In einer digitalisierten Wirtschaft zählen die Daten eines Unternehmens zu seinen wertvollsten Assets und verdienen deshalb den bestmöglichen Schutz. Nur liegt es in der Natur der Sache, dass diese Aufgabe nicht ganz trivial ist. Die Wertschöpfung durch Daten definiert sich über deren Nutzung – in einem Tresor eingesperrt sind sie nicht viel wert, sie müssen "aktiv unterwegs" sein, um ihre Wirkung zu entfalten. Folglich müssen auch alle Übertragungswege und Anwendungsszenarien abgesichert werden.
Die passende Strategie zum Schutz ihrer Daten müssen Unternehmen jedoch immer selbst entwickeln. Das beginnt meistens mit einer Datenklassifizierung, bei der Firmen versuchen, zwischen schützenswerten, weniger schützenswerten und nicht schützenswerten Daten zu unterscheiden. Auf dieser Basis sollen dann unterschiedliche Sicherungsstrategien für einzelne Anwendungen, Speicherorte oder Datentypen ausgearbeitet werden.
Das ist ein aufwändiger Weg. Einmal weichen die Vorgaben für solch eine Klassifizierung in einzelnen Ländern möglicherweise stark voneinander ab. Zum Beispiel sind in Schweden Daten zum Einkommen aller Beschäftigten öffentlich einsehbar. In Deutschland wäre das undenkbar. So stieß 2015 ein Vorstoß der damaligen Bundesfamilienministerin auf harsche Ablehnung, die Firmen verpflichten wollte, die Gehaltsgruppen ihrer Beschäftigten anzugeben.
Darüber hinaus kann sich der Status von Daten jederzeit ändern – etwa durch ein Gerichtsurteil. So geschehen etwa 2016, als der EuGH entschied, dass dynamische IP-Adressen unter gewissen Umständen personenbezogene Daten sind.
Umfangreiches Konzept statt Flickenteppich
Ist die Konsequenz dieses Prozesses, unterschiedliche Sicherungsstrategien auszuarbeiten, so erweist sie sich in der Regel schnell als wenig zielführend. Unternehmen schaffen damit Insellösungen, die anschließend ständiger Betreuung, Fachexpertise und Aufmerksamkeit bedürfen. Besser ist es, sich auf ein einheitliches Konzept festzulegen.
Dabei sollten Datensicherheit und Datenschutz nicht nur von den Daten her gedacht werden, sondern auch von den Nutzern. Wer mit einem umfassenden Rechtekonzept den Zugriff auf Daten auf das Notwendige begrenzen kann, der unterbindet nicht nur böswillige Missbrauchsmöglichkeiten, sondern auch unbeabsichtigte Fehler im Umgang mit Daten.
Transparenz über Cloud-Daten erreichen
Was sind die richtigen Personen, Prozessen und Technologien, um Compliance nachweisen? In diesem E-Book erfahren Sie zum Beispiel, womit Sie anfangen sollten.
Letzteres ist kein Einzelfall. Den im Januar 2022 veröffentlichten Ergebnissen einer Umfrage des Speicherherstellers Western Digital zufolge, sind mehr als die Hälfte (55 Prozent) der befragten Verantwortlichen in Deutschland der Auffassung, das Verhalten der Belegschaft stelle eine größere Bedrohung für ihre vertraulichen Daten dar, als externe Hacker. Sie gehen davon aus, dass fast ein Drittel (30 Prozent) aller Datensicherheitsvorfälle ihren Ursprung in den eigenen Reihen haben.
Die International Association of Privacy Professionals geht sogar davon aus, dass über 92 Prozent der Sicherheitsvorfälle und 84 Prozent der Datenlecks unabsichtliche oder versehentliche Fehler von Mitarbeitern sind.
Selbstschutz durch klare Zuständigkeiten
Mehr oder komplexere Regeln sorgen nicht für Abhilfe. Das bessere Mittel dürften klare Strukturen, klare Verantwortlichkeiten und durchgehende, einheitliche Richtlinien sein.
Microsoft arbeitet schon seit Jahren an der Kombination aus Datensicherheit und Datenschutz in seinen Produkten. Ergebnis sind eine konsistente Strategie in Bezug auf Datensicherheit und Datenschutz, ein ineinandergreifendes Produktportfolio und eine hohe Transparenz für die Nutzer.
Das beginnt mit der Aufgabenteilung bei der Cloud-Nutzung. Wie in der Branche üblich, gilt das Konzept der "Shared Responsibility": Um viele Aspekte rund um Datensicherheit und Datenschutz müssen sich Unternehmen aus rechtlichen Gründen selbst kümmern.
Microsoft hat das jedoch am stärksten ausdifferenziert und am klarsten kommuniziert. Unternehmen bekommen dafür von Microsoft in vielen Bereichen die erforderlichen Werkzeuge an die Hand: Entweder bietet Microsoft selbst entsprechende Produkte und Dienste an oder kann auf ein breites Portfolio an zertifizierten Technologiepartnern verweisen.
