Ist Microsoft 365 sicher? Datenschutz auf einen Blick
Die im Microsoft 365-Paket angebotenen Produktivitätstools werden von Unternehmen auf der ganzen Welt genutzt. Sie sind deshalb so beliebt, weil Teams und Abteilungen Projekte von überall aus teilen und gemeinsam bearbeiten können. Außerdem ist Microsoft 365 mit verschiedenen Geräten und Betriebssystemen kompatibel und senkt durch die Nutzung eines Cloud-basierten Dienstes Kosten für Infrastruktur und Wartung. Es ist nicht schwer zu verstehen, warum die Microsoft-Suite die bevorzugte Wahl für fast 100 Millionen Online-Nutzerinnen und -Nutzer ist, die ihre Dateien in OneDrive, der Cloud-Speicherplattform von Microsoft, speichern. Aber sind die Daten bei Microsoft 365 auch wirklich sicher?
Was ist Microsoft 365?
Microsoft 365 (früher Office 365) ist eine Reihe von Abodiensten, die von Microsoft angeboten werden. Die Cloud-basierten Anwendungen ermöglichen es den Nutzerinnen und Nutzern Daten online zu erstellen, zu verwalten und gemeinsam zu bearbeiten. Die beliebtesten Office-Tools sind:
- Microsoft Teams
- Word
- Excel
- PowerPoint
- Outlook
- OneNote
- OneDrive
Die Vorteile der Nutzung von Microsoft 365 liegen auf der Hand: Vergleichsweise geringe Betriebskosten und permanente Verfügbarkeit. Es ist jedoch wichtig, auch die Nachteile zu bedenken und zu überlegen, was Sie tun können, um die praktischen Dienste zu nutzen und gleichzeitig Sicherheitsstandards und Datenschutzgesetze einzuhalten.
Sind Ihre Daten gefährdet?
Die Corona-Pandemie hat beschleunigt, was schon im Gange war: Die Umstellung von Büropräsenz auf Homeoffice und mobiles arbeiten. Plötzlich waren beinahe alle Unternehmen auf Software angewiesen, die dezentrale Zusammenarbeit im Team erlaubt. Und viele Verantwortliche fragen sich, ob es sicher ist, alle Geschäftsdaten in die Hände von Microsoft zu legen. Die Gründe dafür sind die potentielle Gefährdung der Daten durch Dritte, und die wachsende Bedrohung durch Datenpannen.
Potenzielle Gefährdung durch Dritte
Unternehmen und Organisationen sind zurückhaltend, wenn es darum geht, Daten, für die sie haften, Dritten anzuvertrauen. Und das zu Recht, wie das Beispiel zeigt: Im Jahr 2020 wurde Microsoft beschuldigt, die Geschäftsdaten sein Office 365-Kunden ohne Zustimmung an Facebook und andere Dritte weiterzugeben zu haben. In der Gerichtsakte stand, dass Microsoft E-Mails, Kalender und Standortdaten von Kunden für die Entwicklung künftiger Produkte verwendet – ein Verstoß gegen den US Wiretap Act, den Stored Communications Act und Verbraucherschutzgesetze.
Es gibt jedoch auch Gesetze, die genau das Gegenteil bewirken: Die Gefährdung der Vertraulichkeit von Unternehmensdaten. Dazu gehört der CLOUD Act. Dieses US-amerikanische Gesetz verlangt von allen in den USA ansässigen Unternehmen, also auch von Microsoft, auf Anfrage der US-Behörden die Herausgabe von Daten. Dabei ist es irrelevant, ob sich die jeweiligen Server in den USA oder in anderen Teilen der Welt befinden.
Erfahren Sie mehr zum Thema CLOUD Act in unserem Blogpost: Der CLOUD Act der USA
In Zeiten der Digitalisierung gehören Daten zu den wichtigsten Vermögenswerten eines Unternehmens. Es gibt nur eine Möglichkeit, diesen Wert zu schützen, ohne die Vertraulichkeit zu gefährden: Die Daten müssen für Unbefugte wertlos gemacht werden. Anders gesagt: Alle sensiblen Dateien müssen verschlüsselt sein. Vor allem dann, wenn sie in einer Cloud gespeichert werden.
Bei der Auswahl eines Cloud-Anbieters sollten Sie nicht nur darauf achten, dass sie einen sicheren und zuverlässigen Dienst wählen. Auch auf das Setup kommt es an, denn wirklich sicher sind die Daten nur, wenn der Datenspeicher und die Datenverschlüsselung getrennt sind. Oder anders ausgedrückt: Achten Sie darauf, dass nur Sie die Schlüssel für die Ver- und Entschlüsselung halten. Der Cloud-Anbieter sollte keinen Zugriff auf die Inhalte der Dateien bekommen.
Um beim Beispiel Microsoft zu bleiben: Das Unternehmen mag zwar ein hohes Sicherheitsniveau bieten, was den physischen Schutz der Daten anbelangt. Doch durch die Architektur der Datenverwaltung und die US-amerikanische Gesetzgebung sind sie gezwungen, auch einen inhaltlichen Zugriff auf die Dateien zu ermöglichen.
Die wachsende Bedrohung durch eine Datenpanne
Laut einer Studie der University of Maryland passiert alle 39 Sekunden ein Hackerangriff. Dezentrale Arbeitsplätze haben das Risiko verschiedener risikoreicher Verhaltensmuster erhöht. Darunter fallen beispielsweise
- das Klicken auf bösartige Links in E-Mails
- die gemeinsame Nutzung sensibler Daten in Microsoft Teams von verschiedenen Standorten oder Geräten aus
- die Verwendung schwacher Passwörter
- Usw.
Ein einziger kompromittierter Rechner einer Mitarbeiterin kann Cyberkriminellen breiten Zugang zu Unternehmensdatenbanken, Kundeninformationen und internen Netzwerken verschaffen.
Im Durchschnitt findet alle 39 Sekunden ein Hackerangriff auf einen Computer mit Internetzugang statt, und die unsicheren Benutzernamen und Passwörter, die wir verwenden, geben den Angreifern mehr Chancen auf Erfolg.
Die meisten Cyberangriffe gehen sehr schnell, aber die Auswirkungen sind verheerend:
- Datenverlust und folglich die Unterbrechung des Geschäftsbetriebs
- Schädigung der Markenidentität
- Finanzielle Belastung durch die Wiederherstellung der Systeme
- Verlust von geistigem Eigentum
- rechtliche Konsequenzen
Je nach dem, welche Art von Datenschutzvorfall vorliegt, kann auch eine von den Behörden auferlegte Strafzahlung fällig werden.
Einhaltung der Rechtsvorschriften - DSGVO
Die Einhaltung gesetzlicher Vorschriften mach es erforderlich, Maßnahmen zum Schutz von Unternehmensdaten sowie die Einhaltung von Vorschriften im Zusammenhang mit Daten, wie z. B. der Allgemeinen Datenschutzverordnung (DSGVO) in der Europäischen Union zu ergreifen. Die DSGVO droht denjenigen, die gegen die Datenschutz- und Sicherheitsstandards verstoßen, mit hohen Geldstrafen, die bis in den zweistelligen Millionen-Euro-Bereich reichen können.
Microsoft stellt Ressourcen und Bewertungssysteme für die Einhaltung der Vorschriften bereit und aktualisiert diese Angaben regelmäßig. Das Unternehmen bietet praktische Tools zur Verbesserung der Sicherheit und stellt den Kunden das Microsoft 365 Compliance Centre zur Verfügung.
Wichtig: Microsoft hebt in seinem Plan für Sicherheit und Compliance ausdrücklich die Bedeutung der gemeinsamen Verantwortung in diesem Bereich hervorhebt:
Das Management von Sicherheit und Compliance ist eine Partnerschaft. Sie sind für den Schutz Ihrer Daten, Identitäten und Geräte verantwortlich, während Microsoft die Microsoft 365-Dienste mit Nachdruck schützt.
In Anbetracht der Datenschutzpannen von Microsoft in der Vergangenheit stellen sich die Nutzerinnen und Nutzer zu Recht die Frage, ob Microsoft in dieser Partnerschaft tatsächlich seinen Teil der Abmachung einhält. Auch wenn Ressourcen wie das Compliance Centre hilfreich sind, müssen Unternehmen ihre eigene Strategie umsetzen, um ihre Daten zu schützen.
