Im Daten-Dschungel: Zertifizierungen der Microsoft Cloud

Im Datendschungel - Datenschutz von A - Z

Cloud Computing ermöglicht Organisationen jeder Größe und Branche, Rechenleistung, Speicherkapazitäten und Software aus dem Internet zu beziehen. So können Unternehmen ihre Infrastruktur hochflexibel aufstellen und jederzeit an neue Anforderungen anpassen. Damit unsere Kunden von den Möglichkeiten der Cloud profitieren können, erfüllen wir mehr als 90 nationale und internationale Datenschutz-, Sicherheits- und Compliance-Zertifizierungen. Welche das sind und warum sie wichtig sind, erklären wir in diesem Beitrag aus unserer Reihe „Im Daten-Dschungel“.

Hin und wieder stelle ich mir vor, wie es wohl wäre, wenn alle unsere Kunden zu Besuch kämen, um die Rechenzentren zu besichtigen, mit denen wir die drei Microsoft-Clouds Office bzw. Microsoft 365, Azure und Dynamics 365 betreiben. Eines ist sicher: Es wäre ziemlich voll und eng – und würde sich nicht mit den hohen Sicherheitsstandards vertragen, die in unseren Rechenzentren gelten, extreme Zugangsbeschränkungen inklusive. Wie können unsere Kunden dennoch sichergehen, dass bei uns alles mit rechten Dingen zugeht? Schließlich heißt es ja: „Vertrauen ist gut, Kontrolle ist besser“. Die Lösung: verbindliche internationale sowie regionale bzw. nationale Standards und Zertifizierungen, deren Gültigkeiten regelmäßig von Expert*innen überprüft werden.

Weltweit ist Microsoft der Cloudanbieter mit der größten Anzahl solcher Zertifizierungen. Mehr als 50 internationale Standards sind damit abgedeckt. Jede Menge Industriestandards kommen noch mit hinzu, zu denen in Deutschland beispielsweise TISAX gehört, oder aber nationale Standards wie der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) festgelegte Kriterienkatalog C5 (Cloud Computing Compliance Controls Catalogue). Dahinter verbirgt sich ein Regelwerk, das den Mindeststandard für eine sichere Cloud-Computing-Umgebung definiert und das wir für alle unsere Rechenzentrumsregionen weltweit anwenden. Eine Übersicht über alle Zertifizierungen der Microsoft Cloud gibt es hier.

Weitere wichtige internationale Standards sind beispielsweise ISO 27001 oder ISO 27018. Der erste Standard beschreibt, wie ein Information Security Management System auszusehen hat. Der zweite Standard regelt den Umgang mit personenbezogenen Daten bei einer Auftragsverarbeitung in der Cloud – datenschutzrechtlich geht es da also um die Kronjuwelen. Noch ziemlich neu in dieser Reihe ist ISO27701. Dieser Standard legt fest, wie ein Privacy Management System auszusehen hat – sich der Datenschutz in einer Organisation also gewährleisten lässt. Und es gibt noch BAIT – einen Standard, der die bankenaufsichtlichen Vorgaben zusammenfasst, die die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) an den IT-Betrieb stellt. Vorgaben leiten sich darüber hinaus auch aus KRITIS ab, den Regelungen für Unternehmen, die Teil der kritischen Infrastruktur Deutschlands sind.

Welche Rollen spielen Auditor*innen und Zertifizierungen?

Doch wie werden aus diesen Standards und Zertifizierungen Sicherheiten? Damit ein Anbieter eine Zertifizierung für den Betrieb seines Rechenzentrums erhält, muss er die Maßnahmen, die er selbst für den Betrieb des Rechenzentrums festgelegt hat, mit den Vorgaben aus den Anforderungskatalogen der jeweiligen Standards in Einklang bringen. Das, was der Anbieter leistet, muss also mit dem übereinstimmen, was für die Zertifizierung des Standards erforderlich ist. Unabhängige Prüfer*innen, die Auditoren*innen, prüfen dies. Sie beurteilen zudem, ob die jeweiligen Maßnahmen nicht nur auf dem Papier existieren, sondern auch wirklich umgesetzt werden. Allein im Fall des C5-Testats des BSI geht es dabei um mehr als 100 einzelne Anforderungen, die Controls. Sie reichen von der Organisation der Informationssicherheit über den Regelbetrieb, das Berechtigungsmanagement und den Einsatz von Kryptografie und Verschlüsselung bis hin zum Umgang mit möglichen Sicherheitsverstößen.

