Sind die Daten in der Office 365 Cloud Plattform wirklich sicher?
Hallo,
wir nutzen das Office 365 mit dem Office 365 Enterprise E1 Abo. In Kürze wollten wir unsere Daten u. A. auf OneDrive Business und Sharepoint Online ablegen und Skype for Business als Telefonielösung nutzen. In diesem Zusammenhang haben wir uns noch einmal gefragt, ob wir die Daten unserer Kunden tatsächlich in einen Cloudspeicher ablegen sollten. Als einer meiner Kollegen auf folgende Seite gestoßen ist, klappte unsere Kinnlade runter: https://www.microsoft.com/de-de/servicesagreement. Was da unter 2b. steht, konnten wir nicht fassen. Dort steht:
....um Sie und die Dienste zu schützen und um die Produkte und Dienste von Microsoft zu verbessern, gewähren Sie Microsoft eine weltweite und gebührenfreie Lizenz für geistiges Eigentum zur Verwendung Ihrer Inhalte, z. B. um Kopien Ihrer Inhalte zu erstellen oder Ihre Inhalte aufzubewahren, zu übertragen, neu zu formatieren, mithilfe von Kommunikationswerkzeugen zu verteilen und über die Dienste anzuzeigen.
weltweite und gebührenfreie Lizenz für geistiges Eigentum zur Verwendung Ihrer Inhalte - äh, echt jetzt?
Nun steht da im ersten Satz ja, dass die Vereinbarung für die weiter unten aufgeführten Tools und Dienste zutrifft. Darin werden die Business-Varianten nicht aufgeführt. Wir riefen dennoch daraufhin jemanden aus der Datenschutz-Abteilung bei Microsoft an, der uns bestätigte, dass diese Vereinbarung wohl auch für alle MS Dienste/Tools zutrifft. Wenn das zutrifft, das MS sich erlaubt, an die Daten unserer Kunden zu gehen, kommt der gesamte Clouddienst für uns nicht in Frage. Ich frage mich jedoch, ob überhaupt irgendein (zumindest deutsches) Unternehmen, die MS Dienste nutzt, wenn es denn diese Vereinbarungen überhaupt kennt.
Kann mir jemand bestätigen, ob Microsoft irgendein Zugriff auf die in der Cloud gespeicherten Daten und Dateien hat und diese wirklich auch weiterverwenden darf? Wo könnte man sich 100% absichern/informieren, was die Vereinbarungen genau bedeuten?
Gruß
kwame501
wir nutzen das Office 365 mit dem Office 365 Enterprise E1 Abo. In Kürze wollten wir unsere Daten u. A. auf OneDrive Business und Sharepoint Online ablegen und Skype for Business als Telefonielösung nutzen. In diesem Zusammenhang haben wir uns noch einmal gefragt, ob wir die Daten unserer Kunden tatsächlich in einen Cloudspeicher ablegen sollten. Als einer meiner Kollegen auf folgende Seite gestoßen ist, klappte unsere Kinnlade runter: https://www.microsoft.com/de-de/servicesagreement. Was da unter 2b. steht, konnten wir nicht fassen. Dort steht:
....um Sie und die Dienste zu schützen und um die Produkte und Dienste von Microsoft zu verbessern, gewähren Sie Microsoft eine weltweite und gebührenfreie Lizenz für geistiges Eigentum zur Verwendung Ihrer Inhalte, z. B. um Kopien Ihrer Inhalte zu erstellen oder Ihre Inhalte aufzubewahren, zu übertragen, neu zu formatieren, mithilfe von Kommunikationswerkzeugen zu verteilen und über die Dienste anzuzeigen.
weltweite und gebührenfreie Lizenz für geistiges Eigentum zur Verwendung Ihrer Inhalte - äh, echt jetzt?
Nun steht da im ersten Satz ja, dass die Vereinbarung für die weiter unten aufgeführten Tools und Dienste zutrifft. Darin werden die Business-Varianten nicht aufgeführt. Wir riefen dennoch daraufhin jemanden aus der Datenschutz-Abteilung bei Microsoft an, der uns bestätigte, dass diese Vereinbarung wohl auch für alle MS Dienste/Tools zutrifft. Wenn das zutrifft, das MS sich erlaubt, an die Daten unserer Kunden zu gehen, kommt der gesamte Clouddienst für uns nicht in Frage. Ich frage mich jedoch, ob überhaupt irgendein (zumindest deutsches) Unternehmen, die MS Dienste nutzt, wenn es denn diese Vereinbarungen überhaupt kennt.
Kann mir jemand bestätigen, ob Microsoft irgendein Zugriff auf die in der Cloud gespeicherten Daten und Dateien hat und diese wirklich auch weiterverwenden darf? Wo könnte man sich 100% absichern/informieren, was die Vereinbarungen genau bedeuten?
Gruß
kwame501
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 393697
Url: https://administrator.de/forum/sind-die-daten-in-der-office-365-cloud-plattform-wirklich-sicher-393697.html
Ausgedruckt am: 24.12.2024 um 01:12 Uhr
31 Kommentare
Neuester Kommentar
Moin,
Punkt 1: Warum wird es trotzdem verwendet? Was glaubst du denn wieviele sich das durchlesen? Ähnliches hast du übrigens bei Google usw. auch drin...
