Sicherheit bei den Microsoft Online Services. Whitepaper

Transkript

1 Sicherheit bei den Microsoft Online Services Whitepaper Datum der Erstveröffentlichung: Juni 2009

2 Die Business Productivity Online Suite, die Microsoft im Rahmen der Microsoft Online Services anbietet, ermöglicht eine effiziente, kostengünstige und skalierbare Kommunikation und Zusammenarbeit in Ihrem Unternehmen. Neben Zuverlässigkeit, Verfügbarkeit und Datenschutz steht die Sicherheit der Onlineumgebung ganz weit oben auf der Liste der Kundenanforderungen. In diesem Dokument beschreiben wir, warum die Sicherheit in Verbindung mit der Business Productivity Online Suite für uns einen so hohen Stellenwert hat. Wir möchten eine maximale Sicherheit unserer Dienste und der damit verarbeiteten Daten erreichen. So lautet das Ziel unseres Risikomanagementprogramms (Risk Management Program, RMP). Dabei werden wir die mit unserer Trustworthy Computing- Initiative entwickelten und definierten Richtlinien berücksichtigen, die Anwendern eine sichere und zuverlässige Computernutzung ermöglichen werden. Viele unserer Kunden vertrauen unseren Online Services, weil wir damit anerkannte Industriestandards für Dienstleistungsangebote erfüllen und weil wir sie regelmäßig prüfen und durch unabhängige Unternehmen zertifizieren lassen. Aktuelle Informationen über die Business Productivity Online Suite und weitere unserer Online Services finden Sie auf der Website Microsoft Online Services. Die in diesem Dokument enthaltenen Informationen waren zum Zeitpunkt der Erstveröffentlichung dieses Whitepapers aktuell, und wir haben sie nach bestem Wissen und Gewissen zusammengestellt. Da sich die Marktbedingungen laufend verändern, stellen die Inhalte dieses Whitepapers keine verbindliche Lösung vor. Zudem übernimmt Microsoft keine Garantie für die Richtigkeit von Informationen, die nach dem Zeitpunkt der Veröffentlichung bekannt werden. Dieses Whitepaper dient ausschließlich zu Informationszwecken. Wir stellen es ohne jegliche Garantie oder Gewährleistung zur Verfügung. MICROSOFT ÜBERNIMMT KEINERLEI GARANTIEN, WEDER AUSDRÜCKLICH NOCH IMPLIZIT NOCH GESETZLICH, FÜR DIE IN DIE- SEM DOKUMENT VERWENDETEN INFORMATIONEN. Für die Einhaltung aller Urheberrechte ist der Benutzer verantwortlich. Unabhängig von den jeweiligen Urheberrechten darf dieses Dokument in keiner Weise, weder ganz noch in Auszügen, ohne ausdrückliche schriftliche Erlaubnis der Microsoft Corporation vervielfältigt, in einem Datenabfragesystem gespeichert oder damit eingelesen oder auf sonstige Art und Weise erfasst, übertragen und weiterverwendet werden. Dies gilt sowohl für die elektronische wie auch für die mechanische Erfassung, Vervielfältigung und Nutzung, unter anderem durch Fotokopieren, Scannen, Aufzeichnen etc. Microsoft kann Inhaber von Patenten, Patentanträgen, Marken und Urheberrechten sein, die den Inhalt dieses Dokuments betreffen, und geistiger Eigentümer der Inhalte dieses Dokuments sein. Mit der Bereitstellung dieses Dokuments gewährt Microsoft keinerlei Lizenzrechte an diesen Patenten, Marken, Urheberrechten oder am geistigen Eigentum; es sei denn, dies wurde ausdrücklich durch einen schriftlichen Lizenzvertrag mit Microsoft vereinbart. Sofern nicht anders angegeben, sind die in diesem Whitepaper als Beispiele erwähnten Unternehmen, Organisationen, Produkte, Domänennamen, -Adressen, Logos, Personen, Plätze und Orte rein fiktiver Natur. Jede Ähnlichkeit oder Übereinstimmung mit real existierenden Firmen und/oder Personen ist rein zufällig und nicht beabsichtigt Microsoft Corporation. Alle Rechte vorbehalten. Microsoft, Active Directory, Exchange, Forefront, SharePoint und Windows Server sind Marken der Microsoft Corporation. Alle anderen Marken sind Eigentum des jeweiligen Besitzers. Sicherheit mit der Business Productivity Online Suite 2

3 Inhalt Zusammenfassung... 5 Warum Online Services?... 6 Warum Online Services von Microsoft?... 7 Die Grundlage der Microsoft Online Services: Trustworthy Computing... 8 Die Trustworthy Computing-Initiative... 8 Die Entwicklung sicherer Dienste: Security Development Lifecycle... 9 Vertrauen schaffen: Das Risikomanagementprogramm und die Microsoft Online Services Die Ziele Die Erfolgskriterien Die Kernbestandteile Sicherheit Ein umfassender, kontinuierlicher Prozess Physische Sicherheit Carrier-Class-Rechenzentren Weltweite Standorte von Rechenzentren Sicherheit für das Rechenzentrumspersonal Sicherheit beim Netzwerkdesign und -betrieb Bestens geeignete Hardware Logische Sicherheit Merkmale der Microsoft Online Services Die Infrastruktur der Microsoft Online Services Das Netzwerk der Microsoft Online Services Schutz vor Schadsoftware Erstklassige Betriebsumgebung Risiken überwachen und minimieren Integration von Sicherheit und Betriebsumgebung Die Risikomanagementprinzipien umsetzen Verwaltung von Sicherheitsvorfällen Sicherheitsuntersuchung Datenschutz mit den Microsoft Online Services Spezieller Datenschutz in den Bereichen Marketing, Werbung und Test Dienstleister und Partner Dienstleister Partner Zugriff, Sicherheit, Datenintegrität und Erzwingung Kundenberatung Internationale Datenübertragung Kontinuierliche Verfügbarkeit der Dienste Kontinuierliche Kommunikation durch Archivierung Datenspeicherung Verfügbarkeit und Kontinuität ,9-prozentige Zuverlässigkeit Ressourcen schonen durch Skalierbarkeit Dezidierter Support Selbsthilfe und ständig verfügbares Supportteam Sicherheit mit der Business Productivity Online Suite 3

4 Compliance Auf Standards basierende Compliance-Verwaltung Das Compliance-Verwaltungsprogramm der Microsoft Online Services Das Compliance-Framework der Microsoft Online Services Bewertungen und Überprüfungen der Compliance Unabhängige Zertifizierung Nachweis der Compliance Statement of Auditing Standard (SAS) ISO-Norm Verizon Security Management Program Service Provider Certification Künftige Online Services-Zertifizierungen durch unabhängige Drittunternehmen32 Weitere Informationen Microsoft Online Services Sicherheit und Dienstverfügbarkeit Datenschutz Compliance Sicherheit mit der Business Productivity Online Suite 4

