Inhalt

The Cloud – Public, Private, oder gar nicht?

Dass Cloud nicht nur ein Hype-Thema ist, sondern die IT-Infrastrukturen der nächsten Dekaden bestimmen wird, ist heißdiskutiert. Stellvertretend für viele andere Studien habe ich hier die Experton Group mit einer von vielen Aussagen dazu:

„Cloud Computing“ steht für einen Pool aus abstrahierter, hochskalierbarer und verwalteter IT-Infrastruktur, die Kundenanwendungen vorhält und falls erforderlich nach Gebrauch abgerechnet werden kann. (Quelle: Forrester Research)

„Cloud Computing“ umfasst On-Demand-Infrastruktur (Rechner, Speicher, Netze) und On-Demand-Software (Betriebssysteme, Anwendungen, Middleware, Management- und Entwicklungs-Tools), die jeweils dynamisch an die Erfordernisse von Geschäftsprozessen angepasst werden. Dazu gehört auch die Fähigkeit, komplette Prozesse zu betreiben und zu managen. (Quelle: Saugatuck Technology)

The Cloud, die Wolke, steht derzeit als Synonym für ein Rechenzentrum im Internet („Öffentliche Wolke“). Das „Gegenteil“ ist der Begriff „On Premise“, also ein eigenes Rechenzentrum im eigenen Unternehmen.

Was ist aber dann der Unterschied zwischen einer On Premise-Installation und einer Private Cloud?
Wenn man das eigene Rechenzentrum und die eigene IT-Abteilung als Lieferant von skalierbaren Diensten versteht und auch dort die Software nach Bedarf liefert, wird eine On Premise Installation zur Private Cloud. Dh. auch das eigene RZ geht in Richtung Dynamische Bereitstellung von Diensten. Hierfür muss das Cloud-System mandantenfähig sein, und eine Abrechnung des Verbrauchs für unterschiedliche Kostenstellen, z.B. Abteilungen erlauben und auch das Anforderung neuer Ressourcen einfach umsetzbar machen für diese Mandanten. Dazu gibt es z.B. Self Service Portale (bei Microsoft kommt dieses für den System Center Virtual Machine Manager kostenfrei). Die Daten liegen in der Private Cloud in der Hand und Verantwortung des Unternehmens (auch die Security) und sind nicht outgesourced.

Übrigens gibt es auch den Begriff „Hybrid Cloud“: Ein Unternehmen betreibt eine eigene „Private Cloud“ und nutzt eine „Public Cloud“ als Failoveransatz oder für Belastungsspitzen.

Hier gibt es eine deutsche Microsoft-Seite dazu: http://www.microsoft.de/private-cloud.

Damit der Begriff Cloud aber nicht einfach nur ein Synonym für „im Internet“ ist, sind noch einige Anforderungen mehr vonnöten, um „IT aus der Steckdose“ umzusetzen. Z.B. die Abrechnung nach Bedarf – eben wie beim Strom aus der Steckdose – und damit einhergehend eine Dynamik der Ressourcen. Hier spricht man auch von Elastizität. Dies ist eben auch eine Anforderung der Privaten Cloud.

Cloud bei Microsoft definiert sich über folgende Angebote (www.microsoft.de/cloudpower):

  • Private Cloud mit Windows Server und Hyper-V
  • Cloud Produktivität mit Office 365
  • Cloud Plattform mit Microsoft Azure

Microsoft bietet mit Microsoft Azure ein IaaS-Angebot, mit Hyper-V für Private Clouds ein PaaS- und mit seinen Online Services (CRM, Office 365, Intune) ein SaaS-Offering an.

  • PaaS = Platform as a Service
  • SaaS = Software as a Service
  • IaaS = Infrastructure as a Service

Das Thema Cloud wird auch viele andere Bereiche betreffen: so müssen Dienste standardisiert und lose koppelbar gemacht werden, um ausgelagert werden zu können (Service oriented Architecture SOA), das IT Service Management muss ausgeweitet werden, um auch verteilte Inftrastrukturen verwalten zu können. Hier gilt ein tiefer definiertes SLA-Management und die Einführung von SelfService-Portalen als Herausforderung.

Von der BITKOM gibt es einen recht guten Leitfaden (85 S.) für Entscheider:

Cloud Monitor 2016

Drei von vier deutschen Unternehmen aller Branchen finden es wichtig, dass Cloud-Anbieter ihre Rechenzentren ausschließlich in Deutschland betreiben. Das ist das Ergebnis des Cloud Monitor 2016 von BITKOM und KPMG. Und eine kürzlich von Crisp Research im Auftrag von Microsoft veröffentlichte Studie zum Stand der Cloud-Nutzung im Öffentlichen Sektor stellt fest, dass mehr als 65 Prozent der Umfrageteilnehmer die Migration ihrer IT in die Public Cloud erwägen, wenn sich die Rechenzentren des Anbieters in Deutschland befinden.

Wann lohnt sich die Cloud?

Ob sich das Auslagern der Infrastruktur in die Cloud lohnt oder nicht, bedarf einer genauen Analyse, die viele Aspekte umfasst, und strategisch vor allem über viel Jahre hinweg gerechnet werden sollte.

Hier ein Ansatz:

  • Ressourcenschonende Skalierbarkeit  (Schnelle und genaue Anpassung der Kapazitäten an den realen Bedarf, exakte Abrechnung je Nutzer)
  • Keine eigene Infrastruktur (Hardware/Server)
  • Minimierter Eigenaufwand für IT-Betrieb (Server, Strom, Personal, Updates, Backup etc.)
  • Immer die aktuellsten Technologien
  • Nicht das interne IT-Personal muss Fachwissen schnell aktuell halten (Mail-Security)
  • Schnelle Implementierung
  • Sofort verfügbar – auch als Testumgebung
  • Keine Migration, Deployment, Konfiguration
  • Lohnt sich bei bereits wenigen Anwendern
  • Budgetplanungssicherheit durch Nutzungsorientiertes Abrechnungsmodell
  • Vorhersehbare und konstante IT-Kosten (SaaS) oder flexibel Kosten nur nach Nutzung (IaaS)
  • Verbesserter Cashflow
  • Verringerte Kapitalbindung
  • Schonung des Capex-Budgets durch monatliche Abrechnung (Opex)
  • Flexibler Mischbetrieb mit lokalen Servern
  • Permanenter Support, 24 h am Tag, 365 Tage im Jahr
  • Dienstgütevereinbarung (SLA) mit 99,9% garantierter Verfügbarkeit
  • ISO 27001-Zertifizierung und SAS 70 für die Rechenzentren (oft haben Unternehmen selbst nicht so hohe Standards)

Ein Whitepaper der Comarch AG in Kooperation mit dem Fraunhofer-Institut für Arbeitswirtschaft und Organisation IAO zu Cloud-Überlegungen habe ich für gut befunden:

Einsatzszenarien

Typischerweise gehen deutsche Kunden nicht sofot in die Cloud mit all ihren Infrastruktur-Investments. Besonders geeignet ist der Public Cloud Ansatz also eher für dynamische, elastische, projektbezogene Einsatzszenarien.

Dabei kann folgende Last auf die Zeit abgebildet werden:

Es gibt mehrere Skalierungsansätze:

  1. Vertikale Skalierung „scale up“
    Anwendungen werden auf leistungsstärkere Hardware portiert, indem eine zusätzliche Bereitstellung von virtuelllen Hardwareressourcen wie Speicher, CPU-Kerne oder Bandbreite erfolgt.
  2. Horizontale Skalierung „scale out“
    Hier wird die Skalierung erreicht, indem zusätzliche Instanzen der Anwendung auf identischer Hardware bereitstellt und die Last über einen Load Balancer auf die Instanzen verteilt wird.

Microsoft Azure erlaubt sowohl eine vertikale „scale up“ als auch eine horizontale „scale out“ Skalierung. Die horizontale Skalierung ist dabei wesentlich einfacher und meist auch sinnvoller umsetzbar, gerade in der Cloud.

Über das Azure Management Portal kann eine manuelle Veränderung oder per Management API / Script eingerichtet werden. Alternativ gibt es die automatische Skalierung basierend auf bestimmten Parametern. Dabei kann eine Deckelung der Kosten angegeben werden.

Software + Services

Der Begriff Software as a Service SaaS ist allgemein verwendet für das Hosting-Angebot von Diensten, z.B. CRM von SalesForce. SalesForce wird ausschließlich als gehostete Lösung angeboten.

Der Microsoft-Ansatz ist ein gemischter: der Kunde kann entscheiden, ob er eine bei sich im Rechenzentrum installierte Infrastruktur (On Premise) haben möchte oder gehostet bei einem Partner, einem outgesourcten Rechenzentrum, oder bei Microsoft direkt oder eben gemischt.
Daher nennt Microsoft den Ansatz Software plus Services, auch S+S. Das Plus sollte hier auch betont werden und nicht zu einem simplen und verkommen.

Möglich ist dies technisch durch die Bereitstellung von Schnittstellen zwischen den Produkten und auch innerhalb von Produkten, so dass z.B. ein Exchange Server On-Premise, also lokal im Unternehmensrechenzentrum und kombiniert gehostet eingesetzt werden kann.

