Im digitalen Zeitalter stehen Unternehmen vor der großen Herausforderung, ihre IT-Systeme vor unerwünschten Störungen und gezielten Angriffen zu schützen. Der vorherige zweite Artikel der Serie thematisierte den Cloud Act und wie Microsoft mit diesem umgeht. In dem heutigen dritten und letzten Teil meiner Serie widmen wir uns dem Thema Sicherheit in der Cloud und welche Maßnahmen Microsoft hier als Hersteller ergreift.
In eigener Sache
Kleiner persönlicher Funfact am Rande: Dieser Blogartikel wurde quasi über der Wolken (over the cloud :D) zwischen Tel Aviv und Frankfurt geschrieben, da ich bei der Microsoft auf dem sog. Global Security Partner Briefing in Israel war. In Herzliya, Israel sitzen nämlich die Produktentwicklungsteams, welche die aktuellen Security Produkte aus dem Hause Microsoft entwickeln. Und einmal im Jahr kommen hier die Top Security Partner weltweit zusammen und tauschen sich aus, erhalten Roadmap Infos und geben Feedback zur Microsoft, welches wiederum in die Produkte und Services einfließt.
Ich wollte das Briefing abwarten, um dann diesen letzten Artikel auch wirklich mit den neusten Infos schreiben zu können.
Mythen vs. Fakten
Aber der Reihe nach. Auch um das Thema Sicherheit und Cloud und besonders mit dem Hersteller Microsoft ranken sich wieder einige spannende Mythen. So höre ich sehr oft in Kundensituationen, dass es ja am sichersten wäre, wenn die Daten im eigenen RZ im Keller stehen würden. Auch immer wieder ein Kassenschlagerargument ist die Aussage „Die Cloud ist ein primäres Angriffsziel und jeder von der MS könnte da ja auch auf die Daten zugreifen. Und wenn man dann diese (Schein-)Argumente langsam entkräftet hat, kommen wir dann zu den absoluten Totschlag-Argumenten: Microsofts Sicherheitsmaßnahmen sind zu intransparent und die böse Microsoft scannt ja meinen Laptop und manchmal sperren die den dann sogar danach.
Sicherheitsmaßnahmen
Kommen wir erst mal zu den intransparenten Sicherheitsmaßnahmen. Wie auch schon bei den vorherigen Artikeln lohnt sich auch hier mal wieder ein Blick in das jeweils aktuell gültige DPA der Microsoft. Und blättert man dann bis zur Seite 8, kommt man sehr schnell zu dem Punkt „Datensicherheit“. Und da heißt es:
Bedeutet also, dass der Hersteller sog. TOMs, also technische und organisatorische Maßnahmen ergreift, um eben jedwede Kategorie von Daten zu schützen. Einer dieser Punkte ist z.B. das Thema Zugriffsberechtigung. Wenn mehrere Personen beispielsweise Zugriff auf die Systeme haben, in denen Kundendaten enthalten sind, stellt Microsoft sicher, dass diese Personen über separate Kennungen/Anmeldedaten verfügen. Aus der eigenen beruflichen Erfahrung und der Zusammenarbeit mit dem Hersteller Microsoft kann ich dies sogar voll und ganz bestätigen.
Microsoft informiert ferner seine Mitarbeiter:innen über relevante Sicherheitsverfahren und ihre jeweiligen Rollen. Auch werden diese Mitarbeiter:innen über mögliche Folgen einer Verletzung der Sicherheitsregeln und -verfahren informiert.
Somit hätten wir dann schon mal die Themen „jeder hat Zugriff, intransparente Sicherheitsmaßnahmen“ abgefrühstückt.
Benachrichtigung durch Microsoft & Meldepflichten
Jetzt gibt es noch die Fraktion, die behauptet, dass Microsoft bei Sicherheitsverletzungen nicht benachrichtigen würde, sondern alles versucht unter den Teppich zu kehren. Ihr ahnt sicherlich, wo man jetzt am besten nochmals nachschauen sollte? Ja, genau: im DPA und da heißt es:
Wie man an diesem Auszug also erkennt, will hier niemand etwas unter den Teppich kehren. Im Gegenteil, es erfolgt unverzüglich und auf jeden Fall innerhalb von 72 Stunden eine Benachrichtigung seitens Microsoft an den Kunden. Wichtig zu erwähnen sei, dass Microsoft hier den Weg selbst wählt. Das kann entweder per Mail sein, oder aber auch über das Message Center im M365 Admin Center. Daher lohnt es sich durchaus, täglich die eingehenden Meldungen auch tatsächlich einmal zu lesen; wenn man als Admin seinen Job richtig machen möchte. Aber manchmal ist „meckern“ ja viiiiiel leichter. 😉
Cloud vs. onPrem – Wer ist sicherer?
