Datensicherheit in der Cloud mit Microsoft 365

Mit den Ereignissen des vergangenen Jahres hat die Cloud noch einmal an Attraktivität gewonnen: Um Mitarbeitern jetzt und auch in Zukunft flexibles Arbeiten von unterschiedlichen Standorten aus ermöglichen zu können, setzen viele Unternehmen auf Microsoft 365 (M365). Worauf es bei der M365-Einführung zu achten gilt, und was im laufenden Betrieb wichtig ist, das behandeln wir in unserer Blogserie, die hiermit in die fünfte und vorerst letzte Runde geht. Heute befassen wir uns mit „Datensicherheit und Datenschutz“.

Data Resiliency

Ganz gleich, ob im eigenen Rechenzentrum oder in die Cloud: Unternehmen haben dafür zu sorgen, dass Daten nicht in falsche Hände geraten, dass sie nicht unbemerkt verändert wurden und jederzeit verfügbar sind – das sogenannte CIA-Prinzip: Confidentiality, Integrity, Availability. Das bedeutet zunächst einmal Zugangskontrollen für das Rechenzentrum und Zugriffskontrolle für den Datenzugriff. Für das physische Absichern des Rechenzentrums ist bei M365 Microsoft zuständig. Die logische Zugriffskontrolle auf die Daten jedoch bleibt auch in der Cloud im eigenen Verantwortungsbereich. Verschlüsselung ist in diesem Zusammenhang ein wichtiges und in der Cloud obligatorisches Thema. Dafür stehen verschiedene Möglichkeiten zur Verfügung, die vor einer Migration zu M365 genau zu analysieren und abzuwägen sind. Hier bietet Microsoft diverse Möglichkeiten und Schlüsselarten an. Beim sogenannten Microsoft Managed Key läuft das über einen Schlüssel, der von Microsoft generiert wird. Es gibt aber auch andere Verfahren, die dem Kunden mehr Kontrolle über den Schlüssel geben: „Bring your own key“ zum Beispiel, wenn Unternehmen ihren Schlüssel selbst generieren und verschlüsselt in Azure Key Vault zu Microsoft hochladen. Noch restriktiver ist das „Hold your own key“-Prinzip, bei dem der Schlüssel immer beim Unternehmen selbst bleibt. Das mag ein Plus an Kontrolle und an Datensicherheit sein, es verhindert allerdings die durchgängige Integration von M365, weil ohne automatische Entschlüsselung durch den M365-Service kein Datenaustausch und keine Services im Hintergrund möglich sind, z. B. Bearbeitung der Daten im Browser, gemeinsames Arbeiten an Dokumenten oder SharePoint Online-Funktionalitäten.

Weil Unternehmen aber beides brauchen – den Schutz ihrer Kronjuwelen und digital durchgängige Systeme – hat Microsoft das HYOK-Verfahren zu einem neuen Verfahren namens Double Key Encryption (DKE) überarbeitet. Da das Produkt noch relativ jung ist und auch einige Limitierungen mit sich bringt, sollten Unternehmen, die sich gerade mit dem Thema befassen, deshalb unbedingt den Rat von praxiserfahrenen Fachexperten hinzuziehen; denn es braucht Erfahrung, um die Verschlüsselung und Authentifizierung reibungslos aufzusetzen.

Die Zugriffskontrolle dient auch der Integrität der Daten, für die Unternehmen Sorge tragen müssen: dass Daten korrekt sind und nicht unbefugt verändert werden können.

Um die Verfügbarkeit der Daten, Availability, müssen sich Unternehmen auch in der Cloud selbst kümmern. Hinsichtlich Business Continuity und Disaster Recovery bietet Microsoft gute Standardfunktionalitäten an. Es ist aber immer zu prüfen, ob diese den eigenen Bedürfnissen und ggf. auch den Vorgaben von Regulierungsbehörden etc. entsprechen. Hinzu kommen Fragen rund um Mobile Device Protection und natürlich eine stabile Anbindung des Unternehmens ans öffentliche Internet an jedem Standort. Denn ohne Internet funktioniert in der Cloud gar nichts.

Information Classification

Mithilfe von Microsoft und der Cloud können Unternehmen heute endlich das in die Tat umsetzen, was zu oft auf die lange Bank geschoben wurde: Daten so klassifizieren, dass die Zugriffskontrolle in den Dateien selbst hinterlegt ist. Dafür braucht es ein mehrstufiges Klassifizierungskonzept, das alle Vertraulichkeitsstufen von Daten im Unternehmen abdeckt, etwa „public – internal – confidential – highly confidential“. Wie das Konzept genau umgesetzt wird, ist das Ergebnis einer individuellen Analyse, denn gefragt ist eine Lösung, die wirklich genau passt: So viel Einschränkungen wie nötig und so viel Freiheit wie möglich, lautet die Devise. Mit der Klassifizierung lässt sich präzise festlegen, was welcher Mitarbeiter oder auch externer Partner mit welchen Dateien tun darf. Beispielsweise Dokumente öffnen und lesen, aber nicht ausdrucken, speichern oder weitersenden. Hier offenbaren die Cloud und M365 einen ganz erheblichen Vorteil gegenüber der alten On-Premise-Welt: Früher waren per E-Mail gesendete Dateien der Kontrolle des Absenders für immer entzogen. Mit M365 lässt sich heute dafür sorgen, dass Daten mit einer bestimmten Vertraulichkeit nur gemäß dem vorgesehenen Zweck und vom vorgesehenen Empfänger genutzt werden können. In der Cloud ist es auch möglich, Berechtigungen für die Datenverwendung zeitlich zu befristen oder per Mausklick zurückzuziehen. Jedes Mal, wenn jemand die Datei öffnet, prüft das System seinen aktuellen Berechtigungsstatus. Das gilt selbst dann, wenn der Anwender die Datei lokal auf der Festplatte seines Rechners gespeichert hat.

