In diesem Vortrag gebe ich einen Überblick über die vermeintliche Cloud Bedrohung von ausländischen Behörden und wie man generell mit einfachen Mitteln sein Netzwerk und vor allem die Dateninhalte schützen kann.
Anhand von recherchierten Zahlen konnte ich darstellen, dass nicht alleine ausländische Behörden erhebliche Mengen an Daten bei Cloud Providern anfragen.
Die in diesem Vortrag gezeigten Vorschläge sind nur als Teil einer Gesamtlösung zu sehen.
Datensicherheit in der Cloud und ausserhalb - SharePoint Konferenz Wien 2013
1. Formatvorlage des Untertitelmasters durch Klicken bearbeiten
Platin-Partner: Gold-Partner: Veranstaltungs-Partner: Medien-Partner:
Datensicherheit in der Cloud und außerhalb
Steigerung der SharePoint Sicherheit
2. Knowledge
increases by
sharing.
So, pass it on!
There are
clouds
everywhere
EMAIL:
mkn@ankbs.de
TWITTER:
@ankbs
http://www.ankbs.de
http://blog.ugoffice365.ms
http://www.facebook.com/fpugoffice365
6. Sicherheitsziele PCI DSS Anforderungen
Erstelle ein sicheres
Netzwerk
1.
2.
Installieren und überwachen einer Firewall zum Schutz der Kundendaten.
Benutze keine Standard Hersteller Passwörter und / oder Standardeinstellungen
Schützen der
Kreditkartendaten
3.
4.
Schützen von gespeicherten Daten
Verschlüsseln von personenbezogenen Daten über Netzwerke hinaus
Umsetzung eines Sicherheit
Management Programms
5.
6.
Nutzen und aktualisieren von Anti-Viren Programmen
Entwickle und Wartung von sicheren Systemen und Applikationen
Implementiere strenge
Authentifizierungsmass-
nahmen
7.
8.
9.
Beschränken Sie den Zugriff je nach Geschäftsvorfall auf Karteninhaberdaten „Need-to-
Know“ Prinzip
Zuweisung einer eindeutigen ID für jede Person mit Zugang zum Computersystem
Beschränken Sie den physischen Zugriff auf Karteninhaberdaten
Reguliere das Monitoring 10.
11.
Verfolgung und Überwachung des gesamten Zugriffs auf Netzwerkressourcen und
Karteninhaberdaten
Regelmäßiges Testen der Sicherheitssysteme und-prozesse
Leitlinien und
Kommunikation des
Sicherheitsbedarfs
12. Achten Sie auf eine Politik, die Informationssicherheit befasst
9. BND Abhörung Verfahren
für Abhörung
eMails
2009 20.600 5.201 6,8 Mio.
2010 21.000 5.439 37 Mio. 213 Ergebnisse
2011 2,9 Mio. 290 Ergebnisse
2012
2013
http://www.tweakpc.de/news/22249/2010-knapp-21-000-telefon-und-internet-anschluesse-angezapft/
http://www.n-tv.de/politik/BND-scannt-Mio-Mails-und-SMS-article10417646.html
http://www.heise.de/newsticker/meldung/Geheimdienste-ueberwachten-37-Millionen-Netzverbindungen-1442867.html
Microsoft erhielt 2012 insgesamt 8.419 Auskunftsersuchen aus Deutschland
http://www.microsoft.com/de-de/politik/artikel/behoerdliche-anfragen-zu-nutzerdaten.aspx
Google erhielt 2012 3.083 Auskunftsersuchen aus Deutschland
http://www.google.com/transparencyreport/userdatarequests/DE/
Auskunftsersuchen meistens zur Offenlegung von Nutzerdaten
Zusätzlich: (Deutscher) Verfassungsschutz will Internet-Knoten überwachen
http://www.sueddeutsche.de/digital/terrorbekaempfung-verfassungsschutz-will-internet-knoten-ueberwachen-1.180669
10. Microsoft Anfragen Personen in
der Anfrage
Nutzerdaten Inhalte Ablehnungen
(Ablehnung wg.
Unbekannt)
Deutschland 8.419 13.226 7.088 0 5 (1.326)
USA 11.073 24.565 7.169 1.544 759 (1.574)
Türkei 11.434 14.077 8.997 0 4 (2.433)
Taiwan 4.381 8.305 3.779 0 0 (602)
Frankreich 8.603 17.973 7.377 0 4 (1.221)
Microsoft erhielt 2012 insgesamt 8.419 Auskunftsersuchen aus Deutschland
http://www.microsoft.com/de-de/politik/artikel/behoerdliche-anfragen-zu-nutzerdaten.aspx
Wie oft erhielten deutsche Provider Anfragen aus Deutschland und aus USA?