5 Zusammenfassung In diesem Dokument möchten wir Fragen wegen der Sicherheit und Zuverlässigkeit der Business Productivity Online Suite und der Microsoft Online Services beantworten. Wir gehen dabei auf die Funktionen, Technologien und Prozesse ein, die aus der Business Productivity Online Suite ein vertrauenswürdiges, anerkanntes und erstklassiges Onlineangebot für Unternehmen machen. Lesen Sie mehr über unsere Erfahrungen bei der Erstellung und dem Betrieb von Unternehmenssoftware und wie wir damit unsere Online Services zu einem zuverlässigen und sicheren Onlineangebot ausgebaut haben. Wir gehen insbesondere darauf ein, wie wir mit einem ausgereiften Compliance-Verwaltungsprogramm die Sicherheit, den Datenschutz und die Bereitstellung der Online Services erhöhen, dabei anerkannte Industriestandards aus den Bereichen Sicherheit und Zuverlässigkeit berücksichtigen und mit regelmäßigen Überprüfungen und Tests durch anerkannte unabhängige Unternehmen eine hohe dauerhafte Qualität erreichen. Geben Sie sich nicht mit weniger zufrieden: Die Microsoft Online Services stellen eine ausgereifte Lösung für die Kommunikation und Zusammenarbeit in Unternehmen dar, die sehr sicher, hochverfügbar und skalierbar ist. Mit einem Preis-Leistungs-Verhältnis, das jede Vor-Ort-Installation um Längen schlägt, wenn es um die Kosten und den Aufwand geht. Sicherheit mit der Business Productivity Online Suite 5

6 Fragen Sie Ihren Online Services- Anbieter: Wie sicher ist die Lösung? Wie vertraulich sind die Daten? Wie gut ist der Service verfügbar? Gibt es einen Nachweis dafür? Warum Online Services? Lösungen für die Kommunikation und Zusammenarbeit von Mitarbeitern und Arbeitsgruppen sowie Onlinekonferenzangebote eignen sich für alle Unternehmen in allen Branchen. Die meisten dafür eingesetzten Anwendungen sind aus dem täglichen Arbeitsalltag nicht mehr wegzudenken, oft sind jedoch die Anschaffung und der Betrieb sehr teuer. Sie erfordern speziell geschultes Personal, dessen Wissen weit über das für den normalen IT-Betrieb notwendige Maß hinausgeht. Schon hierdurch entsteht ein beachtlicher Mehraufwand, der sich zudem schnell erhöht: denn die Anwendungen müssen für einen sicheren und zuverlässigen Betrieb regelmäßig gewartet und überwacht werden. Bis vor Kurzem gab es nur wenige Alternativen für den Betrieb eigener IT-Anwendungen und -Dienste vor Ort. Die Entwicklung webbasierter Technologien, mit denen Dienstanbieter solche Lösungen online bereitstellen, führt zu neuen Nutzungsmöglichkeiten: Anwender greifen jederzeit genau auf die Dienste zu, die sie benötigen, ohne dass Unternehmen sie vor Ort installieren, warten und bereitstellen müssen. Ein besonders bemerkenswerter Vorteil der webbasierten oder auch Online Services genannten Dienste sind die niedrigen Betriebskosten. Wenn Sie Online Services nutzen, benötigen Sie weder spezialisiertes Personal noch extra dafür bereitgestellte Hardware noch aufwendig zu pflegende Serverbetriebssysteme und -anwendungen. Ein weiterer Vorteil ist die jederzeit mögliche Anpassung der Online Services, sollte Ihr Unternehmen wachsen und mehr Kommunikations- und Zusammenarbeitsressourcen benötigen. Sie sind niemals unter- oder überversorgt, sogar Ihre virtuelle IT-Onlineabteilung wächst mit und passt sich nahtlos den neuen Anforderungen an. Bevor Sie die Online Services eines Dienstleisters in Anspruch nehmen und damit auch die Kontrolle darüber aus der Hand geben, sollten Sie das Angebot sorgfältig prüfen. Dabei lohnt es sich, die folgenden Punkte genau zu hinterfragen: Wie erfahren ist der Online Services-Provider? Sind die Daten gut vor unberechtigten Zugriffen geschützt, und wie ist sichergestellt, dass nur dazu berechtigte Personen darauf zugreifen? Wie sicher sind die Daten? Sind die Daten jederzeit verfügbar? Stehen die Anwendungen für und Zusammenarbeit immer zur Verfügung? Wie stelle ich fest, ob die Angaben des Providers über die Sicherheit und Zuverlässigkeit der angebotenen Online Services stimmen? Sicherheit mit der Business Productivity Online Suite 6

7 Mit den Microsoft Online Services verbessern Sie die Kommunikation und Zusammenarbeit in Ihrem Unternehmen. Bleiben Sie jederzeit flexibel, und senken Sie gleichzeitig die Betriebskosten. Warum Online Services von Microsoft? Mit der Business Productivity Online Suite stellen wir Kunden Online Services zur Verfügung, die von Microsoft-Partnern vertrieben werden. Es handelt sich dabei um Anwendungen, die Kunden je nach Bedarf im Abonnement nutzen. Die Online Services stellen wir in einer IT-Umgebung mit allen für den jeweiligen Einsatzzweck notwendigen Funktionen bereit, wobei dieses Angebot die von vielen Unternehmen geforderten Kriterien hinsichtlich Sicherheit und Verfügbarkeit der Daten erfüllt, oftmals sogar übertrifft. Moderne, beispielhafte Rechenzentren setzen sehr sichere Serverhardware ein, die umfassend erprobte und branchenweit bewährte Standards erfüllt. Mit diesen und weiteren Merkmalen der Business Productivity Online Suite schützen Sie Ihre Daten auf Arbeitsplatzrechnern und in Rechenzentren gleichermaßen. Zudem unterstützt Sie qualifiziertes Supportpersonal bei der Nutzung der Online Services. Wenn Sie sich für die Business Productivity Online Suite registrieren, stehen Ihnen viele in der Praxis bewährte Anwendungen zur Wahl. Erledigen Sie damit Ihren - Verkehr, verbessern Sie die Zusammenarbeit innerhalb des Unternehmens sowie mit Partnern und Zulieferern, und nutzen Sie Instant Messaging und webbasierte Konferenzdienste als zusätzliche Kommunikationsinstrumente. Wir haben langjährige Erfahrung beim Entwurf von Hosting-Umgebungen für Internet Service Provider, die damit Unternehmen Anwendungen als webbasierte Online Services anbieten. Diese Erfahrung haben wir in das Design und die Architektur der Microsoft Online Services einfließen lassen. Bestandteile der Business Productivity Online Suite sind die folgenden Anwendungen und Technologien: Microsoft Exchange Online ist eine online bereitgestellte Kommunikationslösung, deren Grundlage Microsoft Exchange Server 2007 ist. Unternehmen erhalten damit eine sehr sichere Lösung für die -Nutzung und den mobilen Zugriff von Mitarbeitern, die zudem das eigene IT-Personal entlastet. Microsoft SharePoint Online setzt als gehostete Lösung für die Zusammenarbeit auf Microsoft Office SharePoint Server 2007 auf. Mitarbeiter eines Unternehmens nutzen damit einen zentralen Ort für eine sichere und effiziente Zusammenarbeit im Team, greifen problemlos auf unternehmensweit verfügbare Ressourcen zu, verwalten Inhalte und Arbeitsprozesse besser und treffen mit umfassenden Datenanalysen und - ansichten fundiertere Entscheidungen. Microsoft Office Communications Online ist eine von Microsoft bereitgestellte Anwendung für den Versand von Sofortnachrichten und die Veröffentlichung von Präsenzinformationen, deren Grundlage Microsoft Office Communications Server 2007 ist. Unternehmen erhalten damit eine Umgebung für Echtzeitkommunikation, die deutlich sicherer ist als bei vielen derzeit frei zugänglichen Instant-Messaging-Produkten. Damit bleiben Teammitglieder immer in Kontakt gerade in Zeiten, in denen Arbeitsgruppen immer öfter auf der ganzen Welt beheimatet sind, erleichtert dies die Zusammenarbeit spürbar. Microsoft Office Live Meeting ist eine von Microsoft gehostete Lösung für Webkonferenzen. Mitarbeiter, Kunden und Partner arbeiten damit von praktisch jedem Ort aus zusammen, wenn ihr Computer mit dem Internet verbunden ist und Standardanwendungen darauf installiert sind. Sowohl interne als auch externe Anwender nehmen ohne vor Ort zu sein in Echtzeit an Besprechungen, Trainings und Veranstaltungen teil. Diese Microsoft Online Services sind für Unternehmen skalierbar und weisen eine klare, kalkulierbare Preisstruktur auf. Zudem stehen Anwendern alle Produkt- und Technologieverbesserungen ohne Zusatzkosten sofort zur Verfügung. Sicherheit mit der Business Productivity Online Suite 7

