Speaker: Raphael Köllner

1. Bechtle IT-Systemhaus Köln
Raphael Köllner
MVP Office Servers and Services
Eine Microsoft Cloud mit
deutscher Datentreuhand

2. 2016
Raphael Köllner
Bechtle IT-Systemhaus Köln & CBH Rechtsanwälte
IT-System Engineer & WissMit

3. 2016
TITLE
HERE
 Einführung ins Thema
 Technische Konstruktion
 Juristische Konstruktion
 Besonderheiten
 Start in die Deutsche Trusted Cloud
 DEMO
Agenda
#GWAVACon

4. 2016
Warum?

5. 2016
1.2 billion
worldwide users2
300+ million
users per month5
48 million
members in 57 countries4
57%
of Fortune 5004
10,000 new subscribers per week2
3.5 million
active users4
Online
5.5+ billion
worldwide queries
each month3
450+ million
unique users each month6
200+ Cloud Services,
1+ million Servers,
$15B+ Infrastruktur
Investment
1 billion Kunden,
90 countries worldwide
91. - UK South (London)
- UK West (Cardiff, Wales)

6. 2016
TITLE
HEREWarum?
 Verfahren in New York zur Herausgabe eines Hotmail-Kontos an die US Behörden
auf Basis des Commi Store ACT aus einem Microsoft Rechenzentrum in Dublin.
 Territoriale Rechenzentren vom Markt gewünscht.
 ???
#GWAVACon

7. TECHNICHSCHES KONSTRUKT
 Im grundlegende technische Änderungen zu der europäischen Cloud gibt es nicht.
 „closed cloud“ – kein Backbone zur public Microsoft Cloud / Internet
 Microsoft Cloud (FRA, Magdeburg)
#GWAVACon

8. Kundendaten befinden sich NUR in deutschen Rechenzentren
8
Kundendaten verbleiben in Deutschland
Der deutsche Datentreuhänder
kontrolliert den gesamten
Zugriff und überwacht und
prüft jeden gewährten Zugriff
Microsoft kann nur vom
deutschen
Datentreuhänder oder
mit Erlaubnis des
Kunden Zugriff erhalten
Die Rechenzentren befinden sich in Deutschland, und der Zugriff
wird von einem namhaften deutschen Datentreuhänder
kontrolliert
Datenabgleich zwischen den beiden Rechenzentren in
Deutschland, um den Geschäftsablauf zu sichern und eine
Notfall-Wiederherstellung zu ermöglichen
Der Zugriff auf Kundendaten wird durch Mitarbeiter des
Datentreuhänders kontrolliert
Sicherheitsmaßnahmen nach dem neuesten Stand der Technik
einschließlich 24-Stunden-Überwachung und -Sicherheitsdienst
Physische Barrieren, Zäune und umfassende Schutzvorkehrungen
gegen Naturgewalten

9. Karte
http://azuredatacentermap.azurewebsites.net/

10. Neue Endpunkte
Funktion Endpunkt
Portal Portal.microsoftazure.de
Storage Core.cloudapi.de
Websites Azurewebsites.de
AzureSQL Database.cloudapi.de
Traffic Manager DNS Azuretrafficmanager.de
Key Vault Vaul.microsoftazure.de

11. Und heute?
Schauen wir
mal nach:

12. DE Trusted Cloud

13. Service & Support für Microsoft Cloud Deutschland
Das Supportmodell für die Microsoft Cloud Deutschland umfasst rund
um die Uhr und an 7 Tagen die Woche in Deutschland basierten
technischen Support für Office 365 und Microsoft Dynamics CRM
Online.
Für Microsoft Azure gilt ein EU-basiertes Supportmitarbeitermodell
(während der Geschäftszeiten in Deutschland, außerhalb der
deutschen Geschäftszeiten aus der EU).
Wo zusätzlicher Support benötigt wird, können Supportmitarbeiter
zu DevOps außerhalb von Deutschland eskalieren.
Jeder Support, der Zugriff auf die Plattform erfordert (d.h. Zugriff auf
Systeme, der potenziell Zugriff auf Kundendaten ermöglicht), wird
vom Datentreuhänder beaufsichtigt.
Microsoft beabsichtigt, dass alle in Deutschland basierten
technischen Support-Mitarbeiter für die deutsche Cloud SU1-geprüft
sind. Support wird auf Deutsch (Hauptsprache) und Englisch
(Zweitsprache) zur Verfügung gestellt.
Es werden bei Tools und Prozessen Änderungen eingeführt, um den
Datenschutzvorgaben/-einschränkungen des deutschen Cloud-
Modells Rechnung zu tragen.
Die Initial Response Times und Dienst-SLAs für die deutsche Cloud
richten sich nach dem öffentlichen Cloud-Modell.
Spezifische Support-Angebote und -Preise werden näher an der
Markteinführung der deutschen Clouddienste zur Verfügung gestellt.
13

14. Tipp für Microsoft Cloud Deutschland

15. JURISTISCHES KONSTRUKT
#GWAVACon
Die deutsche Trusted Cloud ist ein einmaliges Konstrukt. Keine
andere Cloud und auch keine andere Microsoft Cloud besitzt
ein solches Konstrukt.
 Klassischen Verträgen
 Datentreuhänder
 Housing-Model der RZs
 Zertifikate über D-Trust (Deutsche Bundesdruckerei)
 ev. BSI-Grundschutz
CR 2/2016 S. 89ff. Die neue Microsoft Cloud als Schutzschild gegen NSA & Co.

16. Ein deutscher Datentreuhänder kontrolliert den Zugriff auf die Daten
Role Based Access Control
(RBAC)-Tools kontrollieren
jeglichen Zugriff auf
Kundendaten
Ausschließlich der deutsche
Datentreuhänder hat Zugriff
auf Server mit Kundendaten
Mitarbeiter von Microsoft
haben keinerlei administrative
Top-Level-Rechte, um Zugriff
auf Kundendaten zu gewähren
Mitarbeiter von Microsoft
können sich nicht auf Server
mit Kundendaten einloggen
Zugriff zum Aufspielen von
Softwareupdates muss vom
deutschen Datentreuhänder
gewährt werden
Tools zur Überwachung
des Service haben keinen
Zugriff auf Kundendaten
Sämtliche Kundendaten:
• Virtuelle Rechner
• E-Mails, Anhänge, Bilder
• Storage Blobs
• Datenbankinhalte

17. Eine neue Microsoft-Cloud mit deutschem Datentreuhänder
Datentreuhänder
• Kontrolliert jeglichen physischen und logischen Zugriff auf
Kundendaten (mit Ausnahme eines Zugriffs durch die Kunden oder
deren Endbenutzer)
• Führt Aufgaben, die Zugriff auf Server mit Kundendaten erfordern,
selbst durch oder beaufsichtigt die Ausführung
• Überwacht und prüft jeden in jedem Einzelfall den gewährten Zugriff
von Microsoft und beendet den Zugriff, wenn das Problem gelöst ist
Microsoft
• Kein grundsätzlicher Zugriff auf Kundendaten
• Keine technische Möglichkeit, auf Kundendaten ohne Zustimmung des Datentreuhänders
oder des Kunden gemäß der Zugangskontrollrichtlinien zuzugreifen
• Kein physischer Zugang zu Rechenzentren, in denen Kundendaten gespeichert sind (ohne
Begleitung durch den deutschen Datentreuhänder)
• Jeder Mitarbeiter von Microsoft, dem der deutsche Datentreuhänder Zugriff gewährt, muss
globale Sicherheitskontrollen durchlaufen und bestehen
Verpflichtungen des
Datentreuhänders, was
Kundendaten betrifft
• T-Systems International GmbH, eine Tochtergesellschaft
der Deutschen Telekom und ein deutsches Unternehmen
mit Sitz in Deutschland, agiert als Datentreuhänder im
Auftrag des Kunden und muss jede einzelne
Datenherausgabe an Dritte freigeben.
• T-Systems darf keine Daten, die sie treuhänderisch
verwalten (Kundendaten oder Daten über den Kunden) für
kommerzielle Zwecke nutzen.
• T-Systems International GmbH verpflichtet sich als
Datentreuhänder vertraglich direkt gegenüber dem
Kunden, dass Kundendaten nicht gegenüber Drittparteien
offenlegt werden, es sei denn, der Kunde verlangt es oder
deutsches Recht erfordert es
• Kundendaten in der Microsoft Cloud Deutschland werden
vor „Herausgabeverlangen ausländischer Behörden“ oder
richterlichen Anordnungen zusätzlich durch ein
Datentreuhändermodell geschützt.
17

18. Aufbau:

19. Azure Express Route

20. Azure Express Route

21. Verfügbarkeit (12.09.2016)

22. PowerShell

23. 2016
Lizenzen und Übergänge in die DE Cloud
10% 15% 20% 60%
• Microsoft.com Agreement
• separaten Kommittent
• Server enrollment für die DE Cloud
• EA Accountmanager sind gebrieft
• Neuer EA abschließen, keine Erweiterung aktuell möglich

24. 2016

25. Live Demo

26. 2016
Raphael Köllner
Bechtle IT-Systemhaus Köln & CBH Rechtsanwälte
IT-System Engineer & WissMit
Thank You! & Q & A

27. 2016

28. 2016