11. Wir können festhalten, das nicht nur ausländische Behörden nach Nutzerdaten fragen, sondern
auch deutsche Behörden massenhaft Daten mitlesen.
Was ist mit anderen Diensten wie zum Beispiel „PayPal“ und „eBay“?
Unter https://cms.paypal.com/de/cgi-bin/marketingweb?cmd=
_render-content&content_ID=ua/Privacy_full&locale.x=de_DE
befindet sich eine lange Liste von internationalen Firmen und Agenturen, die alle Nutzerdaten
und Finanzdaten erhalten. Diese Daten werden vor allem auch an die Mutterfirma eBay
in den USA uneingeschränkt weiter gegeben.
Fazit: Nutzerdaten und Finanzdaten werden seit Jahren und vor allem weltweit ausgetauscht
und stehen daher den jeweiligen Behörden schon immer zur Verfügung
12.
13. In einer Ausschreibung
wird ein Fragenkatalog
in Excel von einem
Anbieter ausgefüllt
Dieser Fragebogen wird
versehentlich vom
Kunden an einen
anderen Mitbewerber
weitergeleitet
14. Die Marketingabteilung
bereitet eine neue
Kampagne für ein neues
Arzneimittel vor, worauf
das Unternehmen ein
Patent hat
Diese Unterlagen
gelangen versehentlich
bei einem ausländischen
Mitbewerber
16. Ein Gesetzesentwurf soll
zukünftig finanzielle
Handlungen und
Transaktionen unter
Strafe stellen
Diese Unterlagen
gelangen versehentlich
bei zukünftig betroffenen
Personen
18. OnlineOn-Premise
Hybrid
Die Cloud
zu Ihren Bedingungen
Kommunikation
Voice &
Video
Enterprise Content
Management
Social
Networking
Reporting &
Analysen
Optimale Produktivität
auf allen Endgeräten
21. Speicherung in die Cloud mit
SkyDrive und SkyDrive Pro
Das neue Office begleitet Sie – egal
wohin.
Ihr Office kennt Ihre Einstellungen und
weiß, woran Sie zuletzt gearbeitet haben.
Das neue Office speichert standardmäßig
in die Cloud mit SkyDrive
und SkyDrive Pro oder direkt
in SharePoint
Es sollte gewährleistet sein,
das möglichst alle Zielsysteme
automatisch verschlüsseln
28. Account Type Purpose Full Name Name to use
SHP Install Account Account used to install SP2010 and perform
all the required configuration changes.
SHP Farm Account Server Farm Account. This account needs
some SQL permissions granting: dbcreator
and security admin
SHP App Pools Identity for the any SP2010 Web App
Application Pool(s)A separate process
identity should be used for each content
Web App (this allows for greater security
and a…..
SHP Service Account Shared Service Account
SHP Search Account under which the Office SharePoint
Server Search runs under
SHP Search Admin App Pool Account under which the Office SharePoint
Server Search Administration Application
Pool runs under
SHP Search App Pool Account under which the Office SharePoint
Server Search Application Pool runs under
SHP Content Access Account used to access content sources to
be crawled and indexed. Need to grant this
account permission to any NON-SP……
SHP Foundation Search Account which the SharePoint Foundation
Search service runs under. Due to the fact
the Office SharePoint Server Search service
is running this will only index the WSS Help
files.
SHP Foundation Content Access Account used by Sharepoint Foundation
search service to crawl content.
SHP User Profiles Access Account Account used to access Active Directory for
the Profile import
SHP Secure Store Service Application Pool Account used by the
Secure Store Service Application
SHP Managed Metadata WebApp Application Pool Account used by the
Managed Metadata Application Pool
SHP Managed Metadata and Web
Analytics Service
Application Pool Account used by the
Managed Metadata Service Application
SHP Business Connectivity Service Application Pool Account used by the
Business Connectivity Service Application
SHP Sandbox Service Application Pool Account used by the
Sandbox Service Application
SHP Office Services Application Pool Account used by the
Office Services Application
SHP PP Unattended Unattended Account used by the
PerformancePoint Service Application
SHP Backup Account Account used for Farm and Content Backup
29.
30. Die Einführung von
Datenverschlüsselung, basierend
auf Metadaten benötigt die
Kenntnis von Inhalten
Windows Server 2012 und
SharePoint können diese
Metadaten verarbeiten und
automatisiert verarbeiten.
Professionelle Tools wie SEP
(Simple Encryption Platform) von
Cryptzone können Sie
unterstützen, Dokumente
ortsunabhängig und
Medienunabhängig zu
verschlüsseln und zu überwachen
31. Lokales Netzwerk
SP APP SP WFE
SP1SP2
SAPArchive
Gate-
way
Windows AZURE Netzwerk
Cloud Service Provider Netzwerk
Gate-
way
Internet
Gate-way
Internet
AZURE Storage
32.
33.
34. Aufbewahren - Vorhalten Suche
Zusätzliche Mailbox mit
eigenständiger Quota
Administration über
Exchange Administrator,
SharePoint Admincenter
oder PowerShell
Verfügbar für on-
premises, off-premises,
online oder durch
Exchange Online Archiv
In-Place Archiv
Automatische und
zeitbasierte Kriterien
Regeln auf Item oder Folder
Ebene
Ablaufdatum wird in eMail
Nachricht angezeigt
Governance
Erfasst gelöschte und
bearbeitete eMail
Nachrichten
Zeitbasiertes In-Place Hold
Granulare Abfrage
Optionale
Benachrichtugungen
Webbasiertes eDiscovery
Center und Multi-Mailboxen
Suche
Suche primär in In-Place
Archive und wiederherstellbare
Items
Delegation durch
Rollenbasierte Administration
De-Duplizierung nach
Discovery
Audit zur Sicherstellung der
Einhaltung von Vorgaben
Halten (onHold) eDiscovery
41. Berichtsoptionen:
- eMail (allgemein)
- Spam Filter
- DLP
- Transport Regeln
- Download der Berichte
- Überwachung von SharePoint Site
Collections und Inhalten
- Export von eDiscovery Inhalten und
Berichten
- …
42.
43.
44.
45. Windows AZURE
Active Directory
implementiert sich
transparent innerhalb
der Cloud und dem
lokalen RM Client
(Zur Zeit unterstütztder benutzte STS ausschließlich
WindowsAZUREActive Directory)
Microsoft Online Services
Windows Azure AD Rights Management
STS
RMS Web
Services
KMS
Rights Management Client
Windows Azure Active Directory
46.
47. IRM Regeln sind im
Client je nach
Konfiguration
vorhanden
Die Regel wird im
Klartext dem Absender
und dem Empfänger
angezeigt.
52. Verbraucher genießen den einfachen und
schnellen Austausch von Informationen übers
Internet.
Arbeitnehmer möchten Tools benutzen, die ihre
Produktivität steigern.
CISO’s sind nicht in der Lage alle neuen Geräte
zuzulassen ohne die internen Richtlinien zu
verletzen.
Dazu sind die Freigabeprozesse in der Regel
zu komplex
53. Beispiel Architektur - Secured eCollaboration for SharePoint
Central Management
Full Auditing Capabilities
Securing network files & folders
Securing USB drives
Securing Portable media
Securing eMail communications
Securing SharePoint content
SEPSimple Encryption Platform
TM
58. Microsoft bietet über ihren Onlineauftritt die
verschiedenen Informationsmöglichkeiten an,
die unter anderem im BDSG vorgeschrieben
sind.
Sie als Kunde bleiben auch bei Microsoft der
Dateninhaber
59. Sie haben die Möglichkeit, sich zu informieren
Microsoft Global Foundations (Security)
(Rechenzentrumsbetreiber)
http://www.globalfoundationservices.com/security
Microsoft Trust Center
http://office.microsoft.com/de-de/business/office-
365-trust-center-sicherheit-beim-cloud-computing-
FX103030390.aspx
Pressemeldung zu PRISM
Medienberichte über US-Sicherheitsprogramm
http://blogs.technet.com/b/microsoft_presse/archive/
2013/06/07/medienberichte-_fc00_ber-
us_2d00_sicherheitsprogamm.aspx
Behördliche Anfragen zu Nutzerdaten
http://www.microsoft.com/de-
de/politik/artikel/behoerdliche-anfragen-zu-
nutzerdaten.aspx
60. Sie haben die Möglichkeit, sich zu informieren
Microsoft verarbeitet die Daten nach den
Vorschriften und Regelungen der „European
Data directive“.
“Microsoft acts as data controller for registration data,
billing data.
As data controller, Microsoft complies with privacy
laws for transfer of data outside the European Union. It
abides by the Safe Harbor privacy framework as set
forth by the U.S. Department of Commerce regarding
the collection, use, transfer and retention of data from
the European Union, the European Economic Area, and
Switzerland.
