So hält der Mittelstand die EU-Datenschutz-Grundverordnung ein
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
So hält der Mittelstand die EU-Datenschutz- Grundverordnung ein
Einleitung Einleitung................................................................................................................................................................................................. 3 Grundwissen EU-DSGVO & Microsofts Rolle.................................................................................................................................. 4-5 Ermitteln: Identifizieren Sie personenbezogene Daten und deren Speicherorte................................................................... 6 Ermitteln: So unterstützen Microsoft-Produkte Ihr DSGVO-Projekt ......................................................................................... 7 Kontrollieren: Steuern der Zugriffe auf personenbezogene Daten........................................................................................... 8 Kontrollieren: So unterstützen Microsoft-Produkte Ihr DSGVO-Projekt................................................................................... 9 Schützen: Schwachstellen und Datenpannen finden und verhindern...................................................................................... 10 Schützen: So unterstützen Microsoft-Produkte Ihr DSGVO-Projekt..........................................................................................11-12 Melden: Datenverstöße schnell melden und Dokumentation verlässlich aufbewahren....................................................... 13 Melden: So unterstützen Microsoft-Produkte Ihr DSGVO-Projekt.............................................................................................14
Michael Kranawetter, Chief Security Advisor
Microsoft Deutschland GmbH
„Die EU-Datenschutz- Um diese Veränderungen umzusetzen, müssen Unterneh-
men eine Voraussetzung erfüllen: Das Top-Management
Grundverordnung hebt den muss sich der GDPR annehmen. Die Unternehmensfüh-
rung muss dafür Sorge tragen, dass das Einhalten der
Datenschutz auf eine neue Vorgaben nicht als reines IT- beziehungsweise Rechts-
Ebene. Unternehmen sollten thema gesehen wird. Denn letztlich können diese beiden
Fachbereiche nur gemeinsam für DSGVO-Konformität
die Regelung als Chance sorgen. Und auch der Aufruf zur Datensparsamkeit muss
aus der Führungsetage kommen: Daten, die man als
begreifen – nicht als Pflicht- Organisation gar nicht erst sammelt, muss man auch nicht
aufwändig schützen.
übung. Zumal IT-Dienste
beim Einhalten der Regelung Letztendlich kann ein erfolgreich absolviertes DSG-
VO-Projekt aber weitaus mehr sein als eine erledigte
tatkräftig unterstützen.“ Pflichtaufgabe: Unternehmen können daraus eine
Geschäftschance machen. Wer die Verordnung einhält,
Am 25. Mai 2018 ist es soweit: Die EU-Daten- gewinnt damit mehr Vertrauen seitens vorhandener und
schutz-Grundverordnung (DSGVO; englisch: General potentieller Kunden. Das Erfüllen der datenschutzrechtli-
Data Protection Regulation, GDPR) wird gültig. Sie soll chen Compliance ist also nicht die Maximal-, sondern die
weltweit neue Maßstäbe setzen für Datenschutzrechte, Minimalforderung an ein DSGVO-Projekt.
Sicherheit und Compliance. In Deutschland ersetzt sie Mein Tipp: Widmen Sie sich dem Projekt „DSGVO“ mit
weitgehend das bislang gültige Bundesdatenschutzge- der gleichen Motivation, mit der Sie auch jede andere
setz. verkaufsfördernde Maßnahme angehen. Dann erzielen
Sie sicherlich ganz andere Resultate als würden Sie sich
Die DSGVO will die Privatsphäre von EU-Bürgern besser ums Erledigen einer unliebsamen Hausaufgabe kümmern.
schützen und wahren. Dazu legt die Verordnung strenge Und wenn Sie Hilfe benötigen rund um die technischen
Anforderungen an die Privatsphäre fest –egal, wo auf der Aspekte der neuen Regelung, dann stehen wir Ihnen mit
Welt Unternehmen Daten übertragen, verarbeiten oder unseren Produkten beziehungsweise mit der Expertise
speichern. Bei Microsoft sind wir der Ansicht, dass das unserer Partner gerne zur Seite. Auf den folgenden Seiten
Recht auf Privatsphäre ein Grundrecht ist, und wir glau- erläutern wir, wie Sie ein DSGVO-Projekt zum Erfolg
ben, dass die EU-DSGVO einen wichtigen Schritt zur Klä- bringen und wie unsere Produkte und Dienste Sie dabei
rung und Wahrnehmung individueller Datenschutzrechte unterstützen.
darstellt. Zugleich ist uns klar, dass die EU-DSGVO für
Organisationen weltweit mit erheblichen Veränderungen
einhergehen wird.Grundwissen EU-DSGVO
& Microsofts Rolle
Im Vordergrund steht natürlich die Frage, was die EU-DSGVO für das eigene Unternehmen
bedeutet. Daher haben wir die wichtigsten Punkte hierzu verständlich formuliert zusam-
mengetragen. Außerdem wollen wir Ihnen unsere Standpunkt nahebringen. Damit Sie wis-
sen, welche Hilfe Sie von uns erwarten können.
Was ist die EU-DSGVO? Was sind die wichtigsten Konzepte der EU-DSGVO?
