T-Systems wird für Microsoft aus Rechenzentren in Magdeburg und Frankfurt am Main heraus Cloud-Dienste anbieten. Für Salesforce.com ist T-Systems bereits exclusiver Cloud-Partner. (Bild: Microsoft
Die Public-Cloud-Dienste von Microsoft Azure Deutschland sind zu ISO/IEC 27001:2013 konform. Das bescheinigt TÜV NORD CERT GmbH dem Informationssicherheits-Managementsystems des Anbieters.
ISO/IEC 27001 bedeutet, dass neben eigenen Sicherheitsstandards auch regulatorische und gesetzliche Anforderungen in Bezug auf die Informationssicherheit einhalten werden. Weil dieses ISO/IEC 27001 ein international akzeptierter Standard ist, habe Microsoft diesen auch als Grundlage für die internen Anforderungen in Fragen der Informationssicherheit festgelegt, wie das Unternehmen mitteilt.
Parallel dazu habe sich Microsoft auch für ISO/IEC 27018:2014 zertifizieren lassen. ISO/IEC 27018 beschreibt den Schutz von personenbezogenen Daten (PII) in Public Clouds.
Zertifiziert wurde in einem unabhängigen Audit durch TÜV NORD CERT das Management ausgewählter Dienste von Microsoft Azure Deutschland durch die Betreibergesellschaft Microsoft Deutschland MCIO GmbH. Vor allem die Überprüfung des Datentreuhand-Modells, inklusive der Zugangskontrollen zu den Kundendaten (Role Based Access Control) durch den Datentreuhänder habe in dem Audit auf dem Prüfstand gestanden, heißt es von Microsoft.
Gerade für den öffentlichen Sektor, einer wichtigen Zielgruppe der Microsoft Deutschland Cloud, ist die Konformität nach ISO/IEC 27018 ein wichtiges Argument. Für zahlreiche Entscheider im öffentlichen Sektors in Deutschland in dieser Zertifizierung eine zentrale Anforderung für Public-Cloud-Anbieter. Viele haben in ihrem Lastenheft stehen, dass die Rechenzentren des ISPs sich ausschließlich in Deutschland befinden müssen. Natürlich müsse der Betrieb den gesetzlichen deutschen Datenschutz- und Compliance-Anforderungen entsprechen.
Deutsche Unternehmen standen Cloud-Angeboten von Microsoft bisher skeptisch gegenüber. Nun soll ein komplexes Vertragswerk Bedenken ausräumen. Dabei übernimmt T-Systems die Rolle als Datentreuhänder. Doch wie funktioniert dieses Konstrukt im Detail?
Neben Azure bietet Microsoft auch die Microsoft Cloud Deutschland als gesonderten Service an. Dieser bietet derzeit zwar noch eine abgespeckte Version des Weltweiten Angebotes, wird aber aus ausschließlich über die Rechenzentren in Frankfurt/Main und Magdeburg bereitgestellt. Damit liegen sämtliche Kundendaten in Deutschland verarbeitet und gespeichert.
Zugang zu diesen Daten aber hat nicht Microsoft, sondern T-Systems. Nur mit Zustimmung durch den Endanwender oder durch T-Systems könne Microsoft beispielsweise im Fehlerfall für einen bestimmten Zeitraum auf diese auf Daten zugreifen. Der Zugriff erfolge auch stets unter Aufsicht eines Mitarbeiters von T-Systems.
Wer Software für Unified Communication and Collaboration kauft, möchte nicht nur etwas über die Technologie, sondern auch über die Anbieter wissen. Schließlich bleiben die Produkte in der Regel lange im Unternehmen und erfüllen wichtige Funktionen. Da braucht es Vertrauen.
Weitere Details zum Thema Datenschutz in der Microsoft Cloud Deutschland stellt Microsoft in dem kostenlosen “IT Grundschutz Compliance Workbook Microsoft Azure Germany” bereit. Das Workbook mit Empfehlungen für den Erhalt eines “IT Grundschutz-Zertifikat” ist ab dem 24. Januar verfügbar.
Tipp: Sind Sie ein CeBIT-Kenner? Testen Sie Ihr Wissen über die wichtigste IT-Messe der Welt mit einem Quiz auf silicon.de.
DDoS-Angriffe haben seit dem Beginn des Krieges zwischen Russland und der Ukraine an Häufigkeit und…
Lieferkettenplanung in Deutschland auf Basis von Excel bei 37 Prozent der befragten Unternehmen im Einsatz.
Bedienpersonal von Fertigungsanalagen soll mögliche Risiken auch ohne Cybersecurity-Fachwissen erkennen und minimieren können.
Schiffl IT: Anomalien im Netzwerkverkehr und in den Systemen in Echtzeit identifizieren.
Absicherung der IT-Infrastruktur erfolgt über die Zero Trust Exchange-Plattform von Zscaler.
Maschinen können mit neuen Verfahren lernen, nicht nur Vorhersagen zu treffen, sondern auch mit kausalen…
View Comments
Eins verstehe ich nicht: das Konstrukt mit Microsoft und der T-Systems als Treuhänder soll den Zugriff, bzw. die rechtliche Verpflichtung der Offenlegung von Daten u.a. durch den Freedom Act (ehem. Patriot Act) der USA verhindern.
Dieses Gesetzt gilt für Unternehmen, die ihren Sitz in USA haben sowie für Unternehmen, die dort Niederlassungen unterhalten.
Meine Schwierigkeit: Hat denn die T-Systems keine Niederlassungen in USA? Unterliegt sie nicht auch dem Freedom Act?
Hallo,
die Thematik ist in der Tat sehr komplex und schwer zu durchschauen. Ein ausführlicher Artikel dazu befindet sich bei silicon.de in Vorbereitung. Wir werden dann an dieser Stelle darauf hinweisen, wenn er veröffentlicht wurde. Bis dahin lohnt sicher auch die Lektüre dieses Whitepapers, das - unabhängig von dem speziellen Konstrukt von Microsoft und T-Systems - eine generelle Einschätzung zu der Thematik liefert und über zahlreiche rechtliche Grundlagen des transatlantischen Datenaustausches informiert: http://whitepaper.silicon.de/resource/datenschutz-datensicherheit-und-compliance-bei-internationalen-cloud-angeboten
Peter Marwan
Redaktion silicon.de
Hallo,
wir haben unser Versprechen eingelöst. Der Beitrag zu den Hintergründen und der Funktionsweise des Datentreuhändermodells von Microsoft und T-Systems ist nun veröffentlicht worden: http://www.silicon.de/41639992/microsofts-deutschland-cloud-so-funktioniert-das-datentreuhaendermodell/ Hoffentlich schafft er ein bischen Klarheit und hilft Ihnen weiter.
Peter Maran
Redaktion silicon.de