Sichere Nutzung von Microsoft 365 - Maßnahmen für Informationssicherheit / Datenschutz - Besuchen Sie unseren Blog LinkedIn XING
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Besuchen Sie unseren Blog
LinkedIn
XING
Sichere Nutzung von Microsoft 365 –
Maßnahmen für
Informationssicherheit / Datenschutz
Microsoft 365
Produktpalette
2 Rewion GmbH 17.03.2021
3 Rewion GmbH 17.03.2021
4 Rewion GmbH 17.03.2021
5 Rewion GmbH 17.03.2021
6 Rewion GmbH 17.03.2021
LINK - Microsoft 365 Produktpalette 7 Rewion GmbH 17.03.2021
Datenschutz und
Microsoft 365
8 Rewion GmbH 17.03.2021
DSGVO
Die Provider müssen den Nutzern die Möglichkeit geben,
ihre Cloud-Umgebung DSGVO-konform zu gestalten.
Hierbei werden die Gesichtspunkte Verschlüsselung,
Überwachung & Protokollierung, Zugriffskontrolle,
Datenschutz, Security by Design und Zertifizierungen und
Programme betrachtet. Für jeden dieser Themenbereiche
bieten die Cloud Provider verschiedene Stellschrauben, um
Verschlüsselung Zugriffskontrolle Security by
Design
eine möglichst individuelle Anpassung der Cloud Umgebung
zu gewährleisten.
Überwachung & Zertifizierungen
Datenschutz
und Programme
Die Provider bieten Ihnen bei der genauen Ausarbeitung
Protokollierung
dieser Themen Unterstützung an. (Meist aber nur in Form
von Dokumentationen)
9 Rewion GmbH 17.03.2021
Microsoft 365
Daraufhin hat Microsoft reagiert und die passenden Tools zur
Microsoft 365 DSGVO-konformen Gestaltung zur Verfügung gestellt. Mit
diesen ist es möglich, Office 365 vollkommen konform zu allen
Regelungen der Datenschutzgrundverordnung zu betreiben.
Ist Office 365 DSGVO-konform?
Im Folgenden finden Sie Links zum Thema DSGVO im Bezug
Microsoft versucht den Nutzern von Office 365 die
auf Office 365.
Möglichkeit zu geben, die Software DGSVO-konform zu
nutzen. Hierzu müssen jedoch spezifische Einstellungen in den
verschiedenen Compliance Tools der Suite vorgenommen
Links
werden.
• Infoseite von Microsoft zur DSGVO im Bezug auf O365
(hier)
Office 365 sendet Nutzungsdaten an Server in die USA, um
• Erste Schritte zur DSGVO (hier)
eine bessere User Experience gewährleisten zu können. Diese
werden zwar verschlüsselt versendet, der Prozess an sich hat
jedoch Bedenken bei Datenschutzspezialisten hervorgerufen
10 Rewion GmbH 17.03.2021Welche Dokumentationen stellt
Microsoft bereit und wo finde ich diese?
11 Rewion GmbH 17.03.2021Checkliste zur DSGVO-Bereitschaft
Die übersichtliche Checkliste deckt alle Informationen zum Thema DSGVO in Microsoft-Diensten ab.
Es gibt einen spezifischen Leitfaden für vier Microsoft-Produkt- und Dienstfamilien:
Microsoft-
Support und
Office 365 Dynamics 365 Azure
Professional
Services
12 Rewion GmbH 17.03.2021Beispiel 13 Rewion GmbH 17.03.2021
Service Trust Portal
▪ Liste der Unterauftragsverarbeitern von Microsoft
▪ Wird kontinuierlich aktualisiert
▪ Unter dem Folgenden Link befindet sich immer die aktuellste Version
14 Rewion GmbH 17.03.2021DSGVO Dashboard & Prozesse
Link: https://protection.office.com/gdprdashboard
15 Rewion GmbH 17.03.2021Informations-
sicherheit
16 Rewion GmbH 17.03.2021Was verstehen Wir unter
Informationssicherheit
17 Rewion GmbH 17.03.2021Übersicht Informationssicherheit
Schutzbedarf
Zusammenarbeit mit Gästen /
Risiken Fremde Tenants (privat + Business)
Externen
Informationsklassifizierung
weitere Maßnahmen
18 Rewion GmbH 17.03.2021Schutzbedarf
▪ Schutzbedarf muss intern festgelegt werden (Microsoft365, Exchange Online, SharePoint Online, …)
Beispiel aus einem Projekt:
▪ Nutzung von Microsoft365-Diensten führt zu keiner Verringerung des bestehenden Sicherheitsniveaus
▪ Es muss pro Tool geprüft werden (Outlook, To Do, SharePoint, Teams, Delve, Planner, OneDrive, …)
Risikobetrachtung
▪ Risiken des Datenabflusses durch Zusammenarbeit mit externen Parteien auf dem „eigenen“ Tenant wird für Microsoft365 nicht höher eingestuft als
für bisherige Systeme
▪ Risiko des unkontrollierten Datenabflusses durch Zugang von Mitarbeitern auf externe Microsoft365-Tenants wird als hoch eingestuft.
→ Schutzmaßnahmen definieren. Kann in diesem Fall auch eine organisatorische sein (Nur im eigenen Tenant arbeiten, hängt von der „Position“ des
Unternehmens ab)
Schutzbedarf
19 Rewion GmbH 17.03.2021Informationsklassifizierung
Die Klassifizierung von Informationen dient der Etablierung einer angemessenen Sicherheit, die dem Wert und der Bedeutung der Informationen
entspricht. Die Klassifizierung von Informationen ist die Grundlage dafür, Bedarf, Priorität und das Ausmaß der Sicherheit definieren zu können.
Mögliche Kategorien:
Informationsklasse (Public, Internal, Confidential) – Tipp: Max. 3-4 Kategorien nicht mehr!
Wettbewerbsnachteil, Reputationsschaden,… (keiner, gering, mittel, hoch)
Technische Maßnahmen (Verschlüsselung, Authentisierung, bedingte Zugriffsvoraussetzungen)
Informationsklassifizierung
20 Rewion GmbH 17.03.2021Beispiel für indirekten „Datenabfluss“ 21 Rewion GmbH 17.03.2021
Unterscheidung von Connected Experiences
Connected Experiences, die Inhalte analysieren
Connected Experiences, die Office-Inhalte des Anwenders nutzen, um ihnen Designempfehlungen, Bearbeitungsvorschläge,
Datenerkenntnisse und ähnliche Funktionen bereitzustellen, z.B. PowerPoint-Designer oder Editor in Word.
Connected Experiences, die Onlineinhalte herunterladen
Connected Experiences, die das Suchen und Herunterladen von Online-Inhalten, einschließlich Vorlagen, Bildern, 3D-Modellen, Videos und
Referenzmaterialien ermöglichen, um Dokumente zu verbessern, z.B. Office-Vorlagen oder PowerPoint-Schnellstarter.
Weitere Connected Experiences
Connected Experiences, die nicht den beiden oberen Kategorien zugeordnet werden können wie z.B. @-Erwähnungen,
Vertraulichkeitsbezeichnungen oder die Funktion „bald verfügbar“ in Outlook.
optional Connected Experiences
Connected Experiences, die auf anderen Microsoft-Onlinediensten und/oder Diensten von Drittanbietern basieren.
22 Rewion GmbH 17.03.2021Connected Experience - Informationen
Wo werden die Daten gespeichert die im Rahmen der Connected Experience generiert werden?
Diese Frage wird nur teilweise von Microsoft beantwortet. In den Links anbei ist die Information
ersichtlich, wo die Daten gespeichert werden, jedoch nicht für alle Lösungen
▪ https://docs.microsoft.com/en-us/office365/enterprise/o365-data-locations
▪ https://www.microsoft.com/en-us/trust-center/privacy/data-location
▪ https://docs.microsoft.com/en-us/deployoffice/privacy/essential-services
▪ https://docs.microsoft.com/en-us/deployoffice/privacy/required-service-data
23 Rewion GmbH 17.03.2021Security auf der
Microsoft Plattform
24 Rewion GmbH 17.03.2021Übersicht technischer Möglichkeiten
Zugriffsverwaltung –Conditional Based Access
Userauthentifizierung Vertrauensvoller
Sichere Geräte
- MFA „Ort/Land“
Datenfluss / Freigabe
Interne vs. Externe Zusammenarbeit mit Authentifizierung der
Azure RMS*
Freigabe Gästen Gäste
*Die Schutzeinstellungen verbleiben bei Ihren Daten, auch wenn diese die Grenzen Ihrer Organisation verlassen. So bleiben Ihre Inhalte sowohl innerhalb
als auch außerhalb Ihrer Organisation geschützt.
25 Rewion GmbH 17.03.2021MFA Funktionsübersicht 26 Rewion GmbH 17.03.2021
Motivation: Warum MFA und wie?
Warum das Thema MFA? Welche Faktoren werden bei MFA
unterstützt?
• Microsoft Authenticator App
• Hauptproblem: Ist der User auch der,
der er vorgibt zu sein? • OATH Hardware Token
• Passwörter können einfach geklaut • SMS
werden
• Telefonanruf
• Häufiges Passwortändern
problematisch • Passwort
• MFA verbessert die Lage bei diesem
Problem um 99%
Weitere relevante Themen
• Mit dem Endgerät
zusammenhängende Risiken
abhandeln (Conditional Access)
• Loginverhalten von einer
Risikobewertung abhängig machen
(Identity Protection)
27 Rewion GmbH 17.03.2021Self Service Passwort Reset (SSPR)
Übersicht Lizenzierung
• SSPR cloud only: M365 Standard
• Ist sinnvoll, wenn Benutzer ihre
und Premium oder mindestens
Passwörter selbst zurücksetzen
Azure P1
sollen (kein Helpdesk erforderlich)
• SSPR mit On-Premises-Writeback:
• Muss für User aktiviert werden
M365 Premium oder mindestens
• Kontaktinformationen für weitere Azure P1
Faktoren entweder vom
Administrator oder von Benutzer
selbst vor Verlust hinterlegt Wichtige URLs
• Benutzer können gezwungen
werden SSPR bei Registrierung zu
konfigurieren • https://aka.ms/sspr
• Gesonderte Reset-Policys für • https://aka.ms/ssprsetup
Benutzer mit
Administrationsrollen
• Wählbar zwischen einem und
zwei Faktoren
28 Rewion GmbH 17.03.2021Zugriff auf die Unternehmensplattform
(Tenant)
29 Rewion GmbH 17.03.2021Conditional Based Access
Bedingungen für Policy
(Filter für Anwendbarkeit)
• Benutzer- und
Gruppenmitgliedschaft
• IP- bzw. damit gemappte
Standorte
• Gerät und Gerätestatus
• Anwendung
• Azure AD Identity Protection-
Status
• Microsoft Cloud App Security
Bedingung Folge
Lizenzierung
Normal login/MFA
MFA enforced Block Access
• AD Premium P1/P2 oder M365 enabled
Business Premium-Lizenz
erforderlich • MFA ist möglich • Kein Zugriff ohne MFA • Kein Zugriff
(freiwillige Basis)
30 Rewion GmbH 17.03.2021Conditional Access im Detail (Konfiguration)
• Filtern nach
Benutzern und
Gruppen
• Filtern nach
Apps
• Filtern nach IP-
Adressen und
Standorten
• Filtern nach
Gerätezustand
• Filtern nach
Identity
Protection
Status
31 Rewion GmbH 17.03.2021Conditional Access im Detail (What If-Tool)
Testen der Einstellungen
(Simulationslauf)
• Conditional Access Policys können in
einem Simulator auf ihre tatsächliche
Wirkung getestet werden
• Folgende Parameter werden
berücksichtigt:
• Einzelner Benutzer
• Alle oder bestimmte Cloud-Apps
• Die IP-Adresse
• Geräteplattform
• Client-Apps-Bedingung
• Sign-In-Risiko (gemäß Identity
Protection)
32 Rewion GmbH 17.03.2021Microsoft 365 Compliance Center
• Zusammenfassung der Compliance für Microsoft 365-
Umgebung
• Verschiedene Assessments konfigurierbar, das wichtigste
Assessment für die EU ist wohl die DSGVO (GDPR)
• Dashboard gibt Übersicht über den Compliance Score
• Alle Microsoft 365-Applikationen und deren Dokumente
werden miteinbezogen
• Previewfeature bietet Möglichkeit die Anzahl geteilter
Dokumente aufgeschlüsselt nach ihren Sicherheitsklassen
aufzuzeigen
• Über Datenkonnektoren können Daten externer Dienste
angeschlossen und bewertet werden
• Richtlinien der Cloud App Security fließen ebenfalls in das
Assessment ein
33 Rewion GmbH 17.03.2021Security und Compliance mit Teams
Architektur Erste Schritte zur
Absicherung Wechseln ins Teams-Admin-
Center
• Teams ist M365-App
Besuchen von M365 Security
• Teams nutzt SharePoint und
OneDrive als Dateiablage
Center Konfiguration aller Policies
• Teams bringt eigenes Admin
(selbsterklärend)
Center mit (Microsoft Teams
admin center) Empfehlungen in Microsoft
Secure Score analysieren und
• Compliance und Security über
Compliance- und Security-Center umsetzen Erstellen von App-Policies
managebar
• Teams ist über Apps erweiterbar
Safe links, safe attachments
Erweiterte Themen Wechseln in M365
und MFA sind wichtige
Compliance Center
globale Settings
• Advanced und Core eDiscovery
für das Aufklären von
Rechtsfragen Überprüfen der Compliance
Konfigurieren von DLP
gemachter Einstellungen
34 Rewion GmbH 17.03.2021Cloud Policy vs. GPO´s 35 Rewion GmbH 17.03.2021
Inhalte von Richtlinien
Vorschriften Präferenzen Konfiguration
(IT-Sicherheit, Datenschutz, (bsp. Kalenderwochen (funktionsrelevant, bsp.
Compliance) Outlook einblenden) Exchange-Server…)
36 Rewion GmbH 17.03.2021Fazit
Unterschied lokal vs. Cloudansatz
→ Mehr User zentriert (Egal welcher Client)
„Leider“ aktuell von Microsoft nicht gut umgesetzt
Aktuell ist es schwer bzw. fast unmöglich vollumfänglich mit Cloudpolicies zu arbeiten
In der Cloud gibt es aktuell keine
• „Preferences“
• übergreifenden (Windows, Apple, WebApp,…) Konfigurationsmöglichkeiten
• Bestehende Hierarchie technisch (Loopback) nicht abbildbar
• Bestehende Hierarchie organisatorisch nicht abbildbar
• Nur Datenschutzeinstellungen unterstützt
https://docs.microsoft.com/de-de/deployoffice/overview-office-cloud-policy-service
37 Rewion GmbH 17.03.2021Compliance Vorgaben 38 Rewion GmbH 17.03.2021
Wo finde ich die Compliance Vorgaben im
Unternehmen und wen muss ich mit einbeziehen?
Welche Compliance Vorgaben haben Sie und wie
werden diese On-Premise umgesetzt
39 Rewion GmbH 17.03.2021Übersicht
Unternehmensspezifische Gesetzliche Compliance
Compliance Themen Themen
Branchenspezifische
Compliance Themen (Bsp. Kalenderwochen (Aufbewahrungsfristen
Outlook einblenden) GoBD)
40 Rewion GmbH 17.03.2021GoBD
▪ 3 Jahre ▪ 6 Jahre ▪ 10 Jahre ▪ 30 Jahre
Erläuterung Erläuterung Erläuterung Erläuterung
▪ arbeitsrechtliche ▪ nach § 257 (4) 2.HS ▪ nach § 257 (1) 1. HS ▪ Angelegenheiten zu
Unterlagen HGB 6 Jahre HGB 10 Jahre Immobilien
Aufbewahrungs- Aufbewahrungs-
▪ Mitarbeiter ▪ Urteile
pflicht pflicht
Strafrecht ▪ Prozessakten
▪ Geschäftsbriefe - ▪ Geschäftsbriefe,
▪ Standard ohne
nicht bilanzrelevant Buchungsbelege
besondere
oder Bilanzen
Anforderung
Die Aufbewahrungsfrist nach 147 AO beginnt mit dem Schluss des Kalenderjahrs, in dem die letzte Eintragung in das Buch gemacht wurde.
41 Rewion GmbH 17.03.2021Compliance Center 42 Rewion GmbH 17.03.2021
Zusammenfassung
Security auf der Microsoft
Informationssicherheit Compliance Vorgaben
Plattform
Exitstrategie, Notfall &
Zugriffe und Authentifizierung
Schutzbedarf feststellen Backupkonzept (vertrauen
(MFA, Conditional Access)
gegenüber dem Provider
Risiken identifizieren Policies (Lokal vs. cloud)
Risiken bewerten Schnittstellen zur Gesetzliche Vorgaben (GoBD)
Risiken vermindern Clientverwaltung beachten
Zusammenarbeit mit Externen
Klassifizierung der Information (Tenant Settings, Azure RMS, Betriebsrat
Sharing Policies)
Datenschutz und Microsoft 365
▪ Erste Schritte zur DSGVO (Link) ▪ DSGVO-Aktionsplan für Microsoft 365 (Link)
▪ Link zum Service Trust Portal ▪ „Dieses Dokument bietet Ihnen Informationen zu der Einhaltung von Rechten
▪ Infoseite von Microsoft zur DSGVO im Bezug auf O365 (Link) und dem Erfüllen von Verpflichtungen unter der DSGVO, während Sie
▪ Auflistung Kontaktdaten der Datenschutzbeauftragten in den Bundesländern (Link) Microsoft-Produkte und -Dienste verwenden.“ (Link)
43 Rewion GmbH 17.03.2021Nico Ziegler
Business Consultant / Geschäftsführung
+49 7144 160 9840
+49 1762 811 9993
nico.ziegler@rewion.de
www.rewion.de
Besuchen Sie unseren Blog
44
Rewion GmbH Fichtenweg 6 - 71711 Murr - Telefon +49 7144 160 980
Rewion GmbH 17.03.2021Sie können auch lesen
