Eine Frage, bei der ich schnell etwas emotional werde. Besonders, wenn ich wieder einmal eine Werbung eines Cloud-Backup Herstellers bekomme, die aus meiner Sicht hart am Rande der Lüge argumentieren.
Schauen wir uns einmal die Fakten an.
Wo stehen überhaupt verbindliche Aussagen ?
Für Volume-Licensing Kunden gelten ja als Vertragsgrundlage die Online Services Terms (OST) und die Product Use Rights (PUR)
Alle Dokumente sind auf der neuen Commercial Licensing Site zu finden:
https://www.microsoft.com/licensing/terms/
Als Nebendokumente gibt es die Online Service SLA und der Anhang zu den Datenschutzbestimmungen für Microsoft-Onlinedienste (MicrosoftOnlineServicesDPA)
Für CSP Kunden gilt sinngemäß das selbe.
Warum mache ich heute ein Backup ?
Ein Backup wird aus zwei Gründen durchgeführt:
-
Desasterfall (Brand, Systemausfall, Naturkatastrophen, techn. Fehler)
-
Löschung durch Benutzer/Admin
Schauen wir uns beide Bereiche mal genauer an.
Die wichtigste Frage zum Bereich Desasterfall ist:
Übernimmt Microsoft im Desasterfall die Verantwortung für die Kundendaten in Office 365 ?
Die Antwort darauf findet sich im Anhang zu den Datenschutzbestimmungen:
Hier finden wir unter dem Absatz Datenschutz folgende Bestimmungen:
Datensicherheit
Sicherheitsverfahren und Sicherheitsrichtlinien
Microsoft ergreift geeignete technische und organisatorische Maßnahmen, um Kundendaten und personenbezogene Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet werden, vor versehentlicher oder ungesetzlicher Vernichtung, Verlust, Veränderung, unbefugter Offenlegung oder unbefugtem Zugriff zu schützen. Diese Maßnahmen werden in einer Microsoft-Sicherheitsrichtlinie festgelegt. Microsoft stellt diese Richtlinie dem Kunden zur Verfügung, zusammen mit Beschreibungen der für den Onlinedienst geltenden Sicherheitskontrollen und anderen Informationen, die vom Kunden vernünftigerweise in Bezug auf die Sicherheitsverfahren und Sicherheitsrichtlinien von Microsoft angefordert werden.
Darüber hinaus müssen diese Maßnahmen den Anforderungen in ISO 27001, ISO 27002 und ISO 27018 entsprechen. Jeder Kernonlinedienst erfüllt außerdem die in der Tabelle in Anlage 1 zu den OST aufgeführten Kontrollstandards und -bestimmungen und setzt die in Anhang A beschriebenen Sicherheitsmaßnahmen zum Schutz von Kundendaten um.
Microsoft kann jederzeit Branchen- oder Behördenstandards hinzufügen. Microsoft entfernt ISO 27001, ISO 27002 und ISO 27018 oder die Standards oder Bestimmungen in der Tabelle in Anlage 1 der OST nicht; es sei denn, sie werden in der Branche nicht mehr angewendet und durch nachfolgende Normen, Standards oder Bestimmungen ersetzt (wenn vorhanden).
Pflichten des Kunden
Der Kunde ist allein für die unabhängige Entscheidung verantwortlich, ob die technischen und organisatorischen Maßnahmen für einen bestimmten Onlinedienst den Anforderungen des Kunden entsprechen, einschließlich seiner Sicherheitsverpflichtungen gemäß geltenden Datenschutzvorschriften. Der Kunde bestätigt und erklärt, dass (unter Berücksichtigung des Stands der Technik, der Einführungskosten, der Art, des Umfangs, des Kontextes und der Zwecke der Verarbeitung seiner personenbezogenen Daten sowie der Risiken für Einzelpersonen) die von Microsoft eingeführten und gepflegten Sicherheitsverfahren und Sicherheitsrichtlinien ein Sicherheitsniveau bieten, das dem Risiko in Bezug auf seine personenbezogenen Daten angemessen ist. Der Kunde ist verantwortlich für Implementierung und Aufrechterhaltung von Datenschutzvorrichtungen und Sicherheitsmaßnahmen für Komponenten, die der Kunde zur Verfügung stellt oder kontrolliert (z. B. Geräte, die bei Microsoft Intune oder im virtuellen Computer oder in einer Anwendung eines Microsoft-Azure-Kunden registriert sind).
Damit sind die Verantwortungen sehr klar festgelegt. Und ja, es liegt in der Verantwortung des Kunden zu entscheiden, ob die Maßnahmen der Microsoft ausreichend sind. Aber Microsoft hat die Verantwortung, die Daten zu schützen.
Schaut man sich die Dokumentationen von Microsoft genauer an, welche technischen und organisatorischen Maßnahmen Microsoft ergreift, um die Daten zu schützen, wird recht schnell klar, das das weitaus umfangreicher ist, als das was sich die meisten Kunden leisten können bzw. wollen.
Die zweite Frage ist, wie es bei Löschung durch den Benutzer bzw. bei Adminfehlern aussieht
Das können wir uns pro Dienst ansehen:
- Exchange
Endgültig gelöschte Daten in Exchange werden nach 14 Tagen (max. 30) komplett gelöscht
Gelöschte Mailboxen werden nach 30 Tagen endgültig gelöscht
LitigationHold (E3 bzw. eigentlich Exchange Plan 2) verhindert die endgültige Löschung von Daten bzw. speichert jede Veränderung.
Das Bedeutet: Innerhalb von 30 Tagen kann der Benutzer selber restoren, danach bei E3 der Admin (solange, wie es in Litigation Hold eingestellt ist)
Hier gibt es aus meiner Sicht keinen Grund für ein zusätzliches Backup
Achtung: Bitte daran denken, das ich dann für Shared Mailboxen eine Exchange Plan 2 Lizenz benötige! (Siehe diesen Artikel) - OneDrive / SharePoint
Gelöschte Dateien werden nach 90 Tagen aus dem Papierkorb entfernt (anders als bei Exchange !)
Überschriebene Daten können durch Versionierung wiederhergestellt werden
(durch den User)
Der User kann selbstständig einen 30 Tage Restore für OneDrive for Business und SharePoint durchführen
Im Notfall (zB Befall durch CryptoLocker Virus) kann eine SharePoint Site durch den Support von Microsoft restored werden
Auch hier kann ich für einzelne oder alle SharePoint Sites ein Litigation Hold einrichten. ABER: Im Gegensatz zu Exchange zählt der Dumpster zum Speicherplatz von SharePoint.
Dieser ist grundsätzlich begrenzt, daher ist Litigation Hold für alle SharePoint Sites keine echte Option.
Dh hier kann es zur Notwendigkeit eines 3rd Party Backups kommen, wenn im SharePoint Daten gespeichert werden, die eine längere Wiederherstellbarkeit bei Löschung als 90 Tage benötigen. - Groups / Teams
Gelöschte Groups/Teams können 30 Tage wiederhergestellt werden (durch den Admin)
Überschriebene Dokumente in Groups/Teams können durch Versionierung wiederhergestellt werden (durch den User)
Nachdem die Dateiablage in SharePoint erfolgt, gilt sinngemäß das selbe wie bei SharePoint
Weitere Argumente für ein Backup
(die man so liest und in Gesprächen hört)
- Der Restore ist komplizierter über Litigation Hold als über eine Backuplösung
Ja, grundsätzliche Zustimmung. Aber hier ist die Frage, wie oft ein Restore vorkommt und wie viel Zeit hier wirklich erspart wird - “Ich will meine Daten im Keller haben”
Eine Aussage, die ich manchmal von Seitens des Vorstands/Eigentümers höre. Ein aus deren Sicht verständlicher Wunsch, der interessanterweise nicht mehr so dringend ist, wenn das Angebot für Backup am Tisch liegt - “Ich will im Fall eines Komplettausfalls von O365 die Daten im Zugriff haben”
Auch verständlich. Im Falle von Exchange und den Dokumenten von SharePoint und OneDrive ist ein Recover der Dienste onPrem sogar möglich – erfolgt das in AWS (wir erinnern uns: Azure ist down ) geht das sogar ohne viel Hardwareaufwand.
