Microsoft 365 DSGVO - compliant und sicher unterwegs

Lesedauer: 
0 Minuten
Datum: 
22.08.2018
Von 
Andreas Thumfart
Inhaltsverzeichnis

Durch die DSGVO rückten die Themen Datenschutz und Sicherheit in den Fokus. Durch die steigende Beliebtheit von Clouddiensten und entsprechenden News zur Sicherheit stellt sich immer wieder die Frage, ob ein Unternehmen die Richtlinien der DSGVO verletzt, wenn es kritische Daten in der Cloud speichert.

Um dem entgegen zu wirken, bietet Microsoft viele neue Dienste, die Kunden nicht nur davon überzeugen sollen, dass die Microsoft Cloud alle DSGVO-Vorgaben erfüllt, sondern um Ihnen auch noch dabei zu helfen, die unternehmerischen Pflichten im Sinne der DSGVO zu erfüllen.

Microsoft 365 Security & Compliance Center

Zu diesen neuen Diensten gehört auch das Microsoft 365 Security & Compliance Center. Dieses dient als Zentrale zur Steuerung und Überwachung aller Services, die in Microsoft 365 zum Schutz Ihrer Daten zur Verfügung stehen. Dazu zählen Services:

  • zur Erkennung und Analyse von Bedrohungen (Threat Management),
  • zum Schutz Ihrer Endgeräte (Mobile Device Management) und
  • zum Schutz Ihrer Daten (e-Discovery Suche, Data Loss Prevention, Archivierung).

Das Microsoft 365 Security & Compliance Center fasst damit einen großen Teil der Security Features zusammen und fungiert als Steuerzentrale für alle sicherheitsrelevanten Einstellungen. Es steht bei allen Microsoft 365-Plänen zur Verfügung. Die einzelnen Dienste hängen dann jedoch davon ab, welcher Microsoft 365-Plan lizenziert wurde.
 

Compliance Manager

Der Compliance Manager ist das neueste Compliance Tool in Microsoft 365. Er hilft bei der Erfüllung der Anforderungen verschiedenster Datenschutzstandards. Darunter auch die Europäische Datenschutz Grundverordnung, ISO 27001 (Allgemeine Informationssicherheit) und ISO 27018 (Informationssicherheit in der Cloud). Der Compliance Manager ermöglicht dabei eine kontinuierliche Risikoabschätzung der Einstellungen in den einzelnen Diensten. Sowohl für die Abläufe innerhalb der Microsoft Rechenzentren, als auch in der Konfiguration der verschiedensten Dienste auf Kundenseite.

Dazu gibt es zu jeder Anwendung/jedem Service die sogenannten Microsoft Controls und Microsoft Customer Controls. Jedes Control beschreibt eine spezifische Anforderung und wird anhand eines Compliance Scores bewertet und zu einem Gesamtscore für die Anwendung aufsummiert. Diese Gesamtscores werden dann in einem Dashboard übersichtlich dargestellt.

Ein Ziel des Compliance Managers ist, das Thema Datenschutzmaßnahmen übersichtlich und für den Anwender verständlich darzustellen. So soll der Abstand zwischen den Datenschutz- und Compliance-Mitarbeiter*innen, welche über das fachliche Know-how verfügen und den IT-Mitarbeiter*innen, welche über die Tools und das technische Wissen verfügen, reduziert werden.

In Bezug auf die DSGVO hilft Ihnen Microsoft 365 bei der Einhaltung des Datenschutzes und beim Schutz Ihrer Systeme. Microsoft 365 nimmt Unternehmen damit aber auch nicht sämtliche DSGVO-Tätigkeiten ab.

Zugriffskontrolle und Datenschutz

Entscheidend für die Einhaltung jeglicher gesetzlichen Vorgaben ist natürlich der tatsächliche Schutz der Daten vor unerlaubtem Zugriff. Dazu bietet Microsoft 365 schon seit Beginn an verschiedenste Funktionen, die laufend erweitert werden. Hier der aktuelle Stand:

  • Angefangen von Möglichkeiten, um unerlaubten Zugriff zu verhindern und Benutzerkonten zu schützen, wie Multi-Faktor-Authentifizierung (zusätzliche Authentifizierung mittels SMS-Code, Microsoft Authenticator App) oder IP-Adressen-Einschränkung. Oder der Nachverfolgung von Zugriffsverhalten, wie zum Beispiel der Überwachung von wo Zugriffe erfolgen, so dass Microsoft 365 eine Warnung an den Administrator sendet, wenn ein Benutzer von einem Land zugreift, von dem noch nie zugegriffen wurde oder wenn mehrere Male ein falsches Passwort eingegeben wurde.
  • Über die Prüfung von eingehenden E-Mails und Attachments auf Viren und Trojaner. Standardmäßig schützt Microsoft Sie bereits vor Phishing und Spam E-Mails und Attachments können nach Dateiformat eingeschränkt und geprüft werden.  Wenn dieser Schutz noch nicht ausreicht, bietet Microsoft auch noch die Advanced Threat Protection. Diese öffnet eingehende E-Mails und Attachments zuerst in einer virtuellen Umgebung im Microsoft Rechenzentrum und prüft, ob ein E-Mail Anhang Schaden am System verursacht. Erst wenn diese Prüfung erfolgreich ist, wird das E-Mail an den Empfänger weitergeleitet.
  • Bis hin zu Möglichkeiten die Weitergabe von Daten einzuschränken oder zu verhindern. Dazu bietet Microsoft 365 Data Loss Prevention. Damit wird beim Versand von E-Mail oder Dokumenten geprüft, ob darin Informationen enthalten sind, die nicht weitergegeben werden dürfen (z. B.: Kreditkarteninformationen) und verhindert den Versand oder versieht die E-Mails und Dokumente mit Labels. Damit kann auch verhindert werden, dass die Dokumente vom Empfänger an Dritte weitergegeben oder ausgedruckt werden.

Keywords

Andreas Thumfart

Kontakt unseres COSMOnauten

Von Andreas Thumfart

Andreas ist technischer Leiter im Bereich Modern Workplace und somit für Microsoft 365 und die Power Platform zuständig. Eine seiner Aufgaben ist die Konzeption von innovativen Lösungen.