Datenschutz und -Sicherheit: Unternehmen benötigen klare Richtlinien. Es gibt Lösungen, die hierbei unterstützen.

In einer digitalisierten Wirtschaft zählen die Daten eines Unternehmens zu seinen wertvollsten Assets und verdienen deshalb den bestmöglichen Schutz. Nur liegt es in der Natur der Sache, dass diese Aufgabe nicht ganz trivial ist. Die Wertschöpfung durch Daten definiert sich über deren Nutzung – in einem Tresor eingesperrt sind sie nicht viel wert, sie müssen "aktiv unterwegs" sein, um ihre Wirkung zu entfalten. Folglich müssen auch alle Übertragungswege und Anwendungsszenarien abgesichert werden.

Die passende Strategie zum Schutz ihrer Daten müssen Unternehmen jedoch immer selbst entwickeln. Das beginnt meistens mit einer Datenklassifizierung, bei der Firmen versuchen, zwischen schützenswerten, weniger schützenswerten und nicht schützenswerten Daten zu unterscheiden. Auf dieser Basis sollen dann unterschiedliche Sicherungsstrategien für einzelne Anwendungen, Speicherorte oder Datentypen ausgearbeitet werden.

Das ist ein aufwändiger Weg. Einmal weichen die Vorgaben für solch eine Klassifizierung in einzelnen Ländern möglicherweise stark voneinander ab. Zum Beispiel sind in Schweden Daten zum Einkommen aller Beschäftigten öffentlich einsehbar. In Deutschland wäre das undenkbar. So stieß 2015 ein Vorstoß der damaligen Bundesfamilienministerin auf harsche Ablehnung, die Firmen verpflichten wollte, die Gehaltsgruppen ihrer Beschäftigten anzugeben.

Darüber hinaus kann sich der Status von Daten jederzeit ändern – etwa durch ein Gerichtsurteil. So geschehen etwa 2016, als der EuGH entschied, dass dynamische IP-Adressen unter gewissen Umständen personenbezogene Daten sind.

Umfangreiches Konzept statt Flickenteppich

Ist die Konsequenz dieses Prozesses, unterschiedliche Sicherungsstrategien auszuarbeiten, so erweist sie sich in der Regel schnell als wenig zielführend. Unternehmen schaffen damit Insellösungen, die anschließend ständiger Betreuung, Fachexpertise und Aufmerksamkeit bedürfen. Besser ist es, sich auf ein einheitliches Konzept festzulegen.

Dabei sollten Datensicherheit und Datenschutz nicht nur von den Daten her gedacht werden, sondern auch von den Nutzern. Wer mit einem umfassenden Rechtekonzept den Zugriff auf Daten auf das Notwendige begrenzen kann, der unterbindet nicht nur böswillige Missbrauchsmöglichkeiten, sondern auch unbeabsichtigte Fehler im Umgang mit Daten.

Letzteres ist kein Einzelfall. Den im Januar 2022 veröffentlichten Ergebnissen einer Umfrage des Speicherherstellers Western Digital zufolge, sind mehr als die Hälfte (55 Prozent) der befragten Verantwortlichen in Deutschland der Auffassung, das Verhalten der Belegschaft stelle eine größere Bedrohung für ihre vertraulichen Daten dar, als externe Hacker. Sie gehen davon aus, dass fast ein Drittel (30 Prozent) aller Datensicherheitsvorfälle ihren Ursprung in den eigenen Reihen haben.

Die International Association of Privacy Professionals geht sogar davon aus, dass über 92 Prozent der Sicherheitsvorfälle und 84 Prozent der Datenlecks unabsichtliche oder versehentliche Fehler von Mitarbeitern sind.

Selbstschutz durch klare Zuständigkeiten

Mehr oder komplexere Regeln sorgen nicht für Abhilfe. Das bessere Mittel dürften klare Strukturen, klare Verantwortlichkeiten und durchgehende, einheitliche Richtlinien sein.

Microsoft arbeitet schon seit Jahren an der Kombination aus Datensicherheit und Datenschutz in seinen Produkten. Ergebnis sind eine konsistente Strategie in Bezug auf Datensicherheit und Datenschutz, ein ineinandergreifendes Produktportfolio und eine hohe Transparenz für die Nutzer.

Das beginnt mit der Aufgabenteilung bei der Cloud-Nutzung. Wie in der Branche üblich, gilt das Konzept der "Shared Responsibility": Um viele Aspekte rund um Datensicherheit und Datenschutz müssen sich Unternehmen aus rechtlichen Gründen selbst kümmern.

Microsoft hat das jedoch am stärksten ausdifferenziert und am klarsten kommuniziert. Unternehmen bekommen dafür von Microsoft in vielen Bereichen die erforderlichen Werkzeuge an die Hand: Entweder bietet Microsoft selbst entsprechende Produkte und Dienste an oder kann auf ein breites Portfolio an zertifizierten Technologiepartnern verweisen.

Eine klare Regelung der Zuständigkeiten sorgt bei der Cloud-Nutzung dafür, dass keine weißen Flecken entstehen, über die sich andere Schutzmaßnahmen aushebeln lassen könnten.
Foto: Microsoft

Verantwortungsvolle Cloud-Nutzung

Ein zentrales Element der von Microsoft bereitgestellten Produkte ist Azure Information Protection (AIP). Damit lassen sich Dokumente und E-Mails erkennen, klassifizieren und schützen. Mit AIP lassen sich Informationen als vertraulich kennzeichnen oder nach ihrem Grad der Vertraulichkeit und den Aufbewahrungspflichten klassifizieren.

Die Funktionen von Azure Information Protection (obere Reihe) ergänzen bei der Cloud-Nutzung die Möglichkeiten, die Microsoft 365 mit Microsoft Information Protection standardmäßig bereitstellt.
Foto: Microsoft

Microsoft 365 Defender sichert nicht nur Endgeräte, sondern bietet mit der Komponente Microsoft Cloud App Security auch Funktionen eines Cloud Access Security Broker (CASB) – sorgt also für Sicherheit beim Zugriff auf eine Vielzahl an Cloud-Diensten.

Besonders effizient ist das durch das Zusammenspiel mit dem Azure Active Directory – der zeitgemäßen Weiterentwicklung des bekannten Active Directory. Mit Single Sign-On und mehrstufiger Authentifizierung sichert Azure Active Directory die Nutzerkonten – und schließt damit das Einfallstor der allermeisten Cyberangriffe.

Mit dem "bedingten Zugriff" lassen sich Benutzerkonten noch besser und granularer schützen – und gleichzeitig der Aufwand für Anwender minimieren.
Foto: Microsoft

Besonderheit ist die umfangreiche Integration des "bedingten Zugriffs" ("conditional access") in die Überprüfung jedes Anmeldevorgangs. Das bietet Firmen zusätzlich Sicherheit. Vereinfacht gesagt ist dadurch bekannt, wie sich Nutzer "normalerweise" anmelden.

Weicht die Anmeldung ab – erfolgt sie also von einem anderen Gerät, Ort, Zeitraum oder wird kurz hintereinander von weit entfernten Standorten aus Zugriff angefordert – lassen sich weitere Anmeldeinformationen abfragen, der Zugang auf bestimmte Ressourcen begrenzen oder bis auf weiteres verweigern. Die genau Reaktion hängt von den detektierten Gefahrensignalen und den definierten Richtlinien ab.

Vertrauensvolle Grundlagen

All diese Funktionen und Möglichkeiten wären aber nicht viel wert, wenn sie nicht auf einer soliden Grundlage stünden. Unternehmen müssen dem Anbieter grundsätzlich vertrauen können. Diese Transparenz ist für Firmen entscheidend, denn sie erlaubt es ihnen, ihre Maßnahmen und Nutzungsgewohnheiten an den tatsächlichen Gegebenheiten auszurichten – auf globaler als auch auf individueller Ebene.

Um sich dieses Vertrauen zu verdienen, hat Microsoft auf dem Weg in die Cloud den Datenschutz in Windows 10 und Microsoft 365 kontinuierlich gestärkt. Das Ende der Übergangszeit für die DSGVO im Mai 2018 war dafür nicht erst der Anlass, sondern nur ein Meilenstein. Dass im Nachgang das eine oder andere Feintuning erforderlich war, ist ein branchenweites Phänomen und liegt auch an den Auslegungsmöglichkeiten der Regelungen.

Aktuell verpflichtet sich Microsoft dazu, jede Anfrage einer staatlichen Stelle – egal von welcher Regierung – zur Freigabe von Daten anzufechten, wenn es dafür eine rechtliche Grundlage gibt. Außerdem will Microsoft die Nutzer*innen seiner Kunden finanziell entschädigen, wenn ihre Daten aufgrund einer Anfrage einer staatlichen Stelle unter Verletzung der EU-Datenschutz-Grundverordnung (EU-DS-GVO) offengelegt werden müssen. Beide Verpflichtungen gehen weit über die Empfehlungen des Europäischen Datenschutzausschusses hinaus.

Inwieweit Zusagen und Ankündigungen diesbezüglich eingehalten werden, lässt sich bei Microsoft auf mehreren Wegen überprüfen. Ganz im Kleinen – auf Ebene des einzelnen PCs – sorgt der Diagnostic Data Viewer für diese Transparenz. Er zeigt in Echtzeit an, welche Diagnosedaten Microsoft auf Grundlage der ausgewählten Datenschutzoptionen auf einem Gerät erfasst.

Auf der höchsten denkbaren Ebene informiert Microsoft mit seinem Law Enforcement Requests Report darüber, welche Behörden aus welchen Ländern Anfragen zur Preisgabe von Daten gestellt haben. Der Bericht geht bis 2013 zurück und schlüsselt auf, welcher Art diese Anfragen waren und welchem Anteil nachgekommen wurde. Denn jede dieser Anfragen wird von einem umfangreichen Expertenteam auf ihre Berechtigung geprüft.

Dass Microsoft solche Daten nicht leichtfertig herausgibt, hat sich spätestens in den Verfahren mit der US-Regierung gezeigt, bei denen es um Zugriffe auf Daten in Rechenzentren in Irland ging. Microsoft hat dabei die Möglichkeit erstritten, Firmenkunden auch bei Anfragen, die nach US-Recht geheim sind, zumindest über die Anfrage als solche informieren zu können.

In diesem Whitepaper erhalten Sie einen umfassenden Überblick, was Microsoft in Bezug auf Datenschutz und Datensicherheit bei der Nutzung seiner Cloud-Dienste durch Firmen für Möglichkeiten bietet.

Transparenz schaffen

Alle Artikel im Überblick

Drei innovative Szenarien für Azure-Datenbanken

Mit Azure Daten-Services die IT modernisieren

Kein SOC ohne Teamarbeit und Automatisierung

Nur wer seine Daten kennt, kann sie schützen

Vor Ort oder digital – Hauptsache emotional verbunden

Erfolgsfaktoren in der Softwareentwicklung

Mit Cloud-Services intelligente Applikationen erstellen

So gelingt die Doppeltransformation

Keine Nachhaltigkeit ohne fundierte Datenbasis

So stellen sich Firmen in Krisenzeiten zukunftsfähig auf

Damit ein IT-Notfall nicht zur Katastrophe wird

Wie Tools die Wertschöpfung mit Mitarbeitenden fördern

Wie Lieferketten-Management zum Wettbewerbsvorteil wird

KI und Kamera machen den Roboter zum Qualitätsprüfer

So verändern sich Meetings durch hybride Arbeitsmodelle

Neue Vielfalt in der Arbeitsplatzkultur

Wie KMU den Weg zum digitalen Unternehmen finden

Nachhaltigkeit plus Prozessoptimierung plus Kosteneinsparungen

Battery Associates will die Energiewende voranbringen

Vorteile eines digitalen All-in-One-Servicecenter

Microsofts Sustainability Manager schafft Überblick

Das Managed SOC – eine Leitstelle für IT-Sicherheit?

