Prüfpflichten des DSB bei Microsoft 365 (Teil 2)

Prüfpflichten des DSB bei Microsoft 365 (Teil 2) – Der Compliance-Manager

Im zweiten Teil schauen wir uns das Compliance Center von Microsoft 365 und insbesondere den Compliance-Manger genauer an. Sie erfahren, wie Sie den Manager für Ihre Prüfungen nutzen können.

Im letzten Beitrag zu Microsoft 365 (MS 365) im März-Heft [der Datenschutz PRAXIS] waren die Verantwortung des Datenschutzbeauftragten (DSB), mögliche Prüfkriterien sowie ein Prüfplan die Schwerpunkte. Auch das MS 365 Admin Center, das MS 365 Compliance Center und das MS 365 Security Center haben Sie kurz kennengelernt.

Wo zuerst starten?

Ob Sie sich als DSB zuerst dem Admin Center oder dem Compliance Center widmen,hängt in erster Linie davon ab, in welcher Phase des MS-365-Einsatzes sich eine Organisation befindet:

  • Befindet sich ein Unternehmen mitten in der Einführung von MS 365 und zieht Sie als DSB beratend hinzu, empfiehlt es sich, mit dem Admin Center zu starten. Denn damit lassen sich wichtige Grundeinstellungen vornehmen.
  • Hat ein Unternehmen hingegen MS 365 bereits eingeführt und Sie führen eine erste Kontrolle durch, dann kann das Compliance Center hilfreicher Ausgangspunkt sein. Die dortigen Berichte und Einstellungen verschaffen Ihnen aufschlussreiche Erkenntnisse, die Sie nutzen können, um die Einstellungen im Admin Center anzupassen.

Welche Hilfe bietet der Compliance-Manager für Prüfungen?

Mit dem Compliance-Manager (C-M) als Bestandteil des Compliance Center stellt Microsoft ein mächtiges Bordmittel zur Verfügung, um die Compliance in MS 365 zu bewerten. Eine Gesamtbewertung setzt sich aus fast 500 Einzelkriterien zusammen.

Microsoft kategorisiert diese Einzelkriterien in „Protect Information“, „Govern information“, „Control access“, „Manage devices“, „Protect against threats“, „Discover and respond“, „Manage internal risks“ und „Manage Compliance“. Und das verbirgt sich – stark gekürzt – hinter den Kriterien:

  1. „Protect Information“: Implementieren von Spamfiltern, S/MIME verwenden, Verschlüsselung auf mobilen Geräten verwenden, Daten im Ruhezustand verschlüsseln, Richtlinien für den Verlust von Daten erlassen
  2. „Govern information“: Datenklassifizierung, Regeln zur Aufbewahrung.
  3. „Control access“: Zugangskontrolle wie Kontosperrung, Anmelderichtlinien, Authentifizierung
  4. „Manage devices“: Konformitätsrichtlinien für mobile Geräte erstellen, Kennwortanforderungen definieren, Regelungen für den Einsatz von InTune.
  5. „Protect against threats“: Richtlinien gegen Malware oder Angriffe wie Spoofing und Phising umsetzen, den Einsatz von Microsoft Defender planen, Untersuchungen von E-Mails mit Schadcode
  6. „Discover and respond“: Mechanismen zur Cloud-App-Sicherheit sowie Richtlinien zur Feststellung und Umgang mit verdächtigem Verhalten
  7. „Manage internal risks“: Richtlinien für den Umgang mit internen Verstößen durch Zugriff auf vertrauliche Informationen oder den Verstoß gegen gesetzliche Vorschriften
  8. „Manage compliance“: Maßnahmen zum Einsatz starker Anmeldeverfahren, Aufgabentrennung, Schulungsaktivitäten für Datenschutz, Risikobewertung, Notfallplan

Datenschutzbeauftragte merken schnell, dass es sich um verschiedene Aspekte der Datensicherheit, des Datenschutzes und der Erfüllung weiterer gesetzlicher Vorgaben handelt. Leider entspricht die Kategorisierung von Microsoft keiner typischen, standardisierten Methodik, die Sie unmittelbar aus der Datenschutz-Grundverordnung (DSGVO) kennen.

Selbstverständlich lassen sich die Kategorien unter die Sicherheit der Verarbeitung subsumieren. Eine für DSB gebräuchliche Unterteilung nach Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit bzw. regelmäßige Überprüfung oder die klassischen Kontrollarten vermisst man jedoch.

Unternimmt man den Versuch einer Zuordnung, so entsprechen „Govern Information“ und „Manage compliance“  – die größte Kategorie – am ehesten dem Datenschutz und die anderen Kategorien eher der Datensicherheit.

Welche Vorteile bietet der C-M?

Mit dem C-M erhalten DSB und/oder Administratorinnen einen Lagebericht zum Erfüllungsstand der Kategorien. Zusätzlich stellt Microsoft für jede Kategorie eine Liste mit Verbesserungsaktionen zur Verfügung. Implementierungshinweise zu diesen Aktionen lassen sich für eine sofortige Umsetzung nutzen. Alternativ können Sie eine Aktion zur Bearbeitung delegieren und den jeweilige Status und das Datum der Umsetzung hinterlegen. Somit ist der C-M ein Instrument zur Planung, Umsetzung, Prüfung und Optimierung der Compliance in MS 365.

Der „Datenschutz-Basisplan“

Speziell für den Datenschutz bietet MS eine eigene Bewertung mit dem „Datenschutz-Basisplan“. Er enthält gemäß der dortigen Beschreibung allgemeine Branchenvorschriften und -standards wie z.B. aus dem NIST CSF (National Institute of Standards and Technology Cyber Framework), ISO (International Organization for Standardization) sowie aus FedRAMP (Federal Risk and Authorization Management Program) und der DSGVO. In der Dokumentation von Microsoft findet sich auch der Hinweis, dass Elemente der ISO 27001 berücksichtigt sind.

Ziel von Microsoft: globale gesetzliche Anforderungen erfüllen

Spätestens mit diesen Informationen ist klar, weshalb die gewählte Kategorisierung sich so „fremd“ anfühlt. Als globaler Anbieter steht Microsoft vor der Herausforderung, ein Werkzeug anzubieten, das den globalen gesetzlichen Anforderungen gerecht wird. Dass dies im Ergebnis zu einer Vermischung führt, ist eine logische Konsequenz.

Als weiterer Vorteil sei noch genannt, dass der C-M gerade denjenigen hilft, die keinen Ansatz für die Prüfungen in MS 365 haben. Zumindest bietet er einen Startpunkt mit einer Systematik, die sich am Plan-Do-Check-Act Zyklus orientiert, wie er für Datenschutz- oder Informationssicherheitsmanagementsysteme üblich ist.

Welche Nachteile hat der C-M?

Aus dem eben Genannten ergibt sich unmittelbar die Kehrseite. Da Microsoft mit dem Mix der verschiedenen Branchenvorschriften die Quadratur des Kreises probiert, bekommen Sie keinen DSGVO-Prüfplan an die Hand. Die Kriterien orientieren sich nicht unmittelbar an der Datenschutz-Grundverordnung, sodass Sie keine Struktur nach Art. 32 DSGVO „Sicherheit der Verarbeitung“ vorfinden.

Als Nachteil bedeutet das für Sie, dass Sie nicht analog einer Checkliste wie in der Anlage der technischen und organisatorischen Maßnahmen zur Auftragsverarbeitung Punkt für Punkt durchgehen und Ihre Anforderungen überprüfen können.

Wer nur mit dem C-M arbeitet, verlässt sich völlig auf ein Bewertungssystem das Microsoft entworfen hat. Dieses dürfte in vielen Fällen nicht den individuellen Anforderungen der eigenen Organisation gerecht werden. Auch die Akzeptanz der Aufsichtsbehörden ist derzeit noch unbekannt.

Sollte der Ansatz von Microsoft zukünftig auf Akzeptanz stoßen und zu einem etablierten Ansatz für den datenschutzfreundlichen Einsatz von MS 365 werden, so könnte der Compliance-Manager zu einem wertvollen Instrument werden. Denn dann ließen sich die Maßnahmen Schritt für Schritt angehen und bei Prüfungen die Umsetzung bewerten.

PRAXIS-TIPP

Mit dem C-M steht DSB eine Art Projektmanagement-Werkzeug zur Bewertung von Datenschutz und Datensicherheit analog des Plan-Do-Check-Act-Zyklus zur Verfügung. Wer also keinen Ansatz zur Prüfung von MS 365 hat, erhält konkrete Vorschläge, was er überprüfen kann. Zusätzlich erhalten Sie Vorschläge für Verbesserungen und Hinweise, welche Lösungen Ihnen helfen können. Sie können diese exportieren und z.B. in Ihren Prüfplan aufnehmen oder können Aufgaben delegieren, selbst lösen, terminieren und auf Umsetzung kontrollieren. Allerdings ist der C-M anfangs nicht so leicht zugänglich, da er verschiedenste Branchenvorschriften berücksichtigt und sich nicht rein an der DSGVO orientiert. Als Ergebnis lässt sich für Sie festhalten, dass Sie auf jeden Fall einen Blick auf den C-M werfen sollten und für sich prüfen, wie Sie ihn für Ihre Prüfungen nutzen können.

Dieser Fachbeitrag von Julian Häcker ist initial in der Datenschutz PRAXIS 04/21 erschienen bzw. kann auch über das Abo bezogen werden. Die Veröffentlichung hier erfolgt mit freundlicher Genehmigung des WEKA-Verlags.

Teil 1 ist initial in der Datenschutz PRAXIS 03/21 erschienen bzw. kann ebenfalls auch über das Abo bezogen werden. Aufgrund von Vorgaben des Verlags kann die Veröffentlichung hier im Blog nicht weiter erfolgen.

Bild von Gerd Altmann auf Pixabay

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht.