Compliance für Microsoft Online Services

Wo befinden sich die Microsoft Online Services-Rechenzentren? Kann man als Kunde ein bestimmtes Rechenzentrum beanspruchen?

Microsoft verfügt über Rechenzentrums-Standorte verschiedener Größen an unterschiedlichen Standorten weltweit. Microsoft äußert sich öffentlich nicht über die genaue Anzahl oder Standorte seiner Rechenzentren; es gibt jedoch Haupt- und Backup-Rechenzentren, auf denen die Microsoft Online Services angeboten werden, in den folgenden Regionen: Europa, Nordamerika und Asien-Pazifikraum.

Welche Sicherheitsrichtlinien befolgt Microsoft hinsichtlich der Microsoft Online Services?

Die entsprechende Richtlinie „Microsoft Online Services Information Security Policy" beruht auf ISO 27002-Direktiven, die um Anforderungen speziell für Onlinedienste erweitert wurden. (So verlangt Microsoft zum Beispiel, dass bei jeder größeren Microsoft Online Services-Veröffentlichung Internet-Verwundbarkeitstests durchgeführt werden müssen; falls während solcher Testverfahren kritische Schwachpunkte identifiziert werden, müssen sie vor Freigabe der Dienstversion an Kunden behoben werden.) Die Microsoft Online Services-Informationssicherheitsrichtlinie berücksichtigt auch zusätzliche Anforderungen, die aus klassenführenden Sicherheitsansätzen abgeleitet sind, sowie die Anwendung relevanter internationaler, nationaler und provinzieller (bzw. Landes-) Anforderungen.
ISO 27002 ist Teil der ISO/IEC 27000-Normfamilie, die gemeinsam von der International Organization for Standardization (ISO) und der International Electrotechnical Commission (IEC) veröffentlicht wurde und 5 bei der es sich um die umbenannte, aktualisierte ISO 17799-Norm handelt. Der vollständige Name dieser internationalen Norm lautet "Information technology - Security techniques - Code of Practice for Information Security Management". Die ISO 27000-Norm beansprucht bewusst eine breite Anwendung. Sie deckt Datenschutz, Vertraulichkeit und technische Sicherheitsaspekte ab sowie „bestehende Richtlinien und allgemeine Prinzipien bezüglich der Einleitung, Umsetzung, Pflege und Verbesserung der Informationssicherheitsverwaltung innerhalb einer Organisation". Die Norm beschreibt zu diesem Zweck Hunderte von potenziellen Kontrollen und Kontrollmechanismen. ISO 27000 wurde unter Berücksichtigung der folgenden Kernprinzipien entwickelt:

„Die Wahrung der Vertraulichkeit (indem sichergestellt wird, dass Informationen nur denjenigen zugänglich gemacht werden, die zum Zugang berechtigt sind), Integrität (indem gewährleistet wird, dass die Informationen und Verarbeitungsmethoden akkurat und vollständig sind) und Verfügbarkeit (indem dafür gesorgt wird, dass berechtigte Benutzer wann immer nötig auf die Informationen und zugehörigen Werte zugreifen können)."11 Information Technology-Information security management systems - Requirements, International Standards Organization, ISO/IEC 27001:2005(E) Die von ISO 27002 und der Microsoft Online Services Informationssicherheitsrichtlinie berücksichtigten Themenbereiche sind:
Risikobewertung
Sicherheitsrichtlinien - Managementvorgaben
Organisation der Informationssicherheit - Verwaltung der Informationssicherheit
Asset-Management - Inventarisierung und Klassifizierung des Informationsbestands
Personalsicherheit - Sicherheitsaspekte bezüglich des Eintritts, der Versetzung oder des Austritts von Mitarbeitern einer OrganisationPhysische und Umweltsicherheit - Schutz der Computereinrichtungen
Kommunikations- und Betriebsmanagement - Management von technischen Sicherheitskontrollen in Systemen und Netzwerken
Zugangskontrolle - Einschränkung von Zugangsrechten für Netzwerke, Systeme, Anwendungen, Funktionen und Daten
Erwerb, Entwicklung und Pflege von Informationssystemen - Integration von Sicherheit in Anwendungen
Management von Zwischenfällen im Bereich Informationssicherheit - Antizipierung und angemessene Reaktion auf Verletzungen der Informationssicherheit
Management der geschäftlichen Kontinuität - Schutz, Pflege und Wiederherstellung von geschäftskritischen Prozessen und Systemen
Compliance - Sicherung der Einhaltung von Informationssicherheitsrichtlinien, Normen, Gesetzen und Vorgaben

Welche Zusicherungen bietet Microsoft hinsichtlich der Sicherheit von Microsoft Online Services?

Die Sicherheit der Microsoft Online Services basiert auf fortschrittlichen Sicherheitsverfahren. Microsoft setzt lückenlose Sicherheitskontrollen (technisch, prozess- und personenbezogen sowie physisch) ein, d.h. von der Produktentwicklung über die Diensteinführung bis hin zum fortlaufenden Betrieb. Diese Sicherheitskontrollen werden streng durchgesetzt und regelmäßig hinsichtlich ihrer Einhaltung überprüft. Weitere Informationen stehen im Whitepaper „Sicherheitsfeatures in Microsoft Online" zur Verfügung. 6
Die BPOS Standard-Dienste durchlaufen die Cybertrust Security Management Program (SMP)-Perimeterzertifizierung. Das Cybertrust SMP:
Identifiziert kritische Bestände und die am meisten gefährdeten Bereiche der BPOS Standard-Infrastruktur, wie z.B. mit dem Internet verbundene Systeme.
Bewertet und priorisiert tatsächliche Bedrohungen für kritische Informationsbestände.
Hilft, solche Bestände durch effiziente, unternehmensweite Kontroll- und Schadensminimierungsstrategien zu sichern, und
Sichert die Aufrechterhaltung der Sicherheitsmaßnahmen durch stabilen, fortlaufenden Support.
Der SMP-Zertifizierungsbericht berücksichtigt:
Eine physische Prüfung aller Rechenzentren vor Ort,
Interne Schwachstellenanalysen für alle Dienstsegmente,
Externe Schwachstellenanalysen des Dienstes in allen Rechenzentren,
Prüfung der Prozesse und Abläufe (mit Systemadministratoren, Netzwerkingenieuren und anderen Schlüsselmitarbeitern, die an der Bereitstellung des Dienstes beteiligt sind) sowie
E-Mail-Filtertests.

Wer verfügt über Administratorrechte für die Microsoft Online Services-Infrastruktur? Handelt es sich dabei um Vollzeitangestellte oder Vertragsnehmer?

Die Microsoft Online Services werden sowohl von Vollzeitangestellten als auch von Vertragsnehmern betrieben. Es können sowohl Vollzeitangestellte als auch Vertragsnehmer über Administratorrechte für die Microsoft Online Services-Infrastruktur verfügen. Administratorzugang: Der Zugang zur Microsoft Online Services-Infrastruktur für Administratoren und Benutzer ist beschränkt und wird nur auf der Basis des „need-to-know"-Prinzips zugelassen. Nur operative Mitarbeiter, die für die Verwaltung der Microsoft Online Services-Infrastruktur verantwortlich sind, erhalten Administratorzugang.

Zugang zu Kundendaten: Nur Datenbankadministratoren und Kundensupportmitarbeiter verfügen über Zugang zu Kundendaten. Obwohl Datenbankadministratoren und Supportmitarbeiter auf Kundendaten zugreifen können, untersagt Microsoft den Zugriff auf und die Benutzung von Kundendaten für Zwecke, die nicht durch geschäftliche Erfordernisse bedingt sind. Erlaubt sind demnach Handlungen im Zusammenhang mit der Administration der Datenbanken oder in Antwort auf Supportanfragen des Kunden, sofern ein solcher Zugang erforderlich ist, um Dienste und andere für die Leistungserstellung benutzte Microsoft-Produkte und -Dienste zu verbessern oder um auf rechtliche Anfragen zu antworten. Zugang für Entwicklung und Support: Softwareentwicklungsmitarbeiter und Mitarbeiter im Kundensupport verfügen nicht über Administratorrechte für die Microsoft Online Services-Systeme. Kontrollmaßnahmen, die auf jede

Zugriffskategorie zutreffen: Microsoft wendet auf den Zugang zur Microsoft Online Services-Infrastruktur und zu Kundendaten strikte Kontrollen an. So werden z.B. alle neuen Microsoft-Mitarbeiter in den USA vor der Einstellung durch Microsoft einer Sicherheitsprüfung unterzogen. Außerdem müssen Microsoft-Mitarbeiter, die über Zugang zur Microsoft Online Services-Infrastruktur verfügen, ein Anmeldeformular ausfüllen und geschäftlich begründen, warum sie Zugang benötigen. Bevor der Zugang gewährt wird, muss der Manager der Person die Zugangsanfrage prüfen und genehmigen. Die Zugangsberechtigungen werden regelmäßig überprüft, um sicherzustellen, dass nur diejenigen Benutzer Zugang zu den Systemen erhalten, die ihn aus nachweislichen und fortbestehenden geschäftlichen Gründen benötigen. Wenn Microsoft-Mitarbeiter das Unternehmen verlassen, durchlaufen sie ein Austrittsverfahren, bei dem ihr logischer und physischer

