Sind die Daten in der Office 365 Cloud Plattform wirklich sicher?

Hi

(wo habt ihr die letzten paar Jahre gelebt? Das ist doch Gegenstand aller Debatten um Clouddienst, seit sie auf den Markt gekommen sind...)

stell dir mal die Frage, wie MS dir die entsprechenden Services anbieten können soll, ohne die Daten anfassen zu dürfen.
Und Punkt 2 besteht nicht nur aus Punkt a und b, sondern auch schlicht aus 2, wo steht:

IANAL, aber MS BRAUCHT für diverse Dienste das Recht am eure Daten rangehen zu dürfen. Da steht nix davon, das sie eure Daten für sich selbst verwenden und im Zweifelsfall die Rechte an eurer Erfindung haben, die ihr da hochgeladen habt. Würde MS sich das Recht nicht einräumen, könnten sie weder Backups machen, auf Viren scannen, Inhalte der Mails analysieren(Spam) usw usw

ABER: Da MS ein US Unternehmen ist, haben da tatsächlich sehr viele ungewünschte Personen Zugriff auf eure Daten. Wenn ihr nicht wollt, das diverse Länder und deren Organe eure Daten abschnorcheln können, dann ist ne Cloud eher nix für euch. Eigentlich ist dann das ganze Internet nix für euch, aber das ist wieder ein anderes Thema.

Hallo,

die amerikanischen Nachrichtendienste haben ausdrücklich auch den Auftrag der Wirtschaftsspionage.

Wenn ich mich recht erinnere, besagt das amerikanische Recht, dass US-Dienste ausdrücklich das Recht haben auf Daten amerikanischer Firmen im Ausland zuzugreifen. M$ muß also amerikanischen Diensten und der Justiz den Zugang auch zu bei Ihnen gehosteten Kundendaten ermöglichen, auch wenn die Server nicht in den USA stehen und die nationalen Regelungen (zB. DSGVo) es eigentlich verbieten..

Und zum Schluß: Nach deutschem Steuerrecht müssen alle steuerrelevanten Daten sich in Deutschland bzw in der EU befinden. Also die Mail mit der Rechnung im Anhang darf nicht auf einem Server außerhalb der EU gespeichert werden.

Jürgen

Überrascht euch das wirklich?
Und das tun sie. Beraten von "IT-Unternehmen" meist sogar.
Kommt seltener vor, da sie ja "beraten" wurden. Den Profi im Haus, da kann nichts schief gehen.
Den möchte ich kennenlernen. Was M$ wirklich tut weiß nur M$ und die werden dir nicht alles auf die Nase binden.

Und wieder ein mal bestätigt sich, dass Clouds für Kundendaten der letzte Speicherort sein sollte.

Die US-Behörden dürfen von US-Firmen nur die Daten von Amerikanern im Ausland anfordern.
Ansonsten gelten die Gesetzte in dem jeweiligen Land wo die Daten gespeichert sind.

Siehe auch:
https://de.wikipedia.org/wiki/CLOUD_Act

Edit:

Korrektur. Du hast Recht. Kann unter umständen auch EU Bürger betreffen, wenn die US Behörden eine Regierungsvereinbarung beschließen.
Allerdings wird das vom Europaparlament derzeit noch abgelehnt. Somit betrifft der Zugriff aktuell nur US Bürger / US Firmen.

https://www.golem.de/news/neues-us-gesetz-was-der-cloud-act-fuer-eu-buer ...

Davon kannst du wohl sicher ausgehen als Eigentümer der HW worauf das gespeichert ist.
Als US Unternehmen gelten da auch andere Gesetze und du kannst sicher sein das nicht nur MS Zugriff auf diese Daten hat !!
Ein Schelm wer Böses dabei denkt....
Generell ist alles was öffentliche Cloud ist nicht wirklich kontrollierbar.
Wie oben schon gesagt bist du wohl recht weltfremd was das Thema angeht... "wo habt ihr die letzten paar Jahre gelebt?.."
Fazit:
Setz dir einen Raspberry Pi auf und pack dir eine eigene Cloud im eigenen Haus darauf wie Nextcloud dann behältst DU selber wenigstens die Hoheit über deine Daten

Hallo,

in diesem Fall macht dir die DSGVO die Entscheidung ganz einfach. Versuche mal mit MS einen Vertrag zu Datenverabeitung abzuschließen. Den schreibt die DSGVO nämlich vor siehe z.B. hier Kurzpapier 13

https://www.lfd.niedersachsen.de/startseite/dsgvo/anwendung_dsgvo_kurzpa ...