Microsoft acts as data processor for customer data,
which includes all content (including PII) generated by
the customer in the course of using Microsoft Online
Services. Examples include personal data contained in
emails, SharePoint Online files, customer directory data
and address books, and administrative access records.“
(Quelle: Download der Präsentation der „Partner Day Zürich“ Veranstaltung am
Ende der ShareConf oder für MS Partner unter
https://partnermarketingfactory.ch/Download/Cloud-Services.aspx )
61. Sie haben die Möglichkeit, sich zu schützen
Implementieren Sie die in den Paketen ab E1 zur
Verfügung stehende „Information Right
Management“ (IRM) Funktion und verschlüsseln
Sie Ihre Daten und Ihre Kommunikation
Nutzen Sie „Data Loss Prevention“ (DLP) um zu
verhindern, dass Ihre sensiblen Daten das
Unternehmen wirklich verlassen
Nutzen Sie die Berichtsfunktionen, um den
Zugriff auf Daten nachweisen zu können
65. SharePoint Camp
ab 08. Juli in München
ab 05. August in Berlin
ab 02. September in Karlsruhe
in zwei speziellen Versionen
www.SharePointCamp.de
Trainings und Events der ppedv
Mehr als 100 verschiedene Trainings auf
Microsoft-Technologien spezialisiert
11 Standorte in AT & D Maßgeschneiderte Trainings direkt bei Ihnen vor Ort!
www.ppedv.at
Wir sehen uns wieder!
66. Hat Ihnen mein Vortrag gefallen?
Ich freue mich auf Ihr Feedback!
ZunächstsollteGerät und Ort unwichtigwerden. Das einzige was zähltistwelcherMitarbeiterwelcheDatenoderDateienermöchte. Unabhängig ob mobiloderinnerhalb des Firmengebäudes. Und wennSieIhreeigenenGerätebenutzenmöchten – lassenSiesie ….<click>Das Unternehmenbekommteinfacheinenanderen Service. Einenwichtigen Service, deresermöglichtZugangzu Active Directorys, zuFirmenanwendung, Netzwerken, Datenspeichern und auch DLP Services zugeben, und das ganzeBenutzerbezogen. DerBenutzer muss sichauthentifizieren und somitmüssen die Rollen und Berechtigungenfestgelegtsein und nicht auf Geräteoder IP-Adressen. WennderBenutzeridentifiziertistsollteesegalseinobererinnerhalboderausserhalbder Firewall sichbefindet, egal ob mitseinemeigenenodereinemanderenGerät. VieleFirmeninvestierenviel Geld in Gerätemanagement und ichverstehediesenStandpunkt – weilsiebefürchten die DatenkönntenaußerhalbIhrerKontrollesein. Aber das muss nichtsein, SiebenötigennurFunktionen die esIhnenermöglichen die Daten auf Befehlzulöschenoder den Zugriffzuverweigern. Egal ob derBenutzer die Datengeradebenutztoder am System angemeldetist. Das könnenSiewenn die DatenbeimUnternehmennachfragen ob siebenutztwerdendürfen.<click>Und so kommenwirzumThema DLP. Daten die durchihreMitarbeitererstelltwerdengehörendemUnternehmen. Was istfalschdaran, wennUnternehmensichergehenwollen, das dieseDateiengeschütztwerden. WennDatenvomZeitpunktderErstellung an verschlüssteltsindbeijeglichenGebrauchbeiallenÄnderungen und Kopien auf allenGeräten und externen Services. Die Unternehmenmüssen die Erlaubniserteilenwenn auf die Datenzugegriffenwird das istderWeg, den wirsehen um in eineroffenenUmgebung die Datenzuschützen. DieserSchutzdarfaberkeineermüdendeoderlangsameAktionsein, dies muss einfach, per Mouseklick auf einDokumentoderDateigeschehen. OhnespeziellesSchlüsselmanagementoderPasswörter die man sichmerken muss. Also ganzeinfach und simpel – aber das werdenwirspäternoch in der Live Vorführungsehen.<click>Schließlichmüssensieauch in derLageseinbeieinerPrüfung die EinhaltungderRichtilinenzudokumentieren. Das istgenau das was wirtun. Wirdokumentiereneinfachalles – alleBenutzeraktionen, Datenaktionen, Rechteveränderungen und somitwirdesIhnenleichtgemachtgenaunachzuvollziehenwelcher User von woaus, auf welcheDatenzugegriffen hat. WelcheDatenkopiertwurdenodergelöscht. AberSiemüssenauchsichergehenkönnen, dassauch die kopiertenDateiennichtmehrbenutztwerdenkönnen, wennsieesnichtwünschen. Aberauch das sehenwirspäternoch.<click>