Die Datenschutz-Grundverordnung der Europäischen Die EU-DSGVO gliedert sich in sechs Grundsätze:
Union (EU-DSGVO) tritt am 25. Mai 2018 in Kraft und ist
eine neue EU-weite Datenschutzverordnung. Sie bietet • Transparenz beim Verarbeiten und Nutzen personenbe-
Einzelpersonen mehr Kontrolle über ihre personenbe- zogener Daten: Einzelpersonen haben ein Recht darauf
zogenen Daten, sorgt für Transparenz über die Nutzung zu wissen, ob eine Organisation ihre personenbezoge-
der Daten und erfordert Sicherheit und Kontrollen zum nen Daten verarbeitet und die Zwecke dieser Verarbei-
Schutz von Daten. tung zu verstehen.
Gilt die EU-DSGVO für mein Unternehmen? • Beschränkung der Verarbeitung personenbezogener
Der Geltungsbereich der EU-DSGVO erfasst alle Unter- Daten auf spezifische, rechtmäßige Zwecke.
nehmen, Behörden, gemeinnützige und andere Organi-
sationen, die Waren und Dienstleistungen an Personen in • Beschränkung beim Sammeln und Speichern personen-
der Europäischen Union (EU) verkaufen beziehungsweise bezogener Daten auf beabsichtigte Zwecke.
Daten von EU-Bürgern erfassen und sammeln. Dabei
spielt es keine Rolle, wo das Unternehmen seinen Sitz hat. • Bürger bekommen das Recht, personenbezogene
Im Gegensatz zu den Datenschutzgesetzen in einigen Daten richtigstellen beziehungsweise löschen zu lassen
anderen Rechtsordnungen gilt die EU-DSGVO für Orga- sowie einen Stopp der weiteren Verarbeitung zu verlan-
nisationen aller Größen und Branchen. International wird gen. Sie können auch der Verwendung ihrer Daten zum
die EU häufig als Vorbild für Datenschutzfragen angese- Direktmarketing ablehnen.
hen, deshalb rechnen wir damit, dass die Konzepte der
EU-DSGVO im Laufe der Zeit auch in anderen Teilen der • Beschränkung der Speicherung personenbezogener
Welt umgesetzt werden. Daten auf den für den vorgesehenen Zweck erforderli-
chen Zeitraum.
• Schutz personenbezogener Daten durch geeignete
Sicherheitsmechanismen. Im Falle eines Datenlecks
müssen Auftragsverarbeiter in der Regel binnen 72
Stunden die zuständigen Behörden informieren.
Darüber hinaus müssen Organisationen unverzüglich
die betroffenen Personen informieren, wenn der
Verstoß ein hohes Risiko für die Rechte und Freiheiten
Einzelner darstellt.Grundwissen EU-DSGVO
& Microsofts Rolle
Für die Verarbeitung personenbezogener Daten fordert geschützt werden. Beispielsweise durch Verschlüsselung.
die DSGVO eine Rechtsgrundlage. Jede Einwilligung zur Und zu guter Letzt müssen alle relevanten Prozesse und
Verarbeitung personenbezogener Daten muss „freiwillig Transaktionen dokumentiert werden. Die DSGVO schreibt
erteilt, spezifisch, nach Aufklärung und eindeutig” sein. an verschiedenen Stellen Transparenz vor, wie sie bisher
Zudem gibt es spezielle Anforderungen für Einwilligungs- unbekannt war.
erklärungen zum Schutz von Kindern im Rahmen der
EU-DSGVO. Jede Organisation muss die Auswirkungen Microsofts Verpflichtung zur EU-DSGVO
der Datenschutzbestimmungen auf Projekte bewerten Als Anbieter von Cloud-Diensten wie Office 365, Dyna-
und bei Bedarf Maßnahmen ergreifen. Es müssen Auf- mics 365, Microsoft Azure, SQL Server oder Enterprise
zeichnungen über Verarbeitungsaktivitäten, Zustimmun- Mobility + Security (EMS) will Microsoft selbst natürlich
gen zur Verarbeitung von Daten und die Einhaltung der konform sein zur DSGVO. In Teilen sind die Verträge
EU-DSGVO geführt werden. schon jetzt DSGVO-konform: Die Verordnung verlangt
von Unternehmen, dass nur die Auftragsverarbeiter
Das Einhalten der EU-DSGVO ist kein einmaliger Vorgang, mit personenbezogen Daten von EU-Bürgern arbeiten
sondern ein fortlaufender Prozess. Verstöße gegen die dürfen, die den Anforderungen rund um das Verarbeiten
Regelung können zu beträchtlichen Geldbußen führen. solcher Daten entsprechen. Im März 2017 hat Microsoft
Um die Einhaltung der EU-DSGVO zu gewährleisten, vertragliche Garantien mit derartigen Zusicherungen
sollten Organisationen eine Kultur der Privatsphäre etab- veröffentlicht.
lieren und allen Mitarbeitern ihre jeweilige Verantwortung
verdeutlichen. Gleichzeitig unterstützt Microsoft seine Kunden aber auch
durch Werkzeuge, damit sich Anwender auf ihr Kernge-
Wie gehe ich ein DSGVO-Projekt am besten an? schäft konzentrieren können – ohne jedes Detail der DS-
Grundsätzlich sollten Unternehmen sich der DSGVO in GVO im Schlaf aufsagen zu müssen. So unterstützen die
vier Schritten nähern: Ermitteln, Kontrollieren, Schüt- verschiedenen Cloud-Angebote wie Azure oder Office
zen, Berichten. Zuerst gilt es zu ermitteln, in welchem 365 Anwender bei jedem der vier beschriebenen Schritte.