8 Sicherheit ist ein wesentliches Element der Microsoft-Geschichte. Sie beeinflusst seit Langem sowohl die Softwareentwicklung als auch die Unternehmenskultur. Die Grundlage der Microsoft Online Services: Trustworthy Computing Bei der Entwicklung aller Microsoft Online Services, also auch derjenigen, die Bestandteil der Business Productivity Online Suite sind, nutzen wir bewährte Methoden für den Entwurf, die Entwicklung, den Test, den Betrieb und die Verwaltung. Diese orientieren sich an unseren strengen Maßstäben hinsichtlich Sicherheit, Datenschutz und unternehmensweiter Nutzung. Die Trustworthy Computing-Initiative 2002 legte Bill Gates mit der unternehmensweiten Vorgabe, Vertrauen in unsere Produkte und Dienstleistungen zu schaffen, den Grundstein für die Trustworthy Computing-Initiative. Er definierte dabei die wichtigsten Kriterien für künftige Microsoft- Entwicklungen von Software und Dienstleistungen: Verfügbarkeit: Unsere Produkte sollen immer verfügbar sein, wenn Kunden sie benötigen. Systemausfälle müssen entfallen, weil die Softwarearchitektur Redundanz und automatische Wiederherstellung unterstützt. Die Selbstverwaltung soll eine erneute Services-Ausführung ohne Benutzereingriff ermöglichen. Sicherheit: Die Daten, die wir im Auftrag unserer Kunden mit unserer Software und unseren Diensten speichern, müssen bestmöglich vor Schäden geschützt sein und auf sichere Art und Weise verwendet und bearbeitet werden. Sicherheitsmodelle sollen für Entwickler einfach zu verstehen und in ihre Anwendungen zu integrieren sein. Datenschutz: Anwender behalten die Kontrolle über ihre Daten und deren Verwendung. Die Richtlinien dafür müssen verständlich sein. Anwender bestimmen, ob und wann sie Informationen erhalten, damit sie ihre Zeit besser nutzen können. Anwender sollen problemlos entscheiden, wie ihre Informationen, einschließlich der von ihnen gesendeten s, verwendet werden. Das über allem stehende Trustworthy Computing-Ziel, die sichere, geschützte und zuverlässige Computernutzung, wurde schnell zu einem wesentlichen Unternehmensgrundsatz von Microsoft. Trustworthy Computing bedeutet eine von Grund auf höhere Sicherheit, Zuverlässigkeit und Verfügbarkeit bei der Verwendung von Rechnern mit dem größtmöglichen Schutz wertvoller Kundendaten. Sicherheit mit der Business Productivity Online Suite 8

9 Die Entwicklung sicherer Dienste: Security Development Lifecycle Unser in der IT-Branche anerkannter und führender Entwicklungszyklus für sichere Software (Microsoft Security Development Lifecycle, SDL) ermöglicht eine höhere Softwaresicherheit. Wir setzen dieses Prinzip für die Entwicklung, Bereitstellung und Verwaltung der Microsoft Online Services ein. Wie die Trustworthy Computing-Initiative ist auch SDL eine Microsoft-Initiative und seit 2004 eine unternehmensweit verbindliche Richtlinie. SDL nahm eine wichtige Rolle ein, um die Themen Sicherheit und Datenschutz fest in der Microsoft-Philosophie, der Anwendungsentwicklung und der Unternehmenskultur zu verankern. Seitdem sind Sicherheit und Datenschutz von Beginn an ein allgegenwärtiges Thema aller Entwicklungsprozesse. Training Anforderungen Design Implementierung Nachweis Veröffentlichung Reaktion >Basistraining >Sicherheits- und Vertraulichkeitsrisiken analysieren >Qualitätskriterien definieren >Bedrohungsmodelle >Attacken analysieren >Spezielle Werkzeuge >Bestimmte Funktionen verbieten >Statische Analyse >DynamiscHe, breit angelegte Tests >Bedrohungsmodelle und Attacken verifizieren >Antwortplan >Finale Sicherheitsprüfung >Archiv veröffentlichen >Reaktionen einfordern Mit Bedrohungsmodellen kategorisieren und bewerten wir Risiken. Damit ordnen wir eine Priorität zu und leiten entsprechende Gegenmaßnahmen ein. Der Microsoft Security Development Lifecycle. Alle unsere Anwendungen und Online Services erstellen wir entsprechend dem SDL- Prozess. Dabei entwickeln wir Bedrohungsszenarien für jede Komponente, und bewerten erkannte Bedrohung mit Risikokategorien: Identitätsbetrug (Spoofing Identity): Dabei geben sich Angreifer oder Server als berechtigte Anwender oder Geräte aus und greifen unberechtigt auf eine IT- Umgebung zu. Datenmanipulationen: Angreifer ändern Daten böswillig oder ergänzen Datensätze mit fehlerhaften Informationen. Verweigerung: Bedrohungen, während derer Anwender bestimmte Aktionen verweigern können. Offenlegung von Informationen: Informationen werden nicht zugriffsberechtigten Anwendern angezeigt. Denial of Service: Attacken überlasten Systeme und Netzwerke, sodass berechtigte Anwender nicht mehr darauf zugreifen können. Rechteerweiterung: Nicht berechtigte Anwender vergeben sich selbst zusätzliche Rechte. Entsprechend diesem Bewertungssystem integrieren wir Gegenmaßnahmen in jedes Produkt und minimieren damit die Risiken. Die Priorisierung der Gegenmaßnahmen entspricht dem Schweregrad, den wir einem Risiko anhand der folgenden Faktoren zuordnen und mit dem wir die allgemeine Bedrohung einstufen: Schadenspotenzial. Wirkt sich auf die Vertraulichkeit, Integrität und Verfügbarkeit aller Daten aus. Reproduzierbarkeit. Die Effektivität eines Angriffs steigt durch ständige Wiederholungen. Verwertbarkeit. Berücksichtigt das notwendige Spezialwissen, um eine Attacke zu starten. Betroffene Anwender. Je mehr Anwender davon betroffen sind, desto gefährlicher ist eine Attacke möglicherweise. Entdeckung. Inwieweit sind Informationen und Code erkennbar, die zur Ausführung einer Attacke verwendet werden. Dies ist eine Schlüsselinformation für die Entwicklung und Prüfung von Anwendungen. Sicherheit mit der Business Productivity Online Suite 9

