Der digitale Arbeitsplatz hat mit der Covid-19-Pandemie weiter massiv Auftrieb bekommen. Wer jetzt Microsoft 365 einführen will, muss speziell im Hinblick auf Compliance und Governance einiges beachten. In Teil drei dieser Blogserie befassen wir uns mit den Themen Datenzugriff und Kommunikation. Wie können Unternehmen sicherstellen, dass nur Mitarbeiter auf Daten zugreifen, die das auch dürfen? Mit welchen Endgeräten ist der Zugriff gestattet? Wie lassen sich Externe und Mitarbeiter schnell und sicher einbinden? Und wo sollen – und dürfen – Daten überhaupt gespeichert sein?

Remote Access – Zugriff auf Daten immer und von überall?

Bislang lagen Daten auf den Unternehmensservern, und ein Zugriff darauf erfolgte nur direkt vor Ort über das lokale Netzwerk oder über eine VPN-Verbindung. Mit der Cloud und Microsoft 365 sind Daten jedoch immer und überall erreichbar. Verschiedene Gesetze und Regularien verlangen die Absicherung des Zugriffs auf Daten und IT-Systeme mittels starker Authentifizierung. Darunter ist z. B. die DSGVO, die fordert, dass personenbezogene Daten nach „Stand der Technik“ zu schützen sind. Die schließt die Verarbeitung und den Zugriff auf die Daten ein. Im Kriterienkatalog für Cloud Computing des BSI wird für Cloud-Dienste die Möglichkeit zur Authentifizierung mit zwei oder mehreren Faktoren gefordert. Das New Yorker Financial Services Department, relevant für Finanzdienstleister mit Niederlassungen in den USA, fordert eine Multifaktor-Authentifizierung für Fernzugriffe oder vergleichbare Maßnahmen. Die Sicherheit kann mithilfe risikobasierter Authentifizierung noch weiter erhöht werden. Diese zieht während der Authentifizierung, bevor also der Datenzugriff gestattet wird, zusätzliche Informationen hinzu. Wann und von welchem Standort erfolgte der letzte Log-in? Wie plausibel ist der Zugriffszeitpunkt? Erfolgt die Anmeldung über eine anonyme IP-Adresse? Auf dieser Basis berechnet das System ein Risikoprofil. In Abhängigkeit des gewünschten Zugriffs und des Risikoprofils können dann weitere Maßnahmen eingeleitet werden. Dann muss zum Beispiel zuerst ein neues Passwort erstellt werden, ein Dokument wird nur lesbar im Webbrowser angezeigt, der Zugriff wird nur von bekannten Geräten gestattet oder direkt blockiert. So können Unternehmen den Zugriff auf ihre Daten absichern und erfüllen gesetzliche Vorgaben. Umsetzen lässt sich das zum Beispiel mit Microsoft Azure AD Identity Protection und Conditional Access.

Firmenhandy oder lieber Mobile Application Management?

Mit welchen Geräten sollen Mitarbeiter auf die jederzeit verfügbaren Daten in der Cloud zugreifen? Firmenhandys haben den Nachteil, dass niemand gerne zwei Geräte bei sich trägt. Nutzen Mitarbeiter im Rahmen von Bring-Your-Own-Device schlicht ihr privates Smartphone, können Unternehmen allerdings die Kontrolle über die Daten verlieren. Aus Compliance-Sicht ebenfalls ein untragbarer Zustand. Die Lösung für dieses Dilemma heißt Mobile Application Management (MAM). Hier verwaltet die IT die Unternehmenssoftware auf dem privaten Smartphone, sorgt für die Einhaltung definierter Unternehmensrichtlinien und kontrolliert bzw. verhindert den Austausch betrieblicher Daten zwischen vom Unternehmen freigegebenen und privaten Apps. Wer möchte, kann in die mobile Outlook-Mail-App sowohl private als auch berufliche E-Mails einbinden. Administratoren haben wiederum die Möglichkeit, die beruflichen Mails – und nur diese – aus der Ferne vom Smartphone zu löschen und Sicherheitsrichtlinien durchzusetzen, damit sich berufliche Dokumente nur in einem beruflichen OneDrive abspeichern lassen. Und über Microsoft Intune lässt sich MAM sogar auf private Laptops und Desktop-Computer erweitern.