Neue Leichtigkeit in der Anwendungsmodernisierung

Cloud-Sicherheit ist am besten in der Cloud aufgehoben

Neue Ziele für Hacker

Risiken aufspüren und analysieren mit Zero Trust

Daten liefern grüne Antworten

Es kommt auf jeden Einzelnen an

Modernes Arbeiten ist gekommen, um zu bleiben

3 Szenarien, an die Sie sicher noch nicht gedacht haben

Beim Rennen um Low-Code steht Microsoft auf der Pole Position

Mixed Reality wird fester Teil von Geschäftsprozessen

Ein Center of Excellence für die Low-Code-Entwicklung

Unterstützung für Innovationstreiber

Warum Quantencomputer keine Spielerei sind

Das Optimum aus Daten herausholen

Wachsam bleiben – Vorschriften wandeln sich beständig

Viel mehr als eine Cloud-Infrastruktur

Programmieren für die Umwelt

Brücken bauen in Sales und Marketing

Trust wird zur unternehmerischen Grundlage

Warum sich Unternehmen mit Microsoft Azure beschäftigen sollten

Von der lästigen Pflicht zum Innovationstreiber

Wie Unternehmen von der Umstellung auf Remote Development profitieren

Low Code erfordert neue Arbeitskultur

Das Datenverständnis ist bei Machine Learning der Schlüssel zum Erfolg

Wie Cloud Computing die Karten in der Sicherheitsindustrie neu mischt

Citizen Developer mit KI-Anschluss – weniger programmieren, mehr erreichen

So erlangen Sie spielerisch Cloud-Know-how

Wie Microsoft und eine CTO-Community das Eis zwischen den Generationen gebrochen haben

Wie digitales Know-how Generationen und Branchen zusammenbringt

Wertvolle Hilfe beim Schöpfen von Cloud-Mehrwert

Eine Workplace-Infrastruktur für das Cloud-Zeitalter. Macht jeden Wandel mit.

Home-Office mit Familie organisieren – nutzt auch dem Unternehmen

Digitalisierung braucht eine Datenkultur, Use Cases und ein Vorgehensmodell.

Digitaler Smalltalk hält Kunden. Und kann sogar die Vertriebseffizienz steigern.

99,99 Prozent Verfügbarkeit ermöglichen neue Anwendungen.

KI-Services aus der Cloud mit eingebautem Datenschutz. Kann das funktionieren?

Ein neues Verfahren könnte eine der größten Hürden beim KI-Einsatz niederreißen.

Wie CIOs den Weg zur digitalen Transformation ebnen. Ein How-to in 4 Steps

Jetzt testen: Online-Meetings bieten neue Potenziale für Gruppendynamik.

Trifft sich ein Team online, ist die Zeit kostbar. Sorgen Sie für den Fokus

Strategie, Kultur und Verantwortung – die AI Business School unterstützt alle Branchen.

Die Cloud lockt mit Flexibilität, doch ihr wahrer Mehrwert liegt tiefer

Daten, Systeme und Personen – so orchestrieren Sie all diese Player

Wie Monitoring und Kompetenz-Teams im Kampf gegen Verschwendung helfen

Brücke schlagen zwischen Hybrid- und Multi-Cloud-Welt

Zero Trust ist die Basis des New Normal

DSGVO-konforme Nutzung der Microsoft Cloud-Dienste

Wer alles am freien Informationsaustausch mitarbeitet

Was CIOs tun müssen, um Entwickler zu halten und Talente zu gewinnen

Wegbereiter für ein agiles Business: Cloud Native richtig nutzen.

Inner Source ermöglicht Technologiesprung in der Softwareentwicklung

Cloud, Container, Open Source – Knackpunkt bleibt das Plattform-Management

DevSecOps ermöglicht eine sichere Entwicklung - Auch mit Open Source

Heute arbeiten Entwickler bei Microsoft viel autonomer und effizienter

Wie ein radikaler Change den Entwicklern mehr Autonomie bescherte

Big Data vs. Big Brother: Wie Sie ihre digitale Privatsphäre wahren

Datensilos eliminieren für effiziente Analysen mit Microsoft Azure