Punkt 2: Ob du Kundendaten in eine Cloud legen willst oder nicht musst du entscheiden - die primäre Sicherheit hängt aber ja immer von deinen Passwörtern ab. Wenn einer deiner Kollegen "max.mustermann" als login hat und das Passwort "Maxi" ist das ganze recht unsicher - bei dir "in house" müsste aber Max ja erst mal ne Verbindung von aussen aufbauen können (z.B. VPN) da die Daten sonst zumindest für aussenstehende offen liegen...
Punkt 3: Du musst halt immer davon ausgehen das die entsprechenden Firmen nicht unbedingt aus Menschenfreundlichkeit sowas anbieten, die wollen auch was davon haben. Dabei geht es nicht mal zwingend darum ob man jetzt den Inhalt deiner Mails kennt - aber man weiss natürlich schon mal direkt das die Firma @xyz.abc mit der Firma @abc.xyz zusammenarbeitet wenn da immer Mails ausgetauscht werden (und ggf. von mehreren Accounts). Das kann man doch direkt dann weiterverwenden.
Punkt 4: Dank der neuen Datenschutz-Grundverordnung kannst du auch ganz schnell ganz viel Spass haben wenn die Firma die Daten missbraucht und/oder durch nen Angriff die Daten abhanden kommen (vom Vertrauensverlust bei den Kunden ganz abgesehen). Insbesondere bei grossen Konzernen die dir nicht unbedingt garantieren das deine Daten in Deutschland bleiben hast du dann den lokalen Datenschutz wenn du glück hast... Du kannst ja mal gucken wie der Datenschutz in den Staaten, in Afrika oder irgendwo auf ner Insel aussieht....
Von daher: Wenns nur der eine Punkt ist um den ihr euch Gedanken macht dann habt ihr den grössten Teil vergessen...
Punkt 1: Warum wird es trotzdem verwendet? Was glaubst du denn wieviele sich das durchlesen? Ähnliches hast du übrigens bei Google usw. auch drin...
Punkt 2: Ob du Kundendaten in eine Cloud legen willst oder nicht musst du entscheiden - die primäre Sicherheit hängt aber ja immer von deinen Passwörtern ab. Wenn einer deiner Kollegen "max.mustermann" als login hat und das Passwort "Maxi" ist das ganze recht unsicher - bei dir "in house" müsste aber Max ja erst mal ne Verbindung von aussen aufbauen können (z.B. VPN) da die Daten sonst zumindest für aussenstehende offen liegen...
Punkt 3: Du musst halt immer davon ausgehen das die entsprechenden Firmen nicht unbedingt aus Menschenfreundlichkeit sowas anbieten, die wollen auch was davon haben. Dabei geht es nicht mal zwingend darum ob man jetzt den Inhalt deiner Mails kennt - aber man weiss natürlich schon mal direkt das die Firma @xyz.abc mit der Firma @abc.xyz zusammenarbeitet wenn da immer Mails ausgetauscht werden (und ggf. von mehreren Accounts). Das kann man doch direkt dann weiterverwenden.
Punkt 4: Dank der neuen Datenschutz-Grundverordnung kannst du auch ganz schnell ganz viel Spass haben wenn die Firma die Daten missbraucht und/oder durch nen Angriff die Daten abhanden kommen (vom Vertrauensverlust bei den Kunden ganz abgesehen). Insbesondere bei grossen Konzernen die dir nicht unbedingt garantieren das deine Daten in Deutschland bleiben hast du dann den lokalen Datenschutz wenn du glück hast... Du kannst ja mal gucken wie der Datenschutz in den Staaten, in Afrika oder irgendwo auf ner Insel aussieht....
Von daher: Wenns nur der eine Punkt ist um den ihr euch Gedanken macht dann habt ihr den grössten Teil vergessen...
Hi
(wo habt ihr die letzten paar Jahre gelebt? Das ist doch Gegenstand aller Debatten um Clouddienst, seit sie auf den Markt gekommen sind...)
stell dir mal die Frage, wie MS dir die entsprechenden Services anbieten können soll, ohne die Daten anfassen zu dürfen.
Und Punkt 2 besteht nicht nur aus Punkt a und b, sondern auch schlicht aus 2, wo steht:
IANAL, aber MS BRAUCHT für diverse Dienste das Recht am eure Daten rangehen zu dürfen. Da steht nix davon, das sie eure Daten für sich selbst verwenden und im Zweifelsfall die Rechte an eurer Erfindung haben, die ihr da hochgeladen habt. Würde MS sich das Recht nicht einräumen, könnten sie weder Backups machen, auf Viren scannen, Inhalte der Mails analysieren(Spam) usw usw
ABER: Da MS ein US Unternehmen ist, haben da tatsächlich sehr viele ungewünschte Personen Zugriff auf eure Daten. Wenn ihr nicht wollt, das diverse Länder und deren Organe eure Daten abschnorcheln können, dann ist ne Cloud eher nix für euch. Eigentlich ist dann das ganze Internet nix für euch, aber das ist wieder ein anderes Thema.
(wo habt ihr die letzten paar Jahre gelebt? Das ist doch Gegenstand aller Debatten um Clouddienst, seit sie auf den Markt gekommen sind...)
stell dir mal die Frage, wie MS dir die entsprechenden Services anbieten können soll, ohne die Daten anfassen zu dürfen.
Und Punkt 2 besteht nicht nur aus Punkt a und b, sondern auch schlicht aus 2, wo steht:
Wir beanspruchen kein Eigentum an Ihren Inhalten. Ihre Inhalte bleiben Ihre Inhalte, und Sie sind für diese verantwortlich.
IANAL, aber MS BRAUCHT für diverse Dienste das Recht am eure Daten rangehen zu dürfen. Da steht nix davon, das sie eure Daten für sich selbst verwenden und im Zweifelsfall die Rechte an eurer Erfindung haben, die ihr da hochgeladen habt. Würde MS sich das Recht nicht einräumen, könnten sie weder Backups machen, auf Viren scannen, Inhalte der Mails analysieren(Spam) usw usw
ABER: Da MS ein US Unternehmen ist, haben da tatsächlich sehr viele ungewünschte Personen Zugriff auf eure Daten. Wenn ihr nicht wollt, das diverse Länder und deren Organe eure Daten abschnorcheln können, dann ist ne Cloud eher nix für euch. Eigentlich ist dann das ganze Internet nix für euch, aber das ist wieder ein anderes Thema.
Hallo,
die amerikanischen Nachrichtendienste haben ausdrücklich auch den Auftrag der Wirtschaftsspionage.
Wenn ich mich recht erinnere, besagt das amerikanische Recht, dass US-Dienste ausdrücklich das Recht haben auf Daten amerikanischer Firmen im Ausland zuzugreifen. M$ muß also amerikanischen Diensten und der Justiz den Zugang auch zu bei Ihnen gehosteten Kundendaten ermöglichen, auch wenn die Server nicht in den USA stehen und die nationalen Regelungen (zB. DSGVo) es eigentlich verbieten..
Und zum Schluß: Nach deutschem Steuerrecht müssen alle steuerrelevanten Daten sich in Deutschland bzw in der EU befinden. Also die Mail mit der Rechnung im Anhang darf nicht auf einem Server außerhalb der EU gespeichert werden.
Jürgen
die amerikanischen Nachrichtendienste haben ausdrücklich auch den Auftrag der Wirtschaftsspionage.
Wenn ich mich recht erinnere, besagt das amerikanische Recht, dass US-Dienste ausdrücklich das Recht haben auf Daten amerikanischer Firmen im Ausland zuzugreifen. M$ muß also amerikanischen Diensten und der Justiz den Zugang auch zu bei Ihnen gehosteten Kundendaten ermöglichen, auch wenn die Server nicht in den USA stehen und die nationalen Regelungen (zB. DSGVo) es eigentlich verbieten..
Und zum Schluß: Nach deutschem Steuerrecht müssen alle steuerrelevanten Daten sich in Deutschland bzw in der EU befinden. Also die Mail mit der Rechnung im Anhang darf nicht auf einem Server außerhalb der EU gespeichert werden.
Jürgen
Als einer meiner Kollegen auf folgende Seite gestoßen ist, klappte unsere Kinnlade runter
Überrascht euch das wirklich?Ich frage mich jedoch, ob überhaupt irgendein (zumindest deutsches) Unternehmen, die MS Dienste nutzt,
Und das tun sie. Beraten von "IT-Unternehmen" meist sogar. wenn es denn diese Vereinbarungen überhaupt kennt.
Kommt seltener vor, da sie ja "beraten" wurden. Den Profi im Haus, da kann nichts schief gehen.Kann mir jemand bestätigen, ob Microsoft irgendein Zugriff auf die in der Cloud gespeicherten Daten und Dateien hat und diese wirklich auch weiterverwenden darf?
Den möchte ich kennenlernen. Was M$ wirklich tut weiß nur M$ und die werden dir nicht alles auf die Nase binden.Und wieder ein mal bestätigt sich, dass Clouds für Kundendaten der letzte Speicherort sein sollte.
Wenn ich mich recht erinnere, besagt das amerikanische Recht, dass US-Dienste ausdrücklich das Recht haben auf Daten amerikanischer Firmen im Ausland zuzugreifen. M$ muß also amerikanischen Diensten und der Justiz den Zugang auch zu bei Ihnen gehosteten Kundendaten ermöglichen, auch wenn die Server nicht in den USA stehen und die nationalen Regelungen (zB. DSGVo) es eigentlich verbieten..
Die US-Behörden dürfen von US-Firmen nur die Daten von Amerikanern im Ausland anfordern.
Ansonsten gelten die Gesetzte in dem jeweiligen Land wo die Daten gespeichert sind.
Siehe auch:
https://de.wikipedia.org/wiki/CLOUD_Act
Edit:
Korrektur. Du hast Recht. Kann unter umständen auch EU Bürger betreffen, wenn die US Behörden eine Regierungsvereinbarung beschließen.
Allerdings wird das vom Europaparlament derzeit noch abgelehnt. Somit betrifft der Zugriff aktuell nur US Bürger / US Firmen.
https://www.golem.de/news/neues-us-gesetz-was-der-cloud-act-fuer-eu-buer ...
ob Microsoft irgendein Zugriff auf die in der Cloud gespeicherten Daten und Dateien hat
Davon kannst du wohl sicher ausgehen als Eigentümer der HW worauf das gespeichert ist.Als US Unternehmen gelten da auch andere Gesetze und du kannst sicher sein das nicht nur MS Zugriff auf diese Daten hat !!
Ein Schelm wer Böses dabei denkt....
Generell ist alles was öffentliche Cloud ist nicht wirklich kontrollierbar.
Wie oben schon gesagt bist du wohl recht weltfremd was das Thema angeht... "wo habt ihr die letzten paar Jahre gelebt?.."
Fazit:
Setz dir einen Raspberry Pi auf und pack dir eine eigene Cloud im eigenen Haus darauf wie Nextcloud dann behältst DU selber wenigstens die Hoheit über deine Daten
Hallo,
in diesem Fall macht dir die DSGVO die Entscheidung ganz einfach. Versuche mal mit MS einen Vertrag zu Datenverabeitung abzuschließen. Den schreibt die DSGVO nämlich vor siehe z.B. hier Kurzpapier 13
https://www.lfd.niedersachsen.de/startseite/dsgvo/anwendung_dsgvo_kurzpa ...
Das wird wie Asrertix und Obleix mit Passierschein A38
https://www.youtube.com/watch?v=lIiUR2gV0xk
in diesem Fall macht dir die DSGVO die Entscheidung ganz einfach. Versuche mal mit MS einen Vertrag zu Datenverabeitung abzuschließen. Den schreibt die DSGVO nämlich vor siehe z.B. hier Kurzpapier 13
https://www.lfd.niedersachsen.de/startseite/dsgvo/anwendung_dsgvo_kurzpa ...
Das wird wie Asrertix und Obleix mit Passierschein A38
https://www.youtube.com/watch?v=lIiUR2gV0xk
Hallo,
das ist ein nicht unwichtiges Thema. Ich bin gerade bei einem Unternehmen, welches zuerst IT Beratung anbietet. Jetzt ist man von verschiedenen Kunden angefragt worden, ob man nicht auch deren IT betreiben könnte / würde.
Jetzt geht es in die Richtung MSP (Managed Service Provider) für Cloud Services. D.h. O365 / Exchange Online, Sharepoint Online, OneDrive Online, SQL Online, ja und auch Backup in die Cloud.
Ich habe meine eigene Meinung zu diesem Thema. Nun ich bin mal sehr gespannt, in welche Richtung, wie lange und wie weit das geht.
Ja die Aussage heißt, warum soll ich mir Hardware anschaffen, worum ich mich kümmern muss? Ich will das alles nicht, sondern die Services in der Cloud nutzen. Somit habe ich keine Wartungskosten für die eigene Hardware, keine Stromkosten, weniger eigenes Personal, welches ich bezahlen muss, usw.
Über die Datensicherheit und Hohheit macht sich keiner Gedanken. Wie es der Beitragsersteller geschrieben hat.
Gruss Penny
das ist ein nicht unwichtiges Thema. Ich bin gerade bei einem Unternehmen, welches zuerst IT Beratung anbietet. Jetzt ist man von verschiedenen Kunden angefragt worden, ob man nicht auch deren IT betreiben könnte / würde.
Jetzt geht es in die Richtung MSP (Managed Service Provider) für Cloud Services. D.h. O365 / Exchange Online, Sharepoint Online, OneDrive Online, SQL Online, ja und auch Backup in die Cloud.
Ich habe meine eigene Meinung zu diesem Thema. Nun ich bin mal sehr gespannt, in welche Richtung, wie lange und wie weit das geht.
Ja die Aussage heißt, warum soll ich mir Hardware anschaffen, worum ich mich kümmern muss? Ich will das alles nicht, sondern die Services in der Cloud nutzen. Somit habe ich keine Wartungskosten für die eigene Hardware, keine Stromkosten, weniger eigenes Personal, welches ich bezahlen muss, usw.
Über die Datensicherheit und Hohheit macht sich keiner Gedanken. Wie es der Beitragsersteller geschrieben hat.
Gruss Penny
Ich will das alles nicht, sondern die Services in der Cloud nutzen. Somit habe ich keine Wartungskosten für die eigene Hardware, keine Stromkosten, weniger eigenes Personal, welches ich bezahlen muss, usw.
Über die Datensicherheit und Hohheit macht sich keiner Gedanken.
Über die Datensicherheit und Hohheit macht sich keiner Gedanken.
So ist es leider. Das Argument Kosten für die IT ist sicherlich ein starkes, aber im Schadensfall löst sich das Argument in Luft auf. So schön, toll und bequem Clouddienste auch sind. Und sich das vom Auftraggeber schriftlich geben lassen hilft auch nicht viel, denn am Ende heißt es "Du hast mir doch dazu geraten". Und schon ist der Ärger da.
Zitat von @it-fraggle:
So ist es leider. Das Argument Kosten für die IT ist sicherlich ein starkes, aber im Schadensfall löst sich das Argument in Luft auf. So schön, toll und bequem Clouddienste auch sind. Und sich das vom Auftraggeber schriftlich geben lassen hilft auch nicht viel, denn am Ende heißt es "Du hast mir doch dazu geraten". Und schon ist der Ärger da.
Das ist das Dilemma. Viele Unternehmen denken NICHT über darüber nach. Und gerade im Hinblick auf die Datenspeicherung, DS-GVO, Zugriff durch andere Regierungen(?).Ich will das alles nicht, sondern die Services in der Cloud nutzen. Somit habe ich keine Wartungskosten für die eigene Hardware, keine Stromkosten, weniger eigenes Personal, welches ich bezahlen muss, usw.
Über die Datensicherheit und Hohheit macht sich keiner Gedanken.
Über die Datensicherheit und Hohheit macht sich keiner Gedanken.
So ist es leider. Das Argument Kosten für die IT ist sicherlich ein starkes, aber im Schadensfall löst sich das Argument in Luft auf. So schön, toll und bequem Clouddienste auch sind. Und sich das vom Auftraggeber schriftlich geben lassen hilft auch nicht viel, denn am Ende heißt es "Du hast mir doch dazu geraten". Und schon ist der Ärger da.
Denn die meisten Cloudanbieter sind amerikanische Firmen. Und für die gilt zuerst das amerikanische Recht. War da nicht mal ein Zitat eines US-Präsidenten?
Gruss Penny
Das ist ganz einfach, ohne bekommst du die Dienste nicht.
/Thomas
Das ist ganz einfach, ohne bekommst du die Dienste nicht.
/Thomas
/Thomas
Hast Du da schon mal einen gesehen, der DSGVO-Konform ist? Ich nicht.
Ja
Moin,
ok, es ist normal für Informatik nur 0 und 1 zu kennen, aber warum meint ihr das sowas generell gilt?
Erstmal: Glaubst du das andere Systeme zwingend besser / sicherer sind? Das würde bedeuten das du den Quellcode wirklich prüfst um sicherzustellen das keine Lücken drin sind.
Und dann hängt es ja auch von deinen Kunden ab - und den Firmen-Anforderungen... Ist ja schön das ihr z.B. kein Skype nutzen wollt weils von MS ist - blöd nur wenn div. Kunden das nutzen. Und natürlich auch was ihr für ne Firma habt - wenn du z.B. Standorte direkt in den Staaten hast dann is das ganze eh zweckfrei...
Von daher: Ich würde einfach mal nicht in Panik verfallen und alles abschalten weils bei MS o.ä. ist - sondern mich mal hinsetzen und gucken was man jetzt wirklich will...
ok, es ist normal für Informatik nur 0 und 1 zu kennen, aber warum meint ihr das sowas generell gilt?
Erstmal: Glaubst du das andere Systeme zwingend besser / sicherer sind? Das würde bedeuten das du den Quellcode wirklich prüfst um sicherzustellen das keine Lücken drin sind.
Und dann hängt es ja auch von deinen Kunden ab - und den Firmen-Anforderungen... Ist ja schön das ihr z.B. kein Skype nutzen wollt weils von MS ist - blöd nur wenn div. Kunden das nutzen. Und natürlich auch was ihr für ne Firma habt - wenn du z.B. Standorte direkt in den Staaten hast dann is das ganze eh zweckfrei...
Von daher: Ich würde einfach mal nicht in Panik verfallen und alles abschalten weils bei MS o.ä. ist - sondern mich mal hinsetzen und gucken was man jetzt wirklich will...
Zitat von @kwame501:
Ich kann das nicht prüfen, aber bei der Alternativen wie z. B. OpenSource kann und macht es z. B. GitHub bzw. jemand aus der Community.
Github prüft überhaupt nichts, und ob jemand aus "der Community" irgendwas prüft ist auch mehr als unsicher. Es ist ja nichtmal klar wer "jemand" ist.Ich kann das nicht prüfen, aber bei der Alternativen wie z. B. OpenSource kann und macht es z. B. GitHub bzw. jemand aus der Community.
Unsere Firmen-Anforderung fordert, dass NIEMAND an unsere Kundendaten drangehen darf.
Über den Satz solltest du nochmal nachdenken.Hast du einen Tipp, was wir tun könnten, nachdem wir all dies getan haben und feststellen, dass MS sich das Recht nimmt, auf Daten von gutgläubigen Menschen und auch Unternehmen zuzugreifen? Denn, es gibt bisher keinerlei Bestätigung, dass wir alleiniger Herr unserer Daten sind.
Niemand muss gutgläubig sein, wenn dir die Bedingungen nicht gefallen solltest du den Dienst nicht benutzen.
Moin,
wie kommst du darauf das GitHub oder ähnliche sich da einmischen? Und selbst die Sache das der Quellcode ja frei ist hilft dir nicht. Denn jedes grössere Software-Projekt holt heute Lib's dazu die von Fremdherstellern kommen. Ich sende als MEINEN (sauberen) Quellcode zu dir, du prüfst den und sagst "ok, is sauber". Wie aber grad vor nen paar Tagen mal wieder passiert - der Anbieter einer Lib hatte eben irgendwann keine Lust mehr, sein Projekt wurde dann von jemand übernommen und der hat da komische Dinge eingebaut (vgl.: https://www.golem.de/news/event-stream-populaeres-npm-paket-verteilt-sch ... ). D.h. selbst wenn ich _HEUTE_ gucke das auch die Libs sauber sind - ich weiss nicht was damit morgen oder nächste Woche passiert. Das kann aber weder GitHub noch Suse noch sonst wer sicherstellen.