Umfang die eigene Organisation beziehungsweise die In den Produkten selbst sind etliche Mechanismen, die
vorhandenen Daten von der Verordnung erfasst sind. Anwendern das Einhalten der DSGVO-Vorgaben erleich-
Das Sicherstellen des rechtmäßigen Umgangs mit diesen tern. Darüber hinaus helfen Tools wie der web-basierte
Daten ist der zweite Schritt. Nur so können die Auskunfts- GDPR Benchmark Unternehmen durch einen Fragenka-
oder Löschansprüche erfüllt werden, die Kunden durch talog, die Techniken und Maßnahmen zu identifizieren,
die Verordnung nun haben. Außerdem müssen die die in ihrer jeweiligen Situation beim Einhalten der DSG-
gespeicherten oder übertragenen Daten bestmöglich VO-Vorgaben helfen.
Erkunden
Verwalten
Schützen
MeldenErmitteln:
Identifizieren Sie personenbezogene Daten
und deren Speicherorte
Der erste Schritt zur EU-DSGVO-Konformität ist die Prüfung, ob die EU-DSGVO für Ihre Or-
ganisation gilt – und falls ja, in welchem Umfang. Beim Ermitteln geht es darum herauszufin-
den, welche Daten Sie haben und wo sie gespeichert sind.
Zuerst ist zu klären, welche „personenbezogene Daten” Überblick zwingend nötig
im Unternehmen gespeichert sind. Mit „personenbezoge- Da Kunden jederzeit erfragen dürfen, welche Daten das
ne Daten“ meint die EU-DSGVO sämtliche Daten, die sich Unternehmen von ihnen wo gespeichert hat, muss das
auf einen identifizierten oder identifizierbaren EU-Bürger Unternehmen genau wissen, wo die Daten liegen. Damit
beziehen. Also beispielsweise Einträge in Kundendaten- sind nicht grobe Angaben wie „im Rechenzentrum“ oder
banken (Namen, Geburtsdaten oder Postanschriften), „in der Cloud“ gemeint. Sondern auch die exakten Speich-
in von Kunden ausgefüllten Feedback-Formularen, in erorte: Liegen die Daten in einer Excel-Tabelle oder doch
E-Mail-Inhalten, in Fotos, in Aufnahmen von Überwa- in der zum SAP-System gehörenden Datenbank?
chungskameras, in Datensätzen zu Treueprogrammen Die notwendige Bestandsaufnahme sollte nicht nur als
oder in HR-Datenbanken. Arbeitet Ihre Organisation mit vorhanden bekannte Daten erfassen. Sondern auch
solchen Daten oder planen Sie, solche Daten zu sammeln, sämtliche Kopien des Datensatzes – also beispielsweise
dann müssen Sie die EU-DSGVO einhalten. Dabei spielt es Excel-Tabellen mit Kundendaten, die per Export aus
keine Rolle, ob Sie die Daten innerhalb der EU speichern. einer Business-Anwendung erstellt. Nur dann kann dem
Die EU-DSGVO gilt auch für Daten, die außerhalb der EU gesetzlich verankerten Löschwunsch Rechnung getragen
gesammelt, verarbeitet oder gespeichert werden, wenn werden.
sie mit EU-Bürgern verknüpft sind.
Am besten bestimmt man nach dem Inventarisieren einen
Mitarbeiter, der als Ansprechpartner für Kunden und
Kollegen dient in Sachen „Speicherort“. Dieser Mitarbeiter
sollte entweder selbst über sämtliche für das Unterneh-
men relevanten Vorgaben informiert sein, oder einen
direkten Draht zur Compliance-Abteilung unterhalten.
Denn trotz in der DSGVO verankertem Recht auf Löschen
müssen Unternehmen die Daten eventuell aufheben. So
gibt es beispielsweise im Finanzsektor Vorschriften zur
Archivierung und der Nachvollziehbarkeit von Transaktio-
nen, die im Fall des Löschens mehr Gewicht haben als die
Datenschutzgrundverordnung.Ermitteln:
So unterstützen Microsoft-Produkte Ihr DSGVO-Projekt
Nachfolgend finden Sie Beispiele für spezifische Maßnahmen, wie Ihnen unsere Cloud-
Dienste und lokal installierte Produkte mit dem ersten Schritt („Erkunden“) des DSGVO-
Projekts helfen können. Microsoft bietet darüber hinaus noch weitere Hilfsmittel, die wir
beziehungsweise einer unserer Partner Ihnen gerne persönlich erläutern.
Azure Microsoft Azure Information Protection unterstützt Sie
Der Microsoft Azure Data Catalog macht Datenquellen beim Identifizieren Ihrer vertraulichen Daten sowie deren
leicht erkennbar und identifizierbar. Der Cloud-Dienst Speicherort. Sie können so beispielsweise vertrauliche
fungiert als Registrierungs- und Erkennungssystem für die Daten intelligent erkennen, wenn Mitarbeiter eine Datei
Datenquellen Ihrer Organisation. Sobald eine Datenquelle oder E-Mail erstellen. Nach der Identifizierung können Sie
im Azure Data Catalog registriert wurde, werden deren die Daten automatisch anhand Ihrer eignen Richtlinien
Metadaten vom Dienst indiziert, sodass Sie ganz einfach klassifizieren und kennzeichnen.
nach sämtlichen Daten suchen können.
Office 365
Dynamics 365 Für Office 365 gibt es diverse Lösungen zum Identifizieren
Dynamics 365 bringt verschiedene, leicht per Dashboard von Daten beziehungsweise zum Regeln der Zugriffe,
zugängliche Funktionen mit, um personenbezogene darunter:
Daten zu erfassen und zu überwachen:
• Data Loss Prevention (DLP) erkennt über 80 häufig
• Einen Assistenten, der Berichte erstellt, ohne dass Sie verwendete sensible Datentypen, darunter Finanz-,
hierzu XML- oder SQL-basierte Abfragen verwenden Patienten- und personenbezogene Informationen.
müssen. • Office 365 eDiscovery durchsucht Postfächer,
• Dashboards in Dynamics 365 verschaffen sofort Über- öffentliche Ordner, Office 365-Gruppen, Microsoft
blick über die im Unternehmen gespeicherten Daten. Teams, SharePoint Online-Sites, One Drive for
• Mit Microsoft Power BI können Sie Daten ermitteln, Business-Sites und Skype for Business-Konversationen.
analysieren und visualisieren Eine Schritt für Schritt-Anleitung erläutert die ersten
Schritte.
Enterprise Mobility + Security (EMS) Suite
SharePoint
Auch Enterprise Mobility + Security hilft Ihnen beim
Entdecken, Kontrollieren und Schützen der personenbe- Mit dem SharePoint Search-Dienst und der Suchfunktion
zogenen Daten in Ihrer Organisation. Dazu gehört auch innerhalb der Anwendung lassen sich personenbezogene
das Aufspüren von blinden Flecken und missbräuchlichen Daten ermitteln. Zum Identifizieren von vertraulichen
Zugriffen auf diese Daten. Inhalten und der Suche nach diesen bietet der SharePoint
Server 2016 die gleichen Funktionen wie Office 365.
Microsoft Cloud App Security verschafft Ihnen vollen
Einblick in die in Ihrem Netzwerk eingesetzten Cloud- Windows und Windows Server
Apps – der Dienst identifiziert über 13.000 Cloud-Anwen- Windows Search findet personenbezogene Daten auf
dungen auf allen Plattformen – und macht die Bewertung Ihrem lokalen Rechner und auf verbundenen Geräten, für
Ihrer Risiken somit erheblich leichter. die Sie über die entsprechenden Zugriffsrechte verfügen.
Um die Treffergenauigkeit von Windows Search zu erhö-
hen, können Sie die Indexierungsoptionen (beispielsweise
das Indexieren von Dateiinhalten) in der Systemsteuerung
konfigurieren.Kontrollieren:
Steuern der Zugriffe auf personenbezogene Daten
Von der DSGVO betroffene Unternehmen müssen sicherstellen, dass sie rechtmäßig mit den
von ihnen verarbeiteten personenbezogenen Daten umgehen. Sie müssen also festlegen,
wie Ihr Unternehmen diese Daten nutzt und wie darauf zugegriffen werden darf.
Die EU-DSGVO gewährt betroffenen Personen – das sind Zur Datensparsamkeit erziehen
die EU-Bürger, auf die sich die jeweiligen Daten bezie- Ganz ohne Technik kommt auch der Ratschlag zur Da-
hen – mehr Kontrolle darüber, wie Organisationen ihre tensparsamkeit aus: Die Unternehmensführung sollte
personenbezogenen Daten erfassen und verwenden. So Mitarbeitern nahelegen, künftig so wenig personenbe-
können betroffene Personen beispielsweise von der jewei- zogene Daten wie möglich zu sammeln. Denn was gar
ligen Organisation verlangen, dass ihre Daten korrigiert nicht erst erfasst oder gespeichert wird, muss später auch
oder aber auch künftig nicht mehr verwende werden nicht geändert, geschützt oder gelöscht werden. Jede
dürfen. In einigen Fällen müssen diese Anträge innerhalb Fachabteilung im Haus sollte bestehende Prozesse dahin-
fester Fristen gestellt werden. gehend prüfen, ob sie wirklich nur die zum Erreichen des
jeweiligen Geschäftsziels notwendigen Daten ermitteln.
Ohne Plan geht es nicht Letztendlich hat es also beinahe jeder Mitarbeiter in der
Um Ihren Verpflichtungen gegenüber betroffenen Perso- Hand, die fortlaufende Konformität zur DSGVO sicher zu
nen nachzukommen, müssen Sie erfassen, welche Art von stellen.
personenbezogenen Daten Ihre Organisation wie und
für welche Zwecke verarbeitet. Der in Schritt 1 ermittelte
Datenbestand ist hierfür unabdingbar. Sind die Datenbe-
stände vollständig erfasst, sollten Sie einen Data-Gover-
nance-Plan entwickeln und umsetzen.
Ein solcher Plan unterstützt Sie beim Festlegen von Richt-
linien, Rollen und Verantwortlichkeiten für den Zugriff, die
Verwaltung und den Einsatz. Beispielsweise kann ein Data
Governance-Plan sicherstellen, dass Ihr Unternehmen die
Anträge betroffener Personen auf Löschung oder Über-
tragung ihrer Daten tatsächlich umsetzt.
