Datenschutz und Verschlüsselung in Microsoft Teams
Für Unternehmen, Abteilungen, Projektgruppen, Schulen, Organisationen und auch Vereine hat sich Microsoft Teams mittlerweile zum zentralen Ort für die Zusammenarbeit in Microsoft 365 entwickelt. Hier bündelt Microsoft alle Funktionalitäten und Anwendungen, die Sie für Ihren Online-Arbeitsalltag benötigen. Doch das Thema Sicherheit und Datenschutz wurde in den letzten Wochen und Monaten immer wieder intensiv diskutiert.
Wir haben uns genauer angeschaut, wie Microsoft die Unternehmensdaten der Kundinnen und Kunden schützt und geben fünf Tipps, wie Sie im Unternehmen ohne großen Zeitaufwand für mehr Sicherheit und Datenschutz in Microsoft Teams sorgen können.
Inhalt
- Dateien und Metadaten – so (un-) sicher sind Ihre Informationen in Microsoft Teams
- Personenbezogene Daten in Microsoft Teams
- Der Speicherort von Dateien in Microsoft Teams
- Geografischer Speicherort Ihrer Daten
- Der Zeitraum der Speicherung Ihrer Daten
- So verschlüsselt Microsoft Ihre Daten
- Der „Verfügbarkeitsschlüssel“ – praktisch und problematisch zugleich
- Double Key Encryption
- Beachten Sie die amerikanische Gesetzgebung
- Personenbezogene Daten in Microsoft Teams
- 5 einfache Tipps für Admins, um Microsoft Teams sicherer zu machen
- Fazit
Dateien und Metadaten – so (un-) sicher sind Ihre Informationen in Microsoft Teams
Microsoft Teams speichert die Dateien, die Sie hochladen, aber auch zahlreiche Meta-Informationen und personenbezogene Daten. Im folgenden Abschnitt erfahren Sie die Details.
Personenbezogene Daten in Microsoft Teams
Bei der täglichen Nutzung von Microsoft Teams fallen einige Daten an. Das sind offensichtliche Dinge wie Ihre Profildaten mit E-Mail-Adresse und – falls angegeben – Profilbild und Telefonnummer. Hinzu kommen Video- und Audio-Dateien wie Voicemails oder Aufzeichnungen sowie Informationen, die sie beim Chatten, während einer Konferenz oder in privaten Nachrichten weitergeben. Aber selbstverständlich auch Dateien, die Sie für sich privat oder zur gemeinsamen Bearbeitung in Ihrem Team ablegen. Wer Admin-Rechte in Microsoft Teams hat, kann mithilfe des Verwendungsberichts Nutzungsanalysen einsehen.
All diese personenbezogenen Daten werden von Microsoft gespeichert und sowohl bei der Übertragung zwischen verschiedenen Geräten, Nutzerinnen und Nutzern oder den Rechenzentren als auch bei der Ablage im Rechenzentrum mit Standardtechnologien verschlüsselt.
Der Speicherort von Dateien in Microsoft Teams
Dateien, die bereits in den Microsoft-Rechenzentren „ruhen“, werden je nach Inhaltstyp an unterschiedlichen Orten gespeichert. Der Speicherort für Dateien, die Sie in einem privaten Chat oder einem Chat während einer Besprechung oder eines Anrufs freigeben, ist zum Beispiel OneDrive for Business. Team-Dateien, die jemand in einem Kanal freigibt, werden dagegen in SharePoint aufbewahrt. Wer genau wissen möchte, wo die eigenen Dateien abgelegt werden, erhält in der Microsoft-Dokumentation „Speicherort von Daten in Microsoft Teams“ ausführliche Informationen.
Geografischer Speicherort Ihrer Daten
Geografisch betrachtet werden die Daten in der Region abgelegt, der Ihr Unternehmen zugeordnet ist. In Australien, Kanada, Frankreich, Deutschland, Indien, Japan, Südafrika, Südkorea, der Schweiz (einschließlich Liechtenstein), sowie den Regionen Vereinigte Arabische Emirate, Großbritannien, Amerika, APAC und EMEA befindet sich der Speicherort für Unternehmensdaten innerhalb des jeweiligen Landes beziehungsweise der jeweiligen Region.
Allerdings erwähnt Microsoft auch, dass „Data Residency“ zurzeit (Stand 11/2021) nur für neue Unternehmenskunden, die bisher noch keine Microsoft-Teams-Lizenz hatten, angeboten wird. Das heißt für bestehende Lizenzen aus Deutschland, Liechtenstein und der Schweiz, dass die Daten irgendwo in der Region EMEA (Europa-Arabien-Afrika) gespeichert werden. Mit einem Antrag bei Microsoft können Sie die Migration zu Office-365-Diensten in den seit Dezember 2019 verfügbaren deutschen Rechenzentrumsregionen anfordern.
Der Zeitraum der Speicherung Ihrer Daten
Gespeichert werden die Unternehmensdaten, solange keine anderweitige Anpassung vorliegt, bis das Unternehmen beziehungsweise die Benutzerin oder der Benutzer den Einsatz von Microsoft Teams beendet. Nach der Kündigung und der Beendung der Verwendung werden die Daten innerhalb von 90 und 180 Tagen gelöscht. Werden personenbezogene Daten explizit durch Administratoren oder Benutzer und eine Benutzerin entfernt, werden die Kopien dieser Daten von Microsoft innerhalb von 30 Tagen gelöscht.
So verschlüsselt Microsoft Ihre Daten
Bei der Übertragung der Daten zwischen den einzelnen Geräten der Nutzerinnen und Nutzer und der Rechenzentren von Microsoft kommen Transport Layer Security (TLS) und Secure Real-time Transport Protocol (SRTP) zum Einsatz.
Im Ruhezustand werden Ihre Unternehmensdaten in den Microsoft-Enterprise-Clouds mit der Microsoft-eigenen Verschlüsselungslösung BitLocker und dem Distributed Key Manager (DKM) standardmäßig geschützt. Durch BitLocker werden die in SharePoint Online oder OneDrive for Business abgelegten Daten mit einem oder mehreren Advanced Encryption Standard (AES) 256-Bit-Keys verschlüsselt.
Der Distributed Key Manager (DKM) sorgt dafür, dass nur berechtigte Personen Zugriff auf den Schlüssel zum Kodieren und Enkodieren von mit dem DKM unverständlich gemachte Informationen haben. Hinzu kommen sogenannte Kundenschlüssel (Customer Keys) und Service-Schlüssel (Service Keys). Der Service Key unterstützt Microsoft-Nutzerinnen und -Nutzer bei der Erfüllung Compliance-Vereinbarungen. Die Schlüssel und Kundendaten werden getrennt voneinander an verschiedenen Speicherorten aufbewahrt.
Der „Verfügbarkeitsschlüssel“ – praktisch und problematisch zugleich
Zusätzlich dazu gibt es einen Verfügbarkeitsschlüssel (Availability Key), der im Falle des Verlusts des von Ihnen verwalteten Stammschlüssels oder der Kontrolle über diese Root Keys eine Wiederherstellung möglich macht. Verlieren Sie Ihren Root-Schlüssel, können Sie sich an den Microsoft-Support wenden. Dem Support-Team von Microsoft ist es mithilfe des Availability Keys möglich, die Wiederherstellung einzuleiten. Das geht nur, weil Microsoft immer einen Schlüssel – und somit Zugriff auf Ihren Daten – hat. Dessen sollten Sie sich stets bewusst sein.
Double Key Encryption
Anfang 2021 hat Microsoft Double Key Encryption eingeführt. Hier haben Unternehmenskunden die alleinige Kontrolle über die Verschlüsselungsschlüssel. Da Microsoft selbst nicht mehr auf die Schlüssel zugreifen kann, kann das Unternehmen auch keine Daten einsehen. Natürlich schützt das Double Key-Verfahren auch gegen Zugriffe durch Mitarbeiterinnen und Mitarbeiter des Unternehmens Microsoft selbst. Ob nun mit böser Absicht oder durch einen Fehler – auch wenn Dateien in falsche Hände geraten, sind sie völlig unbrauchbar. Es besteht somit keine Gefahr für die Datensicherheit.
Doch auch hier gibt es Einschränken, vor allem was die unterstützten Dateiformate und Plattformen betrifft, wie Sie im Artikel „Azure Information Protection (AIP) und Boxcryptor – Sicherheit und Anwendung im Vergleich“ nachlesen können.
Beachten Sie die amerikanische Gesetzgebung
Als Antwort auf die Frage „Welche Drittanbieter haben Zugriff auf personenbezogene Daten?“ erwähnt Microsoft Strafverfolgungsbehörden, die Microsoft gegebenenfalls verpflichten können, personenbezogene Daten herauszugeben. Microsoft gibt weiter an, dass sie „den Kunden unverzüglich darüber informieren und eine Kopie der Forderung aushändigen, es sei denn, dies ist gesetzlich untersagt.“
Microsoft bezieht sich mit diesem letzten Nebensatz auf den amerikanischen CLOUD-Act. Dem zufolge können Strafverfolgungsbehörden vergleichsweise unkompliziert die Herausgabe von Daten anfordern. Das Gesetz erlaubt es außerdem, dem Cloud-Anbieter zu untersagen, die jeweilige Nutzerin oder den Nutzer über eine derartige Anfrage zu informieren.
Weitere Informationen zum CLOUD Act haben wir hier für Sie zusammengestellt. Ausführliche Informationen von Microsoft finden Sie unter „Verschlüsselung in der Microsoft-Cloud“ und „Welche Drittanbieter haben Zugriff auf personenbezogene Daten?“.
Im Folgenden möchten wir Ihnen 5 einfach umzusetzende Tipps geben, mit denen Sie die Sicherheit Ihrer personenbezogenen und unternehmenskritischen Daten in Microsoft Teams erhöhen können.
5 einfache Tipps für Admins, um Microsoft Teams sicherer zu machen
1. Einstellungen im Admin Center überprüfen
Einstellungsmöglichkeiten für die Sicherheit, Compliance und den Schutz der sensiblen Unternehmensdaten der gesamten Organisation finden Sie im „Admin Center“ von Microsoft Teams.
Hier können Sie Einstellungen vornehmen, damit Microsoft Teams den individuellen Anforderungen Ihres Unternehmens gerecht wird. Beispielsweise können Sie einen externen Zugriff oder Gastzugriff erstellen, der externen Personen ermöglicht, mit Ihrem Unternehmen in Microsoft Teams zusammenzuarbeiten. Außerdem kann die Chat-Funktion für bestimmte Nutzergruppen eingeschränkt oder Einstellungen, ob der Zugriff auf Dateien aus externe Cloud-Speichern wie Dropbox oder Google Drive erlaubt ist, ermöglicht werden.
In jedem Fall empfehlen wir, einmal gründlich über die voreingestellten Punkte zu gehen und zu überlegen, wie Sie in Ihrer Organisation eine möglichste effiziente, aber zugleich auch datensparsame Zusammenarbeit gewähren können.
2. Externe Apps in Teams steuern
In den verschiedenen Kanälen in Microsoft Teams können Apps von Drittanbietern eingebunden werden. Welche Apps das sind, das können Sie bei „Team-Apps\Apps verwalten“ im Admin Center herausfinden. Unternehmens-Administratorinnen und Administratoren können festlegen, welche Anwendung für die Organisation oder auch für bestimmte Nutzergruppen erlaubt oder blockiert wird. So können Administratoren dafür sorgen, dass die Anwender nicht jede beliebige App in Teams einbinden und diesen Apps die Erlaubnis erteilen, auf Daten über Teammitglieder oder den Inhalt des Kanals zuzugreifen.
In den einzelnen Teams selbst können Apps ebenfalls verwaltet werden; und zwar direkt in Microsoft Teams, über „Team verwalten“ bei „Apps“.
