Lesezeit, 6 min.

Wie sicher sind Daten in den Clouds der großen weltweit agierenden Anbieter, sog. „Hyperscaler“, eigentlich? Wie sieht die aktuelle Bedrohungslage aus und wie kann ich als Unternehmen oder Organisation meine Daten mit modernster Technologie schützen?

Es ist nun fast 5 Jahre her, als die Cybersecurity Abteilung von Moeller-Maersk, der weltgrößten Container-Logistik Firma, eines morgens feststellen mussten, dass Laptops von Mitarbeiter*innen nicht mehr starteten und weltweit IT-Systeme ausfielen. Es war wohl einer der größten Cyberangriffe auf ein Unternehmen (mit der „NotPetya“-Ransomware) und sorgte weltweit für Schlagzeilen mit einem Schaden der später auf über 300 Mio. Dollar geschätzt wurde.

Seither hat sich die Bedrohungslage für Unternehmen, Organisationen und Privatpersonen in mehrfacher Hinsicht vervielfacht und Cybersecurity steht heute (hoffentlich) auf jeder Agenda einer IT-Leiter*in ganz oben. Dies hat zwei Gründe, explodierende Datenmengen und Vernetzung einerseits und Professionalisierung der Bedrohungen andererseits:

100,000,000,000,000,000,000,000
= 100 Zettabyte an Daten, besagen jüngste Schätzungen werden dieses Jahr weltweit erstellt, erfasst, kopiert oder konsumiert werden. Die Hälfte des weltweiten Datentraffics erfolgt bereits über mobile Geräte und die Zahlen der an das Internet („of things“) angeschlossenen Geräte beträgt rund 30 Milliarden in diesem Jahr. Darüber hinaus steigt die weltweite Vernetzung und Nutzung von Clouddiensten weiter an, ein durchschnittlicher Großkonzern nutzt heutzutage Microsoft Schätzungen zufolge über 100 Clouddienste. Dadurch hat sich die Angriffsfläche eines Unternehmens in den letzten Jahren vervielfacht.

4,000,000
Über vier Millionen Dollar betragen die durchschnittlichen Kosten für einen Datenverlust („Data Breach“) Incident, wie der „Cost of a Data Breach Report 2021“ von IBM herausgefunden hat. Gefahren wie kompromittierte Mails, manipulierte Identitäten oder schlecht gewartete/konfigurierte Architekturen stellen die Hauptgefahren und somit Einfallstore dar.

1,14
ist der Preis (wieder in Dollar), also ca. 1 Euro, der im Darknet bezahlt werden muss, um 1.000 Login Daten / Passwörter im Paket zu erwerben. DDoS Attacken für unter 1.000$ pro Monat oder Ransomware Attacken im „risikofreien“ Revenue-Sharing Modell, also Teilen des Lösegelds, sind andere Beispiele, die zeigen, wie einfach heute Bedrohung „bestellt“ werden können. Dazu kommen noch staatlich organisierte Cyberangriffe bzw. Risiken aus kriminellem Insiderverhalten.

Sicherheit als Kerndisziplin
Bei Microsoft implementieren und betreiben wir als einer der weltweit größten Anbieter von Cloudservices („Hyperscaler“) spezialisierte Technologien, Betriebskonzept und Abteilungen, um diesen Bedrohungen entgegenzutreten, damit die Daten unserer Kunden bestmöglich geschützt sind.

Dies beginnt bei der Umsetzung höchster Sicherheitsstandards auf mehreren Ebenen bei unseren Standorten.  Biometrische Mehrfaktor-Kontrollen, ausschließlich temporäre Zugangsberechtigungen, Vorort-Hardware-Recycling und Datenträger-Vernichtung, getrennte Betriebs- und Administrationsteams usw. gehören weltweit zum Standard bei unseren über 200 Rechenzentren.

Sämtliche Daten werden ausschließlich verschlüsselt gespeichert und zwischen den Rechenzentrumsstandorten übertragen. Zusätzlich stehen unseren Kunden weltweit sichere Zugänge über VPN („Virtual Private Networks“) zu Verfügung, um auch die „letzte Meile“ des Datentransfers abzusichern.

Als einer der größten Cloud- und Internet-/IT-Infrastrukturanbieter weltweit kommt uns als Microsoft eine besondere Verantwortung für die Sicherheit und Verlässlichkeit des digitalen Rückgrats der Gesellschaft zu. Das Microsoft Security Response Center ist Teil der globalen Sicherheitscommunity und nimmt in der Weiterentwicklung von Konzepten eine wichtige Rolle ein. Wir arbeiten seit über 20 Jahren mit über 8.000 Experten daran, die Sicherheit für unsere Kunden zu verbessern und werden in den nächsten Jahren weitere 20 Milliarden Dollar in diesen Bereich investieren. Schon heute werden 24 Billionen digitale Signal täglich über unsere Infrastruktur automatisiert auf potentielle bekannte und neuartige Bedrohungen analysiert. Damit konnten im letzten Jahr 9.6 Mrd Angriffe auf Endgeräte verhindert, über 35 Mrd. Phishing Emails blockiert und über 35 Mrd. Versuche, Passwörter zu stehlen verhindert werden. Dies schaffen NUR modernste hochskalierbare Cloud-Infrastrukturen. Zu diesen Themenfeldern bieten wir auch regelmäßig weiterführende Berichte und Artikel über die aktuelle Digitale Sicherheitslage an.

Zero Trust
Oft werden in selbst betriebenen IT-Infrastrukturen einfachste Security-Grundsätze noch nicht durchgehend umgesetzt. So wird Angreifern die Arbeit erleichtert und die eigenen Daten werden nur unzureichend geschützt. So können bereits 98% der Angriffe durch fünf Basis-Maßnahmen verhindert werden, wie der neueste Cyber Signals Report von Microsoft zeigt:

Um einen umfassenden breiten Sicherheitsstandard optimal in der eigenen Security Architektur umzusetzen, empfiehlt sich heutzutage der „Zero-Trust-Standard“ zur Absicherung von Identitäten, Systemen/Applikationen, Netzwerken und Daten. Die Grundprinzipien einer expliziten Verifikation, geringst-nötigen Zugriffs und angenommener Sicherheitsverletzung ermöglichen Hand in Hand beim Cloudanbieter und Kunden ein höchstmögliches Level an Angriffsschutz für alle digitalen Ressourcen. Eine erste Selbstbewertung kann mit Hilfe unseres kostenfreien Self-Assessments durchgeführt werden.

Höchste Verfügbarkeit
Cloudregionen bei Microsoft stehen unseren Kunden mit 3 redundanten Verfügbarkeitszonen zur Verfügung. Das bedeutet einfach formuliert, dass die Daten über drei anbindungs- und energie-unabhängige, physisch getrennte, Standorte verteilt werden. Das reduziert Downtimes auf ein Minimum und verhindert Datenverlust. So kann über dieses Konzept eine monatlich Verfügbarkeit für virtuelle Computer von 99,99% (4 9s) erreicht werden.

Unterschiedliche Betriebsmodelle und Cloud-Regionen zur Erfüllung von Complianceanforderungen
Bei der Nutzung von IT-Services aus der Cloud werden bereits viele notwendige Sicherheitsaufgaben an den (spezialisierten) Cloudanbieter übertragen. Bereits bei der Nutzung von Infrastruktur als Service übernimmt der Cloudanbieter die Sicherheit für die physischen Anlagen sowie viele Betriebssystem- und Netzwerkschichten. Bei den komplexeren Plattform- (PaaS) bzw. Softwareservices (SaaS) werden nach und nach auch viele Teile der Applikations-, Identitäts- und Clientsicherheit vom Anbieter übernommen.

Eine globale Cloudinfrastruktur wie die der Microsoft bietet Kunden einerseits die Möglichkeit auch (welt)weit verteilte Standort mit IT-/Cloud-Services zu versorgen, andererseits aber auch Datenhaltung und Applikationsbetrieb innerhalb bestimmter Regionen zu begrenzen.

So plant Microsoft, bis Ende 2022 die Umsetzung der sogenannten „EU Data Boundary“ abgeschlossen zu haben, mit der unserer Kunden dann die Möglichkeit haben werden, Datenspeicherung UND Datenverarbeitung UND Supportleistungen nur innerhalb der Europäischen Region zu nutzen. Es wird dann nicht mehr notwendig sein, für bestimmte Cloudservices auf Regionen in USA zurückgreifen zu müssen. Darüber hinaus besteht auch die Möglichkeit den Support nur aus Standorten innerhalb der EU zu beziehen. Somit werden Kunden in Zukunft noch leichter Compliance- und regulative Anforderungen erfüllen können.

Sollen Datenspeicherung und Verarbeitung innerhalb Österreichs erfolgen, planen wir für unsere Kunden im Laufe des nächsten Jahres die „Cloud Region Österreich“ als vollwertige „Commercial Cloud Region“ mit 3 Verfügbarkeitszonen anbieten zu können. Mehr zu diesem Thema werden wir in Kürze an dieser Stelle berichten.

Weitere Informationen:

Ganzheitliche Sicherheit für Unternehmen | Microsoft Security
Digital Security Tips and Solutions – Microsoft Security Blog
Cyber Signals: Defending against cyber threats with the latest research, insights, and trends – Microsoft Security Blog
Starke Datenintegrität in der Cloud | Microsoft Trust Center
Einfache Compliance in der Cloud (microsoft.com)
Speicherung und Verarbeitung von Daten ausschließlich in der EU | News Center Microsoft
Was habe ich eigentlich von der Microsoft Cloud Österreich?