Das bedeutet: Unsere Kunden müssen nicht blind vertrauen, sondern können faktenbasiert urteilen und das – je nach Zertifizierung/Attestierung – auch im Auditbericht nachlesen. Sie profitieren zudem selbst davon, weil sie durch unsere zertifizierten Produkte nicht Gefahr laufen, ihre eigene Konformität zu schwächen. Obendrein wissen sie durch die Zertifizierung, dass die Produkte dem Stand der Technik entsprechen und können damit auch gegenüber ihren eigenen Kunden werben – weil sie auf die Cloud-Dienstleistungen eines zertifizierten, vertrauenswürdigen Partners setzen.

Regelmäßig schauen die Prüfer*innen vorbei

Manch eine*r könnte jetzt sagen, dass Papier geduldig ist. Doch die Zertifizierungen sind keine einmal ausgestellten Persilscheine. Viele von ihnen werden halbjährlich geprüft, andere müssen alle zwei bis drei Jahre wiederholt werden. Schließlich kommen auch immer neue Services und Produkte hinzu. Wir müssen somit immer wieder den Nachweis antreten, dass unsere Systeme und Prozesse den Standards genügen. Viele der Prüfungen erstecken sich über den Zeitraum seit der letzten Prüfung, daher müssen die Maßnahmen kontinuierlich befolgt werden. Und auch wenn nicht jeder unserer Kunden unsere Rechenzentren regelmäßig besuchen kann – die Auditor*innen machen es, stellvertretend für alle anderen. So sorgen sie dafür, dass das Vertrauen nicht ohne Kontrollen auskommen muss.

Weitere Informationen zu Zertifizierungen, Compliance-Fragen und Datenschutz findet ihr zum Nachlesen im Microsoft Trust Center.

Weitere Beiträge der Serie

Alle Beiträge unserer Reihe „Im Daten-Dschungel – Datenschutz von A bis Z“ gibt es hier.


Ein Beitrag von Ralf Wigand
National IT-Compliance Officer bei Microsoft Deutschland
Das Foto zeigt Ralf Wigang, den National IT Compliance Officer von Microsoft Deutschland

Tags: ,

Weitere Infos zu diesem Thema

11. Februar 2021
Im Daten-Dschungel: Wie Microsoft mit dem CLOUD Act umgeht

In dieser Ausgabe unserer Reihe „Im Daten-Dschungel“ geht es darum, wie wir mit Anfragen von US-Strafverfolgungsbehörden umgehen, die Zugriff auf Daten fordern, die auf Cloud-Servern von Microsoft, aber außerhalb der USA liegen.

19. Januar 2021
Im Daten-Dschungel: Wie können wir Zusammenarbeit in einer hybriden Arbeitswelt besser gestalten?

Eine veränderte Arbeitswelt erfordert neue Tools, um die Zusammenarbeit zu organisieren und zu optimieren – doch wie evaluieren Unternehmen, ob die technische Ausstattung den Anforderungen der täglichen Arbeit entspricht? Der Productivity Score, MyAnalytics und Workplace Analytics sind drei Lösungen, mit denen Unternehmen Antworten auf diese Fragen finden können. Wozu sie dienen und wie wir dabei die Daten der Beschäftigten schützen, erklären wir in diesem Beitrag aus unserer Reihe „Im Daten-Dschungel“.

10. November 2020
Im Daten-Dschungel: Wo speichert Microsoft eigentlich meine Daten?

Heute werden Daten oft dezentral gespeichert – außerhalb des firmeneigenen Rechenzentrums oder des eigenen Zuhauses, in der Cloud. In diesem Beitrag aus unserer Reihe „Im Daten-Dschungel“ erfahrt ihr, wo Microsoft die Daten ablegt, wer Zugriff darauf hat und besonders – wie sicher ist das?