Foto: Microsoft
Verantwortungsvolle Cloud-Nutzung
Ein zentrales Element der von Microsoft bereitgestellten Produkte ist Azure Information Protection (AIP). Damit lassen sich Dokumente und E-Mails erkennen, klassifizieren und schützen. Mit AIP lassen sich Informationen als vertraulich kennzeichnen oder nach ihrem Grad der Vertraulichkeit und den Aufbewahrungspflichten klassifizieren.
Foto: Microsoft
Microsoft 365 Defender sichert nicht nur Endgeräte, sondern bietet mit der Komponente Microsoft Cloud App Security auch Funktionen eines Cloud Access Security Broker (CASB) – sorgt also für Sicherheit beim Zugriff auf eine Vielzahl an Cloud-Diensten.
Besonders effizient ist das durch das Zusammenspiel mit dem Azure Active Directory – der zeitgemäßen Weiterentwicklung des bekannten Active Directory. Mit Single Sign-On und mehrstufiger Authentifizierung sichert Azure Active Directory die Nutzerkonten – und schließt damit das Einfallstor der allermeisten Cyberangriffe.
Foto: Microsoft
Besonderheit ist die umfangreiche Integration des "bedingten Zugriffs" ("conditional access") in die Überprüfung jedes Anmeldevorgangs. Das bietet Firmen zusätzlich Sicherheit. Vereinfacht gesagt ist dadurch bekannt, wie sich Nutzer "normalerweise" anmelden.
Weicht die Anmeldung ab – erfolgt sie also von einem anderen Gerät, Ort, Zeitraum oder wird kurz hintereinander von weit entfernten Standorten aus Zugriff angefordert – lassen sich weitere Anmeldeinformationen abfragen, der Zugang auf bestimmte Ressourcen begrenzen oder bis auf weiteres verweigern. Die genau Reaktion hängt von den detektierten Gefahrensignalen und den definierten Richtlinien ab.
Vertrauensvolle Grundlagen
All diese Funktionen und Möglichkeiten wären aber nicht viel wert, wenn sie nicht auf einer soliden Grundlage stünden. Unternehmen müssen dem Anbieter grundsätzlich vertrauen können. Diese Transparenz ist für Firmen entscheidend, denn sie erlaubt es ihnen, ihre Maßnahmen und Nutzungsgewohnheiten an den tatsächlichen Gegebenheiten auszurichten – auf globaler als auch auf individueller Ebene.
Um sich dieses Vertrauen zu verdienen, hat Microsoft auf dem Weg in die Cloud den Datenschutz in Windows 10 und Microsoft 365 kontinuierlich gestärkt. Das Ende der Übergangszeit für die DSGVO im Mai 2018 war dafür nicht erst der Anlass, sondern nur ein Meilenstein. Dass im Nachgang das eine oder andere Feintuning erforderlich war, ist ein branchenweites Phänomen und liegt auch an den Auslegungsmöglichkeiten der Regelungen.
Aktuell verpflichtet sich Microsoft dazu, jede Anfrage einer staatlichen Stelle – egal von welcher Regierung – zur Freigabe von Daten anzufechten, wenn es dafür eine rechtliche Grundlage gibt. Außerdem will Microsoft die Nutzer*innen seiner Kunden finanziell entschädigen, wenn ihre Daten aufgrund einer Anfrage einer staatlichen Stelle unter Verletzung der EU-Datenschutz-Grundverordnung (EU-DS-GVO) offengelegt werden müssen. Beide Verpflichtungen gehen weit über die Empfehlungen des Europäischen Datenschutzausschusses hinaus.
Inwieweit Zusagen und Ankündigungen diesbezüglich eingehalten werden, lässt sich bei Microsoft auf mehreren Wegen überprüfen. Ganz im Kleinen – auf Ebene des einzelnen PCs – sorgt der Diagnostic Data Viewer für diese Transparenz. Er zeigt in Echtzeit an, welche Diagnosedaten Microsoft auf Grundlage der ausgewählten Datenschutzoptionen auf einem Gerät erfasst.
Auf der höchsten denkbaren Ebene informiert Microsoft mit seinem Law Enforcement Requests Report darüber, welche Behörden aus welchen Ländern Anfragen zur Preisgabe von Daten gestellt haben. Der Bericht geht bis 2013 zurück und schlüsselt auf, welcher Art diese Anfragen waren und welchem Anteil nachgekommen wurde. Denn jede dieser Anfragen wird von einem umfangreichen Expertenteam auf ihre Berechtigung geprüft.
Dass Microsoft solche Daten nicht leichtfertig herausgibt, hat sich spätestens in den Verfahren mit der US-Regierung gezeigt, bei denen es um Zugriffe auf Daten in Rechenzentren in Irland ging. Microsoft hat dabei die Möglichkeit erstritten, Firmenkunden auch bei Anfragen, die nach US-Recht geheim sind, zumindest über die Anfrage als solche informieren zu können.
In diesem Whitepaper erhalten Sie einen umfassenden Überblick, was Microsoft in Bezug auf Datenschutz und Datensicherheit bei der Nutzung seiner Cloud-Dienste durch Firmen für Möglichkeiten bietet.
Alle Artikel aus Sicherheit
Neue Risiken erfordern neue Antworten. Diese Technologien und Konzepte bringen Sie auf den neuesten Stand.