Zugang zur Microsoft Online Services-Infrastruktur aufgehoben wird. Ferner setzt Microsoft für den Zugriff auf die Infrastruktur, auf der Microsoft Online Services gehostet werden, Smartcards (Zweifaktorauthentifizierung) oder RSA-Tokens voraus. Bei der Zweifaktorauthentifizierung werden zwei Faktoren genutzt, um die Identität eines Benutzers zu bestätigen. Davon ist der eine ein Passwort oder eine PIN (d.h. etwas, was dem Benutzer bekannt ist), während der andere ein physisches Gerät im Besitz des Benutzers ist (d.h. eine Smartcard oder ein RSA-Token). Dies bietet einen stärkeren Schutz vor Angriffen wie Passwortausspähung (d.h. selbst, wenn das Passwort eines Benutzers ausgespäht wird, benötigt der Hacker Zugriff auf das physische Gerät, um Zugang zum System zu erlangen. Ebenso müsste beim Verlust des physischen Gerätes (Smartcard oder RSA-Token) das Passwort des Benutzers bekannt sein, damit jemand Zugriff auf das System erhielte.)

Welche Sicherheitsprüfungen führt Microsoft bezüglich Personen durch, die Administratorrechte erhalten? Tauschen Sie die Sicherheitsprüfungen mit Kunden aus?

Microsoft hat festgestellt, dass es einen wichtigen Teil des Auswahlprozesses darstellt, Kandidaten einer Sicherheitsprüfung zu unterziehen - unabhängig davon, über welche Zugriffsrechte auf die Microsoft Online Services-Infrastruktur der Mitarbeiter verfügt. Die Einholung von umfassenden, für den Job relevanten Informationen hilft Microsoft, eine leistungsfähige Belegschaft einzustellen und zu halten. Sicherheitsprüfungen umfassen unter Umständen Informationen bezüglich der Ausbildung und des beruflichen Werdegangs von Kandidaten sowie deren polizeiliches Führungszeugnis und Bonitätsprüfungen. In den USA beginnt kein Kandidat oder Angestellter mit der Arbeit oder erhält einen Auftrag, solange nicht die erforderlichen Sicherheitsprüfungen erfolgreich bestanden wurden. Um die Privatsphäre seiner Mitarbeiter zu schützen, gibt Microsoft die Ergebnisse von Sicherheitsprüfungen nicht an Kunden weiter.

Erfüllen die Dienste die Vorgaben des Gramm Leach Blilely Acts (GLBA)?

Microsoft Online Services hilft Kunden, die Sicherheitsanforderungen des GLBA zu erfüllen, indem es technische und organisationale Sicherungen zur Verfügung stellt, mit denen Kunden die Sicherheit gewährleisten und unberechtigte Nutzung unterbinden können. Microsoft stellt auf Anfrage eine Zusammenfassung der Zertifizierung durch einen unabhängigen Prüfer zur Verfügung. Microsoft Office Live Meeting verfügt ebenfalls über Benachrichtungsfunktionen, die Kunden bei der Einhaltung von GLBA unterstützen können.

Erfüllen die Microsoft Online Services die Vorgaben des HIPAA (Health Insurance Portability and Accountability Act)?

Manche Microsoft Online Services verfügen über Leistungsmerkmale, die Kunden bei der Einhaltung der HIPAA-Vorgaben unterstützen; der Kunde muss jedoch die Einhaltung selber sicherstellen, indem er die Leistungsmerkmale in die Richtlinien und Abläufe seiner Organisation integriert. Microsoft Online Services dienen als Informationskanal, der technische und organisationale Sicherheitsmaßnahmen umfasst, durch die Kunden die Sicherheit gewährleisten und unberechtigte Benutzung unterbinden können; Microsoft-Mitarbeiter greifen in der Regel nicht auf Kundendaten zu. Weitere Informationen über unsere Richtlinien hinsichtlich der Sammlung, Benutzung und des Austauschs von persönlichen Daten stehen in den Microsoft Online Services-Datenschutzbestimmungen zur Verfügung.

Ist Microsoft bereit, ein HIPAA Business Associates Agreement (BAA) zu unterschreiben?

Microsoft unterschreibt keine Business Associate Agreements oder andere HIPAA-Einhaltungsdokument für Microsoft Online Services. Microsoft Online Services dienen wie in den HIPAA-Regulierungen beschrieben lediglich als Kanal für die Informationen des Kunden und können deshalb benutzt werden, ohne dass hierzu ein BAA unterschrieben werden muss.

Erfüllen die Microsoft Online Services den Payment Card Industry Data Security Standard (PCI DSS)?

Microsoft Online Services-Kunden können mit Kreditkarte für die von ihnen bezogenen Dienste bezahlen. Microsoft verarbeitet diese Informationen in Übereinstimmung mit den PCI-Richtlinien und die Systeme, die mit Kundenkreditkarten umgehen, sind Level One PCI Compliant.

Erlaubt es Microsoft Kunden, Microsoft Online Services zu prüfen?

Microsoft prüft und überwacht die Microsoft Online Services-Umgebungen regelmäßig, um sicherzustellen, dass die Kontrollmaßnahmen angemessen sind und funktionieren. Außerdem werden diese Umgebungen Prüfungen durch externe, unabhängige Anbieter unterzogen, um die internen Prozesse und Systeme von Microsoft zu bestätigen. Die interne Überwachung durch Microsoft umfasst die automatische Compliance-Überwachung der Infrastruktur (z.B. Schwachstellenanalysen, Penetrationstests und Prüfungen von Prozess- und Personalkontrollen). Das von Drittparteien durchgeführte Validierungsprogramm der Microsoft Online Services beinhaltet unabhängige Prüfungen, die jährlich zur Bestätigung der Sicherheit durchgeführt werden.
Aus Sicherheitsgründen erlaubt es Microsoft Microsoft Online Services-Kunden nicht, seine physischen oder logischen Umgebungen zu prüfen.

FRAGE: Welcher Art von unabhängigen Prüfungen und/oder Zertifizierungen werden die Microsoft Online Services unterzogen? Wie breit ist der Anwendungsbereich der Dienste, die durch diese Zertifizierungen abgedeckt werden und wie oft werden die Prüfungen durchgeführt?

Die folgende Tabelle stellt den Prüfungs- und Zertifizierungsstatus verschiedener Microsoft Online Services im Juni 2009 dar:

*Microsoft hostet diese Dienste unter Umständen in Rechenzentren, die von Drittanbietern betrieben werden. Falls dies der Fall ist, befindet sich die angegebene Zertifizierung im Besitz des Drittanbieters.

Wo kann ich weitere Informationen über SAS 70 erhalten?

SAS 70 ist ein Prüfstandard, der vom American Institute of Certified Public Accountants (AICPA) definiert wird und der für Dienstleistungsunternehmen ausgelegt ist. Dienstleistungsunternehmen sind typischerweise Körperschaften, die Auslagerungsdienste anbieten, die die Kontrollumgebung ihrer Kunden beeinflussen. Hierzu gehören zum Beispiel Unternehmen, die Schadensmeldungen für Versicherungen und Krankenversicherungen bearbeiten, gehostete Rechenzentren, Anwendungsdienstanbieter und Anbieter von verwalteter Sicherheit. Bei SAS 70 handelt es sich um eine unabhängige Bestätigung der Einhaltung von Sicherheitskontrollen sowie der Wirksamkeit von Sicherheitkontrollen. SAS 70-Prüfungen werden von Deloitte & Touche (D&T) für Microsoft durchgeführt. SAS 70-Prüfungen werden einmal pro Jahr durcheführt. D&T prüft die Kontrollen, inklusive dem Entwurf von Kontrollen und der Beweisanalyse für einen bestimmten Zeitraum. D&T erstellt den Prüfbericht, in dem neben den Prüfergebnissen für die Kontrollen auch die Kontrollen selbst einer Einschätzung unterzogen werden. Weitere Informationen zu der Norm und den verschiedenen Prüfarten stehen auf www.aicpa.org oder von dem Prüfunternehmen des Kunden zur Verfügung.

Deckt die SAS 70-Prüfung auch die geschäftliche Kontinuität ab?

Obwohl die Richtlinien des American Institute of Certified Public Accountants (AICPA) bei der SAS 70-Prüfung die Kontinuität explizit ausschließen, hat Microsoft ein stabiles Kontinuitätsprogramm eingerichtet, das die zügige Wiederherstellung von Diensten gewährleisten soll.