Backup von und Security für Microsoft 365 Daten

Wir nutzen die Dienste von Microsoft im Arbeitsalltag nahezu jeden Tag. Es werden hunderte von Dokumenten über OneDrive for Business oder SharePoint geteilt und versendet. Was die wenigsten Nutzer wissen, oder wissen wollen, ist der Fakt, dass Microsoft keine Office 365-Daten in Exchange Online, SharePoint Online und OneDrive for Business sichert! Das sogenannte „Office 365 Shared Responsibility Model“ von Microsoft bietet dabei einen guten Überblick über die nötige Verantwortung, die ein Unternehmen bei der Nutzung dieser Dienste selbst tragen muss und verdeutlicht, wofür Microsoft zuständig ist.

Wir werden Dir in diesem Beitrag die Verantwortung von Microsoft darstellen und zusätzlich auflisten, welche Verpflichtungen Du als Unternehmer oder Mitarbeitern übernehmen solltest und wie Du Deine Daten ordnungsgemäß und zu 100% sichern kannst.

Office 365: Das Shared Responsibility Model | Definition

Das Shared Responsibility Model definiert eine gemeinsame Verantwortung beider Parteien bei der Nutzung von Office 365-Diensten und Daten. Die Aufteilung der Verantwortung ermöglicht dabei eine Risiko-Reduktion aus Sicht von Microsoft. Bei einer fehlenden Absicherung, kann Microsoft zum Beispiel dank dem Modell nicht belangt werden. Aus diesem Grund ist Dein Unternehmen und Deine IT-Abteilung für die nötige Sicherung und Absicherung Deiner Daten verantwortlich.

Verantwortung von Microsoft

Primär Globale Infrastruktur:

Die primäre, hauptsächliche Aufgabe von Microsoft besteht darin, sich um seine eigene globale Infrastruktur zu kümmern, mit dem Ziel, seinen Kunden Ausfallsicherheit zu gewähren und die Funktion aller Cloud-Dienste sicher zu stellen.

Zusätzlich kommt bei Microsoft eine unterstützende Technologie zum Einsatz, welche sicherstellt, dass Microsoft den Verantwortungen vollständig nachgeht. So umfasst Office 365 eine integrierte Datenreplikation, die mehrere Rechenzentren einbezieht und damit ein Muss darstellt. Denn kommt das Szenario zustande, dass eine Fehlermeldung in einem Rechenzentrum von Microsoft auftritt, so wird automatisch ein Failover zum Replikationsziel ausgeführt. Wir als Anwender oder Kunden kriegen in den meisten Fällen gar nichts davon mit.

Der entscheidende Faktor ist hingegen: ein Replikat ist kein Backup und vor allem gehört dieses Replikat nicht Dir, sondern Microsoft. Aus diesem Grund stellen wir Dir nun Deine Verantwortungen vor, welchen Du nachgehen solltest.

Verantwortung, die Du übernehmen solltest

Deine primäre Verantwortung und somit eigentlich die wichtigste, liegt bei Deinen eigenen Office 365-Daten. Die IT-Abteilung in Deinem Unternehmen ist verantwortlich dafür, die Datenverfügbarkeit und -zugriff zu gewährleisten – und das unabhängig von der Lage Deiner Daten. Der entscheidende Faktor ist allerdings, dass im Falle eines Fehlers im Rechenzentrum, Deine Daten nicht gesichert sind bzw. nur ein Replikat bei Microsoft generiert wird, welches aber nicht Dir gehört!

Aus diesem Grund sollte Dein Unternehmen zwingendermaßen sicherstellen, dass sowohl ein Backup als auch ein Replikat Deiner Office 365-Daten vorliegt.

Weshalb reicht ein Replikat nicht aus?

Datensicherungsstrategien, die sich auf ein Replikat beziehen, sind enorm fehleranfällig und verursachen häufig Schwierigkeiten! Beispielsweise werden bei einem Replikat nicht nur fehlerfreie Daten gespeichert, sondern gleichzeitig gelöschte oder sogar beschädigte Dateien. Dies kann allerdings dazu führen, dass das Replikat ebenso beschädigt oder gelöscht wird und somit die Datensicherung verloren geht.

Aus diesem Grund solltest Du für einen vollständigen Schutz ein Backup und ein Replikat erstellen, denn diese Verantwortung liegt bei Dir und nicht bei Microsoft!

Vollständige Datenaufbewahrung sicherstellen

Ein weiterer wichtiger Punkt, den Du übernehmen solltest, wenn Du einen vollständigen Zugriff auf und die Kontrolle über Deine kritischen Daten behalten möchtest, ist die Sicherstellung der vollständigen Datenaufbewahrung. Der Grund dafür ist, dass Microsoft zwar mehrere Papierkorb-Optionen für Deine Office 365-Daten anbietet, diese sich allerdings nur in begrenztem zeitlichem Umfang wiederherstellen lassen.

