Office 365 stell Dir vor, keiner macht mit?

Office 365 stell Dir vor, keiner macht mit?

Ein paar kritische Gedanken zum Thema Cloudcomputing am Beispiel Office 365

Office 365 der Firma Microsoft ist das cloudbasierte MS-Office. Seit ca. 2014 gilt bei Microsoft die Devise „Cloud-first“, dieser Slogan kommt uns doch irgendwie bekannt vor, oder?

Das Konzept ist recht ausgeklügelt, es werden viele Businessanwendungen wie Skype for Business, Microsoft OneDrive und ähnliches angeboten. Hier liegt der Fokus auf dem Wort „Business“ und schon sind wir mitten in der DSGVO. Microsoft besitzt die Daten, deren Eigentümer wir selber sind. Nach DSGVO liegt die Verantwortung für die verarbeiteten Daten aber bei uns, dem Käufer von Office 365. Also wir haften, nicht Microsoft!

Wie kann man DSGVO und Office 365 in Einklang bringen, kann man das denn überhaupt?

Natürlich hat Microsoft einen Auftrags-Datenverarbeitungs-Vertrag  (ADV) bereitgestellt. Microsoft ist der Verarbeiter im Auftrag und muss sich nach den Weisungen des Verantwortlichen der Daten, wie gesagt, das sind wir, richten. So jedenfalls sieht es die DSGVO vor.

Microsoft klärt hier über alle möglichen Fragen zum Thema Compliance/Datenschutz/etc. auf.  Klingt erstmal gut und zugewandt. Das meiste ist sehr allgemein und wenig konkret gehalten.

Weiterhin stellