Microsoft 365 Compliance Test

Datenschutz Datensicherheit

Eine Betrachtung aus Sicht des Datenschutzes und der IT-Sicherheit. Erreichen Sie eine deutliche Arbeitserleichterung für die Administratoren! Diese müssen nicht mehr lange sämtliche Settings im Microsoft365 Tenant überprüfen und nach Neuerungen suchen, sondern bekommen die notwendigen ToDos direkt zentral angezeigt.

Haben Sie schon einmal intensiv die Sicherheitseinstellungen Ihres Microsoft 365 betrachtet?

Gelingt es Ihnen immer alle Features und „kritischen“ Einstellungen nach Updates im Blick zu haben?

Und wie sieht es mit den datenschutzrelevanten Einstellungen in Ihrem Microsoft 365 Tenant aus?

Datenschutzkonform oder nicht?

Microsoft bietet mit seiner Lösung Microsoft 365 ein sehr gutes und sehr mächtiges Werkzeug zu einem guten/ akzeptablen Preis- / Leistungsverhältnis an.
Das ist unumstritten, obwohl der Einsatz von MS 365 aus Sicht der Aufsichtsbehörden nicht datenschutzkonform möglich ist.

Diese Meinung kann man teilen, hier kommt es aber sicherlich auch auf die Betrachtungsweise und den Bereich an. Sicherlich gibt es Bereiche in denen auf jeden Fall andere Produkte zum Einsatz kommen müssen und die MS 365 Lösungen nicht optimal sind.

Nach unserer Auffassung gibt es einige Punkte, die berücksichtigt werden müssen, jedoch wäre danach auf Grundlage eines risikobasierten Ansatzes unter Einhaltung gewisser TOM der Einsatz einer MS 365 Lösung in den meisten Unternehmen möglich. Natürlich bleibt hier immer ein Restrisiko!

Und die Sicherheit?

Natürlich muss neben den Punkten des Datenschutzes auch immer die IT-Sicherheit berücksichtigt werden. Welcher Administrator kennt tatsächlich alle Einstellungen und alle Parameter? Vielleicht gibt es in großen Unternehmen mit einer großen IT-Abteilung tatsächlich ausreichende Kapazitäten, aber in kleinen Unternehmen oder im Mittelstand dürfte das vermutlich eher die Ausnahme sein.

Hinzu kommt auch, dass Microsoft regelmäßig seine Features erweitert und ändert, teilweise bekommt man dieses gar nicht mit.
Oder lesen Sie regelmäßig die Änderungshistorie?

Es wäre also gut, hier einen kompletten Überblick und entsprechende Handlungsempfehlungen zu bekommen.

Und was ist jetzt mit Datenschutz?

Wie eingangs schon beschrieben wäre ein risikobasierter Ansatz in den meisten Unternehmen vermutlich möglich. Aber welche Services und Dienste kann und darf man nun nutzen, und von welchen sollte man die Finger lassen?

Was genau muss betrachtet und bewertet werden?

Auch hier muss man bei den Diensten unterscheiden. Einige sind datenschutzkonform und risikobasiert unter Berücksichtigung entsprechender TOM einsetzbar, weil die Server zumindest in der EU stehen, die Services also in der EU gehostet werden.

Aber ist Ihr Tenant wirklich richtig konfiguriert oder steht noch ein Umzug einzelner Services an?

Dann wiederrum gibt es aber auch Services und Dienste, die sich auf keinen Fall datenschutzkonform einsetzen lassen wenn personenbezogene Daten verarbeitet werden, da die Services immer in Drittländern, meistens der USA, gehostet werden.

Wissen Sie welche das sind?

Eventuell muss man hier die Konfiguration anpassen und prüfen, ob man vielleicht auf derartige Services verzichten kann. Für den Fall, dass kein Verzicht möglich ist müsste man an der Stelle noch einmal das Risiko neu bewerten, sofern man denn weiß welche Services überhaupt betroffen sind.

Auch das müsste zunächst ermittelt werden.

Auch wir haben uns diese Fragen gestellt und gefragt, wie wir das alles prüfen und transparent darstellen können.

Wir suchten nach einer transparenten Betrachtung all dieser Punkte aus datenschutzrechtlicher Sicht, natürlich auch aus Sicht der IT-Sicherheit. Idealerweise auch möglichst transparent dargestellt und mit möglichst geringem Aufwand, also pragmatisch, so wie wir es auch unseren Kunden anbieten wollen.

Zwischenzeitlich haben wir eine Lösung gefunden.
Gemeinsam mit einem Partner gelingt es uns, einen Microsoft 365 Tenant zu scannen und zu analysieren.

Der Scan beinhaltet unterschiedliche Themenbereiche wie „Microsoft Teams“, „Datenschutz und Informationssicherheit“, „Identity and Access Management“, „Datenlokationen“, darüber hinaus noch eine Betrachtung der Persönlichkeitsrechte und des Betriebssystems. Letzteres wird allerdings nicht gescannt, sondern nur mit Hilfe einer Checkliste betrachtet da es auch in den Windows Betriebssystemen einige Punkte gibt, die aus datenschutzrechtlicher Sicht angepasst werden müssen.

Als Kunde der werning.com GmbH kennen Sie vielleicht unsere Checklisten zu diesem Thema.

Insgesamt umfasst der gesamte Scan nach derzeitigem Stand eine Liste von rund 370 Punkten, Tendenz steigend, da es natürlich immer neue Features und neue Updates gibt.

Beispielsweise würde Ihnen der Scan zeigen, ob im MS Teams Clouddienste von Drittanbietern wie z.B. Dropbox, Egnyte oder sonstigen genutzt werden können.
Ebenfalls auch, ob der Anwesenheitsstatus für externe User sichtbar ist. Auch ob eine Möglichkeit besteht Gastbenutzer für Teams Kanäle zuzulassen würde betrachtet, sowie auch Optionen des Wartebereiches für Teams Meetings, um hier nur einige Punkte zu nennen.

In Bereichen der Informationssicherheit wird analysiert, welche Möglichkeiten es gibt, Inhalte zu teilen und welche User Freigabeeinstellungen für OneDrive bzw. SharePoint vornehmen dürfen.

In der Übersicht der Datenlokation können Sie sehen, welche Services wo gehostet werden, eventuell um hier andere Speicherorte zu wählen, sofern möglich. Alternativ auch die Nutzung dieses Services neu prüfen und zu betrachten, sofern der Standort außerhalb der EU liegt.

Hier nur beispielhaft einige Punkte benannt die geprüft werden.

Das Ergebnis wird Ihnen immer transparent in einem Webportal mit persönlichem Login zur Verfügung gestellt. Sie haben also immer Zugriff auf die einzelnen Punkte.

Jeder einzelne Punkt ist ausführlich erklärt und mit einer Handlungsempfehlung versehen. Diese geht sogar so weit, dass Sie eine ausführliche Anweisung finden, was Sie an welcher Stelle tun müssen um den Punkt datenschutzkonform bzw. aus Sicht der IT-Sicherheit optimal umgesetzt und abgesichert zu bekommen.
Je nach Konfigurationsmöglichkeit finden Sie eine Erklärung mit Screenshots, in vielen Fällen aber auch direkt vorgefertigte Scripte die sich direkt ausführen lassen und somit den Punkt direkt passend für Sie konfigurieren.
Es muss hier also nicht der Administrator oder IT-Verantwortliche, der sieht welcher Punkt „rot“ ist, erst nach einer Lösung suchen. Die Lösung zur Umsetzung wird direkt präsentiert.

Hat man die einzelnen Punkte umgesetzt kann man das Thema als erledigt markieren und sieht somit in der Gesamtübersicht wie viele Punkte X von Y umgesetzt wurden.

Zur Umsetzung und Abarbeitung der Punkte lassen sich die einzelnen Themen als Aufgaben erzeugen und auch entsprechend priorisieren bzw. Daten festlegen zu denen die Umsetzung erfolgt sein soll. Somit ergibt sich für diesen Themenbereich ein Projektplan.

Funktionsweise unseres Lösungsansatzes

Grundsätzlich sieht es bei unserem Lösungsansatz so aus, dass man zwischen mehreren Varianten wählen kann.

Im Ansatz sind alle Varianten dahingehend gleich, dass der Scan mit unserm Partner gemeinsam durchgeführt wird, es passiert nichts heimlich im Hintergrund. Für den Scan werden die Rechte eines global admin benötigt welcher als temporärer User nur für den Scan angelegt werden kann.
Dies ist aber insofern unbedenklich da Sie während des gesamten Scans in einer Remotesitzung mit dabei sind.
Nach dem Scan kann dieses temporäre Konto wieder deaktiviert werden.

Die Auswertung und Aufbereitung dauert dann ein paar Tage, ist aber ohne Zugriff auf Ihr MS 365 möglich.
In einem weiteren Onlinetermin wird dann Ihr Scan betrachtet und gemeinsam mit dem Partner besprochen. Sie bekommen dann schon die ersten Tipps und Hinweise und können unklare Punkte direkt diskutieren und erfragen.

Es gibt hier unterschiedliche Leistungen, die man beauftragen kann.

📌Einmaliger Scan:

Mit dieser Variante besteht die Option, nur einen einzelnen Scan zu beauftragen, um einen Überblick zu bekommen und zu schauen, wo man überhaupt steht.
In Einzelfällen kann das hilfreich sein, um den IST Zustand zu ermitteln und die ToDos abzuarbeiten. Man hätte damit eine einzelne und einmalige Überprüfung und ein paar Handreichungen.

Der Standard und unsere Empfehlung ist allerdings die zweite Option und in den meisten Fällen beauftragte Variante.
Diese setzt sich aus den folgenden Punkten zusammen:

  • Erster Scan und feststellen der IST-Situation
  • Auswertung, Besprechung der Ergebnisse und Handlungsempfehlungen
  • Umsetzung der offenen Punkte
  • Zweiter Scan zur Überprüfung der Maßnahmen
  • Rechtsgutachten durch entsprechende Rechtsanwälte des Partners
  • Optional:
    - Datenschutz-Folgeabschätzung (DSFA)
    - Transfer Impact Assessments (TIA)

Zu berücksichtigen ist aber bei diesen beiden Varianten, dass einerseits die Ergebnisse nicht mehr aktuell sind durch spätere Änderungen oder Updates von Features in der Microsoftumgebung, ohne weiteren Scan würde man diese natürlich nicht mitgeteilt bzw. geprüft bekommen. Weiterhin ist ein Rechtsgutachten nicht dauerhaft gültig.

Scan regelmäßig durchführen:

Man kann hier, je nach Bedarf, den Scan regelmäßig neu beauftragen und auch ein neues Rechtsgutachten erstellen lassen. Die Zeiträume wären dann individuell und nach Bedarf planbar.

📌Managed Service Lösung:

Eine andere Variante wäre die Managed Services Lösung für einen regelmäßigen Überblick und eine regelmäßige Aktualisierung.

Die Empfehlung ist natürlich, den Tenant regelmäßig zu scannen. Dadurch ist gewährleistet, dass man positive oder negative Veränderungen zeitnah erfährt und zugleich auch weiterhin einen rechtssicheren Grad der Compliance gewährleisten kann.

Der Scan würde bei der Managed Service Lösung regelmäßig alle sechs Monate durchgeführt.

Es handelt sich hierbei also um ein ABO-Modell welches beliebig vereinbart werden kann.

Individuelle Services sind möglich:

Je nach Anwendungsfall und Bedarf findet sich hier letztendlich immer eine individuelle und optimale Lösung, die zu Ihren Anforderungen passt.

Fragen zur technischen Umsetzung und Optimierung?

Wie schon beschrieben ist auch das kein Problem! Gemeinsam mit Technikern besteht die Möglichkeit, auch die technische Umsetzung durchführen zu lassen!

Haben wir Ihr Interesse geweckt?

Sprechen Sie uns an! Gern vereinbaren wir einen gemeinsamen Termin mit unserem Partner für eine Produktvorführung.