Aus diesem Grund: Stelle sicher, dass Deine Datenaufbewahrung vollständig ist (kurzfristig und langfristig) und unter Berücksichtigung von Aufbewahrungsrichtlinien.

Verantwortungsbereich, in denen Microsoft + Deine IT-Abteilung zusammenarbeiten

Die Sicherheit

In diesem Verantwortungsbereich müssen strategisch gesehen beide Seiten zusammenarbeiten.

Microsoft sichert die Office 365-Daten auf Infrastruktur-Level und ist somit neben der physischen Sicherheit (bswp. Rechzentrum) ebenso für die Sicherheit auf Anwendungsebene (bspw. Authentifizierung und Identifizierung innerhalb der Cloud-Services) und die Nutzer-Steuerung verantwortlich.

Deine Verantwortung, um die Sicherheit zu gewährleisten, liegt hingegen auf der Datenebene und nicht auf der Infrastrukturebene wie bei Microsoft. Im Grunde genommen, muss Deine IT-Abteilung sicherstellen, dass weder interne noch externe Bedrohungen bzw. Sicherheitsrisiken in Dein Unternehmen gelangen und schwerwiegende Folgen verursachen.

Ein Beispiel für externe Risiken sind zum Beispiel:

• Ransomware
• Malware
• Spear-Phishing
• Emotet
• Hacker

Intern hingegen stellen folgende Aspekte ein Sicherheitsrisiko dar:

• Gekündigte Mitarbeiter
• Rache
• Versehentliche Löschung von Daten

Die gesetzlichen und Compliance-Anforderungen

Microsoft agiert bei den Office 365-Diensten als Datenverarbeiter und legt einen hohen Wert auf Datenschutz. Zusätzlich weist Microsoft viele Branchenzertifizierungen auf, die auf der Website einsehbar sind.  Das bedeutet für Dich allerdings, dass Dein Unternehmen die Unternehmens- und Branchenregeln einhalten muss, auch wenn Deine Daten innerhalb von Office 365 gespeichert sind. Sprich Du musst darauf achten, dass alle Rechts- und Compliance-Verantwortlichkeiten erfüllt sind und Du alle Anforderungen erfüllst.

Alle Informationen stammen auf dem Microsoft Office 365 Trust Center, den Link findest Du hier, falls Du noch einmal nachlesen möchtest.

Unsere Lösung: protect IT

Nun hast Du vielleicht einen besseren Überblick über Dein Verantwortungsbereich. Diese Aufgaben zu erfüllen ist enorm wichtig, denn ohne ein Backup hast Du nur einen begrenzten Zugriff auf Deine Daten und kannst diese schwer kontrollieren. Außerdem gehst Du das Risiko ein, Lücken in den Aufbewahrungsrichtlinien zu übersehen und somit Daten zu verlieren. Gleichzeitig kann es passieren, dass Du gegen gesetzliche oder Compliance-Anforderungen verstößt und auch hier mit schwerwiegenden Folgen rechnen musst.

Hört sich nach ziemlich viel Arbeit an, ich weiß, allerdings haben wir mit protectIT die Lösung. Wir übernehmen für Dich das Erstellen einer benutzerfreundlichen, einfachen Office 365-Backup Lösung (mit Hilfe von Veeam Backup für Microsoft Office 365), welche auf der Security-Lösung von „ESET Cloud Office Security“ basiert.

Deine Vorteile mit protect IT

• vollständiger Zugriff und Kontrolle auf Deine Daten
• keine Verstöße gegen gesetzliche Bestimmungen
• Minimierung von Sicherheitsrisiken
• Kein Datenverlust mehr

Doch lieber das volle Programm? Dann ist das userbasierte Bundle (GCT 365) genau das Richtige für Dich!

Das GCT 365 Bundle besteht beispielsweise aus einer passenden Microsoft 365 Lizenz inklusive der oben beschriebenen protectIT-Lösung, 50 GB Backupspeicherplatz und Mailarchivierung.

Das Beste an dieser Lösung: Du kannst die Dienste selbst bestimmen. Sprich Du kannst Dein GCt 365 Bundle flexibel und individuell erweitern, beispielsweise mit:

• Anti-Malware
• Anti-Phishing
• Backup

Kontaktiere uns gerne, wenn wir Dein Interesse geweckt haben oder Du noch weitere Fragen hast.

• Telefon: 06172 94 86-0
• E-Mail: hallo@gct.de
• WhatsApp: 06172 9486-50