Datenschutz bei Microsoft 365 – Teil 5: Compliance

Was ist Microsoft 365-Compliance?

Jede Organisation hat die Einhaltung von Gesetzen, Richtlinien und freiwilligen (unternehmensinternen) Kodizes zu gewährleisten und damit die Umsetzung aller nationaler und ggf. internationaler rechtlicher Vorgaben zu beachten. Das Identifizieren und Verwalten von Compliance-Risiken in der Organisation ist wichtig, um (auch personenbezogene) Daten zu schützen und Bedrohungen und Risiken zu minimieren.

Microsoft 365-Compliance („MS 365-Compliance“) widmet sich der Organisation und Verwaltung der Einhaltung von Gesetzen und ist inhaltlich nicht nur auf die Verarbeitung personenbezogener Daten begrenzt. Zentrales Anliegen ist die Sicherheit der Verarbeitung von Informationen und der dazugehörigen Maßnahmen, die das gewährleisten. Dadurch erhöht sich – sicherlich nachvollziehbar – die Komplexität der Aufgaben, um möglichst allen rechtlichen Vorgaben gerecht zu werden. So können Programme von Office 365 DS-GVO-konform eingesetzt werden. Durch eine strukturierte und anwendungsgesteuerte Vorgehensweise kann MS 365-Compliance dazu dienen, diese Komplexität zu reduzieren, Umsetzungsverläufe darzustellen und durch einen Risiko-Score bewertbar zu machen. Das zentrale Feature im MS 365 Compliance Center ist der „Compliance Manager“, mit dem Unternehmen die Compliance-Anforderungen Ihrer Organisation besser und leichter verwalten können um bei Office 365 Compliance-Risiken zu minimieren.

Je nach Relevanz können dabei nationale, regionale und branchenspezifische Anforderungen für die Erfassung und Verwendung von Daten eine Rolle spielen.

  • Global (ISO 27001, ISO 27701, ISO 9001, SOC etc.)
  • Regionen (EU-DS-GVO, Standardvertragsklauseln, IDW PS xxx, IT-Grundschutz etc.)
  • Branche (PCI/DSS, SOX, TISAX etc.)
  • Vorgaben durch US-Behörden (IRS xxx, FedRAMP etc.)

Organisatorische Regelungen für die Implementierung von Microsoft 365-Compliance

Für die Implementierung von Microsoft 365-Compliance sollten folgende grundlegende Kompatibilitätsaufgaben abgeschlossen werden, damit eine erfolgreiche Nutzung der Compliance-Lösungsangebote gelingt. Im weiteren Verlauf dieses Beitrags wird auf die einzelnen Kompatibilitätslösungen eingegangen, die diese von Microsoft empfohlene Schrittfolge als jeweilige Anwendungen/Tools unterstützen bzw. herbeiführen.

  • Schritt 1: Konfiguration der Konformitätsberechtigungen (Benennung der verantwortlichen Personen und zuweisen von Berechtigungen, Compliance Data Administrator/Compliance Administrator)
  • Schritt 2: Konformitätszustand ermitteln (als „Compliance Score“ im Compliance Manager)
  • Schritt 3: Aktivierung der Überwachung Ihrer Organisation
  • Schritt 4: Erstellen von Richtlinien, um über mögliche Kompatibilitätsprobleme informiert zu sein
  • Schritt 5: Just-in-Time-Zugriff für Ihre Administratoren konfigurieren
  • Schritt 6: Klassifizieren und schützen von vertraulichen Daten
  • Schritt 7: Konfigurieren einer Aufbewahrungsrichtlinie
  • Schritt 8: Konfigurieren von vertraulichen Informationen und Richtlinien für anstößige Sprachen
  • Schritt 9: Transparenz schaffen, was mit Ihren vertraulichen Elementen passiert

Microsoft geht bei den softwaregestützten Lösungsangeboten zum Verwalten der Compliance von einem 3-Phasen-Modell aus:

  • Analyse: Analysieren des Compliance-Risikos und Erfassung unzulässiger/ungewollter Datenzugriffe
  • Schützen: Schützen und kontrollieren vertraulicher Daten über Geräte, Apps und Clouddienste hinweg
  • Antworten: Intelligentes Suchen von Daten durch Nutzung von KI (Künstliche Intelligenz), um Anfragen von Behörden oder Betroffenen zu beantworten
Quelle: https://docs.microsoft.com/de-de/learn/modules/compliance-in-m365/1-introduction

Innerhalb dieser Phasen wird der MS 365-Compliance Anwender durch Tools unterstützt, um die Compliance-Risiken und die Sicherheitslage des Unternehmens zu bewerten und zu verwalten:

Service Trust Portal („STP„)

Das STP von Microsoft bietet eine Vielzahl von Inhalten, Tools und weiteren Ressourcen für die Sicherheit, den Datenschutz und die Compliance von Microsoft und bietet die folgenden Compliance-Tools:

  • Compliance-Manager: Das Dashboard für Standards, Vorschriften und Bewertungen
  • Vertrauensdokumente: Überwachungsberichte, Datenschutzinformationen zur Verwaltung von Microsoft Azure, Dynamics 365 und Microsoft 365, Azure-Blaupause für Sicherheit und Compliance
  • Regionale Compliance: Regionale Compliance-Informationen, häufig in Form von gesetzlichen Optionen (z.B. Eine Beschreibung, wie MS 365-Compliance nahe dem BSI-Grundschutz modelliert werden kann)
  • Datenschutz: Informationen zu Microsoft-Diensten, mit denen Sie Datenschutzanforderungen erfüllen können, sowie deren Dokumentation

Information Protection & Governance

Bei der Data Governance geht es darum, Daten verfügbar zu halten, wenn Sie sie benötigen, und sie wieder zu entfernen, wenn Sie sie nicht mehr benötigen. Mit der Data Governance in MS 365 können Sie den vollständigen Inhaltslebenszyklus verwalten, vom Importieren und Speichern von Daten am Anfang bis zum Erstellen von Richtlinien, mit denen Inhalte aufbewahrt und zum Schluss gelöscht werden (Beachtung von Aufbewahrungsfristen). Dies hat für die datenschutzrechtlichen Anforderungen an eine zweckgebundene Verarbeitung hohe Relevanz, da MS 365 das unternehmensinterne Löschkonzept anwendungsgesteuert unterstützen bzw. umsetzen kann. Aufbewahrungsbezeichnungen helfen dabei, die Daten für Data Governance zu klassifizieren und Aufbewahrungsregeln durchzusetzen.

Encryption

Daten (egal ob inaktiv oder aktiv) werden in MS 365 standardmäßig verschlüsselt.

  • Inaktive Daten werden auf der physischen Festplatte mit BitLocker und in Anwendungen mit Dienstverschlüsselung verschlüsselt.
  • Aktive Daten werden während der Übertragung im Netzwerk mit TLS (Transport Layer Security) verschlüsselt.

Für eine präzisere Steuerung von sich in der Übertragung befindlichen Daten können Daten auf Inhaltsebene mit der Nachrichtenverschlüsselung und Azure Information Protection verschlüsselt werden

Bei unternehmenseigenen Compliance-Verpflichtungen hinsichtlich Verschlüsselung, bietet MS 365 verschiedene Optionen, mit denen das Unternehmen eine weitere Verschlüsselungsschicht hinzufügen kann, für die es dann jedoch selbst verantwortlich ist.

Access Control (Customer Lockbox & Privileged Access)

Ein weiteres Tool, das MS 365 anbietet, um Zugriffe zu steuern, ist die Kunden-Lockbox. Benutzer erhalten standardmäßig keine Berechtigung, privilegierte Aufgaben durchzuführen oder selbst auf vertrauliche Daten zuzugreifen. Wenn erforderlich, durchlaufen alle Zugriffsanfragen einen privilegierten Zugriffsworkflow, sodass Benutzer einen rechtzeitigen und ausreichenden Zugriff für die spezifische Aufgabe erhalten, die Sie ausführen müssen. Diese Anforderungen erfordern Genehmigungen und eine umfangreiche Kontrolle. Microsoft verfährt hier nach dem Prinzip des Zero-standing-Admin-Zugriffs (Null ständige Administratorrechte und keinen ständigen Zugriff auf Kunden Inhalte).

Ein weiterer Vorteil diese Vorgehensweise ist, dass Unternehmen einen standardmäßigen Zero-standing-Zugriff für Serviceanbieter erzwingen, was ein wichtiger Schritt bei der Sicherung und Gewährleistung der Compliance der Rechenzentren und Daten ist.

Search and Discovery

MS 365 bietet die Möglichkeit der Suite-weiten Suche und Erkennung und hilft dabei, das Risiko und die Offenlegung mehrerer Datenkopien an verschiedenen Speicherorten zu verringern. Weiterhin kann die eDiscovery dafür verwendet werden, Inhalte zu überprüfen und zu schwärzen, bevor sie exportiert werden. Damit ist sichergestellt, dass nur die relevantesten Daten freigegeben werden und vertrauliche Unternehmensdaten unkenntlich gemacht werden.

Microsoft 365 Compliance Center

Das Microsoft 365 Compliance Center bietet einen einfachen Zugriff auf die Daten und Tools, die Sie benötigen, um die Complianceanforderungen Ihrer Organisation zu verwalten, Sie bei der Einhaltung der gesetzlichen Bestimmungen Ihres Unternehmens zu unterstützen, die Daten-Governance zu verwalten und auf behördliche Anfragen zu reagieren.

Mit Hilfe der Benutzeroberfläche kann das Unternehmen Compliance-Risiken verringern und digitale Vermögenswerte leichter und effizienter schützen durch:

  • Einblick in die eigene Compliance-Position in Bezug auf wichtige Bestimmungen und Normen wie ISO 27001, DS-GVO und mehr
  • Risikobewertungen und Schritt-für-Schritt-Anleitungen, um Ihre Compliance- und Datenschutz-Kontrollmechanismen zu verbessern
  • Kennzeichnungen, Analyse und Überprüfung von Daten im Hinblick auf Vertraulichkeit und Aufbewahrung (Microsoft 365 Label Analytics)
  • Einblicke mit Microsoft Cloud App Security (MCAS), damit Compliance-Risiken zwischen Anwendungen identifiziert werden können, Schatten-IT ermittelt und das nicht konforme Verhalten von Mitarbeitern überwacht werden kann

Microsoft 365 Compliance Manager

Der MS 365 Compliance-Manager ist das zentrale Tool, das dabei hilft, Compliance zu vereinfachen und Risiken zu verringern. Compliance-Verpflichtungen finden Beachtung und werden umgesetzt, wie z.B. die ISO 27001 (Informationssicherheits-Managementsystem) und die Datenschutz-Grundverordnung (DS-GVO).

Er erfüllt dabei folgende wichtige Funktionen:

  • Kontinuierliche Risikobewertung: Zusammenfassung Ihrer Richtlinieneinhaltung im Vergleich zu den gesetzlichen und für Ihre Organisation geltenden Vorschriften im Zusammenhang mit der Nutzung des Microsoft-Clouddienstes (Compliance-Bewertung, um entsprechende Compliance-Entscheidungen zu treffen)
  • Ergebnisorientierte Einblicke: Für Komponenten, die Microsoft verwaltet, können Sie sich die Steuerelement-Implementierung und -Testdetails, Testdaten und Ergebnisse ansehen. Für Komponenten, die Sie verwalten, können Sie sich Empfehlungen für entsprechende Maßnahmen und Anleitungen für deren Implementierung ansehen.
  • Vereinfachte Compliance: Vereinfachung von Prozessen zur Einhaltung der gesetzlichen und unternehmensinternen Richtlinien, z.B. durch Nutzung integrierter Werkzeuge für die Zusammenarbeit, mit denen Teams Aufgaben zugewiesen werden
  • Vordefinierte Bewertungen für gängige Branchen-und regionale Standards und Vorschriften oder benutzerdefinierte Bewertungen zur Erfüllung ihrer eindeutigen Compliance-Anforderungen
  • Workflow Funktionen, die bei der effizienten Durchführung der Risikobewertungen mithilfe eines einzigen Tools unterstützen
  • Ausführliche Schritt-für-Schritt-Anleitungen zu vorgeschlagenen Verbesserungsaktionen, die dabei helfen, die für die Organisation relevanten Standards und Vorschriften einzuhalten.
  • Eine risikobasierte Konformitätsbewertung, die hilft, den Fortschritt von Verbesserungsaktionen zu messen.

Das Compliance-Manager-Dashboard zeigt das aktuelle Kompatibilitäts-Ergebnis an, wie in folgender Grafik dargestellt.

Quelle: https://docs.microsoft.com/de-de/learn/modules/compliance-in-m365/2-assess-your-compliance

Sollten Sie noch Fragen zum Datenschutz, Microsoft 365 oder Microsoft 365-Compliance haben, wenden Sie sich gerne an uns. Schauen Sie demnächst gerne wieder vorbei für den nächsten Teil unserer Microsoft 365-Reihe.

Sie benötigen professionelle Unterstützung zum Thema Datenschutz bei Microsoft 365? Lassen Sie sich jetzt von erfahrenen Datenschutzexperten bei ENSECUR beraten!
Zur Office 365 Datenschutz Beratung

Links zu weiteren Beiträgen der Reihe:

Teil 1: Grundlagen
Teil 2: Microsoft Forms
Teil 3: Microsoft Teams
Teil 4: Delve, MyAnalytics und Produktivitätsbewertung
Teil 6: Yammer
Teil 7: OneDrive
Teil 8: Office Online – Word, Excel, PowerPoint, OneNote
Teil 9: Exchange
Teil 10: Intune
Teil 11: Admin Center

Link zu unserem White Paper Microsoft 365

Hilfreiche Links:

Autor: Thorsten Jordan

Bild von xdfolio auf Pixabay

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert