Für große Unternehmen mit entsprechender IT-Infrastruktur stellt es in der Regel kein Problem dar, einen Server mit Office-Anwendungen aufzusetzen. Im Umfeld kleinerer Firmen, von Freiberuflern und Bürogemeinschaften greifen die meisten Anwender jedoch zumeist auf die Installation einzelner Office-Produkte auf verschiedenen Rechner zurück. Sie tauschen Dateien via E-Mail oder Online-Speicher-Lösungen wie Dropbox aus. Das ist weder kostengünstig noch flexibel oder sicher. Auch für die problemlose Zusammenarbeit ist ein solcher Weg nicht ideal. Für diese Anwendergruppe bietet sich daher der Wechsel auf eines der Online-Angebote an, bei denen die Office-Funktionalitäten als Dienstleistung über das Netz bereitgestellt werden.
Fünf Gründe für den Einsatz eines Online-Office
Sinkender Administrationsaufwand: Ein Aspekt für kleine Unternehmen und Anwendergruppen aus dem SOHO-Bereich ist die Tatsache, dass beim Einsatz einer Cloud-Office-Lösung immer die aktuellste Version zur Verfügung steht. Um Updates, Patches oder Neuinstallation muss sich daher niemand kümmern.
Zusammenarbeit wird erleichtert: Durch die gemeinsame Dateiablage und die Möglichkeit, auch zusammen an Dokumenten zu arbeiten, können Team-Projekte häufig schneller und effizienter abgewickelt werden. Das lästige Verschicken der Dokumente per E-Mail entfällt im Idealfall vollständig.
Mobiler Zugriff: Mitarbeiter, die nicht immer in der Firma sind oder auch Freiberufler, die refelmäßig unterwegs sind, können von fast überall direkt auf ihr Office zugreifen. Eine Möglichkeit, die bei einem lokal installierten System nur mit großem administrativem Aufwand zu realisieren ist.
Keine Vorortinstallation notwendig: Durch die Verwendung von Web-Apps können Anwender Dokumenten und Nachrichten auch direkt im Browser und damit relativ unabhängig von der vorhandenen Plattform bearbeiten. Die Installation einer Software vor Ort auf dem System der Nutzer mit all ihren Problemen und Fehlerquellen kann im Zweifelsfall einfach entfallen.
Ältere Hard- und Software kann weiter verwendet werden: Früher galt für Administratoren häufig die Regel, dass mit einer neuen Office-Version auch die Arbeitsplätze aufgerüstet werden mussten. Beim Einsatz einer Office-Anwendung aus der Cloud kann auch ältere Hardware weiter zum Einsatz kommen, solange die Verbindung zum Internet entsprechend schnell und stabil ist.
Fünf Gründe gegen den Einsatz eines Online-Office
Datenschutz: Unternehmen, die mit sicherheitsrelevanten oder persönlichen Daten ihrer Kunden arbeiten, dürfen schon aus datenschutzrechtlichen Gründen ihre Kommunikation nicht außerhalb der eigenen Firma betreiben. Das gilt sowohl für Dokumente als auch die E-Mail-Kommunikation.
Daten nicht vor Ort: Auch beim Einsatz eines Online-Office sehen sich Anwender und Firmen mit den üblichen Problemen beim Einsatz von Cloud-Technologie konfrontiert. Die Daten liegen auf dem Server eines Providers, von dem die Sicherheit und Unversehrtheit der eigenen Daten abhängig ist. Amerikanische Firmen sind zum Beispiel bei Server-Standorten innerhalb Europas dennoch amerikanischen Gesetzen verpflichtet. Hier kann nur die Wahl eines Providers helfen, der die Daten in einem sicheren (deutschen) Rechenzentrum speichert - obwohl nach den jüngsten Ereignissen rund um die Überwachung durch die NSA auch bei der Sicherheit und Vertraulichkeit dieser Daten durchaus Zweifel bestehen.
Inhouse-Kommunikation nur mit Aufwand: Viele der Firmen, die mit persönlichen und/oder sicherheitsrelevanten Daten arbeiten, müssen häufig sicherstellen, dass alle Kommunikationswege komplett "inhouse" ablaufen. Hinzu kommt die Forderung, dass bestimmte Mitarbeiter nur intern kommunizieren dürfen. Hier bleibt häufig nur die Möglichkeit, diese Mitarbeiter von der Arbeit mit dem Online-Office auszuschließen, was wiederum die Zusammenarbeit erschwert.
Internet-Verbindung als Schwachpunkt: Wer ein Online-Office verwendet, muss einen verlässlichen Zugang zum Internet besitzen. Anwender, die nicht auf ihre Daten in der Cloud zugreifen können, sind nicht in der Lage ihre Arbeit zu machen. Wer sichergehen will, muss im Zweifelsfall noch einen Backup-Lösung vor Ort samt einer lokalen Kopie der wichtigsten Daten besitzen. Zudem sollte der Anschluss auch eine entsprechende Performance aufweisen. Damit ist der ausschließliche Einsatz einer Office-Lösung aus der Cloud für viele Anwender und Firmen in ländlichen Bereichen nicht sinnvoll beziehungsweise unmöglich.
Verwaltung/Einrichtung/Migration: Während es bei einem Freiberufler oder einer kleinen Arbeitsgemeinschaft noch recht einfach ist, diese auf ein Online-Office umzustellen, ist schon bei der Migration eines zehnköpfigen Teams Fachwissen gefragt. Auch wenn die Anbieter solcher Lösungen damit werben, dass es mit der Anmeldung getan ist: Wer Speicherung und Verwaltung seiner Dokumente sowie die Kollaboration innerhalb seines Teams in das Cloud-Office verlagert, sollte sowohl Migrationszeit als auch eine Trainings- und Eingewöhnungsphase einplanen. Das gilt besonders, wenn komplexere Anwendungen und Techniken wie SharePoint und Lync verwendet werden oder ein bestehender Verzeichnisdienst wie Active Directory den Wechsel mitvollziehen soll.
Zum Video: Sicherheitsfragen am Beispiel von Office 365
Im Video: Office 365 im Unternehmen - Administratorrechte
Microsoft Office 365: Cloud-Probleme, Hosting und Sicherheit
Mit Office 365 bietet Microsoft die hauseigenen Office-Lösungen auch als Cloud-Versionen an. Wer schon mit bekannten Office-Programmen wie Word und Excel gearbeitet hat, wird es zu schätzen wissen, dass damit die gewohnten Programme als Cloud-Versionen zur Verfügung stehen. Im Zusammenhang mit Exchange-, SharePoint- und Lync existieren zudem Kommunikations- und Kollaborations-Möglichkeiten rund um die Anwendungen aus Redmond.
Wer sich dazu entscheidet, einen der sogenannten Pläne für den Geschäftseinsatz direkt bei Microsoft zu erwerben, dessen Daten werden auf einem Microsoft-Server innerhalb der EU gelagert. Nach Angaben von Microsofts Trustcenter ist das ein Server in einem Rechenzentrum in Irland. Zudem wirbt der Anbieter auf seinen Seiten damit, dass man nicht nur die sogenannte EU-Safe-Harbour-Zertifizierung anbiete, sondern zusätzlich auch die Standardvertragsklauseln der Europäischen Union (EU Model Clauses) unterstütze.
Diese Versicherungen sind aber wenig wert, da amerikanische Firmen wie Microsoft nach dem Patriot Act immer noch dazu verpflichtet sind, Daten von Servern in der EU an amerikanische Behörden weiterzugeben. So gilt weiterhin die Aussage, die Gordon Frazor, Managing Director bei Microsoft, bereits bei der Einführung von Office 365 machte: Microsoft kann nicht garantieren, dass Daten, die innerhalb der EU gespeichert sind, nicht an US-Behörden herausgegeben werden. Auch eine Garantie, dass betroffene Kunden in solchen Fällen über die Herausgabe informiert würden, wollte der Microsoft-Manager nicht geben.
Wer denkt, seine Daten seien vor amerikanischen Dienste sicherer, wenn er sein Paket von Office 365 bei einem deutschen Anbieter wie der Telekom Cloud bucht, wird enttäuscht: Die Telekom warnt ebenfalls auf ihrer Website unter dem Eintrag "Rechtliche Hinweise", dass Office 365 und die dazugehörende IT-Infrastruktur in Rechenzentren außerhalb von Deutschland, der EU und der Schweiz betrieben wird.
Die Sicherheit hinter Office 365
Für Anwender, deren Interesse sich nicht so stark auf die Sicherheitsprobleme rund um das Hosting konzentriert, bleibt noch die Frage, wie es um die weiteren Sicherheitsfeatures bei Office 365 bestellt ist. Microsoft selbst unterteilt die Sicherheit bei einer Office-365-Installation in drei Bereiche:
die in Office-365 integrieren Sicherheitsfeatures,
Sicherheitsfeatures, die der Kontrolle des Anwenders unterliegen und
Compliance und Sicherheitsverifikationen von unabhängigen Stellen.
Zu den integrierten Merkmalen zählt Microsoft vor allem technische Sicherheitsmaßnahmen, die in den eigenen Rechenzentren getroffen werden: Dort kommt unter anderem Hardware zum Einsatz, die täglich 24 Stunden konstant überwacht wird. Die Rechenzentren selber unterliegen einer Sicherheits- und Zugangskontrolle über mehrere Stufen hinweg. Wie bei modernen Rechenzentren üblich, sind Schutzmaßnahmen gegen Feuer, Erdbeben und andere Naturkatastrophen vorhanden.
Auch die Zugriffe des Personals in den Rechenzentren werden genau kontrolliert. Microsoft setzt dazu eine Technik der rollenbasierten Zugangskontrolle (RBAC - Roll-Based Access Control) ein, wodurch unter anderem verhindert werden soll, dass die Systemtechniker unabsichtlich Änderungen vornehmen, wenn sie auf die Server zugreifen.