Best Practices für den Schutz Ihrer Daten in Microsoft 365
In unserem Leitfaden erfahren Sie mehr über die spezifischen Anforderungen der DSGVO. Wenn Sie alle Schritte befolgen, können Sie Microsoft 365 sicherer machen und von den maximalen Vorteilen bei minimalem Risiko profitieren:
- Bildung Ihrer Nutzer: Die Aufklärung der Mitarbeiterinnen und Mitarbeiter über die Bedeutung der Cybersicherheit ist von entscheidender Bedeutung. Hier sind einige Beispiele für wichtige Maßnahmen:
- Verwenden Sie sichere Passwörter.
- Speichern Sie Geschäftsinformationen nicht auf privaten Geräten.
- Aktivieren Sie Sicherheitsfunktionen auf Unternehmensgeräten.
- Blockieren Sie Anhängen mit bestimmten Dateitypen.
-
Aktivierung der Zwei-Faktor-Authentifizierung (2FA): Diese Maßnahme mindert das Risiko von Sicherheitsvorfällen und Cyberangriffen erheblich. Selbst wenn persönliche Anmeldedaten für Hacker zugänglich wären, könnten die Täter die zusätzliche Authentifizierungskontrolle nicht überwinden. Die 2FA-Maßnahme kann bei verschiedenen Diensten, wie z. B. sozialen Netzwerken oder E-Mails, angewendet werden.
-
Nutzung aller verfügbaren Tools zur Verbesserung der Sicherheit: Die Kontrolle des Netzwerkzugriffs sowie die Verschlüsselung von Daten können ein wirksames Instrument sein, um Unternehmensinformationen sicher und geschützt zu halten. Boxcryptor fügt eine Ende-zu-Ende-Verschlüsselung zu Ihrer Cloud hinzu und stellt sicher, dass niemand außer Ihnen auf Ihre Daten zugreifen kann.
Boxcryptor und Microsoft 365
Mit Boxcryptor behalten Unternehmen die Kontrolle über ihre Unternehmensdaten, auch wenn sie Microsofts Drittanbieterlösungen OneDrive, SharePoint oder Microsoft Teams nutzen. Alle sensiblen Daten werden verschlüsselt, bevor sie die Geräte des Unternehmens verlassen, und werden dann sicher in der Cloud gespeichert. Dies trägt dazu bei, dass Geschäftsdokumente durch eine Ende-zu-Ende-Verschlüsselung sicher sind und verhindert, dass die Daten für den Cloud-Anbieter sichtbar sind oder von externen Unbefugten missbraucht werden können. Auf diese Weise kann Ihr Team die Cloud nutzen, um sicher an Ihren Unternehmensdaten zusammenzuarbeiten und gleichzeitig die internen und externen Vorschriften einhalten.
Fazit
Entgegen dem Irrglauben, dass die Speicherung von Daten in der Cloud sie anfälliger für Angriffe macht, ist die Arbeit mit Cloud-Diensten in der Tat das zuverlässigste Modell. Microsoft 365 hat in den letzten Jahren die Zugänglichkeit und Sicherheit erheblich verbessert. So werden laufend Aktualisierungen ausgerollt, um Sicherheitspatches und zusätzliche Funktionen zur Unterstützung von mobiler Arbeit Kollaboration und Datenverschlüsselung, bereitzustellen. In diesem Sinne bietet Microsoft ein Sicherheitsnetz. Dennoch sind letztendlich die Unternehmen selbst für die Aufrechterhaltung der Sicherheit und die Einhaltung der Vorschriften verantwortlich. Auf sich allein gestellt ist kaum ein Unternehmen in der Lage, sich wirksam gegen Hackerangriffe und Cyberattacken zu schützen.
Die Tatsache, dass Microsoft oder andere autorisierte Dritte theoretisch auf alle gespeicherten Unternehmensdaten zugreifen könnten, wenn sie es wollten, gießt Öl ins Feuer. Daher ist eine zusätzliche Verschlüsselungsebene die einzige Möglichkeit, um sicherzustellen, dass Ihre Daten vollständig unter Ihrer Kontrolle sind, nur unter Ihrer und unter der Kontrolle von niemandem sonst.