Wenn also absolut niemand auf die Daten zugreifen darf würde ich eben überlegen nen VPN + nen simplen Fileserver zu machen. Der Fileserver hat per Firewall-Regel nur Zugriff aufs VPN und aufs interne Netzwerk -> fertig. Denn: Alles was du ins Internet stellst kannst du potentiell erst mal als "offen für alle" sehen. Nimm halt OwnCloud. Morgen findet jemand raus das du mit nem Benutzernamen äöäöäö leider die Anmeldung umgeht und root-Rechte hat oder in irgendeiner der besagten Lib's is ne Backdoor drin die bei nem bestimmten Token alles erlaubt. Solang bis du dein System gepatcht hast (und hoffst das nich mehr Lücken auftreten - vgl. aktuelle Microcode-Updates von Intel) gibts sonst nur "vom Netz nehmen". Dumm wenn du grad im Urlaub bist und/oder es wagst mal für 2-3 Tage keine IT-News zu lesen weil andere Sachen anstehen...
Natürlich kannst du auch verschlüsselte Dateien in jede Cloud legen -> simpel mit ZIP + Passwort oder als Container z.B. für TrueCrypt. Das ist dann aber wieder was bei dem andere Probleme auftreten (z.B. das man den Container erst komplett laden muss bevor man die Dateien sieht). Auch hier hängt es von euren Anforderungen ab WAS ihr plant. Für eine Entwicklerbude die z.B. VMs als Demo-Systeme verteilt kein Problem (die VM wäre eh nur lauffähig wenn alles fertig geladen ist). Für eine Grafik-Agentur die dem Kunden 500 Bilder bereitstellen möchte die er ansehen soll eher schwer aber ggf. noch erklärbar. Bei Endkunden nahezu unmöglich weil es da eben meist nich mal das Wissen gibt wie die so nen Container öffnen könnten... Was euch ebenfalls bewusst sein muss: Im Web ist die Anmeldung typischerweise mit Passwort -> selbst das sicherste System hilft nicht wenn der Kunde das Passwort "Password" hat (was erschreckend oft der Fall ist!). Bei nem (guten) VPN kannst du das schon damit umgehen das du entweder per Zertifikat arbeitest und der Kunde somit gar kein Passwort benötigt ODER das du eben User- und Group-Passwort vergibst wobei du das Group-PW ja zumindest schon mal selbst bestimmen kannst. Oder du kannst eben auch nen SmartCard-System nutzen (habe ich z.B. für meine Bank) - selbst wenn du also mein Passwort hast, die Kopie der Software von meinem Rechner ziehst hilft dir das immer noch nicht da du eben eine zusätzliche Hardware benötigst.
Wie gesagt - vieles hängt davon ab was ihr braucht, was euer Budget und was die technischen Möglichkeiten sind... Denn natürlich ist die Sicherheit immer erst mal für den Kunden eine extra Hürde. Und als Kunde würde ich vermutlich nicht so begeistert sein wenn du mir nen SmartCard-Reader vorschreibst mit dem ich mich in nem VPN anmelden kann um dann nen einfaches Angebot runterladen zu können was du mir vorher einfach per Mail geschickt hast.... Ist dein Kunde allerdings Herr Trump und du bist zufällig für entsprechende Millitär-Behörden tätig würde ich schon hoffen das der Abschuss einer Atomrakete mehr als ne 4-Stellige-PIN-Nummer erfordert... wobei...hmmm.... bei Blondie?!? OH GOTT, WIR SIND VERLOREN!!!!
wie kommst du darauf das GitHub oder ähnliche sich da einmischen? Und selbst die Sache das der Quellcode ja frei ist hilft dir nicht. Denn jedes grössere Software-Projekt holt heute Lib's dazu die von Fremdherstellern kommen. Ich sende als MEINEN (sauberen) Quellcode zu dir, du prüfst den und sagst "ok, is sauber". Wie aber grad vor nen paar Tagen mal wieder passiert - der Anbieter einer Lib hatte eben irgendwann keine Lust mehr, sein Projekt wurde dann von jemand übernommen und der hat da komische Dinge eingebaut (vgl.: https://www.golem.de/news/event-stream-populaeres-npm-paket-verteilt-sch ... ). D.h. selbst wenn ich _HEUTE_ gucke das auch die Libs sauber sind - ich weiss nicht was damit morgen oder nächste Woche passiert. Das kann aber weder GitHub noch Suse noch sonst wer sicherstellen.
Wenn also absolut niemand auf die Daten zugreifen darf würde ich eben überlegen nen VPN + nen simplen Fileserver zu machen. Der Fileserver hat per Firewall-Regel nur Zugriff aufs VPN und aufs interne Netzwerk -> fertig. Denn: Alles was du ins Internet stellst kannst du potentiell erst mal als "offen für alle" sehen. Nimm halt OwnCloud. Morgen findet jemand raus das du mit nem Benutzernamen äöäöäö leider die Anmeldung umgeht und root-Rechte hat oder in irgendeiner der besagten Lib's is ne Backdoor drin die bei nem bestimmten Token alles erlaubt. Solang bis du dein System gepatcht hast (und hoffst das nich mehr Lücken auftreten - vgl. aktuelle Microcode-Updates von Intel) gibts sonst nur "vom Netz nehmen". Dumm wenn du grad im Urlaub bist und/oder es wagst mal für 2-3 Tage keine IT-News zu lesen weil andere Sachen anstehen...
