Microsofts Deutschland-Cloud: So funktioniert das Datentreuhändermodell
Microsoft versucht mittlerweile alles, um der Annahme vorzubeugen, die Daten deutscher Cloud-Kunden könnten auf irgendeine Weise verloren gehen oder in unbefugte Hände geraten, zum Beispiel die des US-Geheimdienstes. Für sicherheitssensible Kunden, etwa aus der Verwaltung, hat Microsoft eigene, teurere Deutschland-Services aufgelegt. Zur deutschen Produktfamilie gehören derzeit spezielle Servicevarianten von Azure, Office 365, Power BI, ab Sommer auch Dynamics sowie weitere Serviceprodukte
Dass die genutzten Rechenzentren in Frankfurt am Main und Biere bei Magdeburg Features wie Multi-Faktor-Authentisierung, gängige Zertifizierungen, aktive Spiegelung aller Daten zwischen den beiden Rechenzentren, TLS-Verschlüsselung, hohe Redundanzgrade in der Infrastruktur und Ähnliches haben, mutet eigentlich in diesem Zusammenhang schon fast selbstverständlich an.
Dazu kommt eine Datentreuhändervereinbarung zwischen Microsoft und T-Systems, dem Rechenzentrumsbetreiber der oben genannten Ressourcen. Gesteuert werden die beiden Rechenzentrum von einem redundant ausgelegten Cloud Control Center von T-Systems in Berlin, auf das Microsoft keinen Zugriff hat.
Das Prinzip der Datentreuhändervereinbarung
Das Prinzip der Datentreuhändervereinbarung ist eine strikte räumliche und Funktionstrennung: Die Rechenzentren stehen unter der Aufsicht von T-Systems. Das Unternehmen ist auch für den gesamten Plattform-Betrieb zuständig. Microsoft hat dafür zu sorgen, dass die SLAs der angebotenen Dienste eingehalten werden. Die Kundendaten sind vollständig verschlüsselt, Microsoft hat keinerlei Schlüsselzugriff.
Es gibt nur wenige Fälle, in denen Microsoft Zugriff auf die Daten eines Kunden bekommen kann, nämlich wenn der Kunde das erlaubt, das deutsche Recht es verlangt oder der Zugriff im Rahmen der Regeln der Datentreuhändervereinbarung erfolgt.
Die Schutzbestimmungen gelten für alle Daten, die in die Cloud geladen werden, Softwareanwendungen auf Azure und auch für Informationen, die helfen können Endanwender zu identifizieren – beispielsweise Daten, die in einem Active Directory auf der Azure-Cloud stehen.
Davon ausgenommen sind nur Kontakt- und Rechnungsinformationen des Kunden sowie generalisierte Verbrauchsstatistiken, die keinen Rückschluss auf das Verhalten einzelner Anwender zulassen.
Niemals allein – Microsoft im T-Systems-Rechenzentrum
Für alle anderen Zugriffe auf die Teile der Infrastruktur, die Kundendaten speichern, durch Microsoft oder andere Dritte gibt es eng umschriebene Umstände. Zugriff bekommt Microsoft nämlich nur, wenn Störungsbehebung und Wartungseingriffe es erfordern. Für Updates und Patching wird nur ein automatisierter Zugriff mit entsprechenden Tools gewährt, den Microsoft-Mitarbeiter eigens beantragen müssen.
Für manuelle Zugriffe müssen die Mitarbeiter von Microsoft oder seiner Subunternehmer zunächst einen Antrag an T-Systems stellen. Falls er genehmigt wird, erhalten sie für genau den Zeitraum Zugriff auf die Infrastruktur, der nötig ist, um das geplante Vorhaben, zum Beispiel eine Störung zu beheben, nötig ist. Dabei sieht ihnen ständig ein T-Systems-Mitarbeiter über die Schulter. Microsoft bezeichnet das als physischen Escort. Außerdem wird das Ganze per Video festgehalten.
Um dieses strikte Vorgehen einhalten zu können, hat das Berliner Cloud Control Center einen speziell geschützten Bereich, in den Externe inklusive Microsoft nur nach der Genehmigungsprozedur und begleitet hinein kommen. Davor befindet sich ein mit Sicherheitspersonal besetzter Raum. Die Mitarbeiter sorgen dafür, dass die Regeln eingehalten werden.