Microsoft Security Graph
Und von hier kommen wir nun zu der quasi Gretchenfrage in Bezug auf diese Cloud: Ist die wirklich sicherer als ein “onPrem” Server im Keller? Ich mag diese Frage jetzt nicht mit einem Ja oder einem Nein beantworten wollen. Fakt ist aber, in der Microsoft Cloud gibt es den sog. Microsoft Security Graphen. Dieser verarbeitet täglich 65.000.000.000.000 (65 Billionen) sicherheits-relevante Signale. Das sind ca. 750 Mio. Signale pro Sekunde. Dieser Graph wird auf alle Services wie Outlook.com, Azure, Bing, Xbox, Defender, Microsoft 365 etc. angewendet so dass Angriffe konsolidiert eliminiert werden können. Dabei werden auch sog. Detonationskammern zum Test von Viren, Trojanern, Spyware, Malware etc. vorgehalten, um Muster oder Anomalien zu erkennen, Stichwort AI basierte Verhaltensanalyse.
Weil durch die Cloud Power somit Aktualisierungen bei einem neu erkannten Angriffsmuster in kürzester Zeit an alle Kundenumgebungen verteilt werden können, kann man rasche Gegenmaßnahmen bei Bedrohungen ergreifen und das wiederum führt zu einer wirksamen Isolierung/Eindämmung von Cyberattacken bis hin sogar zum Eindämmen von weltweiten Angriffen in Minutenschnelle.
Graph onPrem?
Jetzt können sich die „onPrem“ Fans mal kurz ausrechnen, welche Kapazitäten in Form von Servern und Personal sie in ihrem Keller vorhalten müssen um 65 Billionen Signale täglich verarbeiten, analysieren und auswerten zu können, um so gegen jede aktuelle Bedrohungslage minutenschnell reagieren zu können, so dass das eigene RZ vor einer groß angelegten neuen Attacke geschützt bleibt. Mehr möchte ich dazu nicht sagen. Die richtigen oder falschen Schlüsse darf jetzt jeder für sich daraus ziehen.
Cloud ist Opfer ihres eigenen Erfolgs
Richtig ist aber, dass natürlich Hacker immer öfters versuchen, auch Cloud Infrastrukturen zu kompromittieren, weil diese natürlich auch immer beliebter bei Kunden werden.
Kleiner Exkurs: Warum gibt es weniger Apple Viren als Windows Viren – einfach weil Windows immer noch das am weitesten verbreitete Betriebssystem der Welt ist. Wäre Apple hier auf Platz 1, dann würden wir auch mehr Schadsoftware für Apple zu sehen bekommen.
Daher ist die Cloud einfach nur „Opfer“ ihres eigenen Erfolges. Aber deswegen ist die Cloud nicht automatisch unsicher, womit wir dann einen weiteren Mythos entkräftet hätten.
Denn einerseits unternimmt der Hersteller eine Menge um Angriffe abzuwehren (z.B. Security Graph), aber es ist natürlich auch Aufgabe des Kunden selbst, auf seiner Seite geeignete und dem aktuellen Stand der Technik entsprechende Maßnahmen wie z.B. MFA für alle Benutzerkonten zu ergreifen um gegen die aktuelle Bedrohungslage gewappnet zu sein. Passenderweise bietet Microsoft die relevanten Tools direkt in einem Lizenz-Paket an, aber natürlich kann man sich hier auch Hilfe im Lager der Drittanbieter suchen, sofern es notwendig ist, dahin auszuweichen.
Also, vom Tisch sind jetzt die Argumente: onPrem ist sicherer, die Cloud wird häufiger angegriffen, jeder hat Zugriff und Microsoft arbeitet mit intrasparenten Sicherheitsmaßnahmen. Weiter gehts…!
Sperrung & Scannen von OneDrive & Servern
Übrig bleibt also nur der Mythos zum Thema „Scans von OneDrive und die Sperrung von Konten“.
Hierzu muss erst einmal gesagt werden, dass es eine geschäftliche Trennung zwischen den Consumer Diensten von Microsoft 365 und den sog. Business bzw. Enterprise Versionen von Microsoft 365 gibt. Bei den Business Varianten gilt das von mir so oft zitierte DPA der Microsoft mit allen Klauseln zu Datenschutz und Datensicherheit. Und hier sichert Microsoft auch ganz klar zu, dass weder irgendwelche OneDrive Inhalte gescannt werden noch, dass User Accounts aus unerklärlichen Gründen gesperrt werden.
Bei den Consumer Diensten hingegen kann das tatsächlich schon mal vorkommen: Meistens, wenn dubiose Vorgehensweisen auf dem Xbox Konto festgestellt wurden oder auf dem OneDrive Fotos oder Dateien mit strafrechtlich relevantem Inhalt zwischen gelagert werden. Man liest zwar immer wieder mal auf Pseudotech-Blogs Geschichten darüber, dass angeblich auch mutmaßlich unschuldige User:innen von einer angeblichen Microsoft Willkür betroffen sind.
Als jemand, der die Sicherheitsmechanismen im Hintergrund doch recht gut kennt und einzuschätzen weiß, gehe ich aber in allen Fällen davon aus, dass mindestens mal versucht wurde, etwas in einer Grauzone auszutesten, was dann die AI von Microsoft zum Handeln hat gezwungen, wo die User:innen aber dann ein Teil der Geschichte vergessen haben zu erwähnen um den Eindruck eben zu erwecken, dass hier willkürlich gesperrt werden würde.
Wichtigste Info hier ist aber: Bei den Business Varianten und somit bei Unternehmenskunden wird so etwas niemals vorkommen! Weder werden Daten oder Laptops gescannt noch werden Server oder Zugänge gesperrt.