External Sharing – Daten mit Dienstleistern und Partnern teilen

Unternehmen wollen mit verschiedenen Gruppen außerhalb der eigenen Belegschaft Informationen teilen, zum Beispiel mit Dienstleistern, möglichen Neukunden oder im Falle von Versicherungen z. B. den selbstständigen Maklern. Dienste wie Dropbox erfreuen sich zwar großer Beliebtheit bei den Anwendern, sie sind aus IT- und Compliance-Sicht jedoch schwierig. Mit Azure Active Directory-B2B bietet Microsoft die Möglichkeit, Anwendungen und Dienste eines Unternehmens für Gastbenutzer sicher, schnell und einfach freizugeben, ohne dass das Unternehmen die Kontrolle über die eigenen Unternehmensdaten aufgeben müsste. Und der Eingeladene benötigt noch nicht einmal einen Microsoft-Account oder eine zusätzliche Lizenz. (Anmerkung: Microsoft liefert pro AD-Premiumlizenz fünf rollierende Gastlizenzen mit.) E-Mail-Adresse angeben, den Grund für den Datenaustausch und ein Enddatum, vom Vorgesetzten freigeben lassen, und schon können einzelne Informationen mit dem Gast geteilt oder der Gast zu einem Team hinzugefügt werden. Und läuft ein Projekt anders als geplant, sind die Berechtigungen per Knopfdruck deaktiviert oder verlängert.

Dieser Ansatz bietet für das Unternehmen ein Mindestmaß an Kontrolle und für die Belegschaft ein Maximum an Flexibilität – ein guter Kompromiss also. Der Compliance-Vorteil: Alle Aktionen, die mit Daten ausgeführt werden, bleiben in einem Logfile erhalten. Dafür ist es im Sinne des Datenschutzes allerdings wichtig, gemeinsam mit dem Betriebsrat eine Regelung für die internen Anwender zu formulieren. Für die externen Nutzer gelten die zustimmungspflichtigen Terms of Use, die vertraglichen Aspekte zur Nutzung sowie Intellectual Property Rights, Damages und Datenschutz regeln.

Data residency – wo liegen die Daten richtig?

Daten dürfen nur im Entstehungsland gespeichert werden? Das ist ein Mythos! Nur in wenigen Ländern wie Kanada, China oder der Schweiz gibt es tatsächlich eine entsprechende gesetzliche Vorschrift. Betroffen davon sind in erster Linie Mailboxen und Daten, die in SharePoint Online (SPO) liegen. Aber wie lässt sich diese Vorgabe bei der Nutzung eines Cloud-Dienstes wie Microsoft 365 erfüllen? Um seine Kunden nicht auf Compliance-Glatteis zu führen, betreibt Microsoft inzwischen Rechenzentren rund um den Globus. Mit dem Multi-Geo-Programm können Unternehmen für jede Mailbox und jede SPO-Seite selbst festlegen, in welcher Region bzw. welchem Land diese gespeichert sein soll. Die Heimatregion, in der der Tenant registriert ist, gilt dabei immer als Basis – andere Hosting-Standorte lassen sich pro Anwender kostenpflichtig hinzubuchen.

Compliance-Fluch und Kollaborationssegen: Die Cloud

Früher lagen alle Daten multinationaler Unternehmen in eigenen Rechenzentren und waren physisch getrennt, im Zeitalter der Cloud gibt es diese Grenzen nicht mehr. Daten sind von überall und zu jederzeit erreichbar. Das ist ein großer Vorteil für die Anwender, verbessert die Zusammenarbeit und die Produktivität. Aus Compliance-Sicht stellt dieser einfache Zugriff auf Daten Unternehmen vor große, aber doch bewältigbare Herausforderungen. Gleichzeitig bieten sich neue Möglichkeiten, Compliance-Regeln für alle Informationen im O365 Tenant in der Praxis umzusetzen. Microsoft bietet für viele Szenarien geeignete Instrumente. Der Teufel steckt jedoch, wie so oft, im Detail, der richtigen Konfiguration der Prozesse und der Abstimmung mit der Rechts-, Datenschutz-, Compliance- und IT-Security-Abteilung. Wir sind diesen Weg viele Male mit unseren Kunden gegangen und wissen, wo Fallstricke lauern. Wir lenken Ihr Augenmerk auf die ungeliebten Compliance-Knackpunkte und sorgen dafür, dass Sie sicher ans Ziel kommen.

Lesen Sie auch diese Artikel der Compliance & Governance-Serie:

• Compliance & Governance für Microsoft 365 (Teil 1): Das Avanade Compliance Radar
• Compliance & Governance für Microsoft 365 (Teil 2): Gesetze, regulatorische Anforderungen und Unternehmensrichtlinien
• Compliance & Governance für Microsoft 365 (Teil 4): Data Operations und -Management