In meinem MeetUp Vortrag am 18.01.2018 ( Link ) “Microsoft Teams – Security und Compliance” bin ich auf die eine und andere Einstellung eingegangen, welche man konfigurieren sollte, bevor die erste Benutzerlizenz zugewiesen wird.

Hintergrund des Vortrags ist, dass nach der Lizenzzuweisung jeder Endbenutzer sich beliebige Dritthersteller konfigurieren kann, an diese dann unkontrolliert Daten versendet werden können. Im Rahmen einer Sicherheitsbetrachtung und des Datenschutzes, nennt man das auch “unkontrollierter Datenabfluss”. Wenn wir dann noch zusätzlich die ab 25. Mai 2018 bestehende Verpflichtung zur Umsetzung der “Europäischen Datenschutzgrundverordnung” (GDPR / EU-DSGVO) betrachten, ist hier “Handeln” angesagt. Die “General Date Protection Regulation” (kurz GDPR) löst die bestehende Europäische Datenschutzrichtlinie und nationale Datenschutzgesetze ab, dies soll eine in Europa einheitliche Umsetzung der Datenschutzverordnungen sicherstellen und bietet für das eine oder andere Mitgliedsland eine Harmonisierung innerhalb der EU Mitgliedsstaaten.

Grundlage dieser Anforderungen sind unter anderem im Artikel 5 folgende Grundsätze für die Verarbeitung personenbezogener Daten:

Integrität und Vertraulichkeit (“angemessene Sicherheit der personenbezogenen Daten […], einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung”)

Datenminimierung (“dem Zweck angemessen und erheblich sowie auf das […] notwendige Maß beschränkt”)

 

(Quellen: https://de.wikipedia.org/wiki/Datenschutz-Grundverordnung und https://www.eugdpr.org/ )

Nun könnte der eine oder andere sagen, ich verarbeite ja gar keine personenbezogenen Daten… Doch welcher Firmeninhaber oder Geschäftsführer möchte bei einer drohenden Strafe im Millionen Bereich das Risiko eingehen, das nicht doch ein Mitarbeiter unbewusst oder mit Absicht solche Daten im OneDrive for Business speichert? Man bedenke, dass schon die in Excel gepflegte Telefonliste der Kolleginnen / Kollegen darunter fällt.

Umsetzung

Folgende Einstellungen und Konfigurationen dienen als Beispiel zur sogenannten “technischen und organisatorischen Maßnahme”:

Deaktivierung von Drittanbieter in Office 365 Admin Center

 

Folgende Einstellung findet man, wenn man im Admin Portal von Office 365 geht und dann in die Untermenüs à Einstellungen à Dienste und Apps à Microsoft Teams.

Durch die beispielhafte Umsetzung wie im Screen gezeigt, wäre eine technische Umsetzung möglich. Die organisatorische Maßnahme wäre ein zu definierender Prozess, um neue (oder bestehende) Apps zu aktivieren. Hierbei ist zu beachten, dass Drittanbieter eigene AGBs, eigene Datenschutzklauseln und eventuell sogar andere Speicherorte wie Office 365 haben.

Im Gegensatz sieht die zu ändernde Standardeinstellung oft so aus:

 

Zugriffsteuerung bei mobilen Geräten

Naturgemäß haben einige Mobilgeräteanbieter die Eigenschaft im Betriebssystem integriert, dass alle Daten in dem eigenen Cloudspeicher des Anbieters gespeichert werden.
Bei iPhone bzw. iOS ist das die sogenannte iCloud.

Hier kann uns die Konfiguration von “Microsoft Intune” bzw. “Microsoft Intune für Applikationsschutz” unterstützen.
Mann muss nur ein Regelwerk aufstellen, welches unter anderem Die Merkmale enthällt:

  • Gilt für iOS Geräte
  • Speicherung in der iCloud unterbinden
  • Kein Kopieren zwischen nicht Unternehmensapps erzwingen

Ähnlich wie im folgenden Bild dargestellt:

Aber auch für Windows 10 Geräte kann man hierfür Einstellungen durchführen:

 

Das sind meiner Meinung nach minimalistische Einstellungen (“3 Klicki Bunti Haken”) mit einem großen Effekt.

Ich bin mir sicher, dass ICH vor dem Gerät sitze

 

Schön das wir nun die Applikation in die Schranken gewiesen haben, doch wie sieht es mit dem Gerät aus? Wir wollen sichergehen, dass auch nur die berechtigte Person an dem Gerät die Applikation öffnet.

Dazu erstellen wir eine Applikationsrichtlinie, in der wir sicher stellen, dass der Benutzer sich zusätzlich mit einer Multi Faktor Authentifizierung (MFA) authentifizieren und autorisieren muss.

Innerhalb des Azure Portals nach “Intune” suchen und öffnen.

 

 

Im Menu “Bedingter Zugriff” à “Richtlinien” eine neue Richtlinie hinzufügen.

Es werden folgende Konfigurationen umgesetzt:

  • Gültigkeitsbereich: Alle Benutzer
  • Applikation: Microsoft Teams
  • Zu nutzende Geräteplattform: Android, iOS, macOS
  • Zugriffskontroller: Multi Faktor Authentifizierung erzwingen

Dies kann man mit beliebigen Applikationen und Geräteplattformen definieren, je nach gewünschter oder erforderlicher Sicherheitsanforderung.

 

 

Meine Daten kann nur ich lesen

 

Eine weitere generelle Maßnahme wäre die Inhaltsdatenverschlüsselung. Dies wird über Azure RMS (Rights Management Services) möglich, welches inzwischen integraler Bestandteil von AIP (Azure Information Protection) ist. AIP ist deswegen auch interessant, da es in der höchsten Lizenzform P2 auch die Automatisierung anbietet. Das bedeutet, mit der jeweiligen Einstellung können z.B. Dokumente auf einem FileShare oder in einem SharePoint automatisch basierend auf Richtlinien verschlüsselt werden, ohne das der Endbenutzer dies aktiv anstoßen muss.

Aber der Endbenutzer hat auch heute schon die Möglichkeit, mit wenigen Mausklicks zu entscheiden, das ein Dokumenteninhalt nicht anderen Personen zur Verfügung steht.

Dies ist das Dialogfeld des aktuellen (Preview) AIP Clients mit den jeweiligen AIP basierten Richtlinien bzw. Klassifizierungen. Wenn ich die eine oder andere Klassifizierung auswähle wird eine der hinterlegten Regeln ausgeführt. Bei einer starken Klassifizierung könnte dies auch eine sofortige lokale Verschlüsselung beim nächsten Speichern des Dokuments heißen. Die Verschlüsselungsvorlagen findet man auch im Dokumentenmenu

Doch dann muss der Endbenutzer selbsttätig entscheiden, welches RMS Template jetzt das Richtige ist. Oft eine Aufgabe mit weitreichenden Konsequenzen.

 

Zusammenfassung

 

Zusammenfassend ist nur noch zu sagen, dass mit der Microsoft Office 365 Lizenz “EMS E5” (Enterprise Mobility und Security) alle Funktionen zur Verfügung gestellt werden um Applikationen und Daten wie auch Dateninhalte vor unberechtigten Zugriffen oder Datenabflüssen zu schützen.

 

 

 

The short URL of the present article is: https://wp.me/p1MQAv-1bw

Filed under: others