Foto: Microsoft
"Den Grundstein für Microsofts Sicherheitsstrategie bilden die hauseigenen Produkte wie zum Beispiel die Forefront Reihe", erklärt Maria Wastlschmid, Product Marketing Manager von Microsoft. Deren Funktionen werden in ein strategisches Konzept eingebettet, so dass ein ganzheitlicher Sicherheitsansatz entstehen soll. Unter dem Stichwort "Business Ready Security" fasst der Hersteller sämtliche Maßnahmen zusammen, die aktuelle Herausforderungen der IT absichern sollen. Dazu gehört beispielsweise internationale Zusammenarbeit, neue Technologien wie Cloud Computing oder auch Trends wie "Bring Your Own Device". Dabei sollen heterogene Umgebungen, die sich aus den verschieden Produkten ergeben, in eine zentrale Verwaltung von Microsoft einbetten lassen.
In der Cloud bietet Microsoft Infrastructure as a Service (IaaS), Platform as a Service (PaaS) und Software as a Service (SaaS). Im SaaS-Bereich ist beispielsweise Microsofts Office-Produktreihe aus der Cloud angesiedelt. Auf technischer Ebene ist Sicherheit mit der Forefront Produktreihe realisiert. Die neun Forefront-Produkte bieten Endpunktsicherheit, Netzwerksicherheit und Informationsschutz.
Ein Vorteil von Microsofts Ansatz liegt darin, dass sämtlicher Datenverkehr zuerst durch Microsofts Sicherheitsbollwerk geschleust wird, bevor er ins Unternehmensnetzwerk gelangt. Dabei verschlüsselt das Unified Access Gateway die Daten auf dem Weg in die Cloud, wodurch sie von Dritten nicht gelesen werden können. Die Berechtigung zum Speichern in der Cloud erteilt der Identity Manager und Rights Management ermöglicht, dass Daten unabhängig vom Ort verschlüsselt abgelegt werden können.
Microsoft bietet auch die Möglichkeit an, Prozesse direkt auf die Bedürfnisse von Kunden abzustimmen. Das Projekt Information Vault wurde beispielsweise auf einen Automobilhersteller zuschnitten. Dabei wurden Daten gleichsam in einen Container gesperrt, dessen Schlüssel nur bestimmte Personen bekamen, also auf einer Whitelist vermerkt wurden. Nur jene konnten die Daten öffnen, bearbeiten und wieder im Container ablegen. Das Drucken oder Ablegen auf eigenen Datenträgern war nicht möglich. Ein Abfotografieren der sensiblen CAD-Dokumente wurde durch ein Wasserzeichen verhindert.
Sicherheit in der Cloud
Foto: Microsoft
Um sicheres Cloud Computing zu ermöglichen sind zwei Punkte von Bedeutung. Diese sind in Microsofts Risiko-Management-Programm verankert. Zum einen müssen die Daten sicher und zum anderen müssen sie Compliance-Anforderungen genügen. Wichtige Punkte hinsichtlich der Datensicherheit sind unter anderem Einhaltung des Datenschutzes und Service Continuity. Das bedeutet dass die Daten ausfallsicher zur Verfügung stehen.
"Wir verschlüsseln die Daten unserer Kunden, die in unseren Rechenzentren liegen, nicht", sagt Michael Kranawetter, Chief Security Advisor von Microsoft. Dadurch will Microsoft Funktionalitätseinschränkungen vorbeugen. Das könnte zum Beispiel Suchvorgänge innerhalb Office-Dokumenten betreffen. Wer nicht will, dass Microsoft mitliest, kann seine Daten mit Active Directory Rights Management Services (RMS) schützen. Sensible Daten in E-Mails lassen sich via S/MIME verschlüsseln. Microsoft überlässt hier gezielt dem User die Verantwortung.
Foto: Microsoft
Die Daten in Microsofts Rechenzentren sind in ein Security-Programm eingebettet, das aus vielschichtigen Schutzmechanismen besteht. Das beginnt beim Gebäude selbst, das durch Videoüberwachung, Zugriffskontrolle und Biometrie gesichert ist. Danach folgt Absicherung des inneren und äußeren Netzwerks. Die Hosts werden überwacht und stets mit den neuesten Patches ausgestattet. Applikationen sind in einen sicheren Entwicklungszyklus eingebettet (SDL). Die einzelnen User werden geschult und ihre Konten verwaltet. Schliesslich müssen die einzelnen Daten einer Integritätsprüfung standhalten.
"State-of-the-Art-Rechenzentren"
Microsoft verwendet nur Rechenzentren auf dem neuesten Stand der Technik, die zudem ISO-27001-zertifiziert sind. Kunden können die Standorte der primären Server selbst wählen. Einen sekundären Server weist Microsoft zu. Dessen Standort wird aber transparent in den Policies dargelegt.
"So entsteht eine Kombination aus Framework und Zertifizierung, die ein Mittelständler nicht leisten kann", führt Kranawetter aus. Die Cloud-Dienstleistungen sind in ein Kontinuitätsmanagement eingebunden. Das bedeutet, wenn Probleme auftreten, versucht Microsoft diese zu lösen und integriert die Lösung sogleich in den Cloud-Service. Auf diese Weise soll der Service besser und besser werden.