Microsoft: Sicherheit und Datenschutz in Zeiten von Covid

(Di Carlo Mauceli)
15/02/21

Vor ein paar Monaten haben wir über die Bedeutung von Sicherheit und Datenschutz in Zeiten von COVID gesprochen (v.articolo), wobei einige ethische und soziale Aspekte digitaler Technologien hervorgehoben werden.

Versuchen wir nun, einige Punkte im Zusammenhang mit der aktuellen Suite zu untersuchen und verweisen den neugierigeren Leser auf die Trust Center-Site, auf der Sie alle Details des Falles finden können.

Eines der Themen, die ich zunehmend mit unseren Kunden besprechen muss, ist die Verarbeitung personenbezogener Daten.

Microsoft verarbeitet personenbezogene Daten gemäß dem Online Services Data Protection Addendum („DPA“), das unter dem Link verfügbar ist https://aka.ms/DPA. Insbesondere sieht das oben genannte DPA vor, dass Microsoft die Rolle des Verantwortlichen für die Verarbeitung personenbezogener Daten übernimmt, und stellt die Vereinbarung dar, die den Verantwortlichen an den Datenverantwortlichen gemäß Artikel 28 bindet. 3 Absatz 2016) der Datenschutz-Grundverordnung – Verordnung (EU) 679/27 des Europäischen Parlaments und des Rates vom 2016. April XNUMX (DSGVO).

Die DSGVO-Bedingungen von Microsoft spiegeln die von den Auftragsverarbeitern in Artikel 28 geforderten Verpflichtungen wider. Artikel 28 verlangt von den Auftragsverarbeitern Folgendes:

  • Setzen Sie Unterauftragsverarbeiter nur mit Zustimmung des Eigentümers ein und übernehmen Sie die Verantwortung dafür.
  • Verarbeiten Sie personenbezogene Daten nur auf Anweisung des Eigentümers, auch im Hinblick auf die Übermittlung.
  • Stellen Sie sicher, dass Personen, die personenbezogene Daten verarbeiten, die Vertraulichkeit respektieren.
  • Implementieren Sie geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Maß an Sicherheit personenbezogener Daten zu gewährleisten.
  • Unterstützen Sie Verantwortliche bei der Erfüllung ihrer Pflichten, auf Anfragen betroffener Personen zur Ausübung ihrer DSGVO-Rechte zu reagieren.
  • Erfüllen Sie die Benachrichtigungs- und Supportanforderungen bei Verstößen.
  • Unterstützen Sie Verantwortliche bei Datenschutz-Folgenabschätzungen und beraten Sie die zuständigen Behörden.
  • Nach Beendigung der Leistungserbringung personenbezogene Daten löschen oder zurückgeben.
  • Unterstützen Sie den Verantwortlichen mit einem Nachweis der DSGVO-Konformität.

Datenverschlüsselung und Netzwerknutzung

Nehmen wir Teams als Analyseelement. Die Nutzung von Teams, die, wie wir uns erinnern, ein integraler Bestandteil der O365-Plattform und ganz allgemein aller Cloud-Dienste von Microsoft, nämlich Azure, Dynamics 365 und O365 selbst, ist, erfordert nicht unbedingt ein dediziertes VPN für Remote-Verbindungen.

Microsoft Teams nutzt die TLS- und MTLS-Protokolle, die verschlüsselte Kommunikation und Endpunktauthentifizierung über das Internet ermöglichen. Teams verwendet beide Protokolle, um das Netzwerk vertrauenswürdiger Server aufzubauen und sicherzustellen, dass die gesamte Kommunikation in diesem Netzwerk verschlüsselt ist. Die gesamte Kommunikation zwischen Servern erfolgt über MTLS. Restliche oder veraltete Client-zu-Server-SIP-Kommunikationen erfolgen über TLS.