Microsoft Online Services

Microsoft hat seit Jahren Rechenzentren für Internet-Dienste wie Hotmail, bing, XBox Live, Windows Live etc. in Betrieb, dh. das Thema Cloud ist auch in der Praxis kein neues Thema. Vor 10 Jahren sprachen wir über Application Service Providing. Das hat sich damals nicht durchgesetzt. Aber heute ist die Zeit wohl reif dafür…

Seit 1. Juli 2014 ersetzen die Online Services Terms (OST) das bisherige Online Services Use Rights-Dokument (OLSUR), das die Produktbenutzungsrechte der Microsoft Online Services beinhaltet hat. OST ersetzt nun mehr als 20 Dokumente und Zusatzvereinbarungen rund um die Themen Privacy, Datenschutz, Security und EU Modell Clauses und hat nur noch 34 Seiten statt 50. Die aktuelle OST gilt für EA und Open Volumenlizenzverträge und kann stets hier heruntergeladen werden: http://www.microsoftvolumelicensing.com/Downloader.aspx?DocumentId=7690

Sicherheit in der Cloud

Dieses amerikanische Video zeigt die Microsoft Rechenzentren und ihre Infrastruktur sowie Sicherheitsbestimmungen und Energieeffizienz.  In 10 min zeigt es einen recht beeindruckenden Blick in diese Data Center Struktur, eine der größten der Welt:

Für Microsoft Data Center gilt folgendes in Bezug auf das Thema Datensicherheit: es gilt das Datenschutz-Recht jener Region, in welcher das Data Center betrieben wird. 2010 werden in Europa zwei Data Center mit der Microsoft Cloud-Plattform ausgestattet – in Amsterdam und in Dublin.

Sehr häufig taucht die Frage auf, wenn Daten dann in einem Rechenzentrum gespeichert werden und man immer über den Weg des Internets geht, wie sicher sind diese Daten und – rechtlich gesehen, darf ein deutsches Unternehmen dies überhaupt? Hier ist es wichtig, bei Kundengesprächen das Thema Cloud nicht als IT-Projekt zu sehen, sondern Fachabteilungen, Einkauf, IT und auch die Rechtsabteilung an einen Tisch zu holen.

Zu der Fragestellung, „Wo liegen die Daten, sie müssen in Deutschland liegen; was ist mit Revisionssicher, Rechtskonform und Aufbewahrungspflichten“ haben wir ein WhitePaper von PRW Rechtsanwälten gefunden. Dieses liegt im Bereich Exchange 2010 – Wichtige Funktionen – Archivierung und Aufbewahrung.

Microsoft Cloud Compendium

Das Deutsche Microsoft WhitePaper „Compliance in der Microsoft Enterprise Cloud“ von Oktober 2016 befasst sich bereits mit der Deutschen Microsoft Cloud, rechtlichen Grundlagen sowie Datenschutz-Themen. Download: https://www.microsoft.com/de-de/download/confirmation.aspx?id=50830

Das Microsoft Cloud Security Readiness Tool

Das Cloud Security Readiness Tool  (EN) hilft IT-Professionals dabei, ihre eigene IT-Infrastruktur besser zu verstehen und den Weg in die Cloud zu evaluieren. Auf Basis der bisherigen Erfahrung ist der Report „Trends in Cloud Computing“ erschienen, der sich unter anderem mit Risiko(-Management) und Sicherheitsarchitektur von Cloud Computing beschäftigt.

Microsoft Whitepaper (DE) zur Entwicklungoder das Betreiben eines Clouddienstes „Bereitstellen von hochverfügbaren und sicheren Lösungen in der Cloud

Orientierungshilfe – Cloud Computing

Die Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder haben eine  Orientierungshilfe erarbeitet. Dieser Leitfaden richtet sich an Entscheidungsträger,  betriebliche  und  behördliche  Datenschutzbeauftragte  sowie  an  IT-Verantwortliche und soll den datenschutzgerechten Einsatz dieser Technologie  fördern.

Microsoft hatte Anfang Dezember 2011 bekanntgegeben, dass es die Office 365-Verträge an diesen Leitfaden anpassen wird. Ziel der neuen Office 365-Vereinbarungen ist es, die deutschen und europäischen Datenschutzbestimmungen juristisch sauber umzusetzen. Ab Mitte Dezember 2011 werden weitere Infos sowie diese Verträge, inkl. der so genannten „EU-Standardvertragsklauseln“ (EU Model Clauses) und eine Vereinbarung zur Auftragsdatenverarbeitung (DPA, Data Processing Agreement), hier liegen: www.trustcenter.office365.de

Das neue Trust Center bietet Klarheit und Transparenz darüber,

 wo sich die Daten eines Kunden befinden

 wer Zugang zu diesen Daten hat

 wie Microsoft diese Daten schützt und

 welche Zertifizierungen Microsoft erfüllt.

Auszug aus den Microsoft Online Services Datenschutzbestimmungen:
Mit der Richtlinie 95/46/EG (Datenschutzrichtlinie) haben das Europäische Parlament und der Europäische Rat Mindeststandards für den Datenschutz der Mitgliedsstaaten festgeschrieben. Geregelt wird u.a. die Übermittlung von personenbezogenen Daten an Drittstaaten, die nicht Mitglied der EU sind. Ergänzt wurde die allgemeine Datenschutzrichtlinie durch die bereichsspezifische Richtlinie 2002/58/EG (Datenschutzrichtlinie für elektronische Kommunikation).
(siehe auch wikipedia.org)

„Informationen, die von Microsoft erfasst oder an Microsoft gesendet wurden, werden möglicherweise in den Vereinigten Staaten oder in anderen Ländern gespeichert und verarbeitet, in denen Microsoft oder dessen Partnerunternehmen, Niederlassungen oder Dienstanbieter Einrichtungen haben. Microsoft hält sich in Bezug auf die Erfassung, Verwendung und Speicherung von Daten aus der Europäischen Union an die Bestimmungen des US-Handelsministeriums (Safe Harbor, http://safeharbor.export.gov/list.aspx).“ Datenschutzbestimmungen der Microsoft Online Services.

