Compliance und Sicherheit in Microsoft Office 365

Durch die DSGVO ist das Thema Datenschutz und Sicherheit in aller Munde. Nachdem Clouddienste die letzten Jahre an Akzeptanz gewonnen haben, stellt sich aufgrund der Änderungen im Datenschutz abermals die Frage, ob ein Unternehmen nicht die Richtlinien der DSGVO verletzen würde, wenn es kritische Daten in der Cloud speichert.

Um dem entgegen zu wirken, bietet Microsoft viele neue Dienste, die Kunden nicht nur davon überzeugen sollen, dass die Microsoft Cloud alle DSGVO-Vorgaben erfüllt, sondern um Ihnen auch noch dabei zu helfen, die unternehmerischen Pflichten im Sinne der DSGVO zu erfüllen.

Zu diesen neuen Diensten gehört auch das Microsoft Office 365 Security & Compliance Center. Dieses dient als Zentrale zur Steuerung und Überwachung aller Services, die in Microsoft Office 365 zum Schutz Ihrer Daten zur Verfügung stehen. Dazu zählen Services:

• zur Erkennung und Analyse von Bedrohungen (Threat Management),
• zum Schutz Ihrer Endgeräte (Mobile Device Management) und
• zum Schutz Ihrer Daten (e-Discovery Suche, Data Loss Prevention, Archivierung).

Das Microsoft Office 365 Security & Compliance Center fasst damit einen großen Teil der Security Features zusammen und fungiert als Steuerzentrale für alle sicherheitsrelevanten Einstellungen. Es steht bei allen Microsoft Office 365-Plänen zur Verfügung. Die einzelnen Dienste hängen dann jedoch davon ab, welcher Microsoft Office 365-Plan lizenziert wurde.
 

Der Compliance Manager ist das neueste Compliance Tool in Microsoft Office 365. Er hilft bei der Erfüllung der Anforderungen verschiedenster Datenschutzstandards. Darunter auch die Europäische Datenschutz Grundverordnung, ISO 27001 (Allgemeine Informationssicherheit) und ISO 27018 (Informationssicherheit in der Cloud). Der Compliance Manager ermöglicht dabei eine kontinuierliche Risikoabschätzung der Einstellungen in den einzelnen Diensten. Sowohl für die Abläufe innerhalb der Microsoft Rechenzentren, als auch in der Konfiguration der verschiedensten Dienste auf Kundenseite.

Dazu gibt es zu jeder Anwendung/jedem Service die sogenannten Microsoft Controls und Microsoft Customer Controls. Jedes Control beschreibt eine spezifische Anforderung und wird anhand eines Compliance Scores bewertet und zu einem Gesamtscore für die Anwendung aufsummiert. Diese Gesamtscores werden dann in einem Dashboard übersichtlich dargestellt.

Entscheidend für die Einhaltung jeglicher gesetzlichen Vorgaben ist natürlich der tatsächliche Schutz der Daten vor unerlaubtem Zugriff. Dazu bietet Microsoft Office 365 schon seit Beginn an verschiedenste Funktionen, die laufend erweitert werden. Hier der aktuelle Stand:

• Angefangen von Möglichkeiten, um unerlaubten Zugriff zu verhindern und Benutzerkonten zu schützen, wie Multi-Faktor-Authentifizierung (zusätzliche Authentifizierung mittels SMS-Code, Microsoft Authenticator App) oder IP-Adressen-Einschränkung. Oder der Nachverfolgung von Zugriffsverhalten, wie zum Beispiel der Überwachung von wo Zugriffe erfolgen, so dass Microsoft Office 365 eine Warnung an den Administrator sendet, wenn ein Benutzer von einem Land zugreift, von dem noch nie zugegriffen wurde oder wenn mehrere Male ein falsches Passwort eingegeben wurde.

• Über die Prüfung von eingehenden E-Mails und Attachments auf Viren und Trojaner. Standardmäßig schützt Microsoft Sie bereits vor Phishing und Spam E-Mails und Attachments können nach Dateiformat eingeschränkt und geprüft werden.  Wenn dieser Schutz noch nicht ausreicht, bietet Microsoft auch noch die Advanced Threat Protection. Diese öffnet eingehende E-Mails und Attachments zuerst in einer virtuellen Umgebung im Microsoft Rechenzentrum und prüft, ob ein E-Mail Anhang Schaden am System verursacht. Erst wenn diese Prüfung erfolgreich ist, wird das E-Mail an den Empfänger weitergeleitet.

• Bis hin zu Möglichkeiten die Weitergabe von Daten einzuschränken oder zu verhindern. Dazu bietet Microsoft Office 365 Data Loss Prevention. Damit wird beim Versand von E-Mail oder Dokumenten geprüft, ob darin Informationen enthalten sind, die nicht weitergegeben werden dürfen (z. B.: Kreditkarteninformationen) und verhindert den Versand oder versieht die E-Mails und Dokumente mit Labels. Damit kann auch verhindert werden, dass die Dokumente vom Empfänger an Dritte weitergegeben oder ausgedruckt werden.