10 Vertrauen schaffen: Das Risikomanagementprogramm und die Microsoft Online Services Die Sicherheit von Online Services ist mehr als ein vorhandenes Merkmal. Sie ist ein sich ständig weiterentwickelnder Prozess, der erfahrenes, hochqualifiziertes Personal, bestmöglich geeignete Soft- und Hardware, neueste Technologien und ausgefeilte Vorgehensweisen kombiniert. Diese Kombination erlaubt es, Dienste zu entwerfen, zu erstellen, einzusetzen, zu betreiben und zu unterstützen. Dabei muss die erreichte Sicherheit sorgfältig verwaltet, regelmäßig verbessert und routinemäßig überprüft werden. Eine effektive, Risiken berücksichtigende Strategie für die Informationssicherheit ist notwendig, um die Vertraulichkeit, Integrität und Verfügbarkeit der Microsoft Online Services und der damit verarbeiteten Daten zu schützen. Sicherheitsbedrohungen oder eine eingeschränkte Verfügbarkeit eines Diensts werden allgemein als Risiko bezeichnet. Wie wahrscheinlich ist es, dass Ihre Daten intakt sind? Können Sie Ihre Daten immer dann mit der gewünschten Anwendung verarbeiten, wenn Sie dies müssen? Mit unserem Risikomanagementprogramm (RMP) entwickeln und betreiben wir unsere Online Services inklusive der Business Productivity Online Suite mit einer Sicherheit, einem Datenschutz und einer Zuverlässigkeit, die den derzeit üblichen Branchenstandard sogar übertreffen. Im Rahmen des RMP lassen wir diese Kriterien zudem laufend von unabhängigen Drittunternehmen überprüfen. Ebenso wichtig ist es für uns, mit dem RMP die individuellen Kundenvorgaben umzusetzen: Wenn Kunden unsere Online Services der Business Productivity Online Suite nutzen, sollen sie dabei die Dienste und ihre Daten problemlos gemäß ihren eigenen Richtlinien und Anforderungen verwenden. Ziel des RMP ist, alle Services so zu entwickeln und zu betreiben, dass dabei bewährte Methoden hinsichtlich Sicherheit, Datenschutz und Verfügbarkeit übertroffen werden. Die Ziele Die Ziele des Risikomanagementprogramms lassen sich in drei Punkten zusammenfassen: Gewährleisten von Sicherheit und Datenschutz bei der Nutzung der Microsoft Online Services. Dies erreichen wir durch das effiziente, robuste und ausgereifte Risikomanagementprogramm. Es erfüllt beziehungsweise übertrifft in der Branche bewährte Methoden und unterstützt Unternehmen zudem dabei, behördliche oder rechtliche Vorgaben besser einzuhalten. Erfüllen der Kundenanforderungen. Dies erreichen wir, indem die Online Services alle von Unternehmen gewünschten und realisierbaren Sicherheitsvorgaben und Richtlinien unterstützen und indem sie das erforderliche Fachwissen über die Anforderungen vertikaler Marktsegmente und regionale Vorgaben bündeln. Zudem sorgen sie für mehr Transparenz hinsichtlich Sicherheit, Datenschutz und Verfügbarkeit. Kontinuierliche Verbesserung und Optimierung des Online Services-Angebots. Hierzu gehören Produkt- und Technologieinnovationen, um die Produktentwicklung mit Anwenderrückmeldungen voranzutreiben, sowie die Bereitstellung von Solution Accelerators, mit denen die verfügbaren Online Services weltweit besser genutzt werden können. Sicherheit mit der Business Productivity Online Suite 10

11 Die Erfolgskriterien Zu den Erfolgskriterien des Risikomanagementprogramms zählen: Support durch das Online Services-Managementteam. Entwicklung und Umsetzung einer Datensicherheitsrichtlinie mit Zielsetzungen und Aktionen, die sich an den Unternehmenszielen orientieren. Verteilung der Datensicherheitsrichtlinie und Bekanntgabe der damit verbundenen Vorgaben an Mitarbeiter und Vertragspartner. Effektive Umsetzung der Sicherheit bei allen Vorgesetzten und Mitarbeitern. Hierzu gehören Weiterbildungs- und Trainingsmaßnahmen für Anwender, um diesen die Richtlinie und die dadurch bedingten Veränderungen der Infrastruktur und der Prozesse vorzustellen. Ein umfassendes Bewertungssystem, mit dem sich die Umsetzung der Datensicherheitsmaßnahmen und Verbesserungsvorschläge auswerten lässt. Die Kernbestandteile Mit dem Risikomanagementprogramm optimieren wir Design, Entwicklung und Betrieb der Microsoft Online Services. Das gilt sowohl für vor Ort installierte und genutzte Anwendungen als auch für Anwendungen, die in einem Netzwerk installiert und ausgeführt werden, wie auch für Online Services von Anbietern und Rechenzentren, die per Internet bereitgestellt werden. Das Risikomanagementprogramm gliedert sich in vier Bereiche, die eine höhere Sicherheit und mehr Datenschutz ermöglichen: Sicherheit. Die IT-Umgebung enthält Funktionen, die vor absichtlichen und unabsichtlichen Attacken schützen. Datenschutz. Daten und Transaktionen der Kunden müssen vertraulich und auf diesen Kunden beschränkt sein. Verfügbarkeit. Die Online Services und damit genutzte Daten müssen immer verfügbar sein. Datenverlusten muss mit einer ausfallsicheren IT-Umgebung und einem zuverlässigen Wiederherstellungsprozess vorgebeugt werden. Compliance. Online Services müssen nachweisbar kompatibel mit Microsoft- Sicherheitsrichtlinien und relevanten Industriestandards sein. Sicherheit mit der Business Productivity Online Suite 11

12 Microsoft Online Services: standardmäßige Sicherheit bei Design und Einsatz. Für weltweit alle Rechenzentren, die Microsoft Online Services bereit-stellen, gelten die gleichen strengen Vorgaben für die physische und logische Sicherheit. Sicherheit Die Sicherheit der Dienste muss für die Onlinenutzung ausgelegt sein. Software, Infrastruktur, Mitarbeiterverhalten, aber auch die Gebäude, in denen sich die Rechenzentren befinden, müssen dabei berücksichtigt werden. Die Sicherheitsarchitektur der Microsoft Online Services richtet sich nach den Schlüsselprinzipien der Trustworthy Computing-Initiative von Microsoft: standardmäßige Sicherheit bereits beim Design und beim Einsatz. Unser umfangreiches Sicherheitsprogramm haben wir speziell für große Unternehmen entwickelt. Es enthält allgemeingültige Sicherheitsrichtlinien, die Risiken und Bedrohungen von Kundendaten minimieren. Wir erhöhen die Sicherheit, indem wir die eingeführten Sicherheitsrichtlinien der Online Services durch standardisierte Test-, Implementierungs- und Kontrollmethoden ständig überprüfen. Damit profitieren alle Kunden, die unsere Business Productivity Online Suite nutzen, von unserer weltweiten Erfahrung mit dem Thema IT-Sicherheit. Ein umfassender, kontinuierlicher Prozess Eine Online Services-Lösung erfordert durchgängige Sicherheit und Verfügbarkeit in allen Bereichen. Das beginnt bei den Anwendern auf Kundenseite und geht bis hin zum Personal und der Infrastruktur des Online Services-Anbieters. Um Angriffe abzuwehren und Kundendaten effektiv zu schützen, setzen wir mit den Online Services auf eine mehrstufige Sicherheitsstrategie. Sie schützt die verschiedenen Komponenten der Online Services Anwendung, Infrastruktur, Hardware, Netzwerk, Rechenzentren unabhängig voneinander. Die Sicherheitsmaßnahmen unterteilen wir in zwei Bereiche: Physis. Darin enthalten sind die Gebäude, in denen sich alle für die Bereitstellung der Online Services notwendigen Gerätschaften Server, Netzwerke, Hardware etc. sowie das betreuende Betriebspersonal befinden. Logik. Dieser Bereich umfasst die mit Software überwachte Systemsicherheit auf Betriebssystem-, Infrastruktur- und Anwendungsebene. Physische Sicherheit Der physischen Sicherheit wird oft weniger Beachtung geschenkt als der logischen, softwarebasierten Sicherheit. Das liegt vor allem daran, dass Anwender bei Bedrohungen meistens zuerst an Angriffe durch Viren und Malware denken. Dabei ist die physische Sicherheit mindestens genauso wichtig weil es eine durchaus anspruchsvolle Aufgabe ist, die Daten in den eigenen Gebäuden gut zu sichern. Sie müssen sicherstellen, dass nur autorisierte Mitarbeiter die Räume betreten, in denen sich Ihre Hardware mit den darauf gespeicherten Daten befindet. Weiterhin müssen Sie dafür sorgen, dass Stromausfälle, Mitarbeiterabwesenheiten oder neu in Betrieb genommene Hardware den laufenden Betrieb nicht beeinträchtigen und Ihre Daten nicht womöglich einem unkalkulierbaren Risiko aussetzen. Wenn Sie zu einem Online Services-Anbieter wechseln, fallen die oben beschriebenen Aufgaben in dessen Verantwortungsbereich. Sie müssen sich dann allerdings darauf verlassen können, dass Ihre Daten bei ihm in guten Händen sind und er seine Rechenzentren sehr gut schützt. Sicherheit mit der Business Productivity Online Suite 12

13 Carrier-Class-Rechenzentren Carrier-Class-Rechenzentren zeichnen sich durch eine hohe Verfügbarkeit mit lediglich einigen wenigen Minuten Ausfallzeit pro Jahr aus. Sie müssen, wenn dort unsere Business Productivity Online Suite bereitgestellt wird, besonders strenge Microsoft- Vorgaben an die physische Sicherheit erfüllen. Um den Status als Carrier Class zu erreichen, müssen Rechenzentren die folgenden Voraussetzungen erfüllen: Physische Gebäudesicherheit Sicherer Zugang nur für autorisierte Mitarbeiter Redundante Stromversorgung: o Zwei getrennte Stromversorgungen von unterschiedlichen Anbietern o Backup-Batterien zur Überbückung o Dieselgeneratoren (mit mehreren alternativen Treibstofflieferanten) Redundante Rechenzentrumsanbindung mit mehreren Glasfaserkabeln Raumklimatisierung für optimale Hardwarebetriebsbedingungen Falls nötig erdbebensicher ausgeführte Racks Die Hardware bestmöglich schonende Feuerschutz- und Löschsysteme Bewegungssensoren, ständig gesicherter Zugang, Kameraüberwachung und Einbruchmelder Weltweite Standorte von Rechenzentren Rechenzentren auf der ganzen Welt stellen unsere Online Services bereit, sodass jede Hosting-Lösung unabhängig vom tatsächlichen Unternehmensstandort global verfügbar ist. Sicherheit für das Rechenzentrumspersonal Zusätzliche Sicherheitsvorgaben für Rechenzentren betreffen das Betriebspersonal. Die Zugangsberechtigung wird entsprechend dem jeweiligen Aufgabenbereich definiert. Das erhöht die Sicherheit, weil der Mitarbeiterkreis, der die Anwendungen und Dienste der Kunden verwalten darf, damit minimiert wird. Die Autorisierung sieht Folgendes vor: Sicherer Zugang nur mit Dienstausweis und Chipkarte Biometrische Scanner Sicherheitspersonal vor Ort Ständige Videoüberwachung Zusätzlich müssen autorisierte Mitarbeiter eine explizite Genehmigung nachweisen, bevor sie Arbeiten in Rechenzentren durchführen. Alle Aktionen, die nicht Teil eines etablierten Prozesses oder einer definierten Prozedur sind, müssen vor der Durchführung überprüft werden. Zweistufige Authentifizierung Rechenzentren sind in der Regel unbeaufsichtigt, das heißt, es befinden sich eher selten Mitarbeiter in den Räumlichkeiten. Support und Verwaltung erfolgen überwiegend per Fernzugriff. Der Zugriff auf die Online Services-Infrastruktur erfolgt über einen mit 128 Bit verschlüsselten Kommunikationskanal und eine zweistufige Authentifizierung. Dabei erfolgt zuerst eine physische und daher äußerst fälschungssichere Authentifizierung mit einer besonders dafür geeigneten Hardware wie einer Smartcard mit einer PIN. Sicherheit beim Netzwerkdesign und -betrieb Mehrere separate Netzwerksegmente trennen die für den reibungslosen Betrieb wichtigen Backend-Server und Speichersysteme physisch von den öffentlich zugänglichen Netzwerkbereichen. Die Netzwerke, mit denen Rechenzentren unsere Online Services bereitstellen, verfügen über eine vollständige N+1-Redundanz und schützen mit ausgefeilten Failover-Methoden die vorhandene Netzwerkinfrastruktur. Sicherheit mit der Business Productivity Online Suite 13

14 Bestens geeignete Hardware Alle Server, auf denen unsere Online Services ausgeführt werden, sind vollständig redundant ausgelegt. Sie sind mit doppelten Netzwerkschnittstellen und Stromversorgungen ausgerüstet und lassen sich komplett per Fernwartung verwalten. Die Serverkonfiguration erfolgt so, dass die Online Services-Architektur mit maximaler Effizienz, Verfügbarkeit und Skalierbarkeit bereitgestellt wird. Jede Hardware lässt sich ohne Unterbrechung während des laufenden Betriebs hinzufügen oder entfernen. Der Zugriff auf die Server ist nur autorisierten Mitarbeitern über physisch gesicherte Netzwerke mit dezidierten Netzwerkverbindungen erlaubt. Spezielle Hardware In den Microsoft-Rechenzentren setzen wir Hardware ein, die speziell für den Einsatz der Online Services entworfen und konfiguriert wurde. Ähnlich wie die Software nur die tatsächlich benötigten Funktionen bereitstellt, ist die Hardware für den effizienten, effektiven und sicheren Betrieb ausgelegt. Neue Server lassen sich so schneller konfigurieren, bereitstellen und sichern, zudem werden auf diese Weise die Sicherheitsanforderungen stets eingehalten. Weitere Vorteile sind niedrigere Kosten, geringerer Stromverbrauch und reduzierter Platzbedarf. Diese sich finanziell auswirkenden Einsparungen können Dienstleister an die Online Services-Kunden weitergeben. Logische Sicherheit Die logische Sicherheit unserer Online Services schützt Software ergänzend zur physischen Sicherheit von Rechenzentren und der darin befindlichen Hardware. Wir verfolgen dabei einen ganzheitlichen Ansatz, der die Softwaresicherheit mit ausgefeilten Prozessen bewertet und Risiken minimiert. Merkmale der Microsoft Online Services Die Online Services erhöhen mit vielen Funktionen Schutz, Integrität und Verfügbarkeit Ihrer Daten. Ob vor Ort in Ihrem Unternehmensnetzwerk oder bei der Nutzung mit einer Online Services-Architektur, sie verringern potenzielle Risiken deutlich. Sicherheit bereitgestellter Anwendungen Die Anmeldung unterstützt sichere Kennwörter, sodass Anwender auf einfache Weise sicheren Zugriff auf Anwendungen erhalten. Die authentifizierte und verschlüsselte Kommunikation erleichtert es, Kommunikationsteilnehmer zu identifizieren, und verhindert die Manipulation von Nachrichten. Secure/Multipurpose Internet Mail Extensions (S/MIME) und Rights Management versehen s mit digitalen Signaturen und verschlüsseln -Inhalte. Clientseitige Blockierung von -Anhängen verhindert das Einschleusen potenziell gefährlicher Dateien per . Die eingeschränkte -Übertragung reduziert den Erhalt unerwünschter Nachrichten und von Spam. Realtime Block Lists (RBLs) und sichere Absenderlisten verhindern den Empfang unerwünschter Nachrichten von bekannten Spamversendern. Mehrstufige Virenprüfungen während des Empfangs und Versands externer und interner s und von gemeinsam genutzten Dokumenten schützen Unternehmen vor Virenattacken. Flexibel gestaltbare Richtlinien erhöhen die Sicherheit bei der Verwendung mit Mobilgeräten. (Hierzu gehören unter anderem PIN-Sperrungen und die ferngesteuerte oder lokale Geräterücksetzung.) Sicherheit mit der Business Productivity Online Suite 14

15 Die Microsoft Online Services schützen umfassend. Eine mehrstufige Sicherheitmstrategie sorgt mit verschiedenen Mechanismen, Prozeduren und Richtlinien für den hohen Schutz aller Netzwerkkomponenten. Die Infrastruktur der Microsoft Online Services Damit ein Rechenzentrum die Online Services ausführen und anbieten kann, ist dort eine Infrastruktur bestehend aus Hard- und Software sowie den Netzwerken erforderlich. Die dabei vorgegebenen und erreichten Sicherheitsziele sind im Schnitt höher als die Schutzvorkehrungen, die Unternehmen in ihren eigenen Netzwerken umsetzen. Die Infrastruktursicherheit erreichen wir mit folgenden Vorgaben: Sicherheitsoptimierte Benutzeroberflächen filtern die verfügbaren Funktionen, sodass Anwender nur die für sie autorisierten Aktionen, Links und Inhalte nutzen dürfen. Die umfassende Serverüberwachung ist in die ganzheitlich für die Online Services umgesetzte Microsoft System Center Operations Manager-Überwachungsarchitektur integriert. Der sichere Remotezugriff erfolgt mit den Windows Server 2008-Terminaldiensten. Die mehrstufige Administration erfolgt mit einem Drei-Ebenen-Modell. Dabei wird die Ausführung verschiedener administrativer Aufgaben voneinander getrennt und entsprechend der Benutzerrolle sowie den Administrationsrechten des Benutzers kontrolliert. Antiviren-Scans auf Serverebene schützen das Serverbetriebssystem. Sicherheitsüberprüfungen der Umgebung erkennen potenzielle Schwachstellen und fehlerhafte Systemkonfigurationen. Intrusion-Detection-Systeme überwachen rund um die Uhr alle Zugriffe auf die Online Services. Ausgereifte Analysemethoden werten die Zugriffsdaten laufend aus und informieren das IT-Personal sofort über verdächtige Verbindungsversuche. Sicherheitsstandards des Betriebssystems Mit besonderen Konfigurationen des verwendeten Betriebssystems schützen wir das Online Services-Angebot vor Angriffen durch Hacker oder Schadsoftware. Dabei werden nicht benötigte Dienste des Betriebssystems deaktiviert, der Zugriff auf Dateiverzeichnisse ist nur mit entsprechender Autorisierung möglich, und die Datenausführungsverhinderung (Data Execution Prevention, DEP) wird aktiviert. DEP kombiniert Hardwareund Softwaretechnologien, um den vorhandenen Speicher zusätzlich zu prüfen und die Ausführung von schädlichem Code zu verhindern. Alle Server innerhalb der Online Services-Infrastruktur werden regelmäßig mit den Sicherheitsupdates der verwendeten Software aktualisiert. Diese Updates werden immer dann ausgeführt, wenn es die Gefährlichkeit, der Umfang und die Auswirkungen der entsprechenden Sicherheitslücke erfordern. Systemverwaltung und Zugriffssteuerung Die Verwaltung der Netzwerke und der Server, mit denen die Online Services ausgeführt werden, erfolgt mit dem Active Directory -Dienst. Alle Anwendungen für die Online Services haben wir für eine effiziente und effektive Ausführung mit Active Directory entwickelt. Das IT-Personal verwaltet die Sicherheitsrichtlinien und überwacht deren Einhaltung zentral von gesicherten Servern aus. Diese haben keine weiteren Aufgaben, als die netzwerkweit eingesetzten Systeme zu überwachen und zu steuern. Durch ein delegiertes Verwaltungsmodell erhalten Administratoren immer nur die Zugriffsrechte, mit denen sie eine bestimmte Aufgabe durchführen können. Weil damit der Zugriff auf die IT- Systeme und die Funktionen nur bei tatsächlich notwendigem Bedarf erfolgt, verringert sich das Fehlerpotenzial. Neue Server lassen sich schnell und sicher konfigurieren, und eine vorlagenbasierte Serverabsicherung gewährleistet die Onlinestellung neuer Hardware mit bereits implementierten Sicherheitsmaßnahmen. Sicherheit mit der Business Productivity Online Suite 15

16 Das Netzwerk der Microsoft Online Services Die Netzwerkverbindung zwischen einem Unternehmen und den Online Services erfolgt mit Zertifikaten und dem Secure-Sockets-Layer- (SSL-) Protokoll. Die Kommunikation erfolgt mit einer 128-Bit-Verschlüsselung. Damit sind Ihre mit den Online Services genutzten Daten nicht nur in unseren Rechenzentren sicher gespeichert, sondern bereits bei der Datenübertragung während der Verwendung der Online Services bestmöglich geschützt. Für alle mit den Online Services hergestellten Verbindungen haben wir strenge Sicherheitsrichtlinien festgelegt. Mit ihnen prüfen wir eingehende Anfragen, noch bevor sie durch Filter und Firewalls hindurch in das Netzwerk gelangen. Durch die N+1-Redundanz unseres Online Services-Netzwerks entsteht ein komplettes Failover-Szenarium mit einer 99,9-prozentigen Verfügbarkeit. Firewalls und Router mit Filterfunktion Firewalls und Router mit Filterfunktion sorgen an der Grenze des Online Services- Netzwerks für eine hohe Sicherheit auf Datenpaketebene und verhindern nicht autorisierte Verbindungsversuche. Das stellt sicher, dass die tatsächlichen Inhalte der Datenpakete dem erwarteten Format und damit dem Client/Server-Kommunikationsschema entsprechen. Firewalls schränken zudem die Datenkommunikation auf bekannte und freigegebene Ports, Protokolle und Ziel-IP-Adressen ein. Auch dies bringt mehr Sicherheit, denn die Verbindung mit den Online Services beschränkt sich so lediglich auf diejenigen Ports und Protokolle, die für die Kommunikation unbedingt erforderlich sind. Schutz vor Schadsoftware Einen hohen Schutz der Business Productivity Online Suite vor bösartiger Schadsoftware erreichen wir, indem wir verschiedene Antiviren-Programme einsetzen. Alle Server innerhalb der Business Productivity Online Suite-Infrastruktur überwachen mit einer Antiviren-Software das Betriebssystem, während alle Mailserver mit Microsoft Exchange Server eine zusätzliche Antiviren-Software verwenden, die speziell s auf potenzielle Gefahren überprüft. So wehren wir auch Viren ab, die möglicherweise unbeabsichtigt mit den Daten eines Anwenders in eine Online Services-Struktur gelangen. Sicherheit mit der Business Productivity Online Suite 16

17 Erstklassige Betriebsumgebung Eine ausgereifte, erstklassige Betriebsumgebung ist einer der Schlüssel für eine hohe Grundsicherheit und Verfügbarkeit der Microsoft Online Services. Sie ist eine der Kernkompetenzen, auf die Sie unbedingt achten sollten, wenn Sie für Ihr Unternehmen einen Online Services-Anbieter auswählen. Wenn Sie Ihre eigene Software vor Ort einsetzen, machen die Administration und die Softwareaktualisierung einen großen Teil der Betriebskosten aus. Zudem benötigen Sie zur Betreuung entsprechend ausgebildetes Supportpersonal. Genau hierbei bietet Ihnen unser Online Services-Angebot einen erheblichen Mehrwert: das bewährte Fachwissen unseres Online Services-Operations-Teams. Bei allen anfallenden Aufgaben wie dem Änderungs- und Störfallmanagement und der Problemlösung arbeitet unser Operations-Team entsprechend dem Information Technology Infrastructure Library (ITIL)-Industriestandard. ITIL stellt ein Framework mit Richtlinien und bewährten Methoden für das Verwalten von Softwarediensten und - infrastrukturen bereit. Dieses haben wir mit unserem Microsoft Operations Framework (MOF) ergänzt, das Prozeduren beschreibt, mit denen wir die ITIL-Empfehlungen standardisiert implementieren. Mit MOF und den darin integrierten bewährten Methoden, Prinzipien und Aktivitäten gewährleisten Unternehmen die Zuverlässigkeit ihrer IT- Lösungen und -Dienste. Das Microsoft Operations Framework definiert Prozeduren für ein termingerechtes und Risiken reduzierendes Änderungsmanagement. Darüber hinaus definiert es einen Eskalationspfad für die Lösungssuche, der von den Kunden über die IT-Betreuer bis hin zu den Produktentwicklungsteams geht. Dienste-Ausrichtung Unternehmens- und IT- Ausrichtung Zuverlässigkeit Richtlinie Finanz-Management Ungestörter Betrieb Vorstellung Projektplanung Entwicklung Stabilisieren Einsetzen Projektplan genehmigen Betrieb Diensteüberwachung und -Steuerung Kundendienst Fehlerbehebung Wir setzen mit den Online Services das Microsoft Operations Framework ein, um die Dienste bereitzustellen und den laufenden Betrieb zu verbessern. Richtlinien und Steuerung Gesetzgebung, Risiken und Compliance Änderung und Konfiguration Zusammenführen Bereitstellung Sicherheit mit der Business Productivity Online Suite 17

18 IT-Spezialisten überwachen die Leistung des internen Netzwerks, der Online Services und der externen Webanbindung. Damit stehen die Online Services den Kunden ohne Beeinträchtigung zur Verfügung. Risiken überwachen und minimieren Um bei der Bereitstellung der Online Services Risiken zu minimieren und eine hohe Verfügbarkeit von Anwendungen und Daten zu erreichen, haben wir bedeutende Investitionen in Werkzeuge und Dienste für die Systemüberwachung getätigt. Microsoft System Center Operations Manager Alle Server in der Online Services-Infrastruktur sind so konfiguriert, dass sowohl das Betriebssystem als auch die Anwendungen mit maximaler Sicherheit ausgeführt werden. Damit entsteht eine ausgefeilte Überwachungsstruktur, mit der wir protokollieren, wie Anwendungen ausgeführt werden und ob dabei Sicherheitsrisiken auftreten. Das Online Services-Operations-Team erfasst und analysiert mit neuesten Technologien und optimierten Prozessen die eingehenden Informationen. Die Online Services-Infrastruktur überwacht mit Microsoft System Center Operations Manager den Zustand aller eingesetzten IT-Komponenten rund um die Uhr. Die Managementumgebung integriert sich hierfür nahtlos in die Online Services-Plattform und die dort verwendete Hard- und Software. Individuell konfigurierte Management Packs unterstützen die Online Services-Plattform und stellen den IT-Spezialisten sehr spezifische Informationen bereit. Mit diesen können sie Trends und ein mögliches Systemverhalten besser erkennen und frühzeitig geeignete Gegenmaßnahmen ergreifen. Die Management Packs von System Center Operations Manager überwachen interne Transaktionen, prüfen die Online Services-Nutzung mit Schwellenwertmodellen und analysieren die CPU-Auslastung durch die Online Services- Anwendungen. Integrierte Überwachung der Infrastruktur- und Internetleistung Die von System Center Operations Manager bereitgestellten Daten kombinieren wir mit Daten weiterer spezieller Anwendungen zum Erfassen, Aggregieren und Analysieren des Online Services-Netzwerks sowie des Verhaltens bestimmter Internetsites. Wenn sich beispielsweise die Verbindungsqualität verschlechtert, ermittelt unser IT-Personal, ob ein internes Problem mit einer der Online Services-Anwendungen vorliegt oder ob das Internet die Ursache dafür ist. Wie auch immer sorgen wir so dafür, dass Sie die Leistung der Business Productivity Online Suite möglichst uneingeschränkt nutzen können. Überwachung von Hardware- und Softwaresubsystemen Wir überwachen die Leistung wichtiger Subsysteme der Online Services-Plattform kontinuierlich. Für die dabei gemessenen Werte haben wir Schwellenwerte festgelegt, die für eine akzeptable Leistung und Verfügbarkeit der Online Services stehen. Wenn ein Schwellenwert erreicht wird oder ein außergewöhnliches Ereignis eintritt, generiert das Überwachungssystem Warnungen, auf die das IT-Personal reagiert. Nachfolgend einige Beispiele für solche Schwellenwerte: CPU-Auslastung Ein nicht kritischer Schwellenwert liegt bis zu einer Höhe von 80 Prozent vor. Ein kritischer Schwellenwert beginnt bei 90 Prozent CPU-Auslastung. Anwendungen Hier fließen verschiedene Messgrößen ein wie etwa Lizenzen, - beziehungsweise Postfachkapazität und Microsoft SharePoint Online. Speicherauslastung Sinkt die verfügbare Speichergröße auf 15 Prozent, erfolgt eine nicht kritische Warnung. Bei 7 Prozent wird eine kritische Warnung angezeigt. Netzwerklatenz Bis 100 Millisekunden wird eine nicht kritische Warnung angezeigt, ab 300 Millisekunden erfolgt die kritische Warnung. Protokollierung von Ereignissen und Aktivitäten Überwachung ist eine Schlüsselkomponente der Online Services-Sicherheitsstrategie. In Verbindung mit der Business Productivity Online Suite bedeutet dies: Wir erkennen Angriffe, sobald sie auftreten, und wir analysieren Ereignisse systematisch, bevor, während und nachdem sie aufgetreten sind. Sicherheit mit der Business Productivity Online Suite 18

19 Wir prüfen die Online Services- Netzwerkinfrastruktur kontinuierlich auf interne und externe Schwachstellen. Weil es Angriffe sofort erkennt, ist unser IT-Personal in der Lage, schnell darauf zu reagieren und substanzielle Schäden von den Online Services, der Infrastruktur und den Daten und Anwendungen der Kunden abzuwehren. Durch die systematische Analyse bestimmen unsere Experten zudem das Ausmaß des Angriffs. Zugriffe und Aktivitäten zu protokollieren ist sehr wichtig für die Sicherheit. Weil wir überwachen, welche Objekte erstellt und geändert werden, können wir potenzielle Sicherheitsrisiken besser nachverfolgen, Anwenderkonten besser schützen und im Fall einer Sicherheitsverletzung aufklärende Indizien liefern. Im Rahmen des Online Services- Operations-Programms überwachen und protokollieren wir die folgenden Ereignisse: Kontoanmeldungen Kontoverwaltung Verzeichniszugriffe Anmeldeereignisse Objektzugriffe Richtlinienänderungen Rechtenutzung Prozessnachverfolgung Systemereignisse Integration von Sicherheit und Betriebsumgebung Unsere Online Services werden von einer dezidierten Sicherheitsabteilung betreut. Dabei überwachen die Sicherheitsexperten die Sicherheit konstant entsprechend den von uns mit dem MOF definierten Prinzipien. Das heißt nichts anderes, als dass wir die internen Vorgänge basierend auf dem Information Technology Infrastructure Library (ITIL)-Framework strukturieren. Das Sicherheitsteam wendet die von ITIL definierten Funktionen mit den Online Services an: Änderungsmanagement Das stellt sicher, dass Ihre Daten geschützt und jederzeit verfügbar sind. Das für die Business Productivity Online Suite zuständige IT-Team befolgt die stark reglementierten ITIL-Richtlinien, wenn die Online Services-Umgebung geändert werden muss. Das macht es uns leicht, mit der zunehmenden Popularität und stetig steigenden Nutzung des Software-plus- Services-Modells Schritt zu halten. Denn wir sind dank ITIL in der Lage, diesem Wachstum entsprechend unsere Netzwerke, Serverhardware und Software jederzeit problemlos anzupassen. Vor jeder Änderung prüft unser Online Services-Sicherheitsteam, ob dadurch Ausfallzeiten oder unbeabsichtigte Konsequenzen entstehen könnten. Störfallmanagement Unser Online Services-Operations-Team erhält viele Warnungen von verschiedenen Quellen. Dazu zählen Kunden- s, Telefonanrufe sowie Anwendungen, die Systeme und Sicherheit überwachen. Wir untersuchen jede dieser Warnungen und entscheiden, ob eine Störung vorliegt. In einigen Fällen klassifizieren wir eine Warnung als Sicherheitsvorfall, den wir an unsere internen Microsoft-Supportteams eskalieren. Beeinträchtigt eine Störung die Sicherheit, arbeiten die für die Online Services zuständigen IT- Sicherheitsexperten direkt mit den Produktexperten zusammen, damit die Lösung schnell erfolgt. Lösungsmanagement Tritt eine Störung regelmäßig auf, empfiehlt es sich in vielen Fällen, die Online Services-Anwendung neu zu konfigurieren oder dem Microsoft-Produktteam eine neue Funktion vorzuschlagen. Unser für die Online Services zuständiges IT-Sicherheitspersonal unterstützt Sie bei der Konfiguration, Änderung oder Prüfung der jeweiligen Online Services-Anwendung oder Produktänderung. Personenbezogene Aufgaben Für unsere Online Services setzen wir Personal ein, dessen Aufgabenbereiche strikt voneinander getrennt sind und das dementsprechend für die Entwicklung, die Bereitstellung und den Betrieb zuständig ist. Dies umfasst getrennte Berechtigungen für den Zugriff auf den Quell-code, auf die Serverinfrastruktur und auf die Produktionsumgebung. Sicherheit mit der Business Productivity Online Suite 19