Microsofts Deutschland-Cloud: Compliance ist möglich, kostet aber extra
Mit Office 365 Deutschland und Power BI Deutschland gibt es jetzt für deutsche und europäische Microsoft-Kunden Services aus der lokalen Cloud. Der Konzern hofft, damit Vorbehalte bei sicherheitsbewussten Anwenderfirmen ausräumen zu können. Aber wie so oft kostet ein Plus an Sicherheit auch mehr Geld.
Die Einladung zur Bereitstellung von Office 365 Deutschland und Power BI Deutschland bescherte Microsoft in Berlin ein volles Haus. Die nun verfügbaren Softwaredienste, die Microsoft bereits 2015 angekündigt hatte, sollen in erster Linie Sicherheits- und Compliance-bewussten Kunden aus Deutschland, EU und EFTA angeboten werden. “Wir denken hier als erstes an den Public Sector, aber auch Finanzdienstleister, Healthcare und andere Sektoren mit hohem Sicherheitsbedarf”, sagte Alain Genevaux bei der Presse-Präsentation der Services, die der eigentlichen Veranstaltung vorgelagert war.
In Berlin hatte sich angesichts der Freischaltung der Services viel Microsoft-Prominenz eingefunden, unter anderem Sabine Bendiek, Vorsitzende der Geschäftsführung von Microsoft Deutschland, Julia White, Corporate Vice President der Microsoft Cloud Plattform. Dazu kam Anette Bronder, die Mitglied der Geschäftsleitung von T-Systems International ist, dem Daten-Treuhänder von Microsoft in Deutschland.
Sabine Bendiek machte klar: “Vor allem geht es dabei um Vertrauen!” – nämlich das der Anwender, die ihre Daten sicher vor Zugriffen insbesondere US-amerikanischer Sicherheitsbehörden, aber selbstverständlich auch allen anderen unbefugten Zugriffen wissen möchten. Deshalb hatte Microsoft schon 2016 T-Systems als Datentreuhänder gewählt, nur die entsprechenden Softwareservices fehlten bislang noch. Das im Detail hochkompliziete Verhältnis im Rahmen dieses Artikels genau zu beschreiben, würde den Rahmen sprengen, ein entsprechender beitrag ist aber in Vorbereitung.
Polizei NRW nutzt die Cloud
Als Vertreter der Anwenderseite berichtete auf dem Podium im großen Saal der Berliner Microsoft-Niederlassung Andreas Lezgus, Leitender Polizeidirektor bei der Polizei NRW, vom Nutzen der Cloud für die Polizei, beispielsweise bei Speicherung und Analyse der großen Datenmengen, die bei der kriminaltechnischen Untersuchung von Computern anfallen (20 PByte). Er betonte, wie wichtig gerade bei überraschenden Entwicklungen die schnelle Skalierbarkeit von Cloud-Ressourcen für die Polizeibehörden seien. Allerdings werde es neben Public-Cloud-Nutzung gerade bei der Polizei auch noch lange Private Clouds geben.
Wer auch dadurch noch immer nicht von Cloud im Allgemeinen oder von Microsofts deutscher Cloud-Variante im Besonderen überzeugt war, wurde von Bitkom-CEO Bernhard Rohleder förmlich beschworen: “Ohne die Cloud ist die digitale Transformation nicht zu schaffen!” Dass letztere möglich ist, dafür führte Rohleder als praktisches Beispiel die Fernbus-Plattform Flixbus an. “Flixbus schreibt zwar eigene Software, hat aber keine IT-Infrastruktur.” Dabei habe das Unternehmen Aktivitäten in 20 Ländern.
Es sei ein typisches Beispiel für eine neue Plattform, die überhaupt erst durch die Digitalisierung und Cloud in ihrer existierenden Form möglich sei. Flixbus, derzeit Marktführer bei Fernbussystemen, führt die Angebote vieler mittelständischer Busunternehmen im Internet zusammen und macht sie damit für einen breiten Interessentenkreis über eine Oberfläche buchbar.
Praxisleitfaden für den Schutz von Unternehmen vor Ransomware
Helge Husemann, Product Marketing Manager EMEA von Malwarebytes, stellt in diesem 60-minütigen Webinar (Aufzeichnung) die neue Sicherheitslösung Malwarebytes Endpoint Protection vor. Sie enthält ein mehrstufiges Sicherheitskonzept und bietet damit einen effektiven Schutz vor modernen Bedrohungen wie WannaCry, Petya und anderen.
Microsofts öffentlicher Launch der neuen Dienste kommt nicht zufällig zu diesem Zeitpunkt: Die Ressourcen, auf denen die Services in Deutschland laufen, stehen in Rechenzentren in Frankfurt und Magdeburg und werden von Berlin-Mitte aus kontrolliert. Allerdings bekamen diese Infrastrukturen erst jetzt, am Tag der Servicebereitstellung, die sehnlichst erwartete Zertifizierung nach ISO 27001 (Zertifizierung auf Basis IT-Grundschutz) und ISO 27018 (Datenschutz in der Cloud). Letztere Norm gibt es erst seit 2014.
Derzeit läuft die SOC- (Security Operations Center)-Zertifizierung, für die ein halbjähriger Betrieb Voraussetzung ist, dann soll eventuell noch die C5-Zertifizierung folgen. C5 steht für Cloud Computing Compliance Controls Catalog und ist ein Prüfschema des Bundesamtes für Sicherheit in der Informationstechnik (BSI) für Unternehmen und Behörden, die operative Sicherheit beim Schutz gegen Cyber-Angriffe nachweisen wollen. AWS hat diese Zertifizierung für seine deutschen Rechenzentren bereits erworben.
Datentreunhänder T-Systems
Wegen der Datentreuhänder-Vereinbarung zwischen T-Systems und Microsoft hat Microsoft niemals ohne ausdrückliche Anforderung und Genehmigung des Kunden Datenzugriff und darf auch auf die Infrastruktur, beispielsweise fürs Patching oder für Updates, weder persönlich noch remote ohne Beobachtung durch T-Systems zugreifen (Vier-Augen-Prinzip). Die Daten sind permanent verschlüsselt, und selbstverständlich hat Microsoft auch keinen Schlüsselzugriff.
Microsoft, T-Systems und das Datentreuhändermodell
Deutsche Unternehmen standen Cloud-Angeboten von Microsoft bisher skeptisch gegenüber. Nun soll ein komplexes Vertragswerk Bedenken ausräumen. Dabei übernimmt T-Systems die Rolle als Datentreuhänder. Doch wie funktioniert dieses Konstrukt im Detail?
Das klingt nach “Mehr geht nicht“”. Doch der Schutz entpuppt sich bei näherem Hinsehen als nicht unbedingt wasserdicht. Denn beispielsweise konnte auf Nachfrage auch Sabine Bendiek nicht genau sagen, wer denn im Ernstfall, also bei Datenkorruption, Datenverlusten oder Datenmissbrauch von Daten in Microsofts Deutschland-Cloud, nun dem Kunden den Schaden ersetzen soll – der Datentreuhänder T-Systems oder aber Microsoft. Da müsse man den Einzelfall betrachten, sagte Bendiek sinngemäß.
Bleibt zu hoffen, dass Kunden im Ernstfall nicht erst jahrelange Streitigkeiten zwischen Treuhänder und Dienstleister aussitzen müssen, bevor sie eine finanzielle Entschädigung bekommen. Aber natürlich gehen alle Beteiligten bei Microsoft und T-Systems davon aus, dass solche Ernstfälle sich erst gar nicht ereignen. Und Verbands-Sprecher Rohleder wusste: “Daten sind nirgends sicher als im Rechenzentrum eines professionellen Dienstleisters.”
Allerdings ist für die Sicherheit ein nicht unerheblicher Aufpreis fällig: Während beispielsweise Office 365 in der Global-Edition mindestens 4,20 Euro pro Sitz kostet, liegt der Grundpreis für Office 365 Deutschland bei 5,30 Euro. Auch Power BI ist in der Deutschland-Version erheblich teurer. Das habe mit dem erhöhten Aufwand zu tun. So sei eigens für die Deutschland-Dienste eine spezielle Infrastruktur errichtet worden. Es hängt aber wahrscheinlich auch mit dem Angstlevel der sicherheitssensiblen Kunden zusammen, der sich an der Tiefe der Taschen messen lässt. Genevaux: “Unsere Untersuchungen haben ergeben, dass Kunden bereit sind, für sichere Softwareservices 25 Prozent mehr zu zahlen.”
Office 365 Deutschland: Angebot kommt gut an
Bei sicherheitsbewussten Kunden scheinen die neuen Services anzukommen. So will etwa die Deutschen Vermögensanlage AG, ein Finanzdienstleister, der lukrative Kapitalanlagen und Versicherungen gleichermaßen vermittelt und deshalb Regulierungen aus unterschiedlichen Bereichen unterliegt, in Zukunft Office 365 Deutschland verwenden. Beratungsunternehmen wittern neues Geschäft. “Ich kann meinen Beratungskunden, die bisher aus Sicherheitsgründen vor der Cloud zurückschreckten, seit heute endlich ein passendes Angebot machen”, frohlockte Dr. Erik Schott vom Beratungsunternehmen Kampana & Schott.
Effektive Meeting-und Kollaboration-Lösungen
Mitarbeiter sind heute mit Konnektivität, Mobilität und Video aufgewachsen oder vertraut. Sie nutzen die dazu erforderlichen Technologien privat und auch für die Arbeit bereits jetzt intensiv. Nun gilt es, diese Technologien und ihre Möglichkeiten in Unternehmen strategisch einzusetzen.
Bei dem bisherigen Service-Angebot soll es nicht bleiben. Noch im ersten Halbjahr ist beispielsweise eine Dynamics-Version für Deutschland vorgesehen, auch PBX-Dienste sollen hinzukommen. Geplant ist, neue Cloud-Versionen der Microsoft-Produkte regelmäßig auch ins Angebot der Deutschland-Cloud zu integrieren. Das gilt aber nicht ohne Ausnahme. Das Social-Media-Tool Yammer wird es beispielsweise weiterhin nur in einer globalen Edition geben. Kunden können die Services direkt übers Web oder über Partner beziehen – vorausgesetzt, sie haben eine europäische Rechnungsadresse.