Stärker als Safe Harbor wird vermutlich der Patriot Act wirken. Dieser wurde 2010 verschärft durch den Terrorbekämpfungs-Ansatz „Cybersecurity“. Damit hätte der Amerikanische Geheimdienst die Möglichkeit, per Gerichtsbeschluss auf Kundendaten zuzugreifen unter bestimmten Voraussetzungen, z.B. Terror-Verdacht, sogar ohne den Kunden darüber informieren zu müssen. Dabei muss noch nicht einmal die Mutterfirma ihren Sitz in USA haben, es genügt eine irgendwie geartete Verbindung des Unternehmens in die USA. Die Herausgabe von Daten erfolgt nicht nur auf Daten, die in der Cloud liegen, sondern auch auf Daten, die auf den Servern des Unternehmens liegen.
Gleiches gilt bei entsprechendem Verdacht in Deutschland für das Deutsche Innesministerium.

NEUERUNGEN zu Safe Harbour (10.10.15)

Die EuGH-Entscheidung vom 06.10.2015, die die unter dem Namen „Safe Harbor” bekannte Entscheidung der EU-Kommission für ungültig erklärt hat. Das Safe Harbor-Abkommen ist somit nicht länger eine zulässige Rechtsgrundlage für  einen Datentransfer in die USA.

Microsoft hat zu der Entscheidung des Europäischen Gerichtshofs („EuGH“) im Zusammenhang mit dem Safe-Harbor-Abkommen zwischen der EU und den USA ein Statement gegeben: http://www.microsoft.com/de-de/politik/blog/article.aspx?id=1310

„Wir glauben, dass die eindeutige Antwort für die Kunden der Microsoft „Enterprise-Cloud“ ist, dass sie weiterhin Daten übertragen können und sich hierbei auf die zusätzlichen Schritte und rechtlichen Absicherungen verlassen können, die wir eingerichtet haben. Diese beinhalten zusätzliche und strenge Schutzmaßnahmen zur Einhaltung des Datenschutzes und Microsofts Einhaltung der EU „Model Clauses“ (Standardvertragsklauseln), die es Kunden ermöglichen, Daten grenzüberschreitend zwischen der EU und anderen Staaten – auch den USA – zu übertragen – auch ohne Geltung des Safe Harbor Konzeptes. Sowohl das Urteil als auch die Kommentierung der Europäischen Kommission haben diese Arten von Maßnahmen heute Vormittag anerkannt.
Der Microsoft Cloud Service inklusive der Azure Core Services, Office 365, Dynamics CRM Online sowie Microsoft Intune befolgen die EU Model Clauses allesamt und sind damit auch abgesichert.“

Das „EU-US Privacy Shield“ soll als neues Abkommen der EU-Kommission und der USA einen neuen Rechtsrahmen für den transatlantischen Datenaustausch als Ersatz für Safe Harbor bilden. Microsoft nimmt am EU-US-Privacy Shield-Abkommen teil. Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?LinkID=822639.

Europäische Datenschutzgrundverordnung (EU DS-GVO)

Am 25.5.2016 ist die neue DS-GVO in Kraft getreten und wird ab 25.5.2018 wirksam. Die neue EU-Verordnung ist als Instrument der Rechtsvereinheitlichung für alle EU-Mitgliedsstaaten bindend und löst voraussichtlich das Bundesdatenschutzgesetz (BDSG) ab. Das führt dazu, dass bestehende Regelungen in den Mitgliedstaaten wie das Bundesdatenschutzgesetz (BDSG) unwirksam werden. Zukünftig würde dann allein die erwartete europäische Datenschutzgrundverordnung Rechte und Pflichten von Cloud-Anbietern und -Nutzern bestimmen.

Microsoft Bewertungs-Tools für mehr Datenschutz
Damit Unternehmen einschätzen können, ob sie ab 25. Mai 2018 weiterhin rechtskonform sind, hat Microsoft ein Set an Hilfsmitteln veröffentlicht, das den Status Quo der Umsetzung bewertet.