Isolation der Daten und Verschlüsselung der Mail
Die Daten der Kunden werden auf den Servern isoliert gespeichert: Office 365 wird als Multi-Tenant-Dienst betrieben. Dabei werden zwar die Daten auf der gleichen Hardware abgelegt, sind aber gegeneinander abgeschirmt. Laut Microsoft wird diese Isolation der Daten unter anderem durch die Möglichkeiten und die grundsätzliche Struktur des Verzeichnisdienstes Active Directory (AD) erreicht. Anwender, denen diese durch Software gestützte Trennung nicht ausreicht, können gegen Aufpreis ihre Office-365-Installation auch auf dedizierter Hardware im Microsoft Rechenzentrum betreiben lassen.
Was die Verschlüsselung angeht, so weist Microsoft darauf hin, dass alle E-Mail-Inhalte unter Office 365 auf Festplatten abgelegt werden, die mit der 256-Bit AES-Verschlüsselung von Bitlocker arbeiten. Dies gilt für alle Daten eines Exchange Mail-Servers, so unter anderem auch für Transaction-Log-Dateien und die Daten für den Suchindex. Anwender, die ihre Office-Daten verschlüsselt ablegen wollen, müssen selbst für diese Sicherheitsmaßnahme sorgen.
Zum Video: Sicherheitsfragen am Beispiel von Office 365
Im Video: Office 365 im Unternehmen - Lync-Besprechung vorbereiten
Zugriff und Authentifizierung
Zu den Sicherheitsfeatures, die Office-365-Kunden selbst einstellen und wählen können, zählt unter anderem die Möglichkeit, die Active Directory Rights Management Services (AD RMS - Active Directoy-Rechteverwaltungsdienste) einzusetzen. Mit Hilfe dieser Dienste können die Zugriffe auf Daten granularer geregelt und kontrolliert werden. Geht es um die Authentifizierung der Anwender, können Administratoren sowohl auf ihre lokale Installation von Active Directory als auch auf Microsofts Online-Version Azure Active Directory zurückgreifen.
Weitere Authentifizierungsmechanismen, die Administratoren mit Office 365 einsetzen können:
Zwei-Faktor-Authentifizierung,
Client-basierte Zugriffskontrolle - damit könne Firmen festlegen, wie die Nutzer von bestimmten Geräten oder von verschiedenen Orten aus auf Office 365 zugreifen dürfen (beispielsweise bei Verwendung eines öffentlichen WLANs) und
Rollen-basierte Zugriffskontrolle - legt dediziert fest, wer in welchen Funktion, welche Rechte besitzt.
Schutz vor Spam und Malware in Office 365
Wie jeder Exchange-Server arbeitet auch der Mail-Dienst von Office 365 mit einem sogenannten Spam Confidence Level (SCL), mit dessen Hilfe die eingehenden Nachrichten eine Bewertung erhalten. Entsprechend dieser Bewertung werden dann Nachrichten mit einem hohen Level in den Junk-Mail-Ordner des jeweiligen Anwenders geleitet. Administratoren können zudem erweiterte Option für die Behandlung von Junk-Mail und die Verwaltung von White- und Blacklists für die Absender in ihrem Administrationscenter unter Office 365 kontrollieren. Unternehmen, die Office 365 einsetzen, können aber auch andere eigene Lösungen zum Schutz von Malware einsetzen, indem sie die Office-365-Anwendungen und -Nachrichten beispielweise über den Dienst eines Drittanbieters routen. Grundsätzlich lassen sich bestimmte Dateitypen, die schadhaften Code beinhalten könnten, anhand der Dateinamenerweiterung von Office 365 blocken, so dass diese Dateien nicht auf die Server gelangen. An dieser Stelle sind Anwender aber gut beraten, weitere Schutzmaßnahmen zu ergreifen.
Schließlich muss noch erwähnt werden, dass die Dienste von Office 365 auf Basis von ISO 27001 entwickelt wurde. Diese internationale Norm legt unter anderem Kriterien für Einführung und Betrieb eines Managementsystems für Informationssicherheit unter Berücksichtigung der IT-Risiken fest.
Fazit: Grundsätzlich sicher, aber….
Wir haben uns die technischen Daten von Office 365 angeschaut sowie einige Testinstallationen überprüft beziehungsweise selbst im Testlabor durchprobiert. Vom technischen Standpunkt aus bietet Microsoft mit dieser Lösung alle Sicherheitsmaßnahmen, die heute aktuell gefordert sind.
Wären da nicht die Begehrlichkeiten der amerikanischen Regierung und ihrer Nachrichtendienste, möglichst alle Daten auch der europäischen Anwender im Griff zu behalten, so könnten wir für diese Lösung sicher eine Empfehlung aussprechen. Jeder Anwender muss aber selbst entscheiden, wie weit er seine Daten einem solchen Dienst anvertrauen möchte. Grundsätzlich bietet Office 365 alle Optionen, die Firmen und Anwender in der modernen Bürokommunikation benötigen. Wer fortgeschrittene Features wie beispielsweise Authentifizierung mittels Active Directory nutzen möchte, wird auch hier das Fachwissen eines Windows-Administrators brauchen, damit die Migration ins Online-Office ohne Probleme gelingt.