Im Daten-Dschungel: Cloud in KRITIS-Unternehmen? Aber sicher!

Im Datendschungel - Datenschutz von A - Z

Die Microsoft Cloud bietet anerkannt hohe und zertifizierte Sicherheitsstandards, die auch den Einsatz in Unternehmen mit Kritischen Infrastrukturen (KRITIS) erlauben. In dieser Folge unserer Serie „Im Daten-Dschungel“ zeigen wir, wie Microsoft auch die höchsten Anforderungen an die KRITIS-Schutzziele Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität und natürlich auch an den Datenschutz erfüllt.

Als in den 2010er Jahren viele Unternehmen aus der freien Wirtschaft über den Nutzen der Cloud diskutierten, mussten sich Organisationen aus dem Bereich Kritischer Infrastrukturen (KRITIS) mit einer Rolle als Zaungast begnügen, weil ihnen die Nutzung der Cloud aus regulatorischen Gründen schlicht verwehrt war. Zu KRITIS zählen Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe oder erhebliche Störungen der öffentlichen Sicherheit eintreten würden. Das können Organisationen aus den Sektoren Energie, Transport und Verkehr, Wasser, Finanz- und Versicherungswesen oder Informationstechnik und Telekommunikation sein.

Spätestens seit den Empfehlungen zur Nutzung von Cloud-Dienstleistungen in Kritischen Infrastrukturen, die UP KRITIS – eine öffentlich-private Kooperation zwischen Betreibern Kritischer Infrastrukturen, deren Verbänden und den zuständigen staatlichen Stellen – im November 2020 veröffentlicht hat, können auch KRITIS-Unternehmen unter bestimmten Bedingungen Cloud-Services nutzen und von den Vorteilen der innovativen Technologie profitieren.

Folgende Punkte sollten sie dabei aber berücksichtigen:

  • Bei der Festlegung ihrer Cloud-Strategie müssen KRITIS-Unternehmen prüfen und definieren, welche ihrer kritischen Dienstleistungen sie mit Cloud-Diensten realisieren wollen. Hauptsächlich sollten hierbei die Punkte Sicherheit und Verfügbarkeit eine Rolle spielen, die sich oftmals mit Cloud-Services besser erreichen lassen.
  • Die Verantwortung, die KRITIS-Betreiber für die Sicherheit ihrer IT-Infrastruktur, aber auch für den Schutz der Daten haben, die sie verarbeiten, können sie nicht an die Betreiber von Cloud-Rechenzentren delegieren. Sie bleiben für die Verfügbarkeit ihrer kritischen Dienstleistungen und für den Schutz der Daten verantwortlich. Cloud-Services bieten hierfür entsprechende Möglichkeiten wie z.B. die automatische Skalierung virtueller Server, LoadBalancing etc. Die Umsetzung entsprechender regulatorischer Anforderungen auf die Cloud-Infrastruktur muss aber eben vom KRITIS-Betreiber vorgenommen werden.
  • Insbesondere die Betriebs- und Compliance-Risiken, die sich etwa durch das BSI-Gesetz als auch durch die Datenschutz-Grundverordnung (DSGVO) ergeben, „können durch eine Auslagerung von Diensten in die Cloud nicht vollständig an den Cloud-Dienstleister übertragen werden, sondern verbleiben zu einem großen Teil beim KRITIS-Betreiber“, wie es in den UP KRITIS-Empfehlungen heißt.

Zero Trust: Microsoft-Angebote für Cloud-Sicherheit

Microsoft bietet seinen Cloud-Kunden, auch KRITIS-Betreibern, ein Sicherheitsmodell an, das sich in komplexe Umgebungen einfügt, mobile Mitarbeiter*innen einbezieht sowie Nutzer*innen, Geräte, Anwendungen und Daten an praktisch jedem Ort schützt: Zero Trust. Bei diesem Konzept ist es, bildlich gesprochen, egal, ob jemand beim Verlassen seines Hauses die Tür abschließt und im Auto vergisst, den Sicherheitsgurt anzulegen. Es ist egal, weil wir das übernehmen.

Zero Trust geht davon aus, dass nichts sicher ist – das gilt auch für die IT-Infrastruktur, die über eine Firewall geschützt ist. Das Modell prüft jede Zugriffsanforderung so, als käme sie aus einem offen zugänglichen, ungeschützten Netzwerk – egal, woher die Anforderung stammt und auf welche Ressource sie zielt. Bevor das Zero-Trust-Modell Zugriff gewährt, muss eine Anforderung vollständig authentifiziert, autorisiert und verschlüsselt sein. Hinzu kommen umfassende Business Intelligence und Analytics, um Anomalien in Echtzeit zu erkennen und abzuwehren.

