Kategorie: IT-Sicherheit

Digital Services Act

Das Europäische Parlament hat sich am 23. April 2022 über den Digital Services Act (DSA) geeinigt – nach über eineinhalb Jahren Verhandlungszeit. Am 5. Juli wurde das Gesetz dann vom EU-Parlament mit großer Mehrheit verabschiedet. Das Gesetz über digitale Dienste (so der deutsche Name) wird auch als „erstes Grundgesetz für das Internet“ bezeichnet. Der DSA ist ein Teil des Digital-Pakets, das die EU-Kommission Ende 2020 vorgeschlagen hat. Zum Paket gehört auch der Digital Markets Act (DMA), das Gesetz über digitale Märkte, über das es bereits Ende März eine Entscheidung gab. Auch dieser wurde am 5. Juli verabschiedet.

Bei beiden Gesetzen handelt es sich um EU-Verordnungen, die unmittelbar nach Verabschiedung in den Mitgliedstaaten gelten. Das heißt, es muss kein nationales Gesetz dazu erlassen werden. Kennen wir das nicht schon? Genau, ähnlich verhält es sich mit der DSGVO, die ebenfalls unmittelbar für alle Mitgliedsstaaten der EU gilt.


Auf den Punkt gebracht: Digital Services Act (DSA) – Das erste Grundgesetz für das Internet

Auf den Punkt gebracht: Datenübermittlung in Drittländer
  • Beim DSA handelt es sich um eine EU-Verordnung, die unmittelbar für alle Mitgliedsstaaten gültig ist.
  • Es soll sichergestellt werden, dass was offline illegal ist, auch online illegal ist.
  • Betroffen vom DSA sind alle Unternehmen, die digitale Dienste in der EU erbringen, egal ob sie in der EU ansässig sind oder nicht (also wie bei der DSGVO).

Worum geht es beim Digital Services Act?

Das erklärt die dänische Politikerin Christel Schaldemose in einer Pressemitteilung wie folgt:

„The Digital Services Act will set new global standards. Citizens will have better control over how their data are used by online platforms and big tech-companies. We have finally made sure that what is illegal offline is also illegal online. For the European Parliament, additional obligations on algorithmic transparency and disinformation are important achievements. (…) These new rules also guarantee more choice for users and new obligations for platforms on targeted ads, including bans to target minors and restricting data harvesting for profiling.“

Pressemitteilung des Europäischen Parlaments vom 23.04.2022

Mehr Sicherheit im Internet

Das Ziel des Digital Services Act (DSA) ist es, ein sicheres und zugleich offeneres Internet für die Verbraucher zu schaffen. Die Botschaft lautet: Was außerhalb des Internets verboten ist, soll auch im Internet illegal sein. Konkret sollen

  • die Verbraucher und ihre Grundrechte besser geschützt werden
  • die Verbraucher besser darüber informiert werden, aufgrund welcher Kriterien ihnen Inhalte angezeigt werden
  • die Onlineplattformen strenger beaufsichtigt werden
  • die Algorithmen der großen Plattformen zugänglich werden
  • die Verbreitung von illegalen Inhalten verhindert werden

Klare Richtlinien für Online Plattformen

Online Plattformen müssen sich mit dem Gesetz über digitale Dienste künftig an neue Regeln halten. Dabei gelten für sehr große Dienste mit mehr als 45 Millionen monatlich aktiven Nutzern strengere Vorschriften. Geplant sind unter anderem die folgenden Maßnahmen:

Zugang zu Algorithmen

Die Europäische Kommission und ihre Mitgliedsstaaten und gegebenenfalls auch Wissenschaftler sollen in Zukunft Zugang zu den Daten von großen Onlineplattformen erhalten. Dadurch soll deren Macht verringert werden. (Auf die Umsetzung dieses Vorhabens darf man gespannt sein, denn die „Big Player“ werden ihre wohlgehüteten Geheimnisse wahrscheinlich nicht freiwillig offenbaren.)

Mehr Transparenz bei Onlinewerbung und Empfehlungen

Hier soll es zukünftig mehr Kontrolle in Bezug auf die empfohlenen Inhalte geben.

  • Zum Schutz von Minderjährigen darf keine Auswertung von deren Daten für zielgerichtete Werbung mehr stattfinden.
  • Ebenso soll es bei Erwachsenen keine Erstellung von Nutzerprofilen mehr auf der Basis von sensiblen Daten wie Religionszugehörigkeit, sexueller Orientierung oder Gesundheitsdaten geben (außer der Nutzer stimmt ausdrücklich zu).
  • Sehr große Plattformen und Suchmaschinen müssen Nutzern mindestens ein Empfehlungssystem für Inhalte anbieten, das nicht auf ihrem Profiling basiert.

Verbot von nudging und dark patterns

Nudging heißt auf deutsch anstoßen, anschubsen oder auch anstubsen: Beim Nudging werden User gezielt, aber ohne Druck in eine bestimmte Richtung geführt, damit sie eine gewünschte, „richtige“ Entscheidung treffen. Beispiele dafür sind vordefinierte Standardeinstellungen, Warenkorb-Erinnerungen oder Hinweise auf Funktionalitäten.

Dark Patterns sind „dunkle bzw. versteckte Muster“ und darauf ausgelegt, dass der Benutzer Handlungen ausführt, die seinen Interessen oder auch seinem logischen Verstand entgegenstehen. Hier wird mit der emotionalen oder konditionierten Reaktion des Benutzers gespielt. Ein Beispiel für dark patterns ist, wenn es zwar sehr einfach ist, ein Kundenkonto anzulegen, aber im Gegensatz sehr schwierig, selbiges wieder zu löschen.

Der Verbraucher darf in Zukunft nicht mehr durch irreführende Schnittstellen und Praktiken manipuliert werden. Ebenso muss das Abbestellen eines Services genauso einfach sein wie das Abonnieren. Das bedeutet auch, dass Zustimmen-Buttons nicht hervorgehoben und Ablehnen-Buttons nicht versteckt werden dürfen.

Produktinformationen für Verbraucher

Online-Marktplätze müssen sicher stellen, dass sie den Verbrauchern sichere Produkte und Services anbieten. Sie müssen die Richtigkeit der Informationen ihrer Händler besser kontrollieren und außerdem illegale Inhalte vermeiden. Weiterhin müssen Verbraucher immer angemessen informiert werden.

Löschen von schädlichen Inhalten

Illegale Inhalte müssen auf Anweisung eines EU-Mitgliedsstaates gelöscht werden. Dies betrifft Produkte, aber auch Inhalte zu Gewalt und Volksverhetzung. Beispielsweise sollen Opfer von Cybercrimes (z.B. revenge porn) in Zukunft besser geschützt werden. Darüber hinaus muss es klare Verfahren geben, wie Nutzer Online-Plattformen illegale Inhalte melden können. Im Gegenzug muss es auch möglich sein, fälschlicherweise gelöschte Inhalte wieder herzustellen.

Analyse der Risiken von großen Plattformen

Große Plattformen müssen einmal pro Jahr selbst analysieren, wie sich ihre Dienste auf die Öffentlichkeit auswirken. Sie müssen selbst risikobasierte Maßnahmen ergreifen und das Risikomanagementsystem zusätzlich von unabhängiger Seite prüfen lassen. Damit sollen die Risiken vermindert werden,

  • dass illegale Inhalte verbreitet werden
  • dass es zu negativen Auswirkungen auf die Grundrechte kommt
  • dass die demokratischen Prozesse und die öffentliche Sicherheit durch Manipulation beeinflusst werden
  • dass es zu negativen Auswirkungen auf geschlechtsspezifische Gewalt und Minderjährigen kommt
  • dass es negative Folgen für die körperliche und geistige Gesundheit der Nutzer gibt.

Krisenmechanismus

Dieser Punkt wurde in Anbetracht der derzeitigen Krise aufgenommen und betrifft die Manipulation von Online-Informationen. Die Kommission kann den Mechanismus aktivieren, um gegebenenfalls Maßnahmen zur Wahrung der Grundrechte zu ergreifen. Hier geht es die Auswirkung von Aktivitäten sehr großer Plattformen und Suchmaschinen.

Strafen

Bei Nichtbeachtung der Regelungen können gegen Online Plattformen und Suchmaschinen Geldbußen in Höhe von bis zu sechs Prozent des Jahresumsatzes verhängt werden.

Wen betrifft der Digital Service Act?

Betroffen sind alle Unternehmen, die digitale Dienste in der EU erbringen – unabhängig davon, ob sie in der EU oder außerhalb niedergelassen sind.

Die Dienstleister werden in verschiedene Kategorien eingeteilt – je nach Verwendung der Daten: Internetprovider, Hosting Anbieter, Clouddienste, soziale Netzwerke, Messenger und Onlinemarktplätze.