Mit TLS können Benutzer über ihre Client-Software die Teams-Server in Microsoft-Rechenzentren authentifizieren, mit denen sie eine Verbindung herstellen. Bei einer TLS-Verbindung fordert der Client ein gültiges Zertifikat vom Server an. Um gültig zu sein, muss das Zertifikat von einer Zertifizierungsstelle ausgestellt worden sein, der auch der Client vertraut, und der DNS-Name des Servers muss mit dem DNS-Namen auf dem Zertifikat übereinstimmen. Wenn das Zertifikat gültig ist, verwendet der Client den öffentlichen Schlüssel im Zertifikat, um die für die Kommunikation zu verwendenden symmetrischen Verschlüsselungsschlüssel zu verschlüsseln. Anschließend kann nur der ursprüngliche Besitzer des Zertifikats seinen privaten Schlüssel zum Entschlüsseln des Kommunikationsinhalts verwenden. Die resultierende Verbindung ist zuverlässig und wird seitdem nicht von anderen vertrauenswürdigen Servern oder Clients in Frage gestellt.

Verbindungen zwischen Servern basieren auf gegenseitigem TLS (MTLS) zur gegenseitigen Authentifizierung. Über eine MTLS-Verbindung tauschen der Server, der eine Nachricht generiert, und der Server, der sie empfängt, Zertifikate von einer gegenseitig vertrauenswürdigen Zertifizierungsstelle aus. Zertifikate beweisen die Identität jedes Servers gegenüber dem anderen. Im Teams-Dienst wird dieses Verfahren befolgt.

TLS und MTLS tragen dazu bei, sowohl Abhörangriffe als auch Man-in-the-Middle-Angriffe zu verhindern. 

Bei einem Man-in-the-Middle-Angriff leitet der Angreifer die Kommunikation zwischen zwei Netzwerkeinheiten ohne Wissen einer der beiden Parteien über den Computer des Angreifers. Die TLS- und Teams-Spezifikationen vertrauenswürdiger Server mindern das Risiko eines Man-in-the-Middle-Angriffs teilweise auf der Anwendungsebene durch koordinierte Kryptografie über die Verschlüsselung mit öffentlichen Schlüsseln zwischen den beiden Endpunkten. Um die Kommunikation zu entschlüsseln, müsste ein Angreifer über ein gültiges und vertrauenswürdiges Zertifikat mit dem entsprechenden privaten Schlüssel verfügen, das auf den Namen des Dienstes ausgestellt wurde, mit dem der Client kommuniziert.

Die Tabelle zeigt die Verkehrsarten:

Verkehrstyp

 Verschlüsselt von

Von Server zu Server

 MTLS-Erweiterung

Client-zu-Server (z. B. IM und Anwesenheit)

 TLS

Medienströme (z. B. Audio- und Video-Sharing von Medieninhalten)

 TLS

Audio- und Video-Sharing von Multimedia-Inhalten

SRTP/TLS
Verständigung von Polizei

TLS

Authentifizierungs- und Autorisierungssysteme

Der „virtuelle Raum“ ist ein Teams-Meeting und entspricht daher den gleichen Sicherheitsstandards. Die Sicherheitsstandards beziehen sich auf die von O365, der Plattform, deren integraler Bestandteil Team ist. Es ist falsch, die Produktsicherheit aus der Authentifizierungsperspektive zu betrachten, da diese auf Plattformebene definiert wird.

Die Zugriffsaktivitäten des „virtuellen Raums“ und der Teams-Besprechung werden durch Protokolle verfolgt, auf die von der Organisation ernannte Administratorbenutzer zugreifen können.

Teams ist ein Cloud-Dienst und die Server befinden sich in Microsoft-Rechenzentren.

Daten und Metadaten

Auf die innerhalb des Mandanten gesammelten Daten, d. h. der Umgebung, die erstellt wird, wenn eine Organisation O365-Dienste abonniert, können die von der Verwaltung ernannten Administratoren über „Microsoft 365-Sicherheitscenter" welches beinhaltet:

  • Startseite: Überblick über den allgemeinen Sicherheitszustand Ihres Unternehmens auf einen Blick.
  • Vorfälle: Sehen Sie sich die umfassendere Geschichte eines Angriffs an, indem Sie die Punkte verbinden, die in den einzelnen Entitätswarnungen angezeigt werden. Wissen Sie genau, wo ein Angriff ausgelöst wurde, welche Geräte betroffen sind, welche Auswirkungen dies hat und wohin die Bedrohung gelangt ist.
  • Warnungen – Erhalten Sie einen besseren Einblick in alle Warnungen in Ihrer Microsoft 365-Umgebung, einschließlich Warnungen von Microsoft Cloud App Security, Office 365 ATP, Azure AD, Azure ATP und Microsoft Defender ATP. Verfügbar für E3- und E5-Kunden.
  • Action Center: Reduzieren Sie die Menge an Warnungen, auf die das Sicherheitsteam manuell reagieren muss, und geben Sie dem Sicherheitsbetriebsteam mehr Zeit, sich auf anspruchsvollere Bedrohungen und andere hochwertige Initiativen zu konzentrieren.
  • Berichte – Zeigen Sie die Details und Informationen an, die Sie benötigen, um Ihre Benutzer, Geräte, Apps und mehr besser zu schützen.
  • Secure Score: Optimieren Sie Ihre allgemeine Sicherheitslage mit Microsoft Secure Score. Wir bieten eine Zusammenfassung aller aktivierten Sicherheitsmerkmale und -funktionen sowie Vorschläge für Verbesserungsbereiche.
  • Erweiterte Jagd: Scannen Sie Ihre Microsoft 365-Organisation proaktiv auf Malware, verdächtige Dateien und Aktivitäten.
  • Klassifizierung: Schützen Sie sich vor Datenverlust, indem Sie Etiketten hinzufügen, um Dokumente, E-Mails, Dokumente, Websites und mehr zu klassifizieren. Wenn eine Bezeichnung angewendet wird (entweder automatisch oder durch den Benutzer), wird der Inhalt oder die Website entsprechend den ausgewählten Einstellungen geschützt. Sie können beispielsweise Tags erstellen, um Dateien zu verschlüsseln, Inhaltskennzeichnungen hinzuzufügen und den Benutzerzugriff auf bestimmte Websites zu steuern.
  • Richtlinien: Fügen Sie Richtlinien hinzu, um Geräte zu verwalten, vor Bedrohungen zu schützen und Benachrichtigungen zu verschiedenen Unternehmensaktivitäten zu erhalten.
  • Berechtigungen: Verwalten Sie, wer in Ihrer Organisation Zugriff auf das Microsoft 365-Sicherheitscenter hat, um dessen Inhalte anzuzeigen und Aufgaben auszuführen. Sie können Microsoft 365-Berechtigungen auch im Azure AD-Portal zuweisen.

Darüber hinaus besteht die Möglichkeit, den Zugriff auf die Funktionen des „Security & Compliance Center“ granular zu definieren.

Die von der Organisation zugewiesenen globalen Administratoren haben Zugriff auf die Funktionen des „Security & Compliance Center“; Dies ist einer der Gründe, warum es wichtig ist, globale Administratoren ordnungsgemäß abzusichern, sie von Benutzeraktivitäten zu entkoppeln (daher wird empfohlen, diesen Administratoren keine Office 365-Lizenz zuzuweisen) und sie nur bei Bedarf zu verwenden.

Wo sind die Server, die die Daten speichern?

Beim Abonnieren des Dienstes wird für jede Administration/jeden Client ein „Mandant“ zugeordnet, also die logische Einheit, die alle Administrationsdaten und Konfigurationen enthält.

Einer der Hauptvorteile von Cloud Computing ist das Konzept einer gemeinsamen Infrastruktur, die von vielen Kunden gleichzeitig genutzt wird, was zu Skaleneffekten führt. Dieses Konzept wird Multi-Tenancy genannt. Microsoft stellt sicher, dass mandantenfähige Cloud-Services-Architekturen Sicherheit, Vertraulichkeit, Datenschutz, Integrität und Verfügbarkeitsstandards der Enterprise-Klasse unterstützen.