  • Das Security and Compliance Playbook hilft Microsoft-Partnerunternehmen, mögliche Entwicklungen zu bewerten und im positiven Fall zu starten.
  • GDPR Assessment enthält als kostenloses Online-Tool Fragen für eine erste Selbsteinschätzung sowie Anleitungen zur Umsetzung der DSGVO.
  • GDPR Detailed Assessment umfasst ausführliche Fragen sowie Handlungsempfehlungen, damit Microsoft-Partner ihren Kunden Workshops anbieten und fundierte Aussagen treffen können, wie sie die DSGVO termingerecht und gesetzeskonform umsetzen können. (kostenloser Download)
  • GDPR Product Demos bestehen aus Tools, mit denen Microsoft-Partner demonstrieren können, wie die Microsoft Cloud und andere Microsoft-Produkte bei der Umsetzung der Verordnung helfen.
  • GDPR Activity Hub ist ein zentraler Anlaufpunkt, der Partner bei der Ausführung DSGVO-bezogener Prozesse und Aktivitäten unterstützt.

Die Tools sowie weitere Informationen zur DSGVO finden Sie hier.

Microsoft gewährleistet DSGVO-Compliance für seine Cloud-Dienste
Viele Unternehmen sind sich unsicher, wie sie die Grundverordnung termingerecht zum 25. Mai 2018 umsetzen sollen. Dabei sieht die Verordnung bei Verstößen empfindliche Geldbußen vor: maximal 20 Millionen Euro oder bis zu vier Prozent des weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr – es gilt der höhere Wert.

Als führender Cloud-Anbieter gewährleistet Microsoft, dass bis zum Inkrafttreten der Verordnung am 25. Mai 2018 die Microsoft Cloud-Dienste mit der DSGVO rechtskonform sein werden. Das schließt Produkte wie Office 365, Dynamics 365, Microsoft Azure, SQL Server, Enterprise Mobility + Security (EMS), Windows 10 und Microsoft 365, das Produktivitäts-Suite mit Office 365, Windows 10 sowie EMS, ein. Die Ziele der DSGVO stimmen mit den bereits bestehenden Zusagen von Microsoft im Hinblick auf Sicherheit, Datenschutz und Transparenz überein. Microsofts Rechenzentren nutzen weltweit einheitliche, geprüfte und bewährte Technologien und bieten die gleichen Service-Level und Sicherheitsstandards, zum Beispiel Datenverschlüsselungen nach aktuellen SSL/TLS-Protokollen. Die Microsoft Cloud bietet einen sicheren Weg zur DSGVO-Compliance.  (Quelle)

„Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit“ hat eine Broschüre veröffentlicht.

In der kommenden europäischen Datenschutzgrundverordnung (DS-GVO) wird eine umfangreiche Benachrichtigungs-, Informations-, Transparenz- und Nachweispflichten von den Cloud-Anbietern verlangt.

Europaweit läuft die DS-GVO unter dem weniger deutschen Namen: General Data Protection Regulation GDPR. Infos hierzu auch dort: http://www.eugdpr.org/

Es gibt seit Ende 2014 einen neuen internationalen Standard für den Datenschutz in der Cloud: ISO/IEC 27018.

Auf europäischer und internationaler Ebene gibt es bereits Datenschutzstandards wie die ISO/IEC 27000-Normen (z.B. ISO 27001 für u.a. Absicherung von Büroräumen und Einrichtungen oder die Verwaltung von Medien), die aber eher allgemeinere Sicherheitsbestimmungen enthalten. Der neue Standard formuliert nun die Regulierung der Verarbeitung personenbezogener Daten in der Cloud inkl. Schutz- und Überwachungspflichten der geltenden europäischen Datenschutzgesetze. ISO 27018 kommt den Forderungen der deutschen Aufsichtsbehörden in der im September 2011 veröffentlichen Orientierungshilfe zum Cloud Computing nach.

Ein Video von PRW Rechtsanwälte, Wilfried Reiners, geht auf die DS-GVO ein:

Cloud-Anbieter können sich entsprechend der ISO 27018 zertifizieren lassen und in regelmäßigen Zeitabständen von unabhängigen Stellen erneut prüfen lassen.

Microsoft adopts first international cloud privacy standard : 16.2.15: Microsoft gibt bekannt, dass sie der erste größere Cloud-Anbieter sind, der die ISO/IEC 27018 Zertifizierung erhalten hat: „The British Standards Institute (BSI) has now independently verified that in addition to Microsoft Azure, both Office 365 and Dynamics CRM Online are aligned with the standard’s code of practice for the protection of Personally Identifiable Information (PII) in the public cloud“ (http://www.microsoft.com/de-de/smb/business-news/microsoft-setzt-ersten-internationalen-standard-fur-datenschutz-in-der-cloud-um).

Microsofts Cloud-Verträge entsprechen EU-Recht:
In einer Erklärung von 28 europäischen Datenschutzbehörden (PDF) heiße es, dass die Angebote von Microsoft Cloud Diensten den hohen Datenschutzstandards von Europa entsprächen. Microsoft sei der bislang einzige Anbieter von Cloud-Diensten, der die Anerkennung der Behörde erhält, schrieb Microsoft-Justiziar Brad Smith in einem Blog-Eintrag von April 2014.

Microsoft Online Services Privacy Statement:  Hier werden spezielle Bestimmungen beschrieben.