Das wird wie Asrertix und Obleix mit Passierschein A38

https://www.youtube.com/watch?v=lIiUR2gV0xk

Hallo,

das ist ein nicht unwichtiges Thema. Ich bin gerade bei einem Unternehmen, welches zuerst IT Beratung anbietet. Jetzt ist man von verschiedenen Kunden angefragt worden, ob man nicht auch deren IT betreiben könnte / würde.
Jetzt geht es in die Richtung MSP (Managed Service Provider) für Cloud Services. D.h. O365 / Exchange Online, Sharepoint Online, OneDrive Online, SQL Online, ja und auch Backup in die Cloud.

Ich habe meine eigene Meinung zu diesem Thema. Nun ich bin mal sehr gespannt, in welche Richtung, wie lange und wie weit das geht.

Ja die Aussage heißt, warum soll ich mir Hardware anschaffen, worum ich mich kümmern muss? Ich will das alles nicht, sondern die Services in der Cloud nutzen. Somit habe ich keine Wartungskosten für die eigene Hardware, keine Stromkosten, weniger eigenes Personal, welches ich bezahlen muss, usw.
Über die Datensicherheit und Hohheit macht sich keiner Gedanken. Wie es der Beitragsersteller geschrieben hat.

Gruss Penny

So ist es leider. Das Argument Kosten für die IT ist sicherlich ein starkes, aber im Schadensfall löst sich das Argument in Luft auf. So schön, toll und bequem Clouddienste auch sind. Und sich das vom Auftraggeber schriftlich geben lassen hilft auch nicht viel, denn am Ende heißt es "Du hast mir doch dazu geraten". Und schon ist der Ärger da.

Das ist das Dilemma. Viele Unternehmen denken NICHT über darüber nach. Und gerade im Hinblick auf die Datenspeicherung, DS-GVO, Zugriff durch andere Regierungen(?).
Denn die meisten Cloudanbieter sind amerikanische Firmen. Und für die gilt zuerst das amerikanische Recht. War da nicht mal ein Zitat eines US-Präsidenten?

Gruss Penny

Das ist ganz einfach, ohne bekommst du die Dienste nicht.

/Thomas

Hast Du da schon mal einen gesehen, der DSGVO-Konform ist? Ich nicht.

Ja

Moin,

ok, es ist normal für Informatik nur 0 und 1 zu kennen, aber warum meint ihr das sowas generell gilt?
Erstmal: Glaubst du das andere Systeme zwingend besser / sicherer sind? Das würde bedeuten das du den Quellcode wirklich prüfst um sicherzustellen das keine Lücken drin sind.
Und dann hängt es ja auch von deinen Kunden ab - und den Firmen-Anforderungen... Ist ja schön das ihr z.B. kein Skype nutzen wollt weils von MS ist - blöd nur wenn div. Kunden das nutzen. Und natürlich auch was ihr für ne Firma habt - wenn du z.B. Standorte direkt in den Staaten hast dann is das ganze eh zweckfrei...

Von daher: Ich würde einfach mal nicht in Panik verfallen und alles abschalten weils bei MS o.ä. ist - sondern mich mal hinsetzen und gucken was man jetzt wirklich will...

Das mit dem Backup wird nicht passieren. Keine Chance. Eure Anforderungen könnt ihr nur Umsetzen, wenn ihr es selbst hosted.

Github prüft überhaupt nichts, und ob jemand aus "der Community" irgendwas prüft ist auch mehr als unsicher. Es ist ja nichtmal klar wer "jemand" ist.
Über den Satz solltest du nochmal nachdenken.
Niemand muss gutgläubig sein, wenn dir die Bedingungen nicht gefallen solltest du den Dienst nicht benutzen.