Basierend auf erheblichen Investitionen und Erfahrungen aus zuverlässigem Computing und dem Lebenszyklus der Sicherheitsentwicklung werden Microsoft-Clouddienste unter der Annahme entwickelt, dass alle Mandanten potenziell allen anderen Mandanten gegenüber feindlich eingestellt sind und dass Sicherheitsmaßnahmen implementiert wurden, um zu verhindern, dass die Aktionen eines Mandanten die Sicherheit oder den Dienst eines anderen Mandanten beeinträchtigen.

Die beiden Hauptziele für die Aufrechterhaltung der Mandantenisolation in einer Umgebung mit mehreren Mandanten sind:

  • Verhindern Sie den Verlust oder unbefugten Zugriff auf Kundeninhalte zwischen Mandanten. Und
  • Verhindern Sie, dass sich die Handlungen eines Mieters negativ auf den Service eines anderen Mieters auswirken

In Office 365 wurden mehrere Schutzmaßnahmen implementiert, um zu verhindern, dass Kunden Office 365-Dienste oder -Anwendungen gefährden oder sich unbefugten Zugriff auf Informationen anderer Mandanten oder des Office 365-Systems selbst verschaffen, darunter:

  • Die logische Isolierung von Kundeninhalten innerhalb jedes Mandanten für Office 365-Dienste wird durch Azure Active Directory-Autorisierung und rollenbasierte Zugriffskontrolle erreicht.
  • SharePoint Online bietet Datenisolationsmechanismen auf Speicherebene.
  • Microsoft setzt strenge physische Sicherheit, Hintergrundüberprüfungen und eine mehrschichtige Verschlüsselungsstrategie ein, um die Vertraulichkeit und Integrität der Kundeninhalte zu schützen. Alle Office 365-Rechenzentren verfügen über biometrische Zugangskontrollen, wobei für die meisten Palm-Drucker physischer Zugang erforderlich ist.
  • Office 365 nutzt dienstseitige Technologien, die Kundeninhalte im Ruhezustand und während der Übertragung verschlüsseln, darunter BitLocker, dateispezifische Verschlüsselung, Transport Layer Security (TLS) und Internet Protocol Security (IPsec).

Zusammengenommen bieten die unten aufgeführten Schutzmaßnahmen robuste logische Isolationskontrollen, die einen Schutz und eine Eindämmung von Bedrohungen bieten, die denen einer reinen physischen Isolation entsprechen.

Datenlokalisierung

Im Hinblick auf die Geolokalisierung der Dienstleistungen werden nachstehend die Einzelheiten zu den Mietern im geografischen Gebiet Europa aufgeführt:

► OneDrive for Business/SharePoint Online/Skype for Business/Azure Active Directory/Microsoft Teams/Planer/Yammer/OneNote Services/Stream/Formulare:

  • Irland
  • Niederlande

► Exchange Online/ Office Online/ Office Mobile/ EOP/ MyAnalytics:

  • Österreich
  • Finnland
  • Irland
  • Niederlande

Kunden können mandantenspezifische Datenstandortinformationen im Office 365 Admin Center unter Einstellungen | anzeigen Organisationsprofil | Datenpfadkarte.

Natürlich ist das noch nicht alles. Zur Sicherheit von Microsoft-Systemen gibt es noch viel zu sagen, deshalb werde ich demnächst über sicheres Datenmanagement in der Cloud sprechen.

Events

Klicken Sie auf die rot hervorgehobenen Tage und finden Sie heraus, was belegt ist.
Geschichten des Militärlebens
Schick uns deine Geschichte
Hommage an die 80. „Roma“-Infanterie, die ehrenvoll Abschied nimmt

Nun ja, wir sind mittlerweile daran gewöhnt, die Schließung der Kasernen mitzuerleben und vielleicht sogar ein wenig daran, die lange Geschichte der Abteilungen zu begraben, ein Phänomen, das die Erinnerungen jedoch nicht löscht. Es berührte auch...

Lesen Sie die Geschichte
"Il Signor Parolini" (XNUMX. Teil)

Das gebackene Hühnchen wurde wie erwartet seinem Ruf gerecht und festigte, wo nötig, die unbestrittene kulinarische Meisterschaft von Gastone, Chef ...

Lesen Sie die Geschichte