Microsoft Online Services – SLA-Vertrag

Was passiert, wenn Daten verloren gingen etc?
Microsoft cannot provide an insurance policy for any risks associated with data losses. Our liability is limited to damages, directly linked to a foreseeable act by Microsoft and is capped at 12 months‘ service fees.“ (Quelle)

Und Microsoft hat mit PriceWaterhouseCoopers PWC ebenfalls ein WhitePaper für Partner geschrieben: Strategisches White Paper zum Einsatz von Microsoft Office 365:

Dieses WhitePaper richtet sich an Sie als Microsoft Partner. Es enthält eine allgemeine Darstellung der häufig diskutierten Rechtsfragen, die sich bei der Nutzung von Office 365 im Allgemeinen stellen.

Ebenso gibt es ein Video von Dr. Jan Peter Ohrtmann, PWC: ca. 30 Min auf Deutsch, das im Microsoft Partner Portal liegt:

Und auch das BSI bietet einen Eckpunkte-Leitfaden „Sicherheitsempfehlungen für Cloud Computing Anbieter (Mindestsicherheitsanforderungen in der Informationssicherheit)“: https://www.bsi.bund.de/DE/Themen/CloudComputing/Eckpunktepapier/Eckpunktepapier_node.html

Und neu (2016)  vom BSI ist der Anforderungskatalog Cloud Computing / Cloud Computing Compliance Controls Catalogue (C5): https://www.bsi.bund.de/DE/Themen/DigitaleGesellschaft/CloudComputing/Anforderungskatalog/Anforderungskatalog_node.html

Zur NSA Affäre: 40 Fragen und Antworten der Gesellschaft für Informatik

Ein sehr guter und auch technisch wertvoller Fragen&Antworten-Katalog findet sicher hier: http://www.gi.de/themen/ueberwachungsaffaire-2013

Und am 11.11.15 hat Microsoft angekündigt, es kommt ein Deutsches Rechenzentrum:

Microsoft Cloud Deutschland mit deutscher Datentreuhand

Microsoft bietet seit 21.9.16 Azure auch aus Rechenzentren bei Magdeburg (Biere) und Frankfurt am Main an. Die allgemeine Verfügbarkeit von Office 365 besteht seit 24.01.2017; Dynamics 365 Deutschland soll in der ersten Jahreshälfte 2017 folgen.

„Wir wollen jeden Menschen und jede Organisation auf der Welt dazu befähigen, mehr zu erreichen. Die neuen Cloud-Dienste treiben lokale Innovationen und Wachstum voran und bieten Kunden mehr Flexibilität und Wahlmöglichkeiten. Kunden können weiterhin unsere öffentlichen, privaten und hybriden Cloud-Lösungen nutzen oder sich dafür entscheiden, unsere Services aus deutschen Rechenzentren zu beziehen und den Zugang zu ihren Daten durch einen deutschen Datentreuhänder kontrollieren zu lassen“, erklärte Microsoft-CEO Satya Nadella am 11.11.15 in Berlin. Für die neuen deutschen Rechenzentren gelten dieselben Sicherheits-, Service- und Qualitätsstandards wie für alle Rechenzentren von Microsoft. Die neuen Dienste folgen in punkto Sicherheit, Compliance, Transparenz, Datenschutz und Kontrolle denselben Prinzipien wie alle weltweiten Cloud-Services von Microsoft.

Die Rechenzentren der Microsoft Cloud Deutschland in Frankfurt und Magdeburg werden durch zwei Cloud Control Center CCCD an den Standorten Berlin und Magdeburg gesteuert, sodass durch diesen redundanten Aufbau der Ausfall eines Control Centers problemlos abgefangen werden kann. An beiden Standorten werden Zugangsanfragen von Microsoft-Mitarbeitern von der T-Systems International GmbH als Datentreuhänder geprüft, nur bei Vorliegen der vertraglichen und rechtlichen Voraussetzungen gewährt und gewährte Zugänge dann überwacht. Die Cloud Control Center Deutschland stehen unter der Kontrolle des Datentreuhänders.

Die neuen Cloud-Dienste stehen auch Kunden aus anderen europäischen Ländern (Rechnungsadresse in EU und EFTA) zur Verfügung.

Microsoft hat bereits ein deutsche FaQ bereitgestellt: FAQ Microsoft Cloud in Deutschland

Der Zugang zu den Kundendaten, die in den neuen Rechenzentren gespeichert werden, liegt beim Datentreuhänder, einem unabhängigen Unternehmen mit Hauptsitz in Deutschland, das der deutschen Rechtsordnung unterliegt: T-Systems, eine Tochter der Deutsche Telekom. Ohne Zustimmung des Datentreuhänders oder des Kunden hat Microsoft keinerlei Zugang zu Kundendaten. Wird diese Zustimmung durch den Datentreuhänder erteilt, greift Microsoft nur unter dessen Aufsicht auf Kundendaten zu. „Mit dieser einzigartigen neuen Lösung positioniert sich Microsoft als Vorreiter im deutschen und europäischen Cloud-Markt. Kunden, die die lokale Kontrolle ihrer Daten mit den Cloud-Services von Microsoft kombinieren wollen, haben eine neue Option, die schnell vom Markt angenommen werden wird“, so Timotheus Höttges, Vorstandsvorsitzender Deutsche Telekom.

Der Datenaustausch zwischen den zwei Rechenzentren findet über ein privates, vom Internet getrenntes Netzwerk statt, womit der Verbleib der Daten in Deutschland gesichert ist. Um den Geschäftsbetrieb und die Wiederherstellung von Daten auch in Katastrophenfällen zu gewährleisten, findet ein kontinuierlicher Datenabgleich zwischen den beiden geographisch getrennten Rechenzentren statt. Für Kunden ist jederzeit transparent, wie und wo ihre Daten verarbeitet werden.

Die deutschen Rechenzentren in Magdeburg und Frankfurt am Main nutzen die gleichen Technologien und bieten die gleichen Service-Level und Sicherheitsstandards wie die globalen Microsoft-Cloud-Angebote. Dazu gehören Multi-Faktor-Authentifizierungen, biometrische Scans, Smartcards, Datenverschlüsselungen nach SSL/TLS-Protokollen, physische Sicherheitsmaßnahmen, Sicherungen gegen Naturkatastrophen und Stromausfälle. Dass die Microsoft Cloud Deutschland die gesetzlichen Anforderungen in Bezug auf die Informationssicherheit einhält, zeigt die kürzlich erhaltene Zertifizierung nach ISO/IEC 27001 und ISO/IEC 27018:2014.

Microsoft Deutschland hat eine überarbeitete, deutsche Version des „IT Grundschutz Compliance Workbook Microsoft Azure Germany” erstellt. Das Handbuch unterstützt Kunden mit Empfehlungen, wie sie für Anwendungen, die auf Microsoft Azure basieren, ein „IT Grundschutz“-Zertifikat erhalten können. Die deutsche Version steht seit 24. Januar 2017 zum kostenlosen Download zur Verfügung: https://aka.ms/grundschutzworkbookde.

Welche Dienste exakt verfügbar sind, steht hier.

Preise gibt es hier.

Ein Artikel von Rechtsanwalt Dr. Michael Rath „Verhindert Microsofts neue „deutsche Cloud“ den amerikanischen Datenzugriff?“ beschreibt das juristisch.

Und hier zwei Videos von PRW Rechtsanwälte, Wilfried Reiners:


Und hier noch zwei Microsoft Whitepaper zu folgendem: (ironischerweise derzeit – 3.12.16 – nur in Englisch)

Deutsche Microsoft Webseiten zu Microsoft Cloud Deutschland:

GoBD-Checkliste für Dokumenten­management-Systeme

Weils dazu passt, hier noch eine Info zu einer Checkliste der Bitkom zum Thema GoBD („Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff). Die GoBD treten an die Stelle der GoBS (Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme) sowie der GDPdU (Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen): https://www.bitkom.org/Bitkom/Publikationen/GoBD-Checkliste-fuer-Dokumen…

 

 

Empfehlungen zum Netzwerk und zur Bandbreite für Online Services

Microsoft gibt eine ziemlich detaillierte Hilfe und „best practise“ Empfehlungen für die nötigen Bandbreiten, je nach Intensität der Datenübertragungen für die einzelnen Online Dienste, zur Netzwerkkonfiguration und Synchronisationszeiten.

Cloud OS

Der Begriff Cloud OS ist seit ca. Juli 2013 auf den Microsoft Seiten und Folien existent. Was genau meint Microsoft aber damit?

Läuft Windows 7/8/8.1/10 als Client-Betriebssystem auf den Servern von Microsoft? Nein, soweit sind sie noch nicht. Wohl aber die Idee, den Windows Server im Microsoft Rechenzentrum zu mieten/nutzen, ist heute möglich. Dies kann allerdings mehrere Facetten haben.

Die Grundlage soll Azure bieten, aber kombiniert mit einem On Premise Windows Server die Hybrid Cloud umsetzbar machen. So können vorgefertigte Templates von Virtuellen Maschinen oder auch definierten Services schnell provisioniert werden. Und von lokal in die Cloud und zurück verschoben werden.

Damit wird der Weg in die Cloud gangbar und schrittweise umgesetzt. Das dynamische Nutzen von immer mehr Diensten kann nahtlos in die eigene IT integriert werden. So kann die Firmen-IT schnell den Fachabteilungen benötigte Dienste anbieten und nutzenabhängig berechnen. Sie entscheidet dabei, ob nur temporär voll in der Cloud oder von dort ins eigene RZ verschoben. Die Bereitstellung von vorgefertigten Lösungen kann um ein vielfaches beschleunigt werden und Konfigurationsfehler werden vermieden.