Spätestens an dieser Stelle wird also deutlich, dass die
DSGVO nicht nur mit technischen Maßnahmen wie Ver-
schlüsselung oder gar dem Kauf neuer IT-Sicherheits-
komponenten erfüllt werden kann. Vielmehr müssen auch
entsprechende Prozesse unternehmensweit verankert
werden. Es ist also ein Zusammenspiel mehrerer Vertreter
aus verschiedenen Fachabteilungen nötig.Kontrollieren:
So unterstützen Microsoft-Produkte Ihr DSGVO-Projekt
Nachfolgend finden Sie Beispiele für spezifische Maßnahmen, wie Ihnen unsere Cloud-
Dienste und lokal installierte Produkte mit dem zweiten Schritt („Kontrollieren“) des
DSGVO-Projekts helfen können. Microsoft bietet darüber hinaus noch weitere Hilfsmittel,
die wir beziehungsweise einer unserer Partner Ihnen gerne persönlich erläutern.
Microsoft Cloud-Dienste Office 365
Beim Entwickeln unserer Cloud-Dienste legten wir die Office 365 bringt diverse Funktionen mit, die Sie beim
Prinzipien Privacy-by-Design- und Privacy-by-Default Kontrollieren personenbezogener Daten unterstützen:
zugrunde. Zwei Prinzipien, die auch von der EU-Da-
tenschutz-Grundverordnung gefordert werden. Sie • Datenverwaltungsfunktionen im Office 365 Security
bedeuten, dass wir Sicherheitsmechanismen schon beim & Compliance Center unterstützen Sie beim Archivieren
Entwurf der Dienste mit einplanten („by design“) und sie und Verwalten von Inhalten in Exchange Online-Post-
nicht nachträglich anflanschten. „By default“ bedeutet, fächern, SharePoint-Online-Sites und OneDrive for
dass die Sicherheitsmechanismen ab Werk aktiv sind. Business-Speicherorten sowie beim Importieren von
Für bedeutet das: Wenn Sie Ihre Daten Azure, Office 365 Daten in Ihre Office 365-Organisation.
oder Dynamics 365 anvertrauen, bleiben Sie der alleinige • Mithilfe der Aufbewahrungsfunktion in Office 365
Eigentümer. Sie behalten alle Rechte an den Daten, die Sie steuern Sie den Lebenszyklus von E-Mails und
in den Diensten speichern. Dokumenten, indem Sie benötigte Inhalte beibehalten
und andere entfernen, wenn sie nicht mehr benötigt
Wir schützen die in unseren Microsoft Cloud-Diensten werden.
gespeicherten Daten durch strikte Maßnahmen vor uner- • Advanced Data Governance (engl.) hilft durch Machine
laubtem Zugriff. Mehr hierzu im Microsoft Trust Center. Learning, wichtige Daten schneller zu finden und zu
Zu diesen Maßnahmen gehören die Einschränkung des sichern sowie veraltete oder irrelevante Datensätze
Zugangs für Microsoft-Personal und Unterauftragneh- automatisch zu identifizieren und zu entfernen.
mer. Darüber hinaus leiten wir behördliche Anfragen Ihre Dies senkt das Risiko von kompromittierten
Daten betreffend direkt an Sie weiter, sofern dies nicht ge- Unternehmensinhalten.
setzlich verboten ist. Microsoft hat in der Vergangenheit
zudem Versuche von Behörden, solche Anträge offenzu- Enterprise Mobility + Security (EMS)
legen, vor Gericht angefochten. Mithilfe von Azure Information Protection können Sie
Ihre Daten zum Zeitpunkt ihrer Erstellung oder Änderung
Azure klassifizieren und kennzeichnen. Vertrauliche Daten lassen
• Azure Active Directory (Azure AD) ist eine Identitäts- sich so mehrstufig (Verschlüsselung plus Authentifizierung
und Zugriffsverwaltungslösung in der Cloud. Azure plus Zugriffsrechte) schützen. Klassifizierungsbezeich-
AD verwaltet Identitäten und steuert den lokalen Zugriff nungen und Schutz sind persistent, das heißt, sie bleiben
auf Azure und andere Cloud-Ressourcen, Daten und bei den Daten, sodass diese jederzeit identifizierbar und
Anwendungen. Mit der rollenbasierten Zugriffssteue- geschützt sind – unabhängig davon, wo sie gespeichert
rung (Role-Based Access Control, RBAC) regeln Sie den oder mit wem sie geteilt werden.
Zugriff sämtlicher Anwender auf alle von Ihnen genutz-
ten Azure-Ressourcen. Das Zuweisen genau der Rechte, Windows und Windows Server
die Anwender zum Erledigen ihrer Aufgaben benötigen, Die Mustersuchausdrücke und Regeln des Microsoft Data
ist somit kein Problem. Classification Toolkit (engl.) für Windows Server 2012
• Ein Whitepaper erläutert, wie man die Datenklassifizie- R2 unterstützen IT-Fachleute, Auditoren, Buchhalter oder
rung für Azure einsetzt und stellt die Grundsätze hinter Anwälte bei deren jeweiligen Compliance-Aktivitäten.
Datenklassifizierungstechniken, dem Vorgang, der
Terminologie und Implementierung vor.Schützen:
Schwachstellen und Datenpannen finden und verhindern
In Sachen IT-Sicherheit legt die EU-DSGVO die Messlatte hoch: Die Regelung sieht vor, dass
Organisationen geeignete technische (beispielsweise Verschlüsselung) und organisatorische
(beispielsweise Zugriffskontrollen) Maßnahmen ergreifen, um personenbezogene Daten vor
Verlust oder unbefugtem Zugriff oder Offenlegung zu schützen.
Daten droht aus verschiedensten Richtungen Gefahr: Die Cloud als Teil der Problemlösung
von physischem Zugriff durch Unbefugte über böswillige Sehr wahrscheinlich lassen sich diverse der durch die
Mitarbeiter oder versehentlichem Verlust bis hin zu Gap-Analyse zutage geförderten Schwachstellen durch
kriminellen Hackern. Genau wie bei Schritt 1 verlangt eine Migration von Systemen und Anwendungen in die
auch das Schützen der Daten zuerst nach einer Bestands- Cloud beheben. Zum einen, weil Cloud-Rechenzentren in
aufnahme. In diesem Fall geht es um das Bewerten der aller Regel besser gegen alle Arten von Attacken von au-
vorhandenen Schutzmechanismen und deren Abgleich ßen und von innen geschützt sind als lokale Rechenzen-
mit den Anforderungen, die sich aus der DSGVO ergeben tren (on-premise); so ist die physische Sicherheit, zu der
(Gap-Analyse). Diese Analyse und die aus ihr resultieren- unter anderem der Einbruchs- und Brandschutz gehören,
den Schritte muss unbedingt dokumentiert werden, da unserer Rechenzentren auf dem denkbar höchsten Stand.
Aufsichtsbehörden im Fall einer Datenpanne die Strategie Zum anderen, weil beispielsweise die Cloud-Dienste von
des betroffenen Unternehmens prüfen. Gab es keine nach Microsoft bis zum Stichtag im Mai 2018 vollkommen DSG-
den jeweiligen Risiken priorisierte Liste der abzuarbeiten- VO-konform sein werden. Nutzer profitieren also von den
den Punkte, dürfte dies das Bußgeld nach oben treiben. Anstrengungen des Cloud-Anbieters und müssen sich
nicht selbst knietief einarbeiten.
Um die gefundenen Schwachstellen abzudichten, genü-
gen die gängigen Mechanismen wie Passwortvorgaben, Dazu kommen die unseren Produkten und Cloud-Dienste
Installation von Software-Updates, Log-Files oder Ver- eigenen Funktionen, die Ihnen als Anwender die DSG-
schlüsselung von ruhenden beziehungsweise übertrage- VO-Compliance leichter machen.
nen Daten.Schützen: So unterstützen Microsoft-Produkte Ihr DSGVO-Projekt Nachfolgend finden Sie Beispiele für spezifische Maßnahmen, wie Ihnen unsere Cloud-Diens- te und lokal installierte Produkte mit dem dritten Schritt („Schützen“) des DSGVO-Projekts helfen können. Microsoft bietet darüber hinaus noch weitere Hilfsmittel, die wir beziehungs- weise einer unserer Partner Ihnen gerne persönlich erläutern. Azure Dynamics 365 • Das Azure Security Center (ASC) überwacht laufend • Die rollenbasierten Sicherheit in Dynamics 365 passt Ihre Ressourcen und liefert hilfreiche Sicherheits- die Berechtigungen eines Anwenders so an, dass er empfehlungen. ASC bietet integrierte Sicherheitsüber- nur bestimmte Aufgaben erledigen kann. wachung und Richtlinienverwaltung für Ihre Azure- • Die datensatzbasierte Sicherheit in Dynamics 365 Abonnements, hilft beim Erkennen von Bedrohungen, beschränkt den Zugriff auf bestimmte Datensätze. die andernfalls möglicherweise unbemerkt bleiben, • Die Feldsicherheit in Dynamics 365 ermöglicht die und arbeitet gemeinsam mit einem breiten Spektrum Beschränkung des Zugriffs auf bestimmte Felder, an Sicherheitslösungen. wie beispielsweise personenbezogene Informationen. • Die Datenverschlüsselung in Azure sichert Ihre ruhenden und übertragenen Daten. So verschlüsselt die Funktion beispielsweise Ihre Daten automatisch, wenn sie mit der Storage Service Encryption auf Azure Storage geschrieben werden. Darüber hinaus können Sie Azure Disk Encryption verwenden, um Betriebs- systeme und Datenträger zu verschlüsseln, die von virtuellen Windows- und Linux-Computern verwendet werden. • Azure Key Vault schützt Ihre kryptografischen Schlüssel, Zertifikate und Passwörter. Key Vault bedient sich Hard- ware Security Modules (HSMs, Hardware-Sicherheits- module) und ist so konzipiert, dass Sie die Kontrolle über Ihre Schlüssel und damit Ihre Daten beibehalten. Microsoft kann Ihre Schlüssel weder einsehen noch extrahieren. • Microsoft Antimalware für Azure Cloud Services und Virtual Machines ist eine kostenlose Echtzeitschutz- Lösung, die Viren, Spyware und andere Schadsoftware identifizieren und entfernen kann.
Schützen:
So unterstützen Microsoft-Produkte Ihr DSGVO-Projekt
Enterprise Mobility + Security (EMS) Office und Office 365
In den meisten Fällen von Datenschutzverletzung ver- Viele Sicherheitsmechanismen sind ab Werk aktiviert, wie
schaffen sich Angreifer Zugang zum Netzwerk mit schwa- beispielsweise die Verschlüsselung von ruhenden und
chen, standardmäßigen oder gestohlenen Login-Daten. übertragenen Daten durch SharePoint und OneDrive for
Unser Sicherheitsansatz, ein einem risikobasierte Zu- Business. Darüber hinaus helfen noch weitere Funktionen:
gangsberechtigungssystem, beginnt mit dem Identitäts-
schutz an der Haustür. • Advanced Threat Protection (ATP) für Exchange
Online schützt Ihre E-Mails in Echtzeit vor ausgefeilten
• Azure Active Directory (Azure AD) in Enterprise Malware-Angriffen. ATP verhindert auch den Zugriff
Mobility + Security schützt und kontrolliert Identitäten auf vergiftete Attachments oder bösartige Websites
(Nutzerkonten). Mit Azure AD haben Sie eine sichere (Phishing-Seiten).
Identität für den Zugriff auf Tausende von Anwend- • Das Information Rights Management (IRM) schützt
ungen. Azure AD Premium bietet Multi-Factor Authen- vertrauliche Daten in SharePoint Online und Exchange
tication (MFA) und schränkt den Zugriff ja nach Risiko Online, in dem des das Ausdrucken, Weiterleiten,
ein; ermittelt wird das Risiko beispielsweise anhand des Speichern, Bearbeiten und Kopieren durch nicht
Gerätezustands oder des Benutzerstandorts. Azure AD autorisierte Personen unterbindet.
Privileged Identity Management (PIM) hingegen • Mobile Device Management (MDM) für Office 365
ermöglicht unter anderem zeitlich begrenzte sichert und kontrolliert iPhones, iPads, Android-Geräte
Administrator-Zugänge. und Windows-Telefone von Benutzern. Mit MDM lassen
• Azure Information Protection kontrolliert Daten über sich beispielsweise Daten aus der Ferne von einem
deren gesamten Datenlebenszyklus hinweg: Vom Gerät löschen.
Erstellen über das Speichern in Cloud-Diensten oder
lokalen Speichern oder internen sowie externen
Freigaben bis hin zu Maßnahmen bei unerwarteten
Aktivitäten.Melden:
Datenverstöße schnell melden und Dokumentation
verlässlich aufbewahren
Die EU-DSGVO setzt neue Maßstäbe in Transparenz, Rechenschaftspflicht und Dokumenta-
tion. Unternehmen müssen transparenter werden – nicht nur in Bezug auf die Verarbeitung
von personenbezogenen Daten. Sondern auch beim Dokumentieren der Prozesse.
Organisationen, die personenbezogene Daten verarbei- Es muss gemeldet werden
ten, müssen verschiedene Punkte dokumentieren. Dazu Eine der wichtigsten Neuerungen, die durch die DSGVO
gehören die Zwecke der Verarbeitung sowie die Katego- eingeführt wird, ist die Meldepflicht: Kommt es zu einer
rien der verarbeiteten personenbezogenen Daten, die Datenpanne, muss der Verantwortliche diese unverzüg-
Identität von Dritten, mit denen Daten geteilt werden, ob lich der zuständigen Aufsichtsbehörde zu melden; spätes-
(und welche) Drittländer personenbezogene Daten erhal- tens innerhalb 72 Stunden, nachdem ihm die Verletzung
ten und die Rechtsgrundlage für solche Übertragungen, bekannt wurde. Eine Ausnahme gibt es nur, wenn das
organisatorische und technische Sicherheitsmaßnahmen Datenleck wahrscheinlich kein Risiko für die Rechte und
sowie Datenaufbewahrungszeiten für verschiedene Da- Freiheiten natürlicher Personen bedeutet. Erfolgt die Mel-
tensätze. Um die Dokumentation so einfach wie möglich dung an die Aufsichtsbehörde nicht binnen 72 Stunden,
zu halten, empfiehlt sich der Einsatz von Software-Tools muss die betroffene Organisation dies begründen.
für Audits. Diese Anwendungen zeichnen alle Aktionen
rund um die personenbezogenen Daten auf. Sei es das Wichtig ist, dass Unternehmen einen Prozess für diese
Sammeln, der Einsatz oder die Freigabe dieser Daten. „Data Breach Notification“ aufsetzen, üben und auf Funk-
tion überprüfen. Hierzu gehört, dass die Verantwortlich-
keiten zwischen IT, Management, Rechtsabteilung sowie
dem Datenschutzbeauftragten festgeschrieben sind und
Checklisten oder Standardschreiben vorbereitet in der
Schublade liegen. Ohne diese Vorbereitung lassen sich
rechtzeitig keine entsprechenden Meldungen erstellen.
Fehlende Prozesse, sowie Meldungen weit nach den vor-
gegebenen Fristen können zu hohen Bußgeldern führen.Melden:
So unterstützen Microsoft-Produkte Ihr DSGVO-Projekt
Nachfolgend finden Sie Beispiele für spezifische Maßnahmen, wie Ihnen unsere Cloud-
Dienste und lokal installierte Produkte mit dem vierten Schritt („Melden“) des DSGVO-
Projekts helfen können. Microsoft bietet darüber hinaus noch weitere Hilfsmittel, die wir
beziehungsweise einer unserer Partner Ihnen gerne persönlich erläutern.
Azure, Office 365, und Dynamics 365 Office und Office 365
Auf dem Service Trust Portal (engl.) finden Sie umfas- • Mit Office 365-Auditprotokollen überwachen und
sende Informationen, Reports und Nachweise zu den verfolgen Sie Benutzer- und Administratoraktivitäten in
verschiedenen Angebote für Compliance, Sicherheit, Office 365-Arbeitsprozessen. Dies trägt zur frühzeitigen
Privatsphäre und Vertraulichkeit für Azure, Office 365 und Erkennung und Analyse von Sicherheits- und Com-
Dynamics 365. Unabhängige Audit- und GRC- (Gover- pliance-Problemen bei. Das Auditprotokoll gibt Aus-
nance-, Risikomanagement- und Compliance) Bewer- kunft über Aktivitäten wie Uploads auf OneDrive oder
tungsberichte halten Sie darüber auf dem Laufenden, SharePoint Online oder von Benutzern zurückgesetzter
wie Microsoft Cloud-Dienste die für Ihre Organisation Kennwörter. In Exchange Online lassen sich beispiels-
wichtigen Vorgaben erfüllen kann. weise Zugriffe auf ein Postfach von einer anderen
Person als dem Besitzer nachzuvollziehen.
Azure • Mit Customer Lockbox können Sie steuern, wie ein
Mit den Protokollierungs- und Überwachungs- Supporttechniker von Microsoft während einer Hilfe-
funktionen von Azure können Sie: sitzung auf Ihre Daten zugreifen darf. Jede Anfrage hat
eine Ablaufzeit, und sobald das Problem behoben ist,
• ein Protokoll für Anwendungen erstellen, die in Azure wird der Zugriff widerrufen.
und auf virtuellen Computern aus der Azure Virtual
Machines Gallery bereitgestellt werden Enterprise Mobility + Security (EMS)
• große Datensätze zentral analysieren, indem Sie Azure Information Protection erlaubt beispielsweise die
Sicherheitsereignisse aus den „Infrastructure-as-a- Dokumentenverfolgung, mit der Anwender und Adminis-
Service” (IaaS)- und „Platform-as-a-Service” (PaaS)- tratoren Aktivitäten bei freigegebenen Daten überwachen
Angeboten von Azure sammeln Anschließend können und den Zugriff bei unerwarteten Ereignissen widerrufen
Sie diese Ereignisse mit Azure HDInsight aggregieren können. Azure Information Protection kann zudem un-
und analysieren und in die lokalen SIEM-Systeme für strukturierte Daten analysieren, die sich in Dateifreigaben,
die laufende Überwachung exportieren. SharePoint-Websites und Bibliotheken, Online-Reposi-
• Sicherheitswarnungen in lokale SIEM-Systeme torys und Desktop- oder Laptop-Laufwerken befinden.
mithilfe von Azure Diagnostics exportieren. Sie Durch die Analyse lässt sich jedes File anhand seiner
können Azure Diagnostics konfigurieren, um Protokolle Inhalte klassifizieren und markieren.
von Windows-Sicherheitsereignissen und andere
sicherheitsspezifische Protokolle zu sammeln. Windows und Windows Server
Das Windows-Ereignisprotokoll protokolliert Informatio-
Microsoft Azure Monitor zeigt alle Datenüberwachungs- nen über Betriebssystem-, Anwendungs- und Benutzer-
aufgaben von einem zentralen Dashboard aus an und aktivitäten. Administratoren können das Protokollsystem
erlaubt deren Steuerung. Anwender sehen detaillierte, so konfigurieren, dass es beispielsweise detaillierte Benut-
aktuelle Leistungs- und Nutzungsdaten, Zugriff auf das zer- und Anwendungsaktionen einschließlich Zugriff auf
Aktivitätsprotokoll, das jeden API-Aufruf verfolgt, sowie Dateien, Anwendungsnutzung und Richtlinienänderun-
Diagnoseprotokolle, mit denen sie Vorfälle in ihren gen überprüft und diese Informationen an eine zentrale
Azure-Ressourcen verfolgen können. Sammelstelle überträgt.Weiterführende Informationen www.aka.ms/it-sicherheit (Weiterführende Informationen von Microsoft zum Thema Datenschutz und Sicherheit in Ihrem Unternehmen) www.aka.ms/dsgvo (Microsoft Trust Center zum Thema DSGVO) www.aka.ms/DSGVO-SelbstTest (Finden Sie heraus, inwieweit Ihr Unternehmen schon auf die Einhaltung der DSGVO vorbereitet ist) Microsoft Deutschland GmbH Walter-Gropius-Straße 5 80807 München © 2017 Microsoft Corporation. Alle Rechte vorbehalten. Namen und Produkte anderer Firmen können eingetragene Warenzeichen der jeweiligen Rechteinhaber sein.
Sie können auch lesen
