzentrum
- Die Sicherheit des Datenzugriffs, der Datenspeicherung und -übertragung
Die Sicherheit im Rechenzentrum
Die physische und technologische Sicherheit
Die Rechenzentren werden durch Eingrenzungen aus hohen Stahlzäunen und Beton nach aussen geschützt. Die Grundstücksgrenzen sind von Kameras umgeben und ein eigens ausgebildetes Sicherheitsteam überwacht die Aufnahmen stetig. Zudem überwacht das Sicherheitsteam den Eingang des Gebäudes und läuft routinemässig das Rechenzentrum ab.
Die physische Sicherheit der Microsoft Azure Rechenzentren wird stetig überprüft und auf dem neuesten Stand gehalten. Die Bereiche, in denen Daten gespeichert sind, werden streng kontrolliert und sind überhaupt nur für ein Minimum an Personen zugänglich.
Benötigt ein Unternehmen Zugang zum Rechenzentrum, so ist dies nur durch vorherige Anmeldung und unter Nennung von triftigen geschäftlichen Begründungen des Besuchs möglich. Erhält man eine Genehmigung, so erfolgt der Zugang auch nur zu einem abgegrenzten Bereich des Rechenzentrums. Das Mitbringen von Geräten muss ebenfalls genehmigt werden. Vor dem Zutritt und beim Verlassen des Rechenzentrums findet eine Sicherheitsüberprüfung via Personenkontrolle mit Metalldetektor statt.
Hardware und Entsorgung
Auch die in den Datenzentren enthaltenen Geräte sind technologisch stets auf dem neuesten Stand. Deshalb werden sie regelmässig erneuert. Wichtig ist vor allem bei alten Geräten, dass sie so zerstört werden, dass eine Wiederherstellung der Daten unmöglich ist. In den Microsoft Azure Datencentern werden bewährte Verfahren und Zurücksetzungslösungen, die NIST 800-88-konform sind, verwendet. Dabei kommen Zerstörungsverfahren wie Zersetzen, Schreddern, Pulverisieren oder Verbrennen zum Einsatz. Die Art des Verfahrens wird je nach Ressourcentyp definiert und die Zerstörung dokumentiert.
Compliance
Je nach Region erfüllt die Azure-Infrastruktur eine Vielzahl an internationalen und branchenspezifischen Compliance-Standards. Jederzeit wird die Einhaltung dieser Standards durch strenge Sicherheitskontrollen überprüft. Eine Liste der von Azure eingehaltenen Compliance-Standards ist hier zu finden.
Die Sicherheit bei Datenzugriff, Datenspeicherung und -übertragung
Die Sicherheit bei Datenzugriff
Der Zugriff auf Daten und Umgebungen ist bei Microsoft Azure nach autorisierten Rollen und Benutzern und deren Berechtigungen unterteilt. Hierfür wird eine Azure Active Directory (ADD) Lösung zur Identifikation genutzt. Das Azure AD ermöglicht Unternehmen, ein policy-basierendes Identitätsmanagement für eigene Applikationen zu nutzen. Diese Identitäts-Verwaltungsfunktion erlaubt den Zugang für lokale, Cloud- und Mobile-Lösungen.
Der Schutz der Daten
Die Daten eines Unternehmens sind ein wertvolles digitales Gut, weshalb sie mit Azure auch durch vier spezifische Methoden geschützt werden: Trennung, Verschlüsselung, Redundanz und Zerstörung.
Die Gewährung der Privatsphäre von Unternehmensdaten vor Zugriffen von Subunternehmen und Behörden
Bei Microsoft Azure erhalten Unternehmen das Eigentum und die Kontrolle über ihre Daten. Das ist für viele Unternehmen nicht mehr nur wünschenswert, sondern verpflichtend. Gemäss den Datenschutz-Regelungen von Microsoft haben Unternehmen die Kontrolle über die Erhebung, Nutzung und Weitergabe von Kundendaten. Im Gegenzug zu anderen Cloud-Anbietern lehnt Microsoft die Verwendung von Kundendaten für Werbezwecke ab. Selbst Microsoft-Mitarbeitende oder Subunternehmer erhalten keinen Zugriff auf Kundendaten. Aber was ist mit Anfragen von Behörden und zur Strafverfolgung? Anfragen von Behörden werden gemäss dem anwendbaren Gesetz behandelt. Wenn Regierungen oder Strafverfolgungsbehörden einen rechtmässigen Antrag stellen, ist Microsoft Azure der Transparenz verpflichtet. Sollte eine Anfrage erfolgen, werden Kunden umgehend informiert und Anfragen, wenn möglich, umgeleitet. Ein Beweis für die Transparenz ist die halbjährliche Veröffentlichung von Berichten über Anfragen von Strafverfolgungsbehörden. Weitere Informationen sind hier zu finden:
https://www.microsoft.com/en-us/trust-center/privacy#data-privacy-standards
Informationsanlass Cloud Schweiz am 29.08.2019
Wir empfehlen unseren Kunden und Partnern, sich mit dem Thema «Microsoft Azure mit Datenhaltung in der Schweiz» auseinanderzusetzen. Deshalb führen wir am 29.08.2019 eine Informationsveranstaltung durch. Melden Sie sich hier an:
