Das Microsoft 365 Shared Responsibility Model

Russ Kerscher

Zwar hat sich das Verständnis für die Notwendigkeit von SaaS-Backups hat verbessert, trotzdem hören wir Folgendes immer noch häufig: „Wozu muss ich meine Daten in Microsoft 365 Exchange Online, SharePoint Online, OneDrive for Business und Microsoft Teams sichern? Darum kümmert sich doch Microsoft?“

Da sie in der Cloud sind, liegt die Annahme nahe, dass sie abgedeckt sind. Aber ist es das wirklich?

Um diese Frage eindeutig zu beantworten, haben wir das Microsoft 365 Shared Responsibility Model erstellt. Dieses Modell basiert auf den Grundprinzipien vom Microsoft Shared Responsibility Model. Dabei liegt der Schwerpunkt speziell auf Microsoft 365-Daten. Es soll Sie und alle, die diese Technologie nutzen, dabei helfen, klare Grenzen zu ziehen und zu verstehen, was von Microsoft verwaltet wird und für welche Aufgaben Unternehmen selbst verantwortlich sind. Schließlich sind es Ihre Daten und Sie sind für ihren Schutz verantwortlich. Um dies noch weiter zu verdeutlichen, stimmt Microsoft zu, dass Sie Ihre Microsoft 365-Daten unbedingt sichern müssen, und empfiehlt, sie mit einer Drittanbieterlösung zu speichern. In der Microsoft-Servicevereinbarung heißt es: „Wir empfehlen Ihnen, Ihre Inhalte und Daten, die Sie in den Services oder mit Apps und Services von Drittanbietern speichern, regelmäßig zu sichern.“ Durch proaktive Maßnahmen zum Schutz Ihrer Daten kann Ihr Unternehmen potenziellen Datenverlust vermeiden und die Business Continuity sicherstellen.

Möchten Sie Ihre Microsoft 365-Daten schützen? Erfahren Sie mehr über den Marktführer im Bereich Microsoft 365-Backup.

Was ist das Microsoft Shared Responsibility Model?

Bevor wir beginnen, sollten wir das Modell definieren. Das Shared Responsibility Model gibt den Umfang vor, in dem Sie selbst für Komponenten und Aufgaben in einer IT-Umgebung verantwortlich sind. Dieses Modell bestimmt daher, wo Ihre Pflichten enden und die des Serviceproviders beginnen.

Die Rolle von Microsoft in diesem Modell

Bei der genauen Betrachtung vom Microsoft 365 Shared Responsibility Model ist unübersehbar, dass Microsofts Hauptaufgaben für Microsoft 365 darin bestehen, alle Aufgaben im Zusammenhang mit der Backend-Infrastruktur zu erfüllen und für eine stabile Servicebereitstellung zu sorgen, sodass es zu keinen oder nur geringen Serviceunterbrechungen kommt. Stellen Sie sich Microsoft als Datenverarbeiter vor.

Die Rolle des Kunden in diesem Modell

Der Kunde ist Eigentümer seiner Daten, wenn diese in Microsoft 365 gespeichert sind. Die IT-Abteilung des Kunden sorgt dafür, dass er die Kontrolle über seine geschäftskritischen Daten behält und jederzeit darauf zugreifen kann. Dies umfasst alle Daten, die in Microsoft 365-Apps und -Services erstellt, gespeichert und freigegeben werden.

Wie kann eine IT-Umgebung all dies schützen? Gemäß den Best Practices für die Datensicherung muss ein Backup vorhanden sein, das unabhängig von der Quelle gespeichert wird und innerhalb einer akzeptablen Wiederherstellungszeit (RTO) problemlos wiederhergestellt werden kann. Hierbei handelt es sich um ein Backup von Microsoft 365-Daten, über das die IT-Abteilung des Kunden vollständige Kontrolle und auf das sie Zugriff hat. Es wird separat durch einen Drittanbieter gespeichert, sodass es im Falle eines Datenverlusts wiederhergestellt werden kann.

Im Verlauf dieses Blogs führen wird das Shared Responsibility Model in visueller Form aus. In der oberen Hälfte des Modells sehen Sie, dass Microsoft für ihren Kern-Microsoft 365-Cloud-Service verantwortlich ist. Im unteren Teil des Modells finden Sie die Verantwortung, die auf das Unternehmen fällt – oder höchstwahrscheinlich auf Sie als Leser.

Kernpunkte vom Shared Responsibility Model

Primäre Verantwortung

Am besten beginnen wir mit der Hauptverantwortung jeder Seite. Die Hauptverantwortung von Microsoft liegt auf ihrer globalen Infrastruktur und ihrer Verpflichtung gegenüber Millionen von Kunden, diese Infrastruktur am Laufen zu halten. Das bedeutet, dass sie für konsistente Verfügbarkeit, Zuverlässigkeit für ihre Cloud-Services und die Produktivität von Anwendern auf der ganzen Welt sorgen müssen.

IT-Abteilungen müssen uneingeschränkten Zugriff auf und vollständige Kontrolle über geschäftskritische Daten haben, und zwar unabhängig davon, wo sich diese Daten befinden – ob im Rechenzentrum oder in Microsoft 365. Diese Verantwortung verschwindet nicht einfach auf magische Weise, nur weil die Geschäftsleitung entschieden hat, eine SaaS-Anwendung zu nutzen.

Unterstützende Technologie

Kommen wir nun zu den Technologien, die jeder Seite helfen sollen, ihre Hauptverantwortlichkeiten wahrzunehmen. Microsoft 365 umfasst integrierte Funktionalitäten zur Datenreplikation, die eine Georedundanz zwischen Rechenzentren bietet, um Ausfallzeiten von Microsoft-Anwendungen und -Services zu minimieren (und fast zu eliminieren). Diese Funktion ist eine Notwendigkeit. Wenn beispielsweise in einem von Microsofts weltweit verteilten Rechenzentren etwas schiefgeht, kann ein Failover zum Replikationsziel erfolgen – und die Anwender bekommen in den meisten Fällen nichts davon mit.

Eine Replikation ist jedoch kein Backup, und in Microsoft 365 ist dieses Replikat nicht einmal IHR Replikat. es gehört Microsoft. Nehmen Sie sich zur weiteren Verdeutlichung dieses Punkts eine Minute Zeit und denken Sie über die folgende hypothetische Frage zu Backup und Replikation nach:

Welche Option bietet Ihnen im Allgemeinen einen besseren Schutz: Ein Backup oder ein Replikat?

Ich liebe es, diese Frage einem Live-Publikum zu stellen und die Diskussion und die Ideen zu beobachten, die sich entfalten. Einige von Ihnen sind vielleicht der Meinung, dass „Replikat“ die richtige Antwort, weil eine Anwendung, die kontinuierlich oder wenigstens beinahe an einen zweiten Speicherort repliziert wird, bei einem Ausfall Redundanz bietet und dadurch Anwendungsausfallzeiten vermieden werden können. Andere könnten jedoch einwenden, dass es bei einer Datensicherungsstrategie, die ausschließlich auf Replikation setzt, Probleme gibt. So werden beispielsweise auch gelöschte oder manipulierte Daten zusammen mit „guten“ Daten repliziert, und das bedeutet, dass Ihr Replikat jetzt dieselben gelöschten oder beschädigten Daten enthält. Vertreter dieses Lagers denken möglicherweise, dass ein Backup besseren Schutz bietet da es bestimmte Datenverlustschwachstellen gibt, vor denen nur ein Backup schützen kann.

Die richtige Antwort auf diese Fangfrage lautet: Man braucht beides! Dieses Grundprinzip ist nun schon seit mehr als 15 Jahren die Grundlage für die Datensicherungsstrategie bei Veeam. Nicht umsonst heißt unser Flagship-Produkt Veeam Backup & Replication.

Warum also bieten die Microsoft 365-Backup-Lösungen von Veeam keine Replikationsfunktionalitäten? Nun, dieser Teil ist bereits durch Microsoft abgedeckt. Es fehlt also nur das Backup.

Jetzt fragen Sie sich vielleicht Folgendes: „Was ist mit dem Papierkorb von Microsoft 365? Das ist doch eine Art Backup.“ Ja, Microsoft bietet viele Papierkorboptionen, die Administratoren und Benutzern bei der kurzfristigen Datenwiederherstellung helfen können. Diese Papierkörbe sind nur ein kleiner Teil der umfassenderen Aufbewahrungsrichtlinien von Microsoft, die je nach Microsoft 365-Service eine komplexe und tiefgehende Angelegenheit sind, die bestimmt, welche Art von Daten wie lange aufbewahrt werden. Um die Komplexität noch zu erhöhen, können diese Einstellungen vom Admin weiter angepasst werden und folgen nicht dem Standardprotokoll. Microsoft 365-Administratoren haben oft Schwierigkeiten mit der Verwaltung und Überwachung dieser Richtlinien. Im Allgemeinen sind Administratoren der Meinung, dass sie ausreichend geschützt sind, und finden das Gegenteil erst heraus, wenn es bereits zu spät ist.

Ein gutes Beispiel dafür ist, wenn ein Mitarbeiter das Unternehmen verlässt. Nach einem Monat sind diese Daten oft endgültig gelöscht. Erinnern Sie sich noch an das komplizierte Umsatzprognosemodell, an dem Sally Smith Anfang des Jahres gearbeitet hat? Sie hat das Unternehmen vor ein paar Wochen verlassen und das Modell war in ihrem OneDrive gespeichert. Es ist also weg. Wir müssen bei Null anfangen.  

Veeam ist der festen Überzeugung, dass es nicht ausreicht, sich auf einen Papierkorb zu verlassen, wenn Sie wirklich vollständigen Zugriff und Kontrolle über ihre geschäftskritischen Daten haben möchten. Dafür benötigen Sie eine vollständige Datenaufbewahrung. Dazu gehören die kurz- und langfristige Aufbewahrung sowie die Möglichkeit, alle Lücken in der Aufbewahrungsrichtlinie mit einer einfachen Wiederherstellung für jedes Datenverlustszenario zu schließen. Sie benötigen außerdem granulare Wiederherstellungs- und Massenwiederherstellungsoptionen sowie Wiederherstellungsoptionen auf einen bestimmten Zeitpunkt.

Außerdem hat Microsoft kürzlich eine separate Backup-Lösung für Microsoft 365-Daten veröffentlicht, die im Jahr 2024 für die Daten von Microsoft 365 verwendet wird. Das belegt einmal mehr, dass der Microsoft 365-Service nicht von Natur aus innerhalb des Cloud-Service geschützt ist. Der Service enthält eine großartige neue Technologie, mit der große Mengen an Exchange-, SharePoint- und OneDrive-Daten blitzschnell gesichert und wiederhergestellt werden können. Veeam und Microsoft verbindet eine enge Partnerschaft und Veeam war einer der ersten Backup-Anbieter, der diese neue Backup-Technologie in seine Produkte integriert, damit sie von Kunden genutzt werden kann.

Sicherheit

Während wir die nächste Ebene des Microsoft 365 Shared Responsibility Model betrachten, sprechen wir über Sicherheit, ein immer heißes Thema. Sie werden sehen, dass dies strategisch als eine gemischte Kiste und nicht als separate Kisten konzipiert ist, denn sowohl Microsoft als auch Ihre IT-Organisation sind für Aspekte davon verantwortlich und müssen zusammenarbeiten.

Microsoft schützt Microsoft 365 auf Ebene der Infrastruktur. Dies beinhaltet die physische Sicherheit seiner Rechenzentren sowie die Authentifizierung und Identifizierung bei seinen Cloud-Services. Hinzu kommt der Schutz von Benutzern und Administratoren, der in die Benutzeroberfläche von Microsoft 365 integriert ist.

Es gibt viele über die Infrastrukturebene hinausgehende integrierte Sicherheitsfunktionen, die zur Stärkung der Cyberresilienz beitragen können. Dazu gehören Sicherheitsfeatures wie die Multifaktorauthentifizierung (MFA), bei der Benutzer in einem zusätzlichen Schritt verifiziert werden, der von Angreifern nicht so leicht kopiert werden kann. Außerdem gibt es verschiedene Verschlüsselungsarten, die in Microsoft 365 genutzt werden, um sicherzustellen, dass nur autorisierte Parteien auf einem Gerät oder während der Übertragung zwischen Benutzern auf Originalinformationen wie Dateien zugreifen können, z. B. auf E-Mails in Exchange Online und Nachrichten in Teams. Außerdem gibt es Funktionen zur proaktiven Bedrohungserkennung, mit denen Sie verdächtige Aktivitäten in Ihrer Umgebung verhindern, erkennen und abwehren können. Microsoft verwendet auch ein zentralisiertes Protokollierungssystem, um Aktivitäten zu analysieren, die auf einen Sicherheitsvorfall hinweisen können. All diese Sicherheitsmechanismen haben ihre Vorteile, doch Microsoft ist nicht für Ihre Daten verantwortlich.    

Die IT-Abteilung ist weiterhin für die Sicherheit von Microsoft 365 auf Datenebene zuständig. Daten sind von vielerlei Gefahren bedroht – von innen und von außen. Versehentliche Löschung, Administratoren, die unkontrolliert ihre Rechte missbrauchen, und Ransomware, um nur einige zu nennen. Sehen Sie sich dieses fünfminütige Video an, um zu erfahren wie Ransomware Microsoft 365 übernehmen kann. Das allein wird Ihnen Albträume bereiten.

Viele Backup-Lösungen können viele der Microsoft-eigenen Infrastrukturfunktionalitäten erweitern, indem sie ihre Unterstützung für Backup-Umgebungen ausweiten, die von IT-Organisationen genutzt werden können. So sind für reinen noch besseren Schutz von Microsoft 365-Backup-Daten beispielsweise MFA sowie Verschlüsselung bei der Übertragung und Speicherung abgedeckt.

Vorschriften

Die letzte Komponente vom Microsoft 365 Shared Responsibility Model ist die Beachtung von rechtlichen Voraussetzungen und Compliance-Anforderungen. Im Microsoft 365 Trust Center macht Microsoft unmissverständlich klar, dass Sie der Eigentümer Ihrer Daten sind und dass ihre Rolle die des Datenverarbeiters ist. Dadurch konzentriert sich Microsoft auf Datenschutz, und Sie können auf ihrer Website sehen, dass sie eine große Liste von Funktionalitäten und Branchenzertifizierungen haben, um die Compliance von Microsoft 365-Cloud-Services zu gewährleisten. Doch obwohl die Daten in Microsoft 365 gehostet werden, besteht die Rolle der IT-Abteilung darin, selbst Eigentümer der Daten zu sein. Diese Verantwortung bringt einiges mit sich: externer Druck aus der Branche und Vorschriften vonseiten der Rechts-, Compliance- oder Personalabteilung.

Beispiele und Szenarien

Was passiert, wenn Sie sich darauf verlassen, dass Microsoft eine Aufgabe übernimmt, die eigentlich Ihre ist? Bei Datenverlust, zum Beispiel durch versehentliche Löschung oder Ransomware, bietet Microsoft zwar eine Art Sicherheitsnetz, aber ein grobmaschiges. Es eignet sich jedoch nur für den kurzfristigen Datenverlust oder für Compliance-Tools wie die gesetzliche Aufbewahrungspflicht, da es sehr schwierig ist, genau das wiederherzustellen, was Sie brauchen. Wenn Sie davon ausgehen, dass Microsoft Ihre verloren gegangenen Daten schon wieder herausgeben wird, dann handeln Sie fahrlässig, da es keine Garantie gibt, wann dies geschieht und ob überhaupt. Deshalb ist es zwingend notwendig, seine eigene Rolle als Dateneigentümer ernst zu nehmen. Wenn Sie vollständigen Zugriff auf und die Kontrolle über Ihre von einem Drittanbieter gespeicherten Microsoft-365-Daten haben, können Sie diese jederzeit wiederherstellen.

Vorteile und Herausforderungen

Das Shared Responsibility Model schafft Klarheit: Jedes Unternehmen weiß, wofür es selbst die Verantwortung trägt. Es hilft dabei, Unternehmen und IT-Abteilungen für die Pflichten und Aufgaben, die sie erfüllen müssen, verantwortlich zu halten. Riskant wäre es, diese Verantwortung nicht ernst zu nehmen. Immer noch verschließen zahlreiche Unternehmen und Organisationen die Augen vor dem, was laut diesem Modell von ihnen erwartet wird. Stattdessen reden sie sich ein, sie trügen weniger Verantwortung für ihre Microsoft 365-Daten, als es tatsächlich der Fall ist.

Best Practices für die Implementierung des Modells

Für Eigentümer von Microsoft 365-Daten besteht der erste Schritt zur Umsetzung vom Shared Responsibility Model darin, die Datensicherung durch einen Drittanbieter sicherzustellen, der dafür sorgt, dass das Backup von den Quelldaten getrennt bleibt. Dazu braucht es allerdings mehr als irgendeine Backup-Lösung. Die richtige Lösung muss Optionen zur Backup-Anpassung, flexiblen Wiederherstellung und leistungsstarken Suche bieten, um den Anforderungen des Unternehmens gerecht zu werden.

So kann Veeam helfen

Jetzt wissen Sie ein besseres Verständnis davon haben, was genau Microsoft in Microsoft 365 abdeckt und warum sie tun, was sie tun. Ohne Backup sind der Zugriff auf und die Kontrolle über Ihre Microsoft 365-Daten beschränkt. Dadurch kann es zu Lücken in Ihren Aufbewahrungsrichtlinien und zu Datenverlust kommen. Zudem gehen Sie große Sicherheitsrisiken von innen und außen ein und Sie riskieren Verstöße gegen gesetzliche und andere Vorschriften. Obwohl sich immer mehr Microsoft 365-Nutzer für Backup-Lösungen von Drittanbietern entscheiden, lassen 71 % der Unternehmen ihre Daten überraschenderweise immer noch ungeschützt. 

Sie suchen eine einfache, benutzerfreundliche Backup-Lösung für Microsoft 365?

Suchen Sie nicht weiter als bis zum Branchenführer. Veeam bietet zwei Möglichkeiten zum Schutz von Microsoft 365:

Veeam ist nicht nur führender Anbieter im Gartner Magic Quadrant, sondern erhielt bereits das fünfte Jahr in Folge die höchste Bewertung im Bereich der Umsetzungsfähigkeit. Testen Sie Veeam und überzeugen Sie sich selbst!

Verwandte Themen

Exit mobile version