Natürlich kannst du auch verschlüsselte Dateien in jede Cloud legen -> simpel mit ZIP + Passwort oder als Container z.B. für TrueCrypt. Das ist dann aber wieder was bei dem andere Probleme auftreten (z.B. das man den Container erst komplett laden muss bevor man die Dateien sieht). Auch hier hängt es von euren Anforderungen ab WAS ihr plant. Für eine Entwicklerbude die z.B. VMs als Demo-Systeme verteilt kein Problem (die VM wäre eh nur lauffähig wenn alles fertig geladen ist). Für eine Grafik-Agentur die dem Kunden 500 Bilder bereitstellen möchte die er ansehen soll eher schwer aber ggf. noch erklärbar. Bei Endkunden nahezu unmöglich weil es da eben meist nich mal das Wissen gibt wie die so nen Container öffnen könnten... Was euch ebenfalls bewusst sein muss: Im Web ist die Anmeldung typischerweise mit Passwort -> selbst das sicherste System hilft nicht wenn der Kunde das Passwort "Password" hat (was erschreckend oft der Fall ist!). Bei nem (guten) VPN kannst du das schon damit umgehen das du entweder per Zertifikat arbeitest und der Kunde somit gar kein Passwort benötigt ODER das du eben User- und Group-Passwort vergibst wobei du das Group-PW ja zumindest schon mal selbst bestimmen kannst. Oder du kannst eben auch nen SmartCard-System nutzen (habe ich z.B. für meine Bank) - selbst wenn du also mein Passwort hast, die Kopie der Software von meinem Rechner ziehst hilft dir das immer noch nicht da du eben eine zusätzliche Hardware benötigst.
Wie gesagt - vieles hängt davon ab was ihr braucht, was euer Budget und was die technischen Möglichkeiten sind... Denn natürlich ist die Sicherheit immer erst mal für den Kunden eine extra Hürde. Und als Kunde würde ich vermutlich nicht so begeistert sein wenn du mir nen SmartCard-Reader vorschreibst mit dem ich mich in nem VPN anmelden kann um dann nen einfaches Angebot runterladen zu können was du mir vorher einfach per Mail geschickt hast.... Ist dein Kunde allerdings Herr Trump und du bist zufällig für entsprechende Millitär-Behörden tätig würde ich schon hoffen das der Abschuss einer Atomrakete mehr als ne 4-Stellige-PIN-Nummer erfordert... wobei...hmmm.... bei Blondie?!? OH GOTT, WIR SIND VERLOREN!!!!
Zitat von @kwame501:
Ich wollte damit nur sagen, dass OpenSource Software prüfbar sind, und proprietäre Software nicht.
Was nützt dir eine theoretische Möglichkeit? Das macht den Code kein bisschen sicherer, verleitet dich offenbar aber dazu anzunehmen das er sicherer wäre.Ich wollte damit nur sagen, dass OpenSource Software prüfbar sind, und proprietäre Software nicht.
Das habe ich bereits getan, als ich diesen Satz schrieb. Was verstehst du daran nicht?
Was willst du mit Daten an die "Niemand" ran darf? Das Wort "Niemand" schließt dich übrigens ein.Ein unbrauchbarer und unnötiger Tipp. Trotzdem danke.
Der Tipp ist sehr brauchbar, wenn das Angebot nicht auf deine Anforderungen passt solltest du es nicht nutzen. Nur für dich wird MS seine Cloud Angebote nicht ändern, die sind nur durch Standardisierung rentabel.
Moin,
das ist eben dein Fehler - Open Source ist natürlich prüfbar. In der theorie damit natürlich auch sicherer.... Es ist aber auch VERÄNDERBAR - im Gegensatz zu "closed source". Wenn ich jetzt mal so überlege wie oft im letzten Jahr SSH und SSL (beides lange bekannte und freie Implementierungen!) plötzlich doch noch was gefunden hat stellt sich die Frage ob es wirklich sicherer ist...
Was du machen kannst steht oben:
a) selbst hosten mit z.B. OwnCloud und hoffen das keine Lücke drin ist
b) VPN nutzen und normale Fileshares verwenden - damit hast du schon mal deinen Server nicht direkt im Netz stehen
c) Die Lizenzbedingungen der div. Anbieter akzeptieren und diese Dienste nutzen.
das ist eben dein Fehler - Open Source ist natürlich prüfbar. In der theorie damit natürlich auch sicherer.... Es ist aber auch VERÄNDERBAR - im Gegensatz zu "closed source". Wenn ich jetzt mal so überlege wie oft im letzten Jahr SSH und SSL (beides lange bekannte und freie Implementierungen!) plötzlich doch noch was gefunden hat stellt sich die Frage ob es wirklich sicherer ist...