3. Aufbewahrungsrichtlinien in Microsoft Teams
In Microsoft Teams werden Daten oder Dateien im Chat oder Kanal auf unbestimmte Zeit aufbewahrt. Administratorinnen und Administratoren können die Aufbewahrungsrichtlinien für Microsoft-Teams-Chats und Channel-Nachrichten der gesamten Organisation anpassen und einstellen, für welchen Zeitraum Daten gespeichert und welche Daten gelöscht werden sollen.
Mit den Aufbewahrungsrichtlinien von Microsoft Teams werden die Daten beim Löschen dauerhaft aus allen Speicherorten in Teams gelöscht. Das automatische Löschen von bestimmten, sensiblen Daten hilft Unternehmen, Branchen-Richtlinien und Verordnungen, wie die der DSGVO, einzuhalten.
4. Private Kanäle in Microsoft Teams
In Microsoft Teams können für die gesamte Organisation verschiedene Teams (z. B. Abteilungen) und den Teams wiederum untergeordnete Kanäle (z. B. thematisch oder Projektbezogen) angelegt werden. Beim Erstellen eines Kanals kann bestimmt werden, ob dieser „öffentlich“ oder „privat“ zugänglich ist. Während Organisationsmitglieder öffentlichen Kanälen jederzeit beitreten können, bleibe die privaten Kanäle vom Kanalersteller vordefinierten Mitglieder vorbehalten.
Durch das Erstellen verschiedener Kanäle für verschiedene Abteilungen oder Projektgruppen kann der Zugriff auf Informationen verwaltet werden. Kommuniziert die Personalabteilung zum Beispiel in einem privaten Kanal, können Mitarbeiterinnen und Mitarbeiter aus anderen Abteilungen nicht auf die zum Teil doch sensiblen und personenbezogenen Informationen, die möglicherweise in diesem Kanal besprochen werden, zugreifen.
5. Dateien mit der Boxcryptor-App in Microsoft Teams verschlüsseln
Unternehmenskritische Daten, Betriebsgeheimnisse oder Daten, die datenschutzrechtlichen Vorschriften unterliegen, benötigen besonderen Schutz. Um diesen Schutz auch in Microsoft Teams zu gewährleisten, empfiehlt es sich, zusätzlich Ende-zu-Ende-Verschlüsselung einzusetzen. Durch diese Client-seitige Verschlüsselung der Dateien stellen Sie sicher, dass ausschließlich dazu berechtigte Personen, darauf zugreifen können. Die Dateien werden verschlüsselt, bevor sie zu Microsoft Teams hochgeladen werden. Durch die bewusste Trennung von Cloudspeicher-Anbieter und Verschlüsselung gewähren Sie eine höchstmögliche Sicherheit Ihrer Daten.
Seit Juli 2020 stellt Boxcryptor für Unternehmen und Organisationen eine Anwendung zur Verfügung, mit der genau diese Ende-zu-Ende-Verschlüsselung genutzt werden kann, ohne dabei in bestehende Arbeitsabläufe eingreifen zu müssen. Neben der Ablage von verschlüsselten Dateien direkt in Microsoft Teams, auf die die Mitglieder eines Kanals gemeinsam zugreifen können, haben Sie auch die Möglichkeit, verschlüsselte Dateien direkt in den Kanal-Beiträgen und in Chats zu teilen. Des Weiteren können Sie Nachrichten verschlüsseln, um wichtige Informationen vor den Augen Unbefugter zu schützen.
Mit Boxcryptor für Microsoft Teams können – im Gegensatz zur Microsoft-eigenen Option Double Key Encryption – alle gängigen Dateiformate sowohl auf Windows- als auch auf macOS-, Android- und iOS-Geräten verschlüsselt und gleichzeitig im Unternehmen bearbeitet werden.
Fazit
Oft genügen schon ein paar wenige, kleine Schritte, um im Arbeitsalltag für mehr Sicherheit und Schutz zu sorgen. Mit diesen Informationen und den fünf gezielten Maßnahmen möchten wir Ihnen dabei helfen, die sensiblen Daten, mit denen Sie täglich in Microsoft Teams arbeiten, zu schützen und die Nutzung von Microsoft Teams in Ihrem Unternehmen oder Ihrer Organisation sicherer zu machen.
