Kategorie: Microsoft

Kategorien
Datenschutz Microsoft

Datenschutzaspekte beim Einsatz von Microsoft Teams

Microsoft Teams ist eine Kollaborations-Plattform für die Online-Zusammenarbeit in Unternehmen. Es ist das Nachfolgeprogramm von Skype for Business und in die Plattform Microsoft 365 integriert, die weitere Dienste wie MS Office inkl. Outlook bereitstellt. Die Daten werden in der sog. Microsoft Cloud gehostet.
Die erhobenen Telemetrie- und Diagnosedaten stellen personenbezogen Daten gem. Art. 4 Nr. 1 DSGVO dar und die Verarbeitung bedarf daher einer Rechtsgrundlage. Zurzeit wird der Art. 6 Abs.1 f. DSGVO (berechtigtes Interesse) als Rechtsgrundlage für die einwandfreie Nutzung der geräteunabhängigen Office-Dokumente für eine Zusammenarbeit innerhalb des Unternehmens herangezogen.
Microsoft erhebt diverse Daten, sog. Telemetrie-Daten, die sowohl nutzerbezogen als auch anonymisiert gespeichert und für die Analyse der Nutzung und Leistung von Anwendungen und Anwendungskomponenten erhoben werden. Die Speicherung der Telemetriedaten und weiterer Systemdaten erfolgt für mindestens 30 Tage und kann bis zu 18 Monate erfolgen. Administratoren des Benutzers können seit Kurzem die bei Microsoft hinterlegten Telemetriedaten selbst löschen.
Seit der Einführung des „Microsoft Diagnostic Data Viewers“ können die Office Nutzer nachvollziehen, welche Daten bei der Office Nutzung aufgrund welcher Datenschutzeinstellungen erfasst werden. Bei der Verwendung der Office mobile Apps gibt es diese Kontrollfunktionen für die Erfassung und Verarbeitung von Diagnosedaten weiterhin nicht.
Die Daten der europäischen Kunden werden in Microsofts Rechenzentren in Österreich, Finnland, Irland und den Niederlanden gespeichert.
Den genauen Speicherort können Nutzer mit Administratorenrechten im Office 365 Admin Center unter → Einstellungen → Organisationsprofil → Datenspeicherort einsehen. Der Datentransfer erfolgt immer verschlüsselt, die Datenspeicherung kann ebenfalls verschlüsselt werden.
Microsoft übermittelt Diagnosedaten auch außerhalb des EWR. Diese Übermittlung der Daten ist durch das EU-US Privacy Shield, für das Microsoft zertifiziert ist, zurzeit konform zu den Bestimmungen der DSGVO. Der Europäische Gerichtshof entscheidet in Kürze darüber, ob der in den USA geltende CLOUD-Act (Clarifying Lawful Overseas Use of Data Act) mit den europäischen Datenschutzgesetzen in Einklang zu bringen ist, oder ob dadurch die Übermittlung von Daten an US-amerikanische Unternehmen nicht mehr rechtskonform durchgeführt werden kann. Der CLOUD-Act ermöglicht den US-Behörden, Daten direkt von US-Unternehmen anzufordern, auch wenn diese Daten im Ausland gespeichert werden.
Die Verarbeitung der Daten durch Microsoft erfordert einen Vertrag zur Auftragsverarbeitung gem. Art. 28 DSGVO. Die Online Service Terms (OST, Vertragsbedingungen für die Nutzung von Office 365) enthalten EU-Standardvertragsklauseln und den Vertrag zur Auftragsverarbeitung.

Maßnahmen für den datenschutzkonformen Einsatz von Microsoft Teams:

  • Unternehmen, die die Kollaborations-Plattform einsetzen möchten, sollten sich für eine der kostenpflichtigen Versionen entscheiden, die für den Datenschutz wichtige Funktionen anbieten. So hat man in diesen Versionen vollen Zugriff auf das Security & Compliance Center, das über Sicherheits-Features verfügt und z.B. mehrstufige Authentifizierungen für Benutzeranmeldungen bietet
  • Update auf die neueste Programmversion (jünger als Office 365 ProPlus Version 1904)
  • Übermittlung der Telemetriedaten auf die niedrigste Stufe „Sicherheit“ einstellen
  • Übermittlung der Diagnosedaten auf das Level „Keine“ setzen
  • Übersetzungsdienste abschalten (keine Transparenz bei der Nutzung der Daten durch Microsoft, z. T. Bearbeitung durch Mitarbeiter zur „Qualitätssicherung“ möglich)
  • keine Synchronisation von Benutzeraktivitäten mit der Zeitachse in Windows 10
  • Verbundene Dienste deaktivieren
  • Übermittlung von Daten zur Verbesserung der Benutzerfreundlichkeit sperren
  • Linked-In-Integration deaktivieren
  • Desktop-Versionen statt mobile Apps oder Web verwenden, da die DSGVO-kompatiblen Verbesserungen in den mobilen Apps und in den Webversionen noch nicht integriert wurden
  • Abschluss der in den Online Service Terms (OST) enthaltenen EU-Standardvertragsklauseln und des in den OST ebenfalls enthaltenen Auftragsverarbeitungsvertrags
  • keine Garantie dafür, dass Office 365 auch zukünftig datenschutzkonform eingesetzt werden kann (Entscheidung zum CLOUD-Act durch den EuGH)
  • Datenschutzfolgenabschätzung nach Art. 35 DSGVO durchführen
Kategorien
Microsoft

Zusätzlicher Schutz für Microsoft Teams und SharePoint

Office 365 verfügt bereits über einen eingebauten Virenschutz – die Microsoft Exchange Online Protection (EOP). Dieses Produkt ist in allen Microsoft 365 Plänen enthalten, die Exchange Online umfassen. EOP bietet Spamfilter, Virenschutz, Transportregeln und Berichte/Protokolle. Leider bietet EOP keinen Schutz vor Zero-Day-Exploit-Attacks, bei denen Schwachstellen ausgenutzt werden, bevor diese durch einen Fix/Patch des Softwareherstellers geschlossen werden können.

Aus diesem Grund wird konzeptionell eine Sandboxing Strategie benötigt, bei welcher die als bedrohlich eingestufte E-Mails erst einmal in einem geschützten Bereich eines Rechenzentrums geöffnet und geprüft werden. Nur wenn sich dann kein Bedrohungspotential zeigt, bekommen Sie die E-Mail zugestellt.

Microsoft bietet dafür die sog. Advanced Threat Protection (ATP), die im „großen“ Office E5-Plan (28.05.20: 34,40 € pro Benutzer im Jahresabonnement) enthalten ist. Zu anderen Plänen kann es als Office 365 Advanced Threat Protection (Plan 1) für 1,69 € pro Benutzer im Jahresabonnement oder für 4,20 € in der Vollversion (Plan 2) zugekauft werden.

An dieser Stelle setzt Kaspersky Security for Microsoft Office 365 an. Zum sportlichen Preis von 2,08 € pro Benutzer im Jahresabonnement bietet das Produkt ein umfangreiches Bündel an Schutzmaßnahmen, wobei die Erkennungsrate dem Microsoft Produkt ebenbürtig oder gar überlegen ist:

Stoppt Phishing und Business Email Compromise

Mittels Phishing kann Malware und Ransomware in Ihr Netzwerk eingeschleust werden.

Kaspersky Security for Microsoft Office 365 nutzt eine Reihe bewährter Methoden:

  • SPF, DKIM und DMARC
  • Threat Intelligence aus dem Kaspersky Security Network
  • Fortschrittliches Anti-Spoofing und maschinelles Lernen, um selbst die Angriffe zu entdecken, die am schwierigsten zu identifizieren sind.

Schneller, fortschrittlicher Bedrohungsschutz

Malware findet ihren Weg in Unternehmen häufig per E-Mail und wird in der Cloud gehostet.

Die Anti-Malware-Engine von Kaspersky kombiniert:

  • Fortschrittliche heuristische und verhaltensbasierte Analysen
  • Signaturbasierten Schutz
  • Threat Intelligence aus dem Kaspersky Security Network um umgehend hoch entwickelte Bedrohungen in allen Anwendungen zu identifizieren, einschließlich Microsoft Exchange Online, OneDrive, SharePoint Online und Teams.

Einfache Bereitstellung und Bedienung

Die Nahtlose Integration in Microsoft Office 365 und Azure ist dank nativer Kontrolle gewährleistet.

Ihre derzeitige Filterungslösung muss nicht deinstalliert werden: Eine gemeinsame Verwendung mit jeder anderen Lösung ist möglich.

Kategorien
Microsoft

Microsoft OneDrive mit zahlreichen Schwächen

Microsoft OneDrive for Business ermöglicht es Endanwendern Dokumente zu teilen und freizugeben. Es handelt sich um einen Online-Speicher mit Kollaborations-Features der allerdings eine Vielzahl an Schwächen aufweist:

Beschränkungen in Speicher und Dateigröße:

Die Standrad-Speicherkapazität pro Benutzer liegt bei lediglich 1TB und kann nur mit Hilfe des Office 365 Administrators auf 5TB pro Benutzer erhöht werden. Es können zudem keine Dateien größer als 15GB hochgeladen werden. 

Fehlende App-Integration von Drittanbieter Apps:

Im Gegensatz zum OneDrive für den persönlichen Gebrauch, lässt sich das OneDrive for Business nicht mit Apps von Drittanbietern nutzen. Eine Synchronisation des Accounts mit Kalendern oder Messageboards ist nicht möglich.

Datensicherheit:

Die Daten auf OneDrive werden mit Microsoft-Tochergesellschaften und –Niederlassungen geteilt, sowie mit Anbietern die im Auftrag von Microsoft handeln. 

Eine Verschlüsselung von Nutzerdaten auf dem Microsoft Server ist nicht gegeben. Lediglich die Übertragung der Daten ist verschlüsselt mittels TLS.  Als Standardeinstellung bietet Windows 8 die Möglichkeit, den Bitlocker-Recovery-Key direkt in den Microsoft-Account in der Cloud zu sichern und gibt damit kritische kryptographische Geheimnisse in die Hände dritter. 

Nutzen Mitarbeiter ihren Microsoft-Account auch auf ihren privaten Geräten, können Firmendaten ungewollt auf diese übertragen werden. 

Bedienung:

OneDrive ist seit Windows 8.1 fester Bestandteil des Betriebssystems. Es ist nicht möglich, Onedrive über die grafische Bedienoberfläche zu deaktivieren. Meldet man sich mit bereits aktiviertem Microsoft-Account auf einem , werden dort automatisch die von ihm genutzten Microsoft-Cloud-Dienste eingerichtet.

Ist der Cloud-Speicherplatz fast vollständig ausgenutzt, „klemmt“ die Synchronisierung.

Preise:

Für Geschäftskunden gibt es drei Business-Tarife, die ab 50,40 Euro pro Jahr und Nutzer beginnen. Dort erhält jeder User einen Cloud-Speicher mit 1 TB, die Größe einzelner Uploads ist aber auf 15 GB begrenzt.

Fazit:

Aufgrund der zahlreichen Schwächen halten wir den Einsatz des Microsoft OneDrive für den Unternehmenseinsatz für ungenügend und empfehlen den Einsatz der Cloud-Lösung Nextcloud. „Nextcloud“ ist eine etablierte Cloudsoftware die von großen Unternehmen und Organisationen wie Siemens oder der Max-Planck-Gesellschaft genutzt wird, sich aber ebenfalls für kleine und mittelständische Unternehmen eignet. Wir hosten die Arconda-Nextcloud für unsere Kunden in einem deutschen Hochverfügbarkeitsrechenzentrum und ermöglichen ihnen alle bekannten Vorteile von Dropbox & Co. zu nutzen ohne Abstriche bei Datenschutz und -sicherheit eingehen zu müssen.

Sie finden weitere Informationen zur Arconda-Nextcloud auf der Portfolio-Seite.