  • Vermittlungsdienste mit Infrastruktur-Netz (Internetanbieter, Domainnamen-Registrierstellen), unter anderem:
  • Hosting-Dienste (Cloud- und Webhosting-Dienste), unter anderem:
  • Online-Plattformen, die Verkäufer und Verbraucher zusammenbringen (Marktplätze, App-Stores, Social-Media Plattformen)

Für sehr große Online-Plattformen und Suchmaschinen mit mehr als 45 Millionen aktiven Nutzern (wie zum Beispiel facebook oder Instagram) gelten besonders strenge Vorschriften. Gleichzeitig sind Kleinst- und Kleinunternehmen von bestimmten Verpflichtungen befreit.

Wie soll der DSA durchgesetzt werden?

Die Kommission hat die alleinige Aufsichtsbefugnis über sehr große Plattformen und Suchmaschinen. Dabei arbeiten sie mit den Mitgliedsstaaten zusammen. Unterstützt werden sollen sie durch ein neues Europäisches Gremium für digitale Dienste („Digital Services Board“). Zudem sind in jedem Land „Digital Services Coordinators“ zuständig.

Digital Services Act
Pin it!

Wie geht es jetzt weiter?

Am 5. Juli hat das EU-Parlament sowohl den Digital Services Act als auch den Digital Markets Act verabschiedet. Anschließend wird das Gesetz im EU Official Journal veröffentlicht und tritt 20 Tage danach in Kraft. 15 Monate später ist das Gesetz rechtskräftig – spätestens am 1.1.2024.

Was ist mit dem NetzDG?

In Deutschland gibt es bereits ein Gesetz mit ähnlichen Zielsetzungen, das Netzwerkdurchsetzungsgesetz (NetzDG) von 2017. Dieses wird wird mit dem DSA hinfällig werden. Auch wenn das neue Gesetz bei den Löschfristen zurückbleibt, ist der Geltungsbereich des DSA größer.

Was erwarten Sie sich?

Noch mehr Bürokratie oder vielleicht ein Schritt in die richtige Richtung? Was ist Ihre Meinung dazu? Wir freuen uns über einen Kommentar!

Quellen

Gesetz über digitale Dienste: Vorläufige Einigung zwischen Rat und Europäischem Parlament, um das Internet zu einem sichereren Raum für Menschen in Europa zu machen – Consilium

Digital Services Act: agreement for a transparent and safe online environment | Aktuelles | Europäisches Parlament (europa.eu)

The Digital Services Act: ensuring a safe and accountable online environment | European Commission (europa.eu)

Digital Services Act: So will die EU das Internet reparieren | ZEIT ONLINE

Diesen Beitrag teilen

IT-Sicherheit und Datenschutz im Homeoffice

Die Homeoffice-Pflicht ist jetzt erst mal vorbei. Also alle Mitarbeiter wieder zurück ins Büro? Dann braucht sich niemand darum kümmern, wie IT-Sicherheit und Datenschutz im Homeoffice geregelt werden müssen.

Während ich diesen Beitrag verfasse, sitze ich gerade in der Ferne abends am Pool, einen Cocktail neben mir. Da flitzen meine Finger heute etwas lockerer über die Tastatur. So stelle ich mir remote arbeiten vor. 😉

Zum Glück gibt es Homeoffice bei der Datenbeschützerin seit der ersten Stunde, also schon vor Corona. Das war immer das Teil unserer Arbeitsweise. Jede/r im Team teilt sich seine Arbeitszeit so ein, wie es im Rahmen der Kundenprojekte und der persönlichen Interessen am besten passt. Natürlich freue mich mich, wenn wir alle mal gemeinsam im Büro sind und Mittagspause machen oder einfach nur quatschen. Aber deswegen wird niemand ins Büro zitiert.

Auch wenn der eine oder andere im tiefsten Inneren der Überzeugung ist, dass es doch besser sei, wenn die Mitarbeiter alle vor Ort im Büro wären, so wird doch ein Großteil der Unternehmen die (bedingte) Möglichkeit für Homeoffice auch weiterhin anbieten. Damit stellt sich die Frage, wie das Thema der Security beim Arbeiten außerhalb des Büros geregelt wird.

Während der Pandemie haben sich viele tatsächlich einfach durchgewurschtelt, ohne alles konkret zu regeln. Da waren wir ja froh, wenn irgendetwas lief und die Hotline, bei der man angerufen hat, überhaupt besetzt war. Ob sich da jemand kurzfristig darum gekümmert hat, dass Security-Vorgaben vollständig eingehalten wurden, wage ich zu bezweifeln.


Auf den Punkt gebracht: IT-Sicherheit und Datenschutz im Homeoffice

Auf den Punkt gebracht: Datenübermittlung in Drittländer
  • Implementieren Sie Schutzmaßnahmen, die Ihre Werte schützen. In der Regel sind es dieselben Maßnahmen, egal ob beim Arbeiten in der Firma oder von remote.
  • Welche zusätzlichen Risiken beim Arbeiten außerhalb der Firma existieren überhaupt?
  • Sichern Sie diese Risiken gezielt zusätzlich ab, falls notwendig.
  • Eine IT-Sicherheitsrichtlinie sollte in jedem Unternehmen ausgerollt werden.
  • Schulen Sie Ihre Mitarbeiter!

Keine halben Sachen mehr bei der remote Arbeit

Seit Beginn der (für manche überstürzten) Homeoffice-Pflicht während des ersten Lockdowns haben sich viele Unternehmen etwas mehr mit diesem Thema beschäftigt. Trotzdem gibt es noch zahlreiche Firmen, die sich dazu noch überhaupt keine Gedanken gemacht haben oder die auf jeden Fall ihre Regelungen nochmal auf den Prüfstand stellen müssen.

Datenschutz im Homeoffice?

Eine der ersten Fragen, die uns hier erreichen, ist immer nach Regelungen zum Datenschutz bei der remote Arbeit. „Wir benötigen noch fürs Homeoffice eine Datenschutzrichtlinie.“ Natürlich ist der Datenschutz hier ein wichtiges Thema, aber aus meiner Sicht bei Weitem nicht die größte Baustelle. Wahrscheinlich resultiert das aus der häufig unklaren Definition, was ist Datenschutz und was ist es NICHT. Daher haben wir uns diesem Thema auch etwas ausführlicher gewidmet, falls es Sie interessiert, wo die Grenzen der Definition sind.
Vielleicht resultiert die Frage aber auch daraus, dass es für den Datenschutz ein Gesetz gibt und man dieses bestmöglich einhalten möchte.

Wie dem auch sei, im Homeoffice geht es neben dem Datenschutz noch viel mehr um das gesamte Thema der Informationssicherheit. Sie möchten ja nicht nur personenbezogene Daten schützen, sondern alle Informationen, die wichtig für Ihr Unternehmen sind, oder?

IT-Sicherheit / Informationssicherheit bei der Remotearbeit

Daher ist es mir sehr wichtig, im folgenden nicht nur den Blick auf den Datenschutz zu haben, sondern auf die gesamte Sicherheit Ihrer Informationen, also auf die Informationssicherheit. Hier geht es dann neben den personenbezogenen Daten auch um die Sicherheit der IT-Systeme (IT-Sicherheit), sowie generell um organisatorische Maßnahmen, die jeder Mitarbeiter eigenständig umsetzen muss. Nicht immer wird alles von der Technik gesteuert. Manchmal gehört auch eigenständiges Mitdenken dazu – einer der wichtigsten Punkte, um ein sicheres Arbeiten von unterwegs oder zu Hause zu ermöglichen.

Was muss im Homeoffice geschützt werden?

Haben Sie sich diese Frage schon einmal gestellt oder haben Sie diese Frage schon jemand anderem gestellt? Was haben Sie als Antwort bekommen?

  • Abschließbares Büro
  • Keine Anrufe vom Privattelefon
  • Keine Ausdrucke auf dem privaten Drucker
  • ….

Das mag vielleicht alles stimmen (ich sag mal ganz bewusst „vielleicht“), aber das war nicht die Antwort auf die Frage.

Was müssen Sie im Homeoffice schützen?

Unsere Erfahrung zeigt: Diese Frage haben sich so die wenigsten gestellt. Würde man sich diese Frage nämlich stellen, dann käme man unweigerlich zum Ergebnis, dass im Homeoffice keine anderen Werte / Informationen / Daten geschützt werden müssen als auch im Unternehmen. Das heißt, das, was wichtig und schützenswert ist, ist es sowohl in der Firma als auch im Homeoffice. Daran darf sich nichts ändern.

Kennen Sie Ihre schützenswerten Werte?

Meistens liegt die Herausforderung in der Beantwortung dieser Frage, wenn Ihr Unternehmen noch kein ISMS (Managementsystem für Informationssicherheit) implementiert hat.

Warum ist dieser Punkt so wichtig? Wenn Sie die am höchsten zu schützenden Werte Ihres Unternehmens kennen und diese auch tatsächlich bewertet haben, kann es sein, dass Sie zu dem Ergebnis kommen, dass zum Beispiel Konstruktionsdaten Ihr am höchsten zu schützender Wert sind (wie gesagt, nur ein Beispiel). Diese Daten sind Ihnen so wichtig, dass sie das Unternehmen nicht verlassen dürfen. Damit haben Sie schon anhand der Daten definiert, dass Konstruktionsdaten für remote Arbeit gar nicht in Frage kommen.

Verstehen Sie, worauf ich hinaus möchte? Im ersten Schritt identifizieren Sie Ihre Werte und klassifizieren diese. Wie wichtig ist Ihnen die Vertraulichkeit, Verfügbarkeit und die Integrität bei jedem dieser Werte? Wenn Sie diese Einschätzung vornehmen, ist es egal, ob die Daten oder andere physikalische Gegenstände in der Firma oder im Homeoffice verwendet werden. Die Bewertung darf sich dadurch nicht unterscheiden.

Gibt es dann spezielle Schutzmaßnahmen für IT-Sicherheit und Datenschutz im Homeoffice?

Das kommt – wie so oft im Leben – darauf an. Jetzt wissen wir, was Ihre höchst zu schützenden Werte sind und dass diese am höchsten geschützt werden müssen.

Je nachdem, ob beim Arbeiten von unterwegs für diese Werte ein höheres Risiko identifiziert wurde, müssen natürlich auch weitere Schutzmaßnahmen für das remote Arbeiten implementiert werden. Aber deswegen wird der Datenschutz oder die IT-Sicherheit im Homeoffice nicht höher bewertet, als in den Unternehmensräumen. Dieses Verständnis ist extrem wichtig, um die richtige Auswahl der Schutzmaßnahmen zu gewährleisten.

Nichtsdestotrotz gibt es einige Basics an technischen und organisatorischen Maßnahmen für das remote Arbeiten und für die Firma, über die man nicht diskutieren sollte.

IT-Sicherheitsrichtlinie

Jedes – wirklich jedes – Unternehmen, das Mitarbeiter beschäftigt und IT-Ausstattung verwendet, sollte eine IT-Sicherheitsrichtlinie haben. Wir stellen Ihnen sogar ein kostenloses Muster zur Verfügung, um Ihnen die Erstellung zu erleichtern.

Die Regelungen, die Sie in der IT-Sicherheitsrichtlinie treffen, müssen unabhängig der Örtlichkeit des Arbeitsplatzes gelten. Das Sperren des Rechners bei Abwesenheit muss im Office genauso Pflicht sein wie unterwegs im Café. Hier noch ein paar Tipps, was Sie unter anderem in der Richtlinie regeln sollten:

  • Ablage/Speicherort von Informationen (lokale Speicherung erlaubt?)
  • Eigenständige Installation von Software (erlaubt / nicht erlaubt oder unterbunden)
  • Verwendung privater Endgeräte (Bring your own device) – Laptop, Mobilgerät, Tablet….
  • Private Nutzung von E-Mail und Internet (erlaubt / nicht erlaubt)
  • Vernichtung / Löschung von Daten (digital oder in Papierform)
  • Weitergabe von Zugangskennungen (digitale Userkennungen genauso wie Schlüssel oder Chipkarten oder physikalische Token)
  • Verhalten bei Sicherheitsvorfällen
  • privates Büro, Familienmitglieder und Gäste während der Arbeitszeit zu Hause
IT-Sicherheit und Datenschutz im Homeoffice
Pin it!

Sichere Passwörter

Zugangskennungen sind leider ein viel zu unterschätztes Angriffsziel. Warum sollte sich ein Angreifer die Mühe machen, umständlich und aufwändig durch Firewalls einzudringen und sonstige Hürden zu überwinden, wenn er doch nur die Zugangsdaten von privilegierten Anwendern verwenden könnte. Immer noch genügend User haben ihre Zugangsdaten nicht ausreichend geschützt (vom privaten Bereich sprechen wir hier gar nicht).

Wo es möglich und wichtig ist, sollten Sie vom Unternehmen aus sogar eine Zweifaktorauthentifizierung erzwingen. Das heißt, ein Passwort allein reicht dann nicht mehr. Es wird noch ein zweiter Code aus einer Handy-App oder einem Token abgefragt.

Immer noch hören wir, dass Passwörter regelmäßig geändert werden müssen. Selbst das BSI (Bundesamt für Sicherheit in der Informationstechnik) rät davon ab. Passwörter sollen nur noch dann geändert werden, wenn der Verdacht besteht, dass die Passwörter bekannt geworden sind.

Wenn Ihr Passwort Ihre Unterwäsche wäre, dann passen doch folgende Tipps:

  • je länger, umso besser (mind. 8-10 Stellen, am besten 12 oder noch mehr) 😉
  • mysteriös halten
  • mit niemandem teilen (auch nicht mit der Urlaubsvertretung – oder der besseren Hälfte zu Hause)
  • aber im Gegensatz zur Unterwäsche sollten gute Passwörter eben nicht mehr regelmäßig getauscht werden)

Im Idealfall wird die Passwortpolicy vom System technisch erzwungen. Damit bleibt dem User gar nicht mehr viel Spielraum bei der Auswahl und Vergabe eines Passworts. Aber da nicht jedes IT-System die Passwortkomplexität in der gewünschten Weise erzwingen kann, ist es notwendig, die Anwender mit andere Vorgaben oder Hilfsmitteln in die richtige Richtung zu bewegen.

Passwortsafe

Mein Favorit ist ein Passwortsafe oder Passwort-Tresor. Wie man das Tool auch bezeichnen mag, es ist eine geniale Lösung. Der Passwortsafe

  • speichert alle Passwörter und Zugänge
  • fügt die richtigen Zugangsdaten auf Klick im Anmeldefenster im Browser ein
  • macht Vorschläge für komplexe Passwörter, wenn ein neues vergeben werden muss
  • stellt sicher oder weist darauf hin, wenn ein Passwort öfter verwendet wird oder ein Passwort nicht sicher genug ist
  • kann Gruppe von Passwörtern mit anderen teilen (falls dies notwendig ist)

Verwendung von externen Medien oder Drittgeräten

Das Thema ist sicherlich im Homeoffice relevanter als im Büro. Trotzdem sollten Sie sich grundsätzlich darüber Gedanken machen, ob es sinnvoll ist, dass alle möglichen Geräte an Unternehmensrechnern angesteckt werden dürfen.

Natürlich können Sie alle Ports für Speichermedien oder Nicht-Firmengeräte deaktivieren. Machbar ist alles – sinnvoll allerdings nicht. Um hier den Sinn und den Mehrwert einer Schutzmaßnahme zu bewerten, ist der Blick auf das potentielle Risiko wichtig. Welches Risiko möchten Sie mit einer Portsperre minimieren? Geht es um das Einschleusen von Malware und Viren oder geht es eher um den Abfluss von vertraulichen Informationen?

Wenn externe Medien deaktiviert sind, ist dann in allen Fällen der Austausch von Daten mit Kunden / Lieferanten anderweitig geregelt? Vielleicht macht es auch Sinn, unterschiedliche Maßnahmen für Produktionsbereiche, Vertrieb und Office zu gestalten. Ein Servicetechniker, der vor Ort beim Kunden ist, hat manchmal einfach die Situation, dass er Daten zwischen seinem Rechner und dem Kundennetzwerk austauschen muss. Dann ist (so unbeliebt das ganze auch ist) der USB Stick zwangsweise die effizienteste Möglichkeit. Daran ist auch gar nichts verwerflich. Wichtig ist einfach, die richtigen Schutzmaßnahmen für die passende Situation und Risiken zu wählen. Das geht nur, wenn Sie sich vorher Ihrer kritischen bzw. höchst zu schützenden Unternehmenswerte bewusst sind.

Umgang mit Sprachassistenten

Siri, Alexa und Co. sind in vielen Familien gute Freunde (oder Freundinnen?) geworden. Ich weiß, die Datenschützer unter uns sind nicht so sehr mit den virtuellen Assistenten auf Du und Du. Da zähle ich mich ehrlich gesagt auch dazu. Aktuell bin ich noch der Überzeugung, dass mir sowas nicht ins Haus kommt.

Aber unabhängig von persönlichen Meinungen, sind diese Techniken weit in den Haushalten verbreitet. Das heißt also auch, dass es sich dabei um Anwesende im Homeoffice handelt. Daher müssen sie immerhin betrachtet werden. Wenn Sie zum Ergebnis kommen, dass Sie hier ein Risiko sehen, sollten Sie das Thema organisatorisch regeln für das Homeoffice.

Mitarbeiter sensibilisieren

Den einen perfekt technisch abgesicherten Arbeitsplatz wird wahrscheinlich kein Unternehmen zur Verfügung stellen können – weder für remotes arbeiten, noch für die Tätigkeit im Unternehmen. Umso wichtiger ist es, dass Ihre Mitarbeiter die Situationen richtig bewerten und vor allem richtig darauf reagieren können.

Es ist sehr wichtig, dass Sie Ihre Mitarbeiter entsprechend auf die Themen vorbereiten und sie damit vertraut machen. Wie müssen Sie reagieren, wenn Ihnen ein E-Mail suspekt vorkommt? Was sollen sie tun, wenn sie vermuten, dass ihr Account von anderen verwendet wird? Egal welche Situation auch eintritt, geben Sie Ihren Mitarbeitern die Möglichkeit, richtig – also in Ihrem Sinne – zu reagieren.

Ein paar Basics, um das Thema immer wieder ins Gedächtnis zu rufen, haben wir auf einem Awareness-Poster zusammen gefasst. Das Poster ist sogar in zwei Sprachen verfügbar. Es gibt auch eine bayerische Version 😀

Sie können die Poster bei uns im Onlineshop bestellen.

Awareness-Poster zur Mitarbeitersensibilisierung

Awarenessposter Datenbeschützerin in bayerisch
Awareness-Poster Datenbeschützerin
Awarenessposter Datenbeschützerin
Awareness-Poster Datenbeschützerin in bayerisch

Die wichtigsten To Do’s für guten Datenschutz im Homeoffice!

  1. Die Erkenntnis, dass es nicht nur um Datenschutz geht, sondern um das gesamte Thema Informationssicherheit.
  2. Wissen, wo die Risiken liegen, wenn die Mitarbeiter von unterwegs arbeiten. Das ist häufig erst möglich, wenn Sie wissen, was Ihre höchst zu schützenden Werte sind.
  3. Implementieren von technischen Schutzmaßnahmen, um die Risiken zu minimieren (wo sinnvoll und auch finanziell möglich).
  4. Erstellen einer IT-Sicherheitsrichtlinie, die organisatorisch die Risiken abdeckt, die technisch nicht minimiert oder eliminiert werden können.
  5. Wichtig! Regelmäßig die Mitarbeiter zum Thema IT-Sicherheit und Datenschutz im Homeoffice und allgemein schulen.

Zusammenfassung

Fakt ist, dass wir alle am Thema remote arbeiten nicht mehr vorbei kommen. Eine gute, risikoorientierte IT-Sicherheitsinfrastruktur ist hier unumgänglich. Gerne analysieren wir Ihren aktuellen Stand, wenn Sie dies wünschen. Schreiben Sie uns einfach.

Nichtsdestotrotz ist aber auch das Thema Datenschutz im Homeoffice ein grundsätzliches Thema, das Sie natürlich im Rahmen Ihres Datenschutzmanagements berücksichtigen müssen. Wir empfehlen Ihnen allerdings, das Thema nicht losgelöst zu betrachten und zu bearbeiten, sondern integriert in das gesamte Informationssicherheitsmanagement. Es sind nämlich nicht nur personenbezogene Daten zu Hause (=Datenschutz im Homeoffice) zu berücksichtigen, sondern alle schützenswerten Daten, die für Ihre Firma wichtig sind.

Wie immer interessiert uns Ihre Meinung. Schreiben Sie uns gerne einen Kommentar, was Sie zum Thema Homeoffice für Erfahrungen gemacht haben oder was sie im allgemeinen zur Remotearbeit planen.

Diesen Beitrag teilen

Technische und organisatorische Maßnahmen

Um ein adäquates Niveau der Informationssicherheit im Unternehmen gewährleisten zu können, müssen Maßnahmen umgesetzt werden. Hier spricht man im Datenschutz gerne über technische und organisatorische Maßnahmen, die sogenannten TOMs. Im Rahmen der Informationssicherheit nennt man das ganze meistens nur „Schutzmaßnahmen“.

In diesem Artikel zeigen wir Ihnen, welche Arten von TOMs (oder Schutzmaßnahmen) Sie im Unternehmen berücksichtigen sollten. Egal ob aufgrund des Datenschutzes (DSGVO), der IT-Sicherheit oder durch globale Anforderungen des Informationssicherheitsmanagements. Immer sind die TOMs oder Schutzmaßnahmen ein wichtiger Baustein.

Im folgenden Artikel werden daher die Begriffe TOMs, technische und organisatorische Maßnahmen oder Schutzmaßnahmen als Synonym verwendet.

Continue reading „Technische und organisatorische Maßnahmen (TOMs) oder Schutzmaßnahmen der Informationssicherheit?“

Diesen Beitrag teilen

5 Basics zum Schutz vor Cyber Bedrohungen

Aktuell meldet das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine erhöhte Wahrscheinlichkeit für Cyber Bedrohungen. Inzwischen sprechen wir sogar schon vom Cyberwar. Grundsätzlich ist jedes Unternehmen verpflichtet, adäquaten Schutz vor Cyberangriffen umzusetzen, egal ob kriegerische Angriffe oder andere Gründe für Cyber Bedrohungen zugrunde liegen.

Wer allerdings jetzt noch unsicher ist, ob das wichtigste berücksichtigt wurde, sollte unbedingt die Basics zum Schutz vor Cyberangriffen umgesetzt haben. Die Hacking Angriffe nehmen stetig zu. Diese Entwicklung zeigen auch die regelmäßigen Berichte des BSI.

Continue reading „Die 5 Basis-Maßnahmen zum Schutz vor Cyberangriffen und Cyber Bedrohungen“

Diesen Beitrag teilen

Knowledge Base der Datenbeschützerin

Die bayerische Datenschutzbehörde hat eine neue Stabsstelle für Prüfverfahren gegründet und gibt damit den Startschuss für eine Reihe anlassloser fokussierter Kontrollen.

Die erste Prüfung dieser Reihe erfolgt zum Thema „Ransomware Präventionen“. In diesem kurzen Beitrag zeigen wir Ihnen den Inhalt der Prüfung und der Fragen des LDAs sowie der daraus resultierenden Handlungen auf.

Continue reading „Datenschutzprüfung des BayLDA zur Maßnahmenprävention für Ransomware“

Diesen Beitrag teilen

VDA ISA TISAX® Zertifizierung

Der Begriff TISAX® wird in der Praxis gern verwendet, ohne wirklich zu wissen, was sich im Detail dahinter verbirgt. Konkret geht es um Anforderungen der Automobilindustrie, die den Themenbereich IT-Sicherheit betreffen.

Meistens höre ich: „Wir müssen uns nach TISAX® zertifizieren lassen, weil unser Kunde das so möchte.“ Noch besser war der Kommentar: „Wenn wir uns nach TISAX® zertifizieren lassen, dann müssen wir alle Türen absperren und dürfen ….. gar nichts mehr machen.“

Ok, hier haben wir auf jeden Fall Klärungsbedarf. Über diese und weitere Mythen möchte ich in diesem Beitrag schreiben und an der einen oder anderen Stelle etwas Klarheit in die Materie bringen. Unter anderem widmet sich dieser Artikel den folgenden und weiteren Fragen:

  • Was verbirgt sich eigentlich hinter dieser „TISAX®“?
  • Warum ist der Begriff „Zertifizierung“ hier nicht so ganz richtig?
  • Wie implementiert man die Anforderungen der VDA ISA im Unternehmen?
  • Welche verschiedenen Anforderungskataloge gilt es zu berücksichtigen?
  • Was kommt auf das Unternehmen zu, wenn es sich nach den Anforderungen der VDA ISA / TISAX® ausrichtet?

Natürlich möchten wir Sie mit diesem Beitrag auch davon überzeugen, dass wir ein guter Partner für Sie sind. Wir unterstützen Sie gerne und professionell bei der Implementierung der Anforderungen.

Die Inhalte aus diesem Artikel referenzieren sich größtenteils auf die Webseite der ENX, das TISAX®-Teilnehmerhandbuch und auf unsere Erfahrung in der Implementierung von Managementsystemen für Informationssicherheit.

Continue reading „Wann Sie eine VDA ISA / TISAX® Zertifizierung bzw. ein TISAX® Label benötigen“

Diesen Beitrag teilen

Cloud Computing Anbieter im Datenschutz Vergleich

Cloud Computing Anbieter im Vergleich – ARBEITSPAPIER!

Aufgrund der Komplexität der umfangreichen Prüfungen, haben wir uns erstmals entschlossen, einen Beitrag online zu stellen, obwohl er noch in Bearbeitung ist.

Sicherheit und Datenschutz in der Cloud sind wesentliche Argumente bei der Auswahl eines Cloud Anbieters.

Vor allem nach dem Wegfall des EU US Privacy Shields ist es noch schwieriger zu bewerten, inwiefern ein Anbieter eines Online-Dienstes die Anforderungen erfüllen kann.

Wir arbeiten daher gerne mit einem risikobasierten Ansatz. Die gelisteten Cloud Computing Anbieter werden nach objektiven Kriterien bewertet. Eine Risikobewertung basiert aber auch immer auf einer subjektiven Einschätzung, daher ist es wichtig, dass Sie die Liste als Empfehlung sehen, diese aber mit Ihren eigenen Kriterien abgleichen, bevor Sie sich für einen Anbieter entscheiden.

Wir verwenden ein Ampelsystem, das recht einfach zu verstehen sein sollte. Bei US Anbietern bleibt aufgrund der gesetzlichen Lage immer ein Restrisiko. Kaum ein Dienst kann 100% konform betrieben werden. In diesem Fall kennzeichnen wir dies – wenn alle anderen Bedingungen positiv sind – mit einer grün-gelben Ampel.

Continue reading „Cloud Computing Anbieter und Datenschutz im Vergleich“

Diesen Beitrag teilen

Ist bei Office 365 Datenschutz überhaupt möglich?

Bei diesem Thema sind sich selbst die Datenschutzbehörden uneinig.

Eine Aussage zum Beispiel des Berliner Datenschutzbeauftragten, dass Microsoft mit seinen Produkten nicht die gesetzlichen Datenschutzanforderungen umsetzt, ist für die Praxis nicht wirklich hilfreich. Von lösungsorientiert ganz zu schweigen. Daher möchte ich die Cloud Services von Microsoft in diesem Beitrag objektiv beleuchten. Für Fragen, stand auch eine Ansprechpartnerin bei Microsoft zur Verfügung, deren Antworten mit in diesen Beitrag einflossen.

Wie sich parallel die Datenschutzbehörden zu diesem Thema positionieren werden, ist noch offen. Zum Zeitpunkt der Erstellung liegt weder ein konkretes Nutzungsverbot noch eine Zustimmung der Behörden zum Einsatz vor. Die DSK spricht sich zwar gegen einen Einsatz von Office 365 aus, einzelne Behörden, sehen das allerdings anders. Eine Stellungnahme des Bayerischen LDAs finden Sie unter diesem Link.

Die hier vorstellten Informationen sollen Ihnen helfen, eine eigene Bewertung für Ihr Unternehmen vorzunehmen. Weitere Informationen zur Durchführung dieser ausführlichen Bewertung finden sie im Beitrag zum Einsatz von Cloud Services.

Dieser Artikel kann eventuell als Werbung verstanden werden. Wir stellen jedoch klar, dass wir keine Bezahlung und sonstige Vergütung für diesen Beitrag erhalten haben. Es sind auch keine Affiliate Links hinterlegt. Somit können wir die Berichterstattung neutral halten.

Der obligatorische Hinweis, dass es sich hier um keine Rechtsberatung handelt, sei an dieser Stelle noch angebracht.

Auf den Punkt gebracht: Microsoft Office 365 und Datenschutz

Auf den Punkt gebracht: Datenübermittlung in Drittländer
  • Mit einer ausführlichen Dokumentation und strengen Konfiguration und einer entsprechenden Risikobewertung ist aus unserer Sicht der Einsatz von Microsoft 365 möglich.
  • Ein geringes Restrisiko, dass Daten unrechtmäßig an amerikanische Strafverfolgungsbehörden übermittelt werden, bleibt.
  • Microsoft minimiert mit seinen Maßnahmen dieses Risiko.
  • Ob Sie als Verantwortlicher dieses Risiko tragen, müssen Sie selbst entscheiden und dokumentieren.

Einsatz von Microsoft Office 365 im Unternehmen

Gerade für kleine und mittelständische Unternehmen bietet der Online-Dienst 365 von Microsoft wirklich Mehrwert. Das meine persönliche Einschätzung. Eine vergleichbare Alternative dazu ist mir nicht bekannt. Wer hier der Meinung ist, Open Office wäre im Business-Einsatz ein geeignetes Pendant, der braucht an dieser Stelle nicht weiter zu lesen.

Wenn Sie wissen möchten, was Microsoft im Bezug auf Datenschutz zu bieten hat (oder eben nicht), dann hilft Ihnen dieser Artikel weiter. Natürlich beleuchten wir auch die Produkte unter dem Aspekt Datenübermittlung in Drittstaaten und zugrundeliegende Rechtsgrundlage.

Mit diesen Informationen im Beitrag und der Vorgehensweise zum Einsatz von Cloud Services, geben wir Ihnen solide Werkzeuge an die Hand. Damit können Sie eine Bewertung vornehmen und als Nachweis dokumentieren, ob Sie den Einsatz von Microsoft Office 365 in Ihrem Unternehmen als datenschutzkonform erachten.

In unserem Whitepaper zum Thema Office 365 – Datenschutz haben wir diese Vorgehensweise und Dokumentation nochmals konkret für Sie zusammen gestellt.

Sie erhalten dieses Whitepaper mit der Anmeldung zu unserem Newsletter. Alternativ senden wir es Ihnen kostenlos zu. Schreiben Sie uns einfach eine kurze E-Mail.

Klicken Sie auf den unteren Button, um den Inhalt von subscribe.newsletter2go.com zu laden.

Inhalt laden

Vertrauen in Microsoft als Anbieter

„Wenn wir unsere Kunden nicht schützen können, haben wir ihr Vertrauen nicht verdient.“

Brad Smith, President und Chief Legal Officer, https://www.microsoft.com/de-de/trust-center

Wenn dies nicht der erster Artikel ist, den Sie von mir lesen, wissen Sie, dass ich keiner Verschwörungstheorie anhänge. Daher bin ich auch nicht der Meinung, dass es das Ziel von Microsoft ist, den Datenschutz mit Füßen zu treten und seine Kunden nicht zu schützen.

Natürlich ist der Konzern ein gewinnorientiertes Unternehmen und nutzt Daten zur Optimierung und Bewerbung seiner Produkte.

Vorgehensweise zur Datenschutzbewertung von Microsoft Office 365

I did it! Mit netter Unterstützung einer Compliance Expertin bei Microsoft habe ich extrem viel gelesen, gelernt und mir eine Meinung gebildet. Das Ergebnis meiner Recherchen finden Sie zusammengefasst in diesem Blogbeitrag. Wer mehr erfahren möchte, wird in unserem Webinar zum Thema „Cloud Services mit Schwerpunkt Microsoft 365“ fündig. Das hier neu Erlernte können Sie sich nach erfolgreicher Prüfung mit einem Zertifikat bestätigen lassen.

Informationsbeschaffung

Was viele hassen, mache ich eigentlich ganz gern. Ich vergrabe mich in Informationen, recherchiere und trage Fakten zusammen. So auch in diesem Fall bei der Mission „Office 365 Datenschutz“.

Mein erster Eindruck ist trotz allem Optimismus kritisch: Will Microsoft überhaupt Transparenz bieten? Es gibt zwar gefühlt zu allem und jedem Detail eine Dokumentation, aber wirklich weiter hilft diese nicht. Selbst dem interessierten Leser erschließt sich der Zusammenhang der tausend und abertausend Dokumente nicht. Ich kann nach tagelangem Lesen noch immer keine Struktur erkennen. Jede Dokumentation verweist auf eine weitere Dokumentation. Irgendwann bin ich fast in jedem Punkt so weit, dass ich meinen Ausgangspunkt nicht mehr im Blick habe.

Zudem werde ich von der Weiterleitung weiter geleitet, bis dann am Ende die Meldung kommt, dass die Datei oder die Seite nicht mehr existiert. Vom ursprünglichen e-Book Link zu DSGVO Best Practices komme ich dann irgendwann bei der digitalen Transformation heraus. Da ging wohl etwas schief bei der Customer Journey! Mein Reisegefühl entwickelt sich gerade etwas in Richtung Aggressivität.

Das ist deprimierend und auf jeden Fall ein Punkt, der mich extrem stört. Ich habe gerne klare Linien und eine Übersicht.

Kategorisierung verschiedener Daten durch Microsoft

In den verschiedenen Dokumentationen liest man immer wieder von unterschiedlichen Datenarten. Was sich dahinter versteckt, fasse ich hier kurz zusammen.

Kundendaten

Das sind die „Nutzdaten“. Sozusagen der produktive Output. Alle Dateien und auch Software, die hochgeladen und gespeichert werden. Dazu zählen auch E-Mails und Berichte oder SharePoint Webseiteninhalte…

Diagnosedaten / Telemetriedaten

Hier wird auf die Daten verwiesen, die quasi als Logfile oder Protokoll generiert werden, wenn man die Microsoft Software lokal installiert hat. Der Zweck der Datenverarbeitung ist die ordnungsgemäße Funktion der Software.

Vom Dienst generierte Daten

Im Gegenzug zu den Diagnosedaten beziehen sich die hier automatisch erfassten Protokolle auf die Online-Services. Unter anderem dienen die Daten auch dazu, Kapazitäten zu erhöhen und dadurch Rückschlüsse auf Auslastung der Server zu ziehen.

Professional Services-Daten

Nach meinem Verständnis sind das Daten, die entweder durch den Kunden selbst an Microsoft für Support Zwecke übermittelt werden oder die Microsoft aufgrund der Kundenvereinbarung erfasst – in Bezug auf die Nutzung von Professional Services. Auch das können wieder alle möglichen Formen und Formate an Dateien sein. Dieser Punkt ist aus meiner Sicht etwas intransparent kommuniziert.

Weitere Datendefinitionen von Microsoft

Administratordaten

Darunter fällt nach meiner Interpretation alles, was bei den Tätigkeiten des Admins so anfällt. Das sind die personenbezogenen Daten des Admins, wie E-Mail, Name, Telefonnummer. Aber auch Nutzungsdaten und kontobezogene Daten. Zweck ist die Bereitstellung des Dienstes, Wartung der Konten und Erkennung von Betrug.

Zahlungsdaten

Eigentlich selbsterklärend, hier geht es um die Abwicklung des Kaufs, aber auch um die Erkennung und Verhinderung von Betrug im Zahlungsverkehr.

Personenbezogene Daten

Glücklicherweise hat Microsoft hier keine eigene Definition entgegen der gesetzlichen Begrifflichkeit. Ergänzt wird hier allerdings, dass personenbezogene Daten in jeder Unterkategorie der beschriebenen Daten auftreten können – ist aber auch logisch.

Datenkategorien im Sinne der Strafverfolgung

Wenn es um die Anfrage von Behörden geht, in denen um die Herausgabe von Daten gebeten wird, werden die Daten in folgende Klassen eingeteilt.

Non-content data

Hierbei handelt es sich um allgemeine Informationen des Abonnenten (Name, Adresse, IP-Adresse, Zahlungsfinformationen…).

Content data

Darunter fallen die Kundendaten, die bereits oben beschrieben sind. Also die Nutzdaten, die der Kunde kreiert.

Microsoft Office 365 und Azure

Azure Rechenzentren

Die Services, die unter Office 365 zusammen gefasst sind, laufen als Software as a Service (SaaS) in Azure Rechenzentren. Die Rechenzentren sind in verschiedene Geographien und Regionen zusammen gefasst.

Neu im „Geographie-Club“ ist Deutschland. Jeder neue Office 365 Kunde seit Dezember 2019 ist automatisch in Deutschland lokalisiert. Seine Services (die meisten jedenfalls) laufen also in deutschen Rechenzentren. Alle Kunden, die vor 12/2019 ihr Abonnement begonnen haben, werden sukzessive umgezogen. Für den Umzug gibt es einen Plan, der mir ein Schmunzeln entlockt hat. Quasi alle Kunden in den genannten Ländern werden nach diesem Plan bis Juli 2022 umgezogen sein. Der Umzug der deutschen Kunden (die „Nervensägen“ lt. Microsoft 😉 ), ist jedoch bereits jetzt in Planung.
Wie war das? Wer am lautesten schreit…..

Verteilung der Office Services in verschiedene Geographien

In einer Übersicht zeigt Microsoft, wo welcher Service gehostet wird, also in welchem Land das Rechenzentrum liegt, in dem der Dienst läuft. Bei den gängigen Services (aus meiner subjektiven Sicht, die wohl am meisten verwendeten) sind die Dienste für deutsche Kunden vorbildlich in Deutschland gehostet.

Interessanterweise gibt es aktuell (Stand Sommer 2020) folgende Dienste, die nicht in Deutschland laufen.

Davon werden in der EU folgende Services gehostet:

  • Skype for Business – sehe ich als nicht relevant, da der Dienst quasi durch Teams abgelöst wurde
  • Intune
  • Planner
  • Yammer
  • Stream
  • Whiteboard
  • Formulare

In den USA werden folgende Services für deutsche Nutzer angeboten:

  • Sway
  • Workplace Analytics, was ich als äußerst kritisch sehe, wenn ausgerechnet die sensiblen Auswertungen in den USA laufen

Ob der oben genannte Umzug der Services der deutschen Kunden in deutsche Rechenzentren tatsächlich alle Services beinhaltet, stelle ich mal in Frage. Das würde ich daraus nicht schließen.

Microsoft Applikationen

Ein ganz wichtiger Faktor im Sinne des Datenschutzes ist die benutzerdefinierte Freigabe von Apps. Kritische Apps aus Sicht des Verantwortlichen können für den Anwender deaktiviert werden.

Ein paar der nicht so bekannten Applikationen möchte ich hier kurz vorstellen.

Microsoft Graph

Der Microsoft Graph ist die Summe aller Daten und Informationen rund um Produktivität, Identität und Sicherheit einer Organisation in Microsoft 365. Über die Microsoft Graph API interagieren Office-365-Anwendungen und Drittanbieteranwendungen berechtigungsgesteuert mit den Daten.

Quelle: https://aka.ms/gutgemacht

Mit Microsoft Graph können Funktionen erweitert werden. Mit individuellen Abfragen können z.B. Workflows eingebunden werden und die Interaktion von Dritt-Diensten mit Microsoft Ressourcen kombiniert werden.

Delve

Diese App zeigt die öffentlichen Daten des Mitarbeiters für andere Unternehmensangehörige an. Mitarbeiter können zudem darüber hinaus freiwillige Angaben über sich preisgeben.

Eine weitere Funktion von Delve ist die Anzeige, wer welche Datei als letzte/r bearbeitet hat. Das Berechtigungskonzept wird natürlich eingehalten. Das heißt, wenn Mitarbeiter B keine Einsicht auf den Finanzplan hat, sieht er auch nicht, dass Mitarbeiter A diesen gerade bearbeitet hat.

MyAnalytics

Bei MyAnalytics erhält der Anwender nur Auswertungen und Informationen über sich selbst und sein eigenes Verhalten. Diese Informationen sind nur für den Anwender selbst bestimmt.

Workplace Analytics

Im Gegensatz zu MyAnalytics ist es mit Workplace Analytics möglich, innerhalb von Mitarbeitergruppen das Arbeitsverhalten zu vergleichen. Dazu muss unbedingt eine Betriebsvereinbarung oder eine andere Rechtsgrundlage der Verarbeitung vorliegen. Ansonsten müssen Sie diese Funktion zwingend deaktivieren.

Sofern diese Funktion wie oben beschrieben nur auf amerikanischen Servern verfügbar ist, empfehlen wir grundsätzlich, diese Analyse zu deaktivieren.

Überwachungsfunktionen in Microsoft 365 für Compliance Zwecke durch Betriebs- und Personalräte

Microsoft bietet in seinen Cloud Services ein vielschichtiges Konzept mit Audit- und Überwachungsfunktionen an. Damit ist es möglich, gesetzliche oder sonstige vertragliche und normative Anforderungen zu gewährleisten. Nicht nur ein technischer Admin aus der IT hat somit Überwachungsmöglichkeiten, sondern auch ausgewählte vertrauenswürdige Personen z.B. aus der Revision, dem Betriebsrat oder anderen definierten Stellen.

Eingeschränkte Administratorenrechte

Global Reader

Im System wird ein „Global Reader“ Administrationskonto zur Verfügung gestellt. Damit ist es ausgewählten Rollen möglich, die Konfiguration und vollständige Administration von Office 365 einzusehen.

Ein Zugriff auf die Daten oder auch Änderungen an der Konfiguration sind nicht möglich.

eDiscovery-Funktion

Wer diese Berechtigung erhält, hat die Möglichkeit, alle Inhalte in Office 365 zu durchsuchen. Dies ist z.B. für Mitarbeiter gemacht, die Auskunftsgesuche im Rahmen des Datenschutzes bearbeiten.

Compliance Dashboards und Funktionen

Aber nicht nur funktionelle Rollen unterstützen in der Einhaltung der Compliance Vorgaben. Neben den eingeschränkten Adminrechten gibt es auch weitere Dashboards, die bei der Einhaltung von Compliance Vorgaben unterstützen können. Anbei nur einige Möglichkeiten, die Microsoft hier bietet.

Acitivity API

Die Acitivity API stellt detaillierte Informationen über die Verwendung des Microsoft Cloud Services zur Verfügung. Der Zweck der API soll sich laut Hersteller auf forensische Analysen oder Audit-Systeme beziehen.

Compliance Manager

Der kostenlose Compliance Manager ist ein integriertes Tool zur Risikoabschätzung. Damit lassen sich Regelwerke nachverfolgen, zuweisen und überprüfen.

Ich muss gestehen, ich bin beim ersten Öffnen ziemlich erschlagen. Es gibt neben den vordefinierten Compliance-Regeln auch die Möglichkeit, eigene Vorgaben zu integrieren und diese zu überwachen.

Microsoft 365 Compliance Manager Dashboard
Beim ersten Öffnen des Compliance Managers erhalte ich dieses Dashboard.

DSGVO Dashboard

Mit diesem DSGVO Dashboard hat man verschiedene Optionen, Vorgaben des Datenschutzes umzusetzen. Die Löschung kann man hier z.B. in Regeln hinterlegen. Ebenfalls gibt es eine Funktion, um Auskunftsgesuche zu beantworten (also die Daten dazu herauszufiltern).

Microsoft 365 DSGVO Dashboard
Mit dem DSGVO Dashboard können grundlegende Anforderungen des Gesetzes unterstützend umgesetzt werden.

Secure Score – Sicherheitsbewertung

Mein persönlicher Favorit ist der Secure Score von Microsoft. Hier werden ganz konkrete Handlungsempfehlungen gegeben. Je nach umgesetzter Maßnahme verbessert sich im Anschluss die Bewertung, der interne Secure Score steigt also.

Ich sehe weniger die absolute Zahl, die man hier erreichen kann, als hilfreich. Viel mehr finde ich das Verhältnis gut, das zeigt, mit welchen Maßnahmen man die eigene Sicherheit erhöhen kann. Dass natürlich nicht für jedes Unternehmen und jeden Einsatzzweck dieselben Maßnahmen sinnvoll sind, müssen wir nicht diskutieren. Vielmehr werden hier dem Admin und dem Unternehmen Möglichkeiten aufgezeigt, sich damit auseinander zu setzen.

Microsoft 365 Secure Score Bewertung
Konkrete Handlungsempfehlungen gibt die Sicherheitsbewertung des Cloud Services von Microsoft.

Microsoft Trust Center

Das Trust Center enthält eine Vielzahl an Dokumentationen über Compliance und technische Sicherheit der Microsoft Dienste und Produkte.

Selbstverpflichtung des Anbieters

Im Trust Center unter Datenschutz verpflichtet sich Microsoft selbst zu strengen Regeln des Datenschutzes:

  • Kunden haben Kontrolle und Transparenz
  • Es werden keine Datenprofile zu Marketing- und Werbezwecken genutzt und auch nicht an Dritte weitergegeben
  • Keine „Hintertür“ in der Software oder den Diensten, um Verschlüsselung zu umgehen oder Behörden Zugriff zu gewähren
  • Umsetzung der DSGVO Anforderungen weltweit – nicht nur in der EU
Ist bei Office 365 Datenschutz überhaupt möglich?
Pin it on Pinterest!

Schutz der Kundendaten in der Cloud

Dieses Thema füllt einen eigenen Artikel. Was Sie beim Einsatz von Cloud Services generell beachten sollten, finden Sie im Beitrag auf unserem Blog.

Ganz besonders und vor allem beim internationalen Anbieter Microsoft beschäftigen wir uns mit dem Thema Datentransfer in die USA. Aufgrund des Wegfall des EU US Privacy Shields ist hier ja grundsätzlich ein Compliance Risiko zu berücksichtigen. Wie sich Microsoft hier positioniert und dem Kunden Sicherheit entgegen bringt, hat mir unser Kontakt bei Microsoft erläutert.

Microsoft im Umgang mit dem CLOUD Act

Microsoft erlegt sich hier selbst strenge Verpflichtungen auf. Bei Anfragen von Dritten zur Herausgabe von Kundendaten leitet Microsoft diese Anfragen direkt an den Kunden weiter. Dies gilt auch bei Anfragen, die auf dem Cloud Act basieren.

Anfragen auf Basis der Strafverfolgung in den USA

Folgendes Vorgehen wurde mir von Microsoft per Mail mitgeteilt:

  1. Im Falle einer Strafverfolgung der US Behörden muss eine entsprechende Spezifizierung stattfinden, die den genauen Zweck, Begründung, Suchparameter… enthält. Also letztendlich ähnlich wie auch bei uns.
  2. Standardmäßig widerspricht Microsoft – auch vor Gericht – und schlägt vor, den Kunden direkt zu kontaktieren und über diesen Weg die notwendigen rechtlichen Schritte einzuleiten. In den allermeisten Fällen ist dies erfolgreich.
  3. Die meisten Anfragen beziehen sich auf Konsumenten Accounts und nicht auf Business Accounts.

Stellungnahme von Microsoft zum Umgang bei Anfragen von Strafverfolgungsbehörden

In einer Stellungnahme von Microsoft ist nachvollziehbar, welche Maßnahmen und vor allem Klagen Microsoft seit 2013 bestritten hat, um für die Sicherheit der Kundendaten einzustehen.

Konkret findet man hier auch einen Erfolgsbeitrag, wie Microsoft eine Klage zur Herausgabe von E-Mails an Strafverfolgungsbehörden verhindert hat.

Microsoft wird Behörden bei Anfragen zur Herausgabe von Kundendaten von Unternehmenskunden weiterhin immer zunächst an den Kunden verweisen beziehungsweise den Kunden über die Anfrage informieren, soweit nicht gesetzlich verboten. Microsoft bietet seinen Kunden zudem Transparenz über die an Microsoft gestellten Anfragen sowie verschiedene Alternativen zur Speicherung von Kundendaten. 

Whitepaper „Datenschutz mit Windows 10 und Microsoft 365“

Dieses Zitat ist schon mal ein guter Ansatz. Aber irgendwie doch unbefriedigend mit dem Zusatz „soweit nicht gesetzlich verboten“. Wie groß ist nun das Risiko, dass auf Daten durch die US Regierung zugegriffen wird, ohne das der Kunde darüber Bescheid weiß?

Transparenz-Reports

Hierzu veröffentlich Microsoft halbjährlich einen Transparenz-Report. Dieser ist einzusehen über den Law Enforcement Requests Report.

Hier wird auch noch unterschieden bzw. angezeigt, welche Art von Daten (siehe Definition oben) durch die Strafverfolgungsbehörden angefragt wurde.

Die Anzahl der Löschanfragen wird ebenfalls protokolliert und ist in einer Auswertung einsehbar.

Zertifizierungen von Microsoft 365 Services

Wer noch ein paar weitere unabhängige Nachweise haben möchte, kann sich die vielen Zertifikate von Microsoft ansehen. Für jede Sparte ist quasi etwas dabei.

Übersicht über alle Controls und Auditberichte finden Sie unter diesem Link.

Hier gibt es eine Übersicht der Zertifikate von Microsoft.

Fazit: Geht nun bei Office 365 Datenschutz?

Allein diese Dokumentation sagt Ihnen noch nicht, ob Sie in Ihrem Unternehmen nun die Cloudlösung einsetzen können. Die aufgelisteten Punkte sind Faktoren, die Sie selber für Ihr Unternehmen bewerten müssen.

Für die Bewertung empfehlen wir Ihnen folgende Vorgehensweise

  1. Beschreibung des Verfahrens, welches Sie mit der Cloud Lösung im Unternehmen einsetzen möchten. Dokumentieren Sie genau welchen Zweck Sie abdecken möchten und vor allem welche Datenkategorien dabei verarbeitet werden. Nur so ist eine spätere Bewertung überhaupt möglich.
    Wie sollten Sie sonst Daten bewerten können, von denen Sie nicht mal genau wissen, was Sie sie verarbeiten?
  2. Identifizieren Sie Risiken aus drei Risikotypen
    – Compliance Risiken des Anbieters
    – Allg. Risiken in Technik und Prozessen beim Anbieter
    – Risiken im eigenen Unternehmen bei der Datenverarbeitung
  3. Bewerten Sie die Risiken und suchen Sie nach Maßnahmen, wenn hohe Risiken identifiziert werden.
  4. Nach Einbezug aller Maßnahmen bleibt ggf. ein Restrisiko. Stellen Sie dies klar und deutlich für Ihre Entscheider dar und legen Sie Ihnen mit Fakten eine Entscheidungsvorlage vor, um der Einsatz von Microsoft Cloud Produkten unter definierten Bedingungen im Unternehmen erfolgen soll.