Auf eine IT-Infrastruktur übertragen heißt Zero Trust:

  • Explizite Kontrollen: Zero Trust bezieht alle verfügbaren Datenpunkte für Authentifizierung und Autorisierung ein: Identität, Standort, Geräteintegrität, Datenklassifizierung, Anomalien, Dienst oder Workload.
  • Dabei gilt das Prinzip der geringsten Berechtigungen: Nutzerzugriffe werden mit JIT/JEA („Just-in-Time/Just-Enough-Access“) sowie risikobasierten adaptiven Richtlinien und Datenschutz eingeschränkt, um Daten zu schützen und trotzdem produktiv zu bleiben.
  • Beim „Was tun, wenn…?“ minimiert Zero Trust die Ausbreitung und den Segmentzugriff. Mit Ende-zu-Ende-Verschlüsselung und Analytics lassen sich außerdem die Sichtbarkeit, Erkennung und Abwehr von Bedrohungen verbessern.

Das hohe Schutzniveau von Daten, Anwendungen und Infrastrukturen in der Cloud ist mehr als ein Marketingversprechen von Microsoft. Wir garantieren diese Standards über eine Vielzahl von Zertifizierungen durch unabhängige Dritte. Damit können unsere Kunden überprüfen, inwieweit sie ihre eigenen Compliance-Anforderungen mit den Microsoft-Cloud-Services erfüllen können. Eine Übersicht über die Zertifizierungen gibt es hier.

Unternehmen, auch aus dem Bereich Kritischer Infrastrukturen, können ihre Daten und IT-Systeme in der Microsoft Cloud also nach den höchsten Branchenstandards so wirksam Ende-zu-Ende verschlüsseln, dass nicht einmal Microsoft als Betreiber der Cloud-Infrastrukturen Einblick in die Daten seiner Kunden nehmen kann.

Datenspuren bei Microsoft

Microsoft nimmt beim Thema Datenschutz eine Doppelrolle ein. Einerseits betreibt das Unternehmen für seine Kunden sichere Cloud-Rechenzentren und -Services und sichert sie gegen Angriffe und unbefugte Zugriffe ab. Die Verantwortung für das, was dort mit ihren Daten passiert, tragen die Kunden selbst.

Andererseits bietet Microsoft selbst cloudbasierte Anwendungen an, bei denen Kundendaten erhoben und verarbeitet werden. Wie genau Microsoft mit solchen Daten arbeitet, erklären wir im Beitrag „Telemetrie – Analysen für den Schutz von Daten und Privatsphäre“. Es ist wichtig zu verstehen, welche Daten wir erheben, warum wir das tun und was wir damit machen. Vor allem ist es aber wichtig zu verstehen, dass wir auch dabei dem Schutz der Daten unserer Kunden oberste Priorität einräumen.

Da Microsoft in diesem Fall Zugriff auf Kundendaten hat, gelten für den Datenschutz hier andere Regeln als bei den Daten, die unsere Kunden selbst in unseren Cloud-Rechenzentren speichern. Deshalb ist es wichtig zu wissen, wie wir diese Daten vor fremdem Zugriff schützen, etwa vor dem Zugriff von Behörden. Mehr Informationen gibt es im Artikel „Im Daten-Dschungel: Wie Microsoft mit dem CLOUD Act umgeht“. Dort ist zum Beispiel zu lesen, wie wir mit Anfragen von Behörden umgehen, die von uns im Rahmen gesetzlicher Regelungen Zugriff auf Daten unserer Kunden verlangen.

Weitere Beiträge der Serie

Alle Beiträge unserer Reihe „Im Daten-Dschungel – Datenschutz von A bis Z“ gibt es hier.


Ein Beitrag von Ralf Wigand
National IT-Compliance Officer bei Microsoft Deutschland
Das Foto zeigt Ralf Wigang, den National IT Compliance Officer von Microsoft Deutschland

und Stratos Komotoglou
Head of Security, Compliance, Identity Customer Success bei Microsoft Deutschland
@HerrStratos
Stratos Komotoglou

Tags: , ,

Weitere Infos zu diesem Thema

26. März 2021
Im Daten-Dschungel: Ende-zu-Ende-Verschlüsselung in Microsoft Teams

Besonders in Zeiten von hybrider Arbeit findet der Großteil unserer Kommunikation digital statt und wir müssen uns darauf verlassen, dass die ausgetauschten Informationen geschützt sind. In diesem Beitrag erfahrt ihr, wie Microsoft die Daten seiner Kund*innen verschlüsselt, was Data-in-Transit und Data-in-Rest bedeutet und wer die Ende-zu-Ende-Verschlüsselung in Microsoft Teams benötigt.

13. Juli 2021
Faktencheck Datenschutz: Informationspflichten einfach erklärt

Die Datenschutz-Grundverordnung regelt, wie mit Daten von natürlichen Personen umzugehen ist. Zentral sind dabei die Informationspflichten. In unserer zweiten Folge „Faktencheck Datenschutz“ erfahrt ihr alles rund um die Informationspflichten und wie Microsoft sie umsetzt.

11. Juni 2021
Faktencheck Datenschutz: Wir klären auf

Das komplexe Thema Datenschutz wirft auch heute noch bei vielen Menschen Fragen auf. Mit unserer neuen Reihe „Faktencheck Datenschutz“ widmen wir uns den zentralen Fragestellungen. In dieser ersten Folge geht es darum, wie Microsoft Datenschutz versteht.