Moin,

wie kommst du darauf das GitHub oder ähnliche sich da einmischen? Und selbst die Sache das der Quellcode ja frei ist hilft dir nicht. Denn jedes grössere Software-Projekt holt heute Lib's dazu die von Fremdherstellern kommen. Ich sende als MEINEN (sauberen) Quellcode zu dir, du prüfst den und sagst "ok, is sauber". Wie aber grad vor nen paar Tagen mal wieder passiert - der Anbieter einer Lib hatte eben irgendwann keine Lust mehr, sein Projekt wurde dann von jemand übernommen und der hat da komische Dinge eingebaut (vgl.: https://www.golem.de/news/event-stream-populaeres-npm-paket-verteilt-sch ... ). D.h. selbst wenn ich _HEUTE_ gucke das auch die Libs sauber sind - ich weiss nicht was damit morgen oder nächste Woche passiert. Das kann aber weder GitHub noch Suse noch sonst wer sicherstellen.

Wenn also absolut niemand auf die Daten zugreifen darf würde ich eben überlegen nen VPN + nen simplen Fileserver zu machen. Der Fileserver hat per Firewall-Regel nur Zugriff aufs VPN und aufs interne Netzwerk -> fertig. Denn: Alles was du ins Internet stellst kannst du potentiell erst mal als "offen für alle" sehen. Nimm halt OwnCloud. Morgen findet jemand raus das du mit nem Benutzernamen äöäöäö leider die Anmeldung umgeht und root-Rechte hat oder in irgendeiner der besagten Lib's is ne Backdoor drin die bei nem bestimmten Token alles erlaubt. Solang bis du dein System gepatcht hast (und hoffst das nich mehr Lücken auftreten - vgl. aktuelle Microcode-Updates von Intel) gibts sonst nur "vom Netz nehmen". Dumm wenn du grad im Urlaub bist und/oder es wagst mal für 2-3 Tage keine IT-News zu lesen weil andere Sachen anstehen...

Natürlich kannst du auch verschlüsselte Dateien in jede Cloud legen -> simpel mit ZIP + Passwort oder als Container z.B. für TrueCrypt. Das ist dann aber wieder was bei dem andere Probleme auftreten (z.B. das man den Container erst komplett laden muss bevor man die Dateien sieht). Auch hier hängt es von euren Anforderungen ab WAS ihr plant. Für eine Entwicklerbude die z.B. VMs als Demo-Systeme verteilt kein Problem (die VM wäre eh nur lauffähig wenn alles fertig geladen ist). Für eine Grafik-Agentur die dem Kunden 500 Bilder bereitstellen möchte die er ansehen soll eher schwer aber ggf. noch erklärbar. Bei Endkunden nahezu unmöglich weil es da eben meist nich mal das Wissen gibt wie die so nen Container öffnen könnten... Was euch ebenfalls bewusst sein muss: Im Web ist die Anmeldung typischerweise mit Passwort -> selbst das sicherste System hilft nicht wenn der Kunde das Passwort "Password" hat (was erschreckend oft der Fall ist!). Bei nem (guten) VPN kannst du das schon damit umgehen das du entweder per Zertifikat arbeitest und der Kunde somit gar kein Passwort benötigt ODER das du eben User- und Group-Passwort vergibst wobei du das Group-PW ja zumindest schon mal selbst bestimmen kannst. Oder du kannst eben auch nen SmartCard-System nutzen (habe ich z.B. für meine Bank) - selbst wenn du also mein Passwort hast, die Kopie der Software von meinem Rechner ziehst hilft dir das immer noch nicht da du eben eine zusätzliche Hardware benötigst.

Wie gesagt - vieles hängt davon ab was ihr braucht, was euer Budget und was die technischen Möglichkeiten sind... Denn natürlich ist die Sicherheit immer erst mal für den Kunden eine extra Hürde. Und als Kunde würde ich vermutlich nicht so begeistert sein wenn du mir nen SmartCard-Reader vorschreibst mit dem ich mich in nem VPN anmelden kann um dann nen einfaches Angebot runterladen zu können was du mir vorher einfach per Mail geschickt hast.... Ist dein Kunde allerdings Herr Trump und du bist zufällig für entsprechende Millitär-Behörden tätig würde ich schon hoffen das der Abschuss einer Atomrakete mehr als ne 4-Stellige-PIN-Nummer erfordert... wobei...hmmm.... bei Blondie?!? OH GOTT, WIR SIND VERLOREN!!!!

