Im Rahmen des Einsatzes von Microsoft365/Office365 ist die Datenhaltung, also Archivierung und Backup immer ein Thema. Diese jedoch gerade aus dem OnPremises Bereich kommende Thema kann nicht 1 zu 1 auf SaaS Dienste umgemünzt werden. Nun betrachten wir diese Thematik genauer:
Backup und Archivierung – Was heißt dies?
Oft werden beide Begriffe leider vermischt oder in einem Topf geworden, wie der Nordrhein-Westfale so sagen würde. Deshalb schauen wir und beides etwas genauer an:
Backup
Unter Backup versteht man eine Sicherung eines Datensatzes zu Zwecken der Aufbewahrung zu Zwecken der Wiederherstellung. Ein Backup kommt immer dann zum Tragen, wenn der betreffende Datensatz nicht mehr angesehen oder auch bearbeitet werden kann. Dabei kann es sich um einzelne Dateien oder auch komplette IT-System bis hin zu Servern sein, die ihren Dienst eingestellt haben und durch ein Backup weider in den vorherigen Zustand versetzt werden.
Ein Backup hat das Ziel einen vorherigen Zustand eines Datensatzes möglichst schnell wieder herzustellen, um den Betrieb des IT-Systems oder den Zugriff auf eine einzelne Datei wieder herzustellen. (Betrieb/Funktionsfähigkeit)
Archivierung
Im Gegensatz zu einem Backup geht es bei einer Archivierung darum Datensätze bis hin zu virtuellen Maschinen so abzulegen und zu speichern, dass der Datensatz der GoBD ( z.B. Finanzdaten) entspricht. Der Datensatz darf nicht mehr verändert werden, es muss geloggt und auditiert werden und der Speicherort muss abgesichert sein, sowie die Daten nicht korrumpieren.
Eine Archivierung hat das Ziel bestimmte Datensätze für die Nachwelt und aus juristischen Anforderungen sicher aufzubewahren. (Archiv)
Anforderungen
Basis in Office 365/Microsoft365
In einem SaaS Dienst muss man in einer gewissen Weise dem Anbieter vertrauen und dessen Zertifizierungen. Es ist nicht möglich, wie OnPremises, den Server anzufassen und jeden Prozess und Ablauf einzeln zu prüfen. Jedoch bietet es, meiner Ansicht nach, weitere Vorteile wie zentrale Sicherheitssysteme und technische, sowie organisatorische Maßnahmen, die sich ein Unternehmen in der Regel nicht leisten kann.
Weiterhin werden Dateien bis zu 3 Mal automatisch redundant gespeichert, so dass man zu einer SLA von 99% kommt.
Verschlüsselung
AtRest
Die Verschlüsselung AtRest ist in den Azure Rechenzentren über die Office 365 gehostet und betrieben wird verschlüsselt. Als Technologie wird Bitlocker eingesetzt. Diese Technologie ist erprobt und wird auch bei vielen Unternehmen zur Verschlüsselung von Festplatten von Clients zu Servern zu mobilen Geräten (Windows) eingesetzt.
InTransit
Wenn Daten hin und her zwischen den Nutzern und dem Rechenzentren gesetzt werden wird die TLS 1.2 Verschlüsselung mit 256bit Schlüsseln eingesetzt.
Zugriff
Es besteht je nach Produkt ein ausgeklügeltes Berechtigungssystem, welches sowohl von Azure AD ausgeht, als auch auf das Berechtigungssystem von SharePoint eingeht und mit ExchangeOnline arbeitet. Dazu kommen aktuell noch getrennt, aber mehr zusammenwachsende System von z.B. Yammer (Zukauf).
Fort-Knox-Prinzip
Zusätzlich zu der grundsätzlichen Verschlüsselung der Festplatten und des Transitweges besitzt der Speicher das Fort-Knox-Prinzip. In diesem werden Daten in mehreren mindestens 3 Teile (min. 6 KBs) zerlegt und mit einzelnen Schlüsseln versehen. Zu diesen einzelnen Schlüsseln gehört auch ein Hauptschlüssel und nur mit allen Dateien und allen Schlüsseln inkl. Hauptschlüssel kann die Datei geöffnet und bearbeitet werden. Der Nutzer selber hat auf dieses System keinen Zugriff und kann die Schlüssel nicht tauschen oder beeinflussen. Es ist in in sich geschlossenes System zur grundsätzlichen Sicherung der Inhalte des Nutzers.
Werkzeuge
In einem Software as a Service Dienste, wie Office 365/Microsoft365 es ist, bietet der Hersteller verschiedenste Werkzeuge an, um Backup- und Archivierungsanforderungen zu erfüllen. Oft werden diese in hybriden Umgebungen durch eigene OnPremises Dienste ergänzt.
Eine 3rd Party Hersteller wie Gwava oder AvePoint oder Metalogix haben umfangreiche Werkzeuge entwickelt, die das Unternehmen und besonders die Administratoren bei Ihren Aufgaben unterstützen und ihren Alltag einfacher oder auch komplizierter machen können.
Doch nun schauen wir uns hier mal die Werkzeuge an, die in Office 365 verfügbar sind:
Backup-Werkzeuge
Office 365 und damit der Hersteller Microsoft arbeitet mit einer SLA, die zwischen 100% und 99% liegt. Ein klassisches Backup von Dateien ist in diesem System laut Microsoft nicht benötigt, da das Ziel eines Backups, die Wiederherstellung von Dateien zum reibungslosen Betriebsablauf nicht beim Kunden benötigt wird, da dies durch Microsoft im Hintergrund erbracht wird. Sie garantieren eine SLA (Verfügbarkeit) und der Kunde nutzt den Dienst entsprechend.
Jedoch wird ein weiteres Ziel, welches ein Backup verfolgt, durch Werkzeuge abgesichert. Es kann sein, dass eine Datei beim Sync oder während der Nutzung nicht mehr verfügbar ist oder auch unbeabsichtigt gelöscht wurde. Für diese Fälle wurden Funktionserweiterungen erstellt, so zum Beispiel im OneDrive for Business. Hier können Nutzer selbstständig 30 Tage zurück alle Dateien in ihren detaillierten Änderungen wiederherstellen. Ebenso gibt es die Möglichkeit Papierkörbe im SharePoint einzurichten, um Dateien wiederherzustellen oder in Exchange Online besteht ein drei stufiger Papierkorb, so dass im Zweifel der Admin die Datei wiederherstellen kann.
| Werkzeug | Office 365 Plan |
| Email-Archivierung mit Ligitation Hold und Inhaltssuche Hier wird die Archivierung als Backup missbraucht. Ihr könnt verhindern, dass Emails gelöscht werden und dann über die Inhaltssuche einzelne oder mehrere Emails extrahieren. Diese könnte man dem Nutzer wieder zur Verfügung stellen. |
Office365 Business, EDU, NGO, E-Pläne |
Archivierung-Werkzeuge
| Werkzeug | Office 365 Plan |
| Retention-Policies (SCC) (EXO bis Teams) | Office365 Business, EDU, NGO, E-Pläne |
| Email Archivierung – Exchange Online | Exchange P1 – P2 |
| SharePoint Online Aufbewahrungsrichtline | SPO P1 – P2 |
| Azure Information Protection & Cloud App Security | AIP P1 , E5 Pläne |
Nützliche Werkzeuge
| Werkzeug | Funktion |
| DLP | Verhinderung von Datenabfluss |
| Inhaltssuche | Suchen von Inhalten in Office 365 |
| eDiscovery | Absicherung und Suche von Inhalten in Office 365 zu Zwecken der Beweissicherung |
3rd party Backup Werkzeuge (Auszug)
- Acronis
- AvePoint / Doc Ave
- QNAP Application (NAS/Azure Storage)
- Gwava
- Mailstore
- Metalogix
- Metavis
- SkyKick
- Synology Application (NAS)
- Veeam
Strategie
Ihr müsst in einer gesamten Betrachtung eine jeweilige Strategie für die Datensicherheit und die Erfüllung eurer Anforderungen vom Finanzamt (GoBD) bis hin zu Verträgen mit Partnern und der DSGVO aufbauen. Es gibt viele kleinere und größere Hindernisse, die es zu überwinden gilt. Es kommt hier bei aber auch immer auf die Anforderungen an und welche Daten ihr in der Microsoft Cloud verarbeitet. Somit kann auch eine hybride Umgebung sinnvoll sein oder die Option mit z.B. Azure Logic Apps und Azure Function mit dem Microsoft Graph zusammen sich eigene Backups oder eine eigene Archivierung zu bauen. Eine Strategie kann, aber muss nicht eine Kombination aus Office 365 Werkzeugen, 3rd Party und einer eigenen Entwicklung sein. Man sollte so wenige Werkzeuge wie möglich nutzen und Ganzheitlich denken. Im Rahmen der Datensicherheit und des Datenschutzes kann auch und das ist es leider oft gerade das 3rd Party Werkzeug mehr Probleme aufwerfen, als diese dadurch gelöst werden.
Begriffserläuterungen
| SCC | Security and Compliance Center |
| EXO | Exchange Online |
| SPO | SharePoint Online |
| SLA | Service-level Agreement |
| AtRest | Speicherung im ruhenden Zustand auf Festplatten/Festplattensystemen |
| EDU | Education/Bildung |
| NGO | gemeinnützige Einrichtungen und Vereine |