Dieses Konzept Cloud OS zu nennen ist gewagt, da es sich nicht um ein echtes Betriebssystem handelt, sondern vielmehr um eine Marketing-Idee, dort weiter Fuss zu fassen, wo Microsoft seit Jahren die Hoheit hat: beim Betriebssystem.

Technologische Grundlage des Cloud OS bilden Windows Azure und Windows Server 2012 R2, als Plattformen in und für die Cloud – komplettiert durch Lösungen wie die Verwaltungslösung System Center 2012 R2 oder das Datenbank Management System SQL Server 2014. So ermöglicht es Windows Server 2012 R2 Workloads noch einfacher zwischen On-Premise-Hyper-V-Umgebungen und Windows Azure Virtual Machines zu portieren.
Diese lassen sich durch das neue Windows Azure Management Pack für System Center durch On-Premise-Lösungen, Windows Azure Virtual Machines und Storage-Ressourcen einheitlich verwalten. Aufbauend auf der Hyper-V Netzwerkvirtualisierung in Windows Server 2012 liefern die Weiterentwicklungen zudem Funktionen wie Site-to-Site-VPN-Gateway, mit denen sich physische und virtuelle Netzwerke nahtlos überbrücken lassen. Diese bringen Unternehmen den Vorteil, flexible und hybride Verbindungen zwischen der eigenen IT-Infrastruktur und Serviceprovidern aufzubauen.

Windows Intune

Die Cloud-Anwendung Windows Intune bzw. Microsoft Intune erlaubt IT-Verantwortlichen Unternehmen jeder Größe, ihre PCs über eine einfache, webbasierte Konsole von jedem Ort zu verwalten und zu sichern, neue Software aufzuspielen oder bestehende Anwendungen zu ergänzen.

Weitere Infos siehe hier: https://www.skilllocation.com/microsoft-Intune/

Microsoft Azure

Um Anwendungen bereitzustellen, die z.B. Platz benötigen und skalierbar sein müssen, also mit den Anforderungen des Kunden nach mehr oder aber auch nach weniger mitwachsen müssen, kann der Kunde selbst seine Infrastruktur (Plattenplatz, Arbeitsspeicher, Anzahl der Prozessoren etc.) anpassen oder eine gehostete Infrastruktur mieten. Diese skaliert automatisch bei größerer Last und passt sich auch nach unten wieder an. Der Kunde bezahlt also nur den tatsächlichen Bedarf an Ressourcen.

Dies erfordert ein Betriebssystem, das diese Skalierbarkeit unterstützt. Das macht Windows Azure.

Windows Azure, inzwischen umbenannt in Microsoft Azure, ist dabei die Basis für die Azure Services Plattform oder auch das Betriebssystem für die Cloud.

Microsoft Azure ist ein Service, der sowohl eine Plattform als Service (PaaS), als auch eine Infrastruktur als Service (IaaS) umsetzbar macht.

Microsoft Azure bietet Funktionalitäten, die typischerweise auch Desktop- oder Server-Betriebssystemen zugeschrieben werden (nur eben auf einer Menge vernetzter Server, was die Voraussetzung für die Skalierbarkeit ist):

  • Ausführungsumgebung für Anwendungen
  • Dateisystem, das sich mehrere Anwendungen teilen
  • Ressourcenzuordnung
  • Programmierumgebung

Azure ist dabei der Oberbegriff für alle Basis- und Anwendungsdienste, die Microsoft in eigenen Rechenzentren Entwicklern zur Verfügung stellt. Basis der Plattform ist Windows Azure, darauf aufsetzend die Azure Services. Dies sind übrigens nicht nur Windows-Plattform-Anwendungen, sondern z.B. auch PHP on Azure, MySQL on Azure, Java und Eclipse 4 Azure.

Wer von (unendlicher) Skalierbarkeit und entsprechend hoher Ausfallssicherheit profitieren kann ohne selbst Systeme warten zu wollen (die Wartung inkl. Patch Management, Hardwaretausch etc. ist alles in den Preisen drin), für den können die Angebote recht attraktiv sein… natürlich muss man das aber durchrechnen… z.B. wieviele Lastspitzen hat man, wie lange dauern diese, wie intensiv sind diese etc. etc.

Microsoft Azure hat nach unabhängiger Prüfung als erste Cloud-Plattform weltweit eine Sicherheitszertifizierung der Art „SOC 2 Type 2” erhalten und entspricht damit den strengen Sicherheitsvorgaben der Cloud Controls Matrix der Non-Profit Organisation Cloud Security Alliance (Quelle).

Für die Microsoft Cloud Plattform gibt es einen TCO Analyzer: http://www.microsoft.com/windowsazure/tco/

Rechtliche Hinweise zu Microsoft Azure: http://www.windowsazure.com/de-de/support/legal/

  • Nutzungsbedingungen
  • Datenschutz
  • Service Level Agreement
  • etc.

Weitere Infos siehe hier: https://www.skilllocation.com/microsoft-azure/

Geändert am: 12. Juli 2017 von Carola Pantenburg