Was du machen kannst steht oben:
a) selbst hosten mit z.B. OwnCloud und hoffen das keine Lücke drin ist
b) VPN nutzen und normale Fileshares verwenden - damit hast du schon mal deinen Server nicht direkt im Netz stehen
c) Die Lizenzbedingungen der div. Anbieter akzeptieren und diese Dienste nutzen.
c) Die Lizenzbedingungen der div. Anbieter akzeptieren und diese Dienste nutzen.
Hallo,
man kann diese Möglichkeit noch etwas abwandeln, indem man die in der Cloud gespeicherten Daten vor dem Speichern verschlüsselt.
Das ist auch die allgemeine Empfehlung für die Nutzung öffentlicher Cloud-Angebote.
Die Sicherheit der Daten ist dann nur noch von der Stärke der Verschlüsselung abhängig.
In wie weit das in der konkreten Anwendung umsetzbar ist, muß der TO bewerten.
Jürgen
Guten Abend,
rein rechtlich darf MS nicht auf deine Daten zugreifen. Aber sie könnten theoretisch dies schon machen und das selbst wenn die Daten auf den MS Servern verschlüsselt sind, da MS den Schlüssel besitzt. Es sei denn, du verschlüsselst die Dateien zusätzlich, die du in One Drive hochlädst.
Gibt zahlreiche Alternativen. Von deutschen Public Clouds bis hin zur Private Cloud.
Wenn dir Datenschutz sehr wichtig ist, würde ich einfach selbst ein Server bei einem deutschen Provider mieten und zum Beispiel Nextcloud mit Collabora Office verwenden.
Viele Grüße
Exception
a) kann man Kundendaten in die Cloud (in diesem Falle geht es nur um Microsoft OneDrive for Business und Sharepoint Online/Sharepoint Dokumentenbibliotheken, Teams/Skype for Business) speichern, ohne dass MS die Datei(inhalte) "mitliest" bzw. diese für eigene Zwecke "missbraucht".
rein rechtlich darf MS nicht auf deine Daten zugreifen. Aber sie könnten theoretisch dies schon machen und das selbst wenn die Daten auf den MS Servern verschlüsselt sind, da MS den Schlüssel besitzt. Es sei denn, du verschlüsselst die Dateien zusätzlich, die du in One Drive hochlädst.
b) welche Alternativen gibt es zu den Microsoft Cloud Diensten
Gibt zahlreiche Alternativen. Von deutschen Public Clouds bis hin zur Private Cloud.
Wenn dir Datenschutz sehr wichtig ist, würde ich einfach selbst ein Server bei einem deutschen Provider mieten und zum Beispiel Nextcloud mit Collabora Office verwenden.
Viele Grüße
Exception
a) kann man Kundendaten in die Cloud (in diesem Falle geht es nur um Microsoft OneDrive for Business und Sharepoint Online/Sharepoint Dokumentenbibliotheken, Teams/Skype for Business) speichern, ohne dass MS die Datei(inhalte) "mitliest" bzw. diese für eigene Zwecke "missbraucht".
Wer soll dir das denn garantieren? Und was machst du, wenn es doch geschieht?b) welche Alternativen gibt es zu den Microsoft Cloud Diensten
Keine, die so sicher ist wie die, die du selbst hostest und kontrollierst.Nextcloud/OwnCloud auf eigenem Server wären ja schon mal Alternativen, auch wenn man hier natürlich auch nicht von 100% Sicherheit sprechen kann.
Wenn du 100 %ige Sicherheit willst, dann fahre die Server runter und ziehe alle Stecker. Dann hast du schon mal 99,9%. Vielleicht stellst du dich dann mit einer Flinte daneben, dann könnten es schon 99,99 % sein.Wirklich "sicher" wird es nicht geben. Du kannst nur versuchen das Risiko klein zu halten. Daten in Clouds abzulegen, die du nicht selbst betreibst, ist in meinen Augen ganz weit weg von "sicher".
In jedem Fall würde ich einen Sch3*ss darauf geben, was M$ (oder sonstwer) darf oder nicht darf. Sind die Daten erst mal nach außen gelangt, dann nützt dir das überhaupt nicht, dass M$ das "nicht durfte". Darauf kannst du dir höchstens ein Ei backen.
Ich bezweifle das ein übliches KMU das Sicherheitsniveau von Microsoft oder Google hin bekommt, viel zu wenige Ressourcen.
/Thomas
/Thomas
Ich bezweifle das ein übliches KMU das Sicherheitsniveau von Microsoft oder Google hin bekommt, viel zu wenige Ressourcen.
Ja, wenn man Angriffe von außen betrachtet, dann hast du Recht. Das bedeutet aber auch, dass man ein lohnendes Ziel sein muss. Man sollte sich mehr Sorgen darum machen was "die Großen" mit den Daten machen werden. Darüberhinaus wäre es doch klug die Cloud nur über VPN verfügbar zu machen.Genau das ist der springende Punkt. Aus meiner Sicht wird in der IT viel zu viel aus dem Bauch heraus entschieden und viel zu selten eine belastbare Wirtschaftlichkeitsbetrachtung mit Risikoanalyse durchgeführt. Bei der Beantwortung der Frage ob ich einen Hammer kaufe oder selber schmiede sind andere Branchen Jahrzehnte voraus.
/Thomas