Hört sich kompliziert an? Eigentlich nicht, aber etwas Arbeit steckt schon dahinter. Wie genau diese Bewertung und Stellungnahme aussehen kann, zeigen wir Ihnen detailliert im Blogbeitrag zum Thema.

Gerne stellen wir Ihnen unser Whitepaper zum Thema Office 365 – Datenschutz zur Verfügung. Sie erhalten es, wenn Sie sich für unseren Newsletter anmelden. Alternativ senden wir es Ihnen auf Anfrage zu. Schreiben Sie uns in diesem Fall einfach eine kurze E-Mail.

Update November 2020: Aufsichtsbehörden begrüßen die Bemühungen von Microsoft

Die bayerischen Aufsichtsbehörden äußern sich in einer Pressemitteilung positiv zu den Anpassungen der Standardvertragsklauseln von Microsoft. Die neuen Vertragsklauseln von Microsoft enthalten Regelungen über
– die Information der betroffenen Person, wenn Microsoft durch eine

Aber dass sich Microsoft als einer der größten, international agierenden Konzerne weltweit, mit
einer erheblichen Marktmacht in Europa, nun in die richtige Richtung bewege und wesentliche Verbesserungen für die Rechte der Europäischen Bürgerinnen und Bürger in seine Vertragsklauseln
aufnehme, sei ein wichtiger Schritt und ein deutliches Signal an andere Anbieter, diesem Beispiel
zu folgen.

Der Bayerische Landesbeauftragte für den Datenschutz
Bayerisches Landesamt für Datenschutzaufsicht, Pressmitteilung vom 20.11.2020

Klicken Sie auf den unteren Button, um den Inhalt von subscribe.newsletter2go.com zu laden.

Inhalt laden

Update Mai 2021: Empfehlung des LfDI BW hinsichtlich der Nutzung der geprüften Microsoft 365 Version an Schulen

Das LfDI prüfte in einem Praxistest eine für Schulen konfigurierte Microsoft 365 Version. Als Ergebnis steht folgendes fest:

Für den Schulbereich hat der LfDI daher ein hohes Risiko der Verletzung von Rechten und Freiheiten betroffener Personen festgestellt. Dies gilt für die ins Auge gefasste Erweiterung des Systems um Konten für die Schülerinnen und Schüler umso mehr. Der Staat hat eine Garantenstellung für die in der Regel minderjährigen Schülerinnen und Schüler, welche zudem der staatlichen Schulpflicht unterliegen und daher der Verwendung ihrer persönlichen Daten nicht ausweichen können. In dieser Konstellation bewertet der Landesbeauftragte das Risiko der eingesetzten Software als inakzeptabel hoch.

Pressemitteilung des LfDI Baden-Württemberg vom 07.05.2021: Empfehlung des LfDI hinsichtlich der Nutzung der geprüften Version von Microsoft Office 365 an Schulen | Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg

In der Pressemitteilung wird weiterhin darauf aufmerksam gemacht, dass

[a]lle Verantwortlichen […] eine Risikobewertung mit Blick auf die konkret verarbeiteten Daten vornehmen und sich nachvollziehbar mit den Rechtsgrundlagen ihrer Datenverarbeitungen befassen [müssen]. Diese Rechtsgrundlagen unterscheiden sich im öffentlichen und privaten Sektor zum Teil erheblich, so können Behörden grundsätzlich keine Daten auf Basis eines ‚berechtigten Interesses‘ verarbeiten und sind auch bei der Nutzung von Einwilligungen eingeschränkt. Der LfDI betont dabei, dass bei dieser Betrachtung pauschale Aussagen wie etwa, dass eine Software immer oder nie datenschutzkonform einsetzbar sei, zu undifferenziert und nicht überzeugend sind.

Pressemitteilung des LfDI Baden-Württemberg vom 07.05.2021: Empfehlung des LfDI hinsichtlich der Nutzung der geprüften Version von Microsoft Office 365 an Schulen | Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg

Update Mai 2021: Microsoft kündigt ausschließliche Datenverarbeitung in Europa an

Microsoft kündigt eine sogenannte „Datengrenze“ für die Microsoft Cloud an. Mit dieser wird die ausschließliche Datenverarbeitung in der EU garantiert. Damit kommt Microsoft den Forderungen der Aufsichtsbehörden entgegen und soll damit noch mehr den Datenschutz der Betroffenen wahren.

Uns ist jedoch noch nicht genau klar, welche Dienste unter dem Begriff Microsoft Cloud konkret fallen.

Quelle: https://www.microsoft.com/de-de/berlin/artikel/unsere-neue-eu-datengrenze-fuer-die-microsoft-cloud.aspx

FAQs

Der Einsatz von Microsoft Office 365 ist laut DSK nicht datenschutzkonform. Was bedeutet das?

Die DSK hat hierzu ein Statement abgegeben. Zum Stand Oktober 2020 stehen allerdings nicht alle Datenschutzbehörden hinter dieser Aussage. Als nächstes planen die Behörden gemeinsam mit dem Anbieter Microsoft eine Lösung zu finden.

Was sollen wir aktuell machen, wenn wir Office 365 im Unternehmen bereits einsetzen?

Wir empfehlen eine ausführliche Risikobewertung und vor allem eine strenge Konfiguration des Services hinsichtlich Datenschutz. Deaktivieren Sie alle Services, die Sie nicht benötigen. Deaktivieren Sie auch Services, die nicht auf EU Servern laufen.

Setzen Sie auch alle weiteren Konfigurationsschalter auf die sichersten Optionen hinsichtlich Datenschutz. Dokumentieren Sie dies gut, damit Sie im Zweifelsfall einen Nachweis haben, alles zum aktuellen Stand mögliche getan zu haben.

Trotz allem, verfolgen Sie zu diesem Thema auch die Stellungnahmen der Behörden. Natürlich aber auch unseren Blog uns unsere Social Media Kanäle. Wir halten Sie zu diesem Thema auf dem Laufenden.

Kann Office 365 derzeit ohne Restrisiko eingesetzt werden?

Selbst nach aktuellen Möglichkeiten bleibt immer ein Restrisiko. Zumal sich Microsoft über den Cloud Act nicht komplett aus der Verantwortung nehmen kann, im Zweifelsfall doch Daten an die US Regierung auszuhändigen. Die Maßnahmen, um dieses Risiko zu verbringen, werden allerdings vom Anbieter sehr streng eingehalten.

Zudem besteht natürlich immer die Gefahr, dass Daten durch eine falsche, fehlende Konfiguration oder unbekannte Funktion an den Anbieter übermittelt werden.

Quellen:

https://www.vitako.de/Publikationen/Leitfaden_Nutzung%20von%20Office.pdf

https://aka.ms/gutgemacht

https://docs.microsoft.com/de-de/microsoft-365/compliance/meet-data-protection-and-regulatory-reqs-using-microsoft-cloud?view=o365-worldwide

https://www.microsoft.com/de-DE/trust-center/privacy/customer-data-definitions

https://www.rijksoverheid.nl/documenten/rapporten/2019/06/11/data-protection-impact-assessment-windows-10-enterprise

Diesen Beitrag teilen

Datenschutzanalyse deutscher Webseiten

Gastbeitrag von Dr. Klaus Meffert

Dr. Meffert beschäftigt sich mit dem Thema Datenschutz auf Webseiten. In diesem Gastbeitrag berichtet er, wie Webseiten DSGVO-konform gemacht werden können. Dieser Bericht geht auch auf die häufigsten Probleme in Bezug auf rechtssichere Webseiten (Schwerpunkt Datenschutz) ein und zeigt, welche Maßnahmen zur Abhilfe es gibt.

Hier beschreibt Dr. Meffert wie die DSGVO für Webseiten eingehalten werden kann. Zusätzliche Vorschriften für Webseiten wie die Anbieterkennzeichnung (Impressumspflicht), die Ausgestaltung von AGB oder von Einkaufsprozessen in Internet-Shops werden hier nicht thematisiert. Es geht nur um die datenschutzrechtlichen Betrachtungen, die allerdings sehr wichtig sind. Schließlich kann jede Webseite zu jeder Zeit von jedem, der es möchte, angeschaut, untersucht und bei Bedarf kritisiert werden. Die Webseite ist der öffentlichste Teil jedes Unternehmens.

Continue reading „So entstehen rechtssichere Webseiten“

Diesen Beitrag teilen