Datenschutz bei Microsoft 365 – Teil 11: Admin Center

Was ist das MS 365 Admin Center?

MS 365 Admin Center ist neben dem Active Directory die zentrale Administrationsoberfläche des gesamten Tenant (Kundenkonto des Unternehmens). Hierüber werden grundsätzliche Regeln für die Verwendung von MS 365 verwaltet. Unter anderem lässt sich dort einstellen, wie die Abrechnung mit Microsoft erfolgt, wer mit welchen Rechten und welchen Lizenzen den Zugang zu dem Tenant erhält oder wie der Tenant grundsätzlich aufgebaut wird und funktioniert. Zudem werden auch Auswertungen und Berichte zur Verwendung des Microsoft Tenant zur Verfügung gestellt. Ebenso können hierüber die Administrationscenter zu einzelnen Modulen, wie das Teams Admin Center oder das Compliance-Center, aufgerufen werden.

In diesem Teil wollen wir uns nur auf das zentrale Admin Center beziehen. Admin Center zu den einzelnen Modulen werden in den anderen Beiträgen direkt behandelt.

Welche Datenschutzrisiken bestehen beim Admin Center?

MS 365 ist ein sich ständig wandelndes System mit kontinuierlichen Weiterentwicklungen und Funktionserweiterungen. Es kommt immer wieder vor, dass Verwaltungsmöglichkeiten erweitert, verändert oder auch separiert werden. Zudem kommen neue Module hinzu, die datenschutzkonform umgesetzt werden müssen. Beispielsweise wurde mit Freischaltung von MyAnalytics dieses automatisch aktiviert, obwohl der Einsatz regelmäßig unzulässig sein dürfte. Für Organisationen besteht die Gefahr, durch nicht rechtzeitige oder unbekannte Änderungen, die Microsoft einführt, Datenschutzverstöße zu begehen.

Ebenso besteht das Risiko, wenn Administratoren die Möglichkeiten von MS 365 nicht kennen und ein unzureichendes Wissensmanagement vorliegt, dass erforderliche Einstellungen nicht umgesetzt werden.

Auch für andere Benutzer ist es leicht möglich, Gastzugriffe an Unternehmensfremde zu vergeben. Werden diese Zugriffe nicht überwacht und verwaltet, können Gäste über den zulässigen Zweck hinaus Zugang zu Daten erhalten.

Auch das Admin Center bietet eine Vielzahl von Auswertungen zur Nutzung von MS 365. Hier sollte ebenfalls konkret geprüft werden, welche Auswertungen zulässig sind und wie Datenschutz gewährleistet werden kann. Insbesondere die Mitbestimmungsrechte von Betriebs- und Mitarbeitervertretungen sind zu berücksichtigen.

Hilfreiche organisatorische Regelungen für das Admin Center (Auszug)

  • Es sollte ein Administrationskonzept erstellt werden, welches insbesondere die Administrationsverantwortlichkeiten regelt. Sind die Verantwortlichkeiten klar geregelt, sollte auch eine technische Einschränkung der Administratorrechte in Betracht gezogen werden.
    Eine Verteilung der Administratorrechte auf mehrere Personen hat zudem den Vorteil, dass die Administratoren sich nicht für alle Anwendungen auf dem Laufenden halten müssen und die Flut an Informationen und Änderungen aufgeteilt wird.
  • Ein Berechtigungskonzept hilft zudem, die Verwaltung und Anlage neuer Benutzer zu vereinfachen und verbindlich festzulegen.
  • Eine organisatorische Passwortrichtlinie sollte Anforderungen an ein sicheres Passwort für Benutzer und Administratoren definieren.

Datenschutzfreundliche Voreinstellungen für das Admin Center (Auszug)

Wird ein neuer Benutzer angelegt, ist neben der Lizenz auch festzulegen:

  • wie sich der Benutzer zu authentifizieren hat,
  • ob er Office Anwendungen verwenden darf,
  • welche Geräte durch Intune zu verwalten sind,
  • wie er E-Mails abrufen darf (OWA, IMAP, POP, SMPT, MAPI etc.),
  • auf welche fremden Postfächer der Benutzer mit welchen Rechten Zugriff nehmen darf,
  • ob seine Daten in die globale Adressliste integriert werden,
  • ob er Speicherplatz zum Speichern von Daten in OneDrive erhält,
  • ob er berechtigt ist Organisationsdaten mit externen Personen zu teilen,
  • wie lange Daten aus dem persönlichen OneDrive erhalten bleiben sollen, wenn der Benutzer gelöscht wurde und
  • welche Apps er aus seiner Lizenz verwenden darf.

Diese Basiseinstellungen sind frühzeitig bei Anlage eines neuen Benutzers festzulegen, und auf das erforderliche Minimum zu reduzieren. Dies stellt sicher, dass nur die Benutzer MS 365 nutzen, die dafür vorgesehen sind und dass nur diese auf dafür vorgesehene Daten zugreifen bzw. weiterleiten können. Das alles dient dem Schutz personenbezogener Daten.

Microsoft bietet darüber hinaus an, den Office-Graph zu nutzen, um mittels KI die Suche von Dokumenten, Personen, Textmarken etc. an die Bedürfnisse der Beschäftigten und des Unternehmens anzupassen. Schnittstelle hierzu ist die Suchmaschine Bing. Ist dies aktiviert, wird das Suchverhalten der Beschäftigten analysiert, um Interessen festzustellen und Informationen passender auszugeben. Ohne Prüfung, was die Auswertung des Sachverhaltes für das Unternehmen und dessen Mitarbeiter bedeutet, sollte Microsoft Search in Bing deaktiviert werden.

Den vollständigen Artikel finden Sie in unserem White Paper zu Datenschutz bei Microsoft 365, Teil 2.

Sie benötigen professionelle Unterstützung zum Thema Datenschutz bei Microsoft 365? Lassen Sie sich jetzt von erfahrenen Datenschutzexperten bei ENSECUR beraten!
Zur Office 365 Datenschutz Beratung

Links zu weiteren Beiträgen der Reihe:

Teil 1: Grundlagen
Teil 2: Microsoft Forms
Teil 3: Microsoft Teams
Teil 4: Delve, MyAnalytics und Produktivitätsbewertung
Teil 5: Compliance
Teil 6: Yammer
Teil 7: OneDrive
Teil 8: Office Online – Word, Excel, PowerPoint, OneNote
Teil 9: Exchange
Teil 10: Intune

Hilfreiche Links:

Autor: Michael Konitzer

Bild von mohamed Hassan auf Pixabay

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.