Was technisch vergleichsweise simpel ist, erweist sich auf der Planungsebene in der Regel als Herkulesaufgabe, die mehrere Monate dauern kann: Für eine Lösung, die im gesamten Unternehmen umsetzbar ist und von allen Ebenen getragen wird, sind zahlreiche Planungs- und Abstimmungsrunden notwendig. Zudem ist auch der Aufwand für ein professionelles Change Management nicht zu unterschätzen. Die Mitarbeiter müssen das Klassifizierungssystem und die daraus resultierenden Folgen verstehen – und sie müssen bereit sein, verantwortungsvoll mit diesem System umzugehen.

Data Loss Prevention

Um branchenspezifische Vorschriften und Regularien einzuhalten, müssen Organisationen vertrauliche Daten schützen und verhindern, dass diese gewollt oder ungewollt durch interne Mitarbeiter in die falschen Hände kommen. So gibt es allein über 100 verschiedene Standardmuster, die der Beschreibung diverser Daten bzw. Informationstypen dienen – z. B. Personalausweisnummern, Kreditkartennummer, Kontodaten, Sozialversicherungsnummern, personenbezogenen Daten etc. Sobald das System solche Daten erkennt, greifen automatisch bestimmte Sicherheitsmaßnahmen wie Tooltips und Berechtigungen bis zum Verhindern eines E-Mail-Versands.

Backup & Restore

Datensicherung und Datenwiederherstellung werden für Unternehmen in der Microsoft-Cloud erheblich einfacher. Ein Backup im eigentlichen Sinne ist meist nicht erforderlich, weil Microsoft automatisch für die Datenverfügbarkeit sorgt. Darüber hinaus gibt es bei M365 je nach Datentyp fest definierbare oder frei konfigurierbare Zeiträume, in denen sich Daten zurückholen lassen. So können gelöschte Daten von SharePoint Online grundsätzlich 93 Tage lang wiederhergestellt werden. Bei Exchange Online, also im Falle von E-Mails, ist es möglich, diese Frist individuell festzulegen. Gelten für Daten bestimmte Aufbewahrungsfristen, etwa weil sie steuerrelevant sind, so lassen sich diese für die Dauer der Aufbewahrung gegen Löschen und auch Veränderungen sperren.

Vielen Unternehmen reichen die Mechanismen, die Microsoft standardmäßig mitliefert, völlig aus. Wer weitergehen möchte, kann klassische Backups seiner in der Cloud liegenden Daten durchführen – entweder in eine andere Cloud oder On-Premises, beispielsweise mit Drittanbieter-Lösungen, die allerdings in der Regel recht kostspielig sind. Unternehmen sollten deshalb genau abwägen, was sie wirklich brauchen, denn ein eigenes Backup & Restore-Konzept, zusätzlich zum Microsoft-Standard, frisst einen großen Teil der aus der Cloud resultierenden Kostenvorteile wieder auf.

Sinnvoll kann ein solcher Ansatz dann sein, wenn Unternehmen von vornherein eine Exit-Strategie für die Cloud implementieren wollen oder müssen, um später eine komplexe und langwierige Migration zu vermeiden.

Erfahrung zählt

Die Verantwortung für den Umgang mit den eigenen Daten und die daraus resultierenden Sicherheitsfragen bleiben Unternehmen also auch in der Cloud erhalten. Zwar lässt sich manch technische Konfiguration auch in großen Unternehmen innerhalb von zwei Tagen realisieren oder einzelne Bereiche in wenigen Wochen planen. Für die strategisch-administrativen Vorbereitungen sollte man durchaus mehrere Monate einplanen. Um schnell ans Ziel zu kommen, Compliance- und Governance-Anforderungen stichhaltig zu erfüllen und um für sich das Beste aus M365 herauszuholen, sollten Unternehmen deshalb unbedingt spezialisierte, praxiserfahrene Berater ins Boot holen.

Lesen Sie auch diese Artikel der Compliance & Governance-Serie:

• Compliance & Governance für Microsoft 365 (Teil 1): Das Avanade Compliance Radar
• Compliance & Governance für Microsoft 365 (Teil 2): Gesetze, regulatorische Anforderungen und Unternehmensrichtlinien
• Compliance & Governance für Microsoft 365 (Teil 3): Auf der sicheren Seite - Datenzugriff und Kommunikation
• Compliance & Governance für Microsoft 365 (Teil 4): Data & Operations Management