NGO Tag - Sicherheit und Datenschutz in der Cloud Microsoft Deutschland GmbH Unter den Linden 17, Berlin

Transkript

1 NGO Tag - Sicherheit und Datenschutz in der Cloud Microsoft Deutschland GmbH Unter den Linden 17, Berlin Michael Kranawetter Head of Information Security Chief Security Advisor Microsoft Deutschland GmbH

2 Cloud Computing nicht erst seit gestern.. 1 Milliarde Kunden, 20 Millionen Firmen, in über 76 Ländern Investition von ca. 15 Milliarden in Infrastruktur (Gebäude & Technik) 9 Milliarden in Forschung und Entwicklung 200+ CLOUD SERVICES PC Phone TV

3 Informations-Sicherheit bei Microsoft Sicherheit ist (für uns) nicht nur ein Produkt oder Service, sondern ein ganzheitlicher Ansatz. Schutz gegen Bedrohungen Angriffe feststellen wenn sie passieren Angriffsziele u. Angreifer isolieren angepasst reagieren Menschen Prozesse Technologie

4 Die Microsoft Selbstverpflichtung Alle Microsoft Produkte und Services sind auf Basis von Sicherheits- und Datenschutz-Grundprinzipien erstellt. Microsoft s Cloud Angebote sind zuverlässig und so gebaut, dass auch sensible Informationen einzelner Konsumenten und von ganzen Organisationen geschützt werden können, nachgewiesen durch Zertifikate. Microsoft mobilisiert eine signifikante Anzahl an Ressourcen auch um schnell, umfassend und effektiv reagieren zu können, wenn etwas unerwartetes eintritt. Schutz Compliance Reaktion

5 Drei Säulen der vertrauenswürdigen Nutzung von Computern Sicherheit Vertraulichkeit Integrität Verfügbarkeit Datenschutz Schutz der Privatsphäre und personenbezogener Daten Zuverlässigkeit Engineering Excellence Service Kontinuität Wiederherstellung und Reaktion

6 Grundprinzipien für die Informations-Sicherheit Nicht autorisierten physischen Zugriff auf Geräte verhindern Verschlüsseln von Daten über das Netzwerk & Lokal Dienste voneinander trennen; mit virtuelle LANs auf Netzwerkebene (VLANs), Zugriffssteuerungslisten (ACLs) und Firewalls Logische Zugriffskontrolle auf Servern, Datenbanken und Dateifreigaben nur für diejenigen, die eine legitimen Berechtigung haben Einsatz von immer aktueller Antivirus-Software Sicherstellung, dass alle Systeme immer die definierten Basis- Richtlinien erfüllen; für das Betriebssystem, die installierte Software, Softwareupdates und alle Konfigurationseinstellungen Etablierung eines kontinuierlich getesteten und entsprechend mit Personal besetztem Sicherheits-Reaktions-Prozesses

7 Grundprinzipien für den Datenschutz Microsoft baut starken Datenschutz in seine Cloud-Angebote ein und verwaltet Daten der Kunden bei der Speicherung und Verarbeitung verantwortungsvoll Microsoft ist transparent welche Informationen gesammelt werden, wie diese verwendet werden und bietet Kunden Auswahlmöglichkeiten, was mit ihre Informationen geschehen kann, damit Kunden informiert entscheiden können Microsoft beschreibt und dokumentiert eindeutig welche Schritte das Unternehmen unternimmt um Informationen auszuwerten, zu überwachen und Datenschutz-Risiken zu minimieren Microsoft-Mitarbeiter und Partner werden verpflichtet verantwortungsvoll und im Sinne der Sicherheit, des Datenschutz und der Privatsphäre mit Daten umzugehen, Verstöße werden schwer geahndet

8 Grundprinzipien der Zuverlässigkeit Während des Software-Lebenszyklus, von der Idee für neu Software und Dienstleistungen über die Entwicklung, Bereitstellung, Betrieb und den Support werden erprobte und etablierte Praktiken angewendet und dokumentiert Entwickler werden trainiert fehlertolerante, die Datenintegrität wahrende und sich selbst heilende Produkte zu kreieren Innovative Entwicklungs-Werkzeuge und Technologien zur Verbesserung der Qualität zu erstellen und weiter zu pflegen Kontinuierlich Verbesserung der Prozesse und der Verantwortlichkeit für alle Rollen, die bei der Entwicklung und den Betrieb von Microsoft-Software und Dienstleistungen beteiligt sind 24/7 Überwachung der Qualität der Prozesse und Dienste der Microsoft-Cloud-Umgebung und sofortige Reaktion auf Sicherheitsvorfälle

9 Anwender sollen Risiken kennen Cloud Computing Social Networking APTs Informations-Sicherheit ist eine Risiko- Management Disziplin. Mobile Computing Sicherheitsrisiken müssen erkannt, priorisiert und adressiert werden, proaktiv. Cloud Risiken sind auch nur Risiken. Informations-Sicherheit ist nicht nur ein Thema für die Cloud Es geht um ganzheitliche Informations- Sicherheit Insider/ Cyber Threat Enterprise Correlation Regulatory Virtualization

10 Neuralgische Punkte für den Informations-Schutz Schutz auf dem Client Schutz zu und zwischen Cloud Diensten Schutz der Daten im RZ Verarbeitung Speicherung Ende zu Ende Schutz

11 Verantwortlichkeiten in der Cloud

12 Infrastruktur & Informationsschutz Managed Unmanaged Einheitliche, angepasste, Ende-zu-Ende Sicherheits-Architektur, verwaltete Infrastruktur Schutz der Information, basierend auf dem Schutzbedarf, Informationszentrisch Schutz Schutz der Infrastruktur Cloud Betreiber Schutz der Clients Anwender oder Bereitsteller Schutz der Information einheitlich durch Cloud Betreiber risikobasiert durch Besitzer (zb RMS) -> Informations-Management und Lebenszyklus

13 Defense-in-Depth, Verteidigungsschichten Zutritt Netzwerk Identität und Zugriff Host Security Anwendungen Daten

14 Aktives Engagement gegen Kompromittierungen Neben den technischen und organisatorischen Maßnahmen arbeitet Microsoft auch an: der Forderung nach mehr Transparenz über Datenabfragen durch jegliche Regierungenstellen dem Einsatz von starker Verschlüsselung und sicherer Code Entwicklung (SDL) dem weiteren Ausbau von unabhängigen Code Prüfungen durch Dritte dem Kampf gegen Cybercrimeund der Unterbrechung von Attacken

15 Details online einsehbar Trustcenter

16 Zusammenfassung für CloudAnwender Security Best-in-class Informations-Sicherheit basierend auf jahrelanger Erfahrung in der Erstellung von Enterprise Software & Online Diensten Physische und logische Sicherheit vom Zutritt über Zugang und Zugriff bis zur Verschlüsselung Angewandte Sicherheits best practices wie Pentesting, Defense-in-depth und Schutz vor Cyber-threats Compliance Benutzergesteuerter Schutz über Maßnahmen wie Rights Management Services Umsetzung und Einhaltung von Industrie Standards und intern definierten Anforderungen Beleg durch Zertifizierungen wie ISO 27001, SAS 70/SSAE/SOC 1/ISAE 3402, EUMC usw.. Vertragliche Zusagen zur Einhaltung der Datenschutzbestimmung im Sinne der Auftragsdatenverarbeitung Bereitstellung von administrativen Maßnahmen zur Unterstützung von Data Loss Prevention, Legal Hold, E-Discovery und anderen Anforderungen zur Umsetzung von Compliance Anforderunegen Privacy Datenschutz by design mit der Zusage Daten nur im Rahmen der gekauften Dienstleistung zu Nutzen Keine Auswertung der Kundendaten & Informationen zu Werbezwecken Transparenz über Speicherort der Kundendaten, sowie Nachvollziehbarkeit jeglicher Zugriffe (Audit Trail) Datenschutz Maßnahmen zur Steuerung des Zugriffs auf Sites, Libraries, Ordner und Kommunikation zu Dritten

17