Was nützt dir eine theoretische Möglichkeit? Das macht den Code kein bisschen sicherer, verleitet dich offenbar aber dazu anzunehmen das er sicherer wäre.
Was willst du mit Daten an die "Niemand" ran darf? Das Wort "Niemand" schließt dich übrigens ein.
Der Tipp ist sehr brauchbar, wenn das Angebot nicht auf deine Anforderungen passt solltest du es nicht nutzen. Nur für dich wird MS seine Cloud Angebote nicht ändern, die sind nur durch Standardisierung rentabel.

Moin,

das ist eben dein Fehler - Open Source ist natürlich prüfbar. In der theorie damit natürlich auch sicherer.... Es ist aber auch VERÄNDERBAR - im Gegensatz zu "closed source". Wenn ich jetzt mal so überlege wie oft im letzten Jahr SSH und SSL (beides lange bekannte und freie Implementierungen!) plötzlich doch noch was gefunden hat stellt sich die Frage ob es wirklich sicherer ist...

Was du machen kannst steht oben:
a) selbst hosten mit z.B. OwnCloud und hoffen das keine Lücke drin ist
b) VPN nutzen und normale Fileshares verwenden - damit hast du schon mal deinen Server nicht direkt im Netz stehen
c) Die Lizenzbedingungen der div. Anbieter akzeptieren und diese Dienste nutzen.

Hallo,

man kann diese Möglichkeit noch etwas abwandeln, indem man die in der Cloud gespeicherten Daten vor dem Speichern verschlüsselt.

Das ist auch die allgemeine Empfehlung für die Nutzung öffentlicher Cloud-Angebote.

Die Sicherheit der Daten ist dann nur noch von der Stärke der Verschlüsselung abhängig.

In wie weit das in der konkreten Anwendung umsetzbar ist, muß der TO bewerten.

Jürgen

Guten Abend,


rein rechtlich darf MS nicht auf deine Daten zugreifen. Aber sie könnten theoretisch dies schon machen und das selbst wenn die Daten auf den MS Servern verschlüsselt sind, da MS den Schlüssel besitzt. Es sei denn, du verschlüsselst die Dateien zusätzlich, die du in One Drive hochlädst.


Gibt zahlreiche Alternativen. Von deutschen Public Clouds bis hin zur Private Cloud.
Wenn dir Datenschutz sehr wichtig ist, würde ich einfach selbst ein Server bei einem deutschen Provider mieten und zum Beispiel Nextcloud mit Collabora Office verwenden.

Viele Grüße
Exception

Aber nur wenn die Daten in der EU liegen. Wenn nicht schon...und machen sie auch. Oder andere die MS lässt !
Nextcloud im eigenen RZ auf eigenem Blech ist da dann schon die bessere Alternative

Wer soll dir das denn garantieren? Und was machst du, wenn es doch geschieht?

Keine, die so sicher ist wie die, die du selbst hostest und kontrollierst.

Wenn du 100 %ige Sicherheit willst, dann fahre die Server runter und ziehe alle Stecker. Dann hast du schon mal 99,9%. Vielleicht stellst du dich dann mit einer Flinte daneben, dann könnten es schon 99,99 % sein.

Wirklich "sicher" wird es nicht geben. Du kannst nur versuchen das Risiko klein zu halten. Daten in Clouds abzulegen, die du nicht selbst betreibst, ist in meinen Augen ganz weit weg von "sicher".

In jedem Fall würde ich einen Sch3*ss darauf geben, was M$ (oder sonstwer) darf oder nicht darf. Sind die Daten erst mal nach außen gelangt, dann nützt dir das überhaupt nicht, dass M$ das "nicht durfte". Darauf kannst du dir höchstens ein Ei backen.

Ich bezweifle das ein übliches KMU das Sicherheitsniveau von Microsoft oder Google hin bekommt, viel zu wenige Ressourcen.

/Thomas

Ja, wenn man Angriffe von außen betrachtet, dann hast du Recht. Das bedeutet aber auch, dass man ein lohnendes Ziel sein muss. Man sollte sich mehr Sorgen darum machen was "die Großen" mit den Daten machen werden. Darüberhinaus wäre es doch klug die Cloud nur über VPN verfügbar zu machen.