Kann man die Störung durch Remote-Eingriffe beheben, ist das der bevorzugte Weg. Dafür muss Microsoft ebenfalls einen Antrag stellen, bei Genehmigung wird der Zugriff freigeschaltet und ebenfalls online dokumentiert und protokolliert. Alle Protokolle und Aufzeichnungen behält T-Systems, um sie bei Bedarf dem Kunden zur Verfügung zu stellen.
Auch andere Datentreuhänder, mit denen Microsoft möglicherweise später zusammenarbeitet, müssen alle Verpflichtungen aus dem Treuhändervertrag einhalten und nach deutschem Recht handeln. Sie müssen entweder eine deutsche Firma mit Sitz in Deutschland sein oder eine Firma, an der eine deutsche Firma mit Sitz in Deutschland die Mehrheit hält. Dafür, dass der Datentreuhänder dies alles tut, ist dem Kunden gegenüber Microsoft verantwortlich. Wechselt Microsoft den Datentreuhänder, kann der Kunde fristlos die bezogenen Services kündigen. Kunden wissen also von Anfang an, auf welchen Datentreuhänder sie sich einlassen und können selbst überlegen, ob dieser Treuhänder ihnen vertrauenswürdig genug ist.
Nur mehrere Verträge schützen
Reichlich komplex ist das Vertragskonstrukt, das Microsoft, T-Systems und seine Kunden miteinander verknüpfen soll. Es besteht aus mehreren miteinander verschachtelten und voneinander abhängigen Einzelverträgen.
Mit Microsoft schließt der Kunde einen Volumen-Lizenzvertrag.
Dazu gehört auch ein Auftragsdatenverarbeitungsvertrag zwischen Kunde und Microsoft sowie eine Vereinbarung für die Microsoft Cloud Deutschland mit Microsoft Ireland Operations.
Ebenfalls im Paket der Microsoft-Vereinbarungen enthalten sind die EU-Standardvertragsklauseln, die für Microsoft als Auftragsdatenverarbeiter gelten.
Außerdem schließen die Kunden einen zusätzlichen Vertrag über Auftragsdatenverarbeitung mit T-Systems, der als Datentreuhändervertrag fungiert.
Das alles schützt Kunden allerdings noch immer nicht unter allen Umständen vor unbefugten Datenzugriffen – nämlich dann, wenn sie nicht selbst, sondern über Dritte die Microsoft-Infrastruktur nutzen. US-Unternehmen oder deren Tochterfirmen, die eigene Services auf der deutschen Microsoft-Deutschland-Cloud hosten und deutschen Kunden anbieten, sind von den Vereinbarungen in der oben beschriebenen Form nicht erfasst.
Würde also der US-Geheimdienst oder ein US-Gericht von einem solchen Dienstleister Daten von dessen deutschen Kunden fordern, könnte sich der Dienstleister den US-Behörden gegenüber nicht auf die Datentreuhändervereinbarungen zwischen Microsoft, T-Systems und sich selbst berufen, um die Daten seiner Kunden zu schützen. Schließlich geht es bei dem Zugriffsersuchen ja nicht um Microsofts Kunden, sondern um seine eigenen.
Helge Husemann, Product Marketing Manager EMEA von Malwarebytes, stellt in diesem 60-minütigen Webinar (Aufzeichnung) die neue Sicherheitslösung Malwarebytes Endpoint Protection vor. Sie enthält ein mehrstufiges Sicherheitskonzept und bietet damit einen effektiven Schutz vor modernen Bedrohungen wie WannaCry, Petya und anderen.
“Für Fälle wie diesen braucht zumindest auch dieser Dienstleister eine eigene Datentreuhändervereinbarung mit T-Systems”, meint Reiner Strassner, Principal Program Manager Cloud bei Microsoft Deutschland und in dieser Funktion für Azure zuständig. Laut Strassner sind schon eine Reihe Anbieter dabei, an solchen Vereinbarungen zu tüfteln. Dass die USA nun einen neuen Präsidenten haben, der schnell mit rüden Maßnahmen zur Hand ist, dürfte diesen Bemühungen noch Auftrieb geben.