7 Tipps

So bereite ich mich auf die Microsoft Cloud Austria vor.

Entdecken Sie weitere verwandte Artikel pro Branche:

Bildungswesen

  • Ein Leitfaden zur DSGVO für Hochschulen

    Ein Leitfaden zur DSGVO für Hochschulen

    Wenn die neue Datenschutz-Grundverordnung der Europäischen Union ab dem 25. Mai gilt, müssen Sie wissen, welche Schritte Ihre Hochschule unternehmen kann, um die Compliance sicherzustellen. Dies erfahren Sie in diesem kostenlosen E-Book und weiteren hilfreichen Ressourcen. Ihre Hochschule auf dem Weg zur Compliance In Ihrer Hochschule finden sich zahlreiche „betroffene Personen“, für die Sie die Compliance […]

  • Bildung neu gedacht: Vom Remoteunterricht zum hybriden Lernen

    Bildung neu gedacht: Vom Remoteunterricht zum hybriden Lernen

    Die COVID-19-Pandemie hat eine Ideenflut der betroffenen Gruppen ausgelöst, die sich allesamt mit der Frage beschäftigen, wie Bildung neu gestaltet werden kann. Dabei wird insbesondere darüber diskutiert, wie sich die durch die Pandemie neu entstehenden Möglichkeiten am besten nutzen lassen. Nun muss es darum gehen, die einzelnen Meinungen bzw. Erfahrungen zusammenzuführen und konkrete Handlungsansätze für […]

Einzelhandel

Fertigung

Finanzen & Versicherung

Gesundheitswesen

Öffentliche Verwaltung

  • Ineco

    Ineco verbessert die Mitarbeiterproduktivität mit modernen Tools und KI

    Probleme mit der Software sind der Produktivität nicht gerade zuträglich. Und genauso ist es auch, wenn sich die Freigabe von Dateien und die Zusammenarbeit an Dokumenten schwierig gestaltet. Ineco, ein spanisches Unternehmen im öffentlichen Sektor, ist sich dieser Tatsachen bewusst und hat daher die Art und Weise verändert, wie seine Mitarbeiter mit der Technologie sowie […]

  • Iceland runs on Trust

    Wie die Cloud ein kleines Land bei großen Plänen unterstützt

    Im Dezember 2015 hat die isländische Regierung mit einer Überprüfung der digitalen Infrastruktur begonnen. Mit über 100 unterschiedlichen Lieferanten, die von über 100 IT-Managern in den einzelnen öffentlichen Einrichtungen verwaltet werden, bestand das klare Ziel darin, die Abläufe zu vereinfachen und die IT für über 20.000 Benutzer zu optimieren. Die Lösung: Zweieinhalb Jahre später stand die Entscheidung fest: Microsoft 365 […]

Entdecken Sie weitere verwandte Artikel pro Dossier:

Digital Transformation

  • Produktivität & Innovation: Wie hybrides Arbeiten Unternehmen hilft, ihre Ziele zu erreichen

    Produktivität & Innovation: Wie hybrides Arbeiten Unternehmen hilft, ihre Ziele zu erreichen

    Sich für eine hybride Arbeitsweise zu entscheiden, bedeutet nicht nur, technologische Maßnahmen zu setzen und vielleicht in die Cloud zu wechseln. Dazu gehören auch ein Umdenken in der Unternehmenskultur und Zusammenarbeit aller Mitarbeitenden. Am Ende wird sich der Aufwand aber definitiv lohnen und man geht als moderneres Unternehmen aus der Transformation hervor. Eines, das seine […]

Kundenreferenzen

Sicherheit & Datenschutz

  • Die Rolle der Cybersicherheit wird in einer hybriden Arbeitswelt neu definiert

    Die Rolle der Cybersicherheit wird in einer hybriden Arbeitswelt neu definiert

    Wenn wir über das neue, hybride Arbeiten sprechen, geht es oft um Homeoffice, flexible Arbeitsorte, die richtige Ausstattung und digitale Kollaborationsmöglichkeiten mit Kolleg*innen. Ein wichtiger Aspekt, der aber oft unerwähnt bleibt, obwohl er alle Unternehmen gleichermaßen betrifft, ist die Cybersicherheit. Dabei sind wir in einer Arbeitswelt, wo ortsunabhängiges Arbeiten zur neuen Norm wird, auch mit […]

Tipps

  • A woman holding a white mug

    Arbeiten von zu Hause aus – Erfahrungen eines Early Adopters

    Man kann mich als „Early Adopter“ im Bereich der Remote-Arbeit bezeichnen. Vor etwa 15 Jahren war ich bei einem großen Telekommunikationsunternehmen für Mobilität und Konvergenz zuständig, als diese Konzepte noch in den Kinderschuhen steckten. Ich beschloss, meinen Worten Taten folgen zu lassen und bestand darauf, so oft wie möglich remote zu arbeiten. Ich habe sogar […]