(Ausser die Backupdaten liegen auf Azure. Oder die Backuplösung läuft auf Azure… Weil die Wahrscheinlichkeit, das die O365 Datacenter stehen und Azure geht ist sehr gering)
Wichtig wäre in so einem Fall, festzulegen, ab welcher Downtime ein Restore erfolgt – weil klar sein muß, das ein Switch zurück auf O365 dann schwierig wird. - “Mein Partner verdient aber viel Geld mit der Backuplösung”
Gut, valides Argument. Bin selber Partner und das ist natürlich das Hauptargument, warum ich Backuplösungen empfehle… - „In den Nutzungsbedingungen von Microsoft steht klar drinnen, das der Kunde für das Backup verantwortlich ist.“
Tatsächlich:
https://www.microsoft.com/de-at/servicesagreement/
Das ist das Serviceagreement für CONSUMER Cloud Dienste von Microsoft ! Nicht für die Business Cloud Dienste !
Fazit
Aus meiner Sicht ist eine Backup-Lösung für O365 dann sinnvoll, wenn ich eine längere Wiederehrstellbarkeit für Dokumente in SharePoint/OneDrive als 90 Tage benötige.
Die Aussage, das sich Microsoft nicht um die Sicherung der Daten kümmert ist aber schlichtweg falsch!
Sehr geehrter Herr Decker,
ich bin CIO in einem Mittelständischen Unternehmen und halte Ihre Argumentation in mehrerlei Hinsicht für bedenklich.
Als österreichischen Unternehmen unterliegen wir dem UGB und §212 ist hier sehr deutlich:
„(1) Der Unternehmer hat seine (..) empfangene Geschäftsbriefe, Abschriften der abgesendeten Geschäftsbriefe (..) sieben Jahre lang geordnet aufzubewahren; darüber hinaus noch solange, als sie für ein anhängiges gerichtliches oder behördliches Verfahren, in dem der Unternehmer Parteistellung hat, von Bedeutung sind.“
Microsoft mag zwar „geeignete technische und organisatorische Maßnahmen“ ergreifen, eine Garantie oder SLA diesbezüglich existiert jedoch nicht.
Sollte es doch mal zu einem Datenverlust kommen erhalten wir als Kunde Kompensation in Form von Azure Credits.
Bei einer Prüfung oder einem Verfahren stehen wir als Unternehmen unmittelbar in der Pflicht und können entsprechend belangt werden.
Auch die Kosten für ein Litigationhold/User Lizenzen fallen bei diesen Zeiträumen durchaus ins Gewicht wenn man die typische Fluktuationsrate im Unternehmen betrachtet.
Ich frage mich wie dies Ihr Arbeitgeber handhabt?
Bitte haben Sie Verständnis dafür, dass ich mich hier anonym äußere – das ist unsere Company Policy (wir sind aber in engem Kontakt mir Ihrem Haus).
Viele Grüße,
M. J.
Danke für ihr Feedback – das ist einer der Gründe, warum ich diesen Blog schreibe, um meine Ansichten zur Diskussion zu stellen.
Lassen Sie mich auf einige ihrer Punkte eingehen:
„Microsoft mag zwar „geeignete technische und organisatorische Maßnahmen“ ergreifen, eine Garantie oder SLA diesbezüglich existiert jedoch nicht.“
Das sehe ich so nicht – die Zertifizierung lt. ISO 27001 ist hier schon recht deutlich. eine 100% Garantie gibt es natürlich nie, das verlangen aber auch keine Prüfer. Lt. meinen Erfahrungen sind für die Prüfer die Zertifizierungen des Datenverarbeiters völlig ausreichend. (Und unter uns: Die technischen und organisatorischen Maßnahmen, die MS zur Verhinderung von Datenverlust tätigt, sind weitaus umfangreicher, als ein mittelständiges Unternehmen jemals machen kann und will)
ad Lizenzkosten: Für Litigation Hold (bei Mail) brauchen Sie zumindest Exchange Plan 2. Allerdings nur für den Zeitraum, in dem der User die Mailbox aktiv nutzt. Wenn Sie zB ein Litigation Hold auf 7 Jahre setzen und ein Mitarbeiter verläßt das Unternehmen und Sie nehmen dem Benutzer die Lizenz weg, bleiben die Daten trotzdem 7 Jahre aufbewahrt. Dh hier fallen keine zusätzlichen Kosten an.
Das wichtigste für mich ist bei diesem Punkt, das Sie faktenbasiert entscheiden. Ich möchte in keinem Fall den Eindruck erwecken, das ich Backup von O365 für falsch halte. Aber in vielen Fällen wird es mit falschen Argumenten begründet.