Office-Lösung aus der Cloud

Sicherheitsfragen am Beispiel von Office 365

06.08.2013
Von  und
Thomas Bär, der seit Ende der neunziger Jahre in der IT tätig ist, bringt weit reichende Erfahrungen bei der Einführung und Umsetzung von IT-Prozessen im Gesundheitswesen mit. Dieses in der Praxis gewonnene Wissen hat er seit Anfang 2000 in zahlreichen Publikationen als Fachjournalist in einer großen Zahl von Artikeln umgesetzt. Er lebt und arbeitet in Günzburg.
Frank-Michael Schlede arbeitet seit den achtziger Jahren in der IT und ist seit 1990 als Trainer und Fachjournalist tätig. Nach unterschiedlichen Tätigkeiten als Redakteur und Chefredakteur in verschiedenen Verlagen arbeitet er seit Ende 2009 als freier IT-Journalist für verschiedene Online- und Print-Publikationen. Er lebt und arbeitet in Pfaffenhofen an der Ilm.

Microsoft Office 365: Cloud-Probleme, Hosting und Sicherheit

Mit Office 365 bietet Microsoft die hauseigenen Office-Lösungen auch als Cloud-Versionen an. Wer schon mit bekannten Office-Programmen wie Word und Excel gearbeitet hat, wird es zu schätzen wissen, dass damit die gewohnten Programme als Cloud-Versionen zur Verfügung stehen. Im Zusammenhang mit Exchange-, SharePoint- und Lync existieren zudem Kommunikations- und Kollaborations-Möglichkeiten rund um die Anwendungen aus Redmond.

Wer sich dazu entscheidet, einen der sogenannten Pläne für den Geschäftseinsatz direkt bei Microsoft zu erwerben, dessen Daten werden auf einem Microsoft-Server innerhalb der EU gelagert. Nach Angaben von Microsofts Trustcenter ist das ein Server in einem Rechenzentrum in Irland. Zudem wirbt der Anbieter auf seinen Seiten damit, dass man nicht nur die sogenannte EU-Safe-Harbour-Zertifizierung anbiete, sondern zusätzlich auch die Standardvertragsklauseln der Europäischen Union (EU Model Clauses) unterstütze.

Diese Versicherungen sind aber wenig wert, da amerikanische Firmen wie Microsoft nach dem Patriot Act immer noch dazu verpflichtet sind, Daten von Servern in der EU an amerikanische Behörden weiterzugeben. So gilt weiterhin die Aussage, die Gordon Frazor, Managing Director bei Microsoft, bereits bei der Einführung von Office 365 machte: Microsoft kann nicht garantieren, dass Daten, die innerhalb der EU gespeichert sind, nicht an US-Behörden herausgegeben werden. Auch eine Garantie, dass betroffene Kunden in solchen Fällen über die Herausgabe informiert würden, wollte der Microsoft-Manager nicht geben.

Wer denkt, seine Daten seien vor amerikanischen Dienste sicherer, wenn er sein Paket von Office 365 bei einem deutschen Anbieter wie der Telekom Cloud bucht, wird enttäuscht: Die Telekom warnt ebenfalls auf ihrer Website unter dem Eintrag "Rechtliche Hinweise", dass Office 365 und die dazugehörende IT-Infrastruktur in Rechenzentren außerhalb von Deutschland, der EU und der Schweiz betrieben wird.

Die Sicherheit hinter Office 365

Für Anwender, deren Interesse sich nicht so stark auf die Sicherheitsprobleme rund um das Hosting konzentriert, bleibt noch die Frage, wie es um die weiteren Sicherheitsfeatures bei Office 365 bestellt ist. Microsoft selbst unterteilt die Sicherheit bei einer Office-365-Installation in drei Bereiche:

  • die in Office-365 integrieren Sicherheitsfeatures,

  • Sicherheitsfeatures, die der Kontrolle des Anwenders unterliegen und

  • Compliance und Sicherheitsverifikationen von unabhängigen Stellen.

Zu den integrierten Merkmalen zählt Microsoft vor allem technische Sicherheitsmaßnahmen, die in den eigenen Rechenzentren getroffen werden: Dort kommt unter anderem Hardware zum Einsatz, die täglich 24 Stunden konstant überwacht wird. Die Rechenzentren selber unterliegen einer Sicherheits- und Zugangskontrolle über mehrere Stufen hinweg. Wie bei modernen Rechenzentren üblich, sind Schutzmaßnahmen gegen Feuer, Erdbeben und andere Naturkatastrophen vorhanden.

Auch die Zugriffe des Personals in den Rechenzentren werden genau kontrolliert. Microsoft setzt dazu eine Technik der rollenbasierten Zugangskontrolle (RBAC - Roll-Based Access Control) ein, wodurch unter anderem verhindert werden soll, dass die Systemtechniker unabsichtlich Änderungen vornehmen, wenn sie auf die Server zugreifen.

Isolation der Daten und Verschlüsselung der Mail

Die Daten der Kunden werden auf den Servern isoliert gespeichert: Office 365 wird als Multi-Tenant-Dienst betrieben. Dabei werden zwar die Daten auf der gleichen Hardware abgelegt, sind aber gegeneinander abgeschirmt. Laut Microsoft wird diese Isolation der Daten unter anderem durch die Möglichkeiten und die grundsätzliche Struktur des Verzeichnisdienstes Active Directory (AD) erreicht. Anwender, denen diese durch Software gestützte Trennung nicht ausreicht, können gegen Aufpreis ihre Office-365-Installation auch auf dedizierter Hardware im Microsoft Rechenzentrum betreiben lassen.

Was die Verschlüsselung angeht, so weist Microsoft darauf hin, dass alle E-Mail-Inhalte unter Office 365 auf Festplatten abgelegt werden, die mit der 256-Bit AES-Verschlüsselung von Bitlocker arbeiten. Dies gilt für alle Daten eines Exchange Mail-Servers, so unter anderem auch für Transaction-Log-Dateien und die Daten für den Suchindex. Anwender, die ihre Office-Daten verschlüsselt ablegen wollen, müssen selbst für diese Sicherheitsmaßnahme sorgen.

Im Video: Office 365 im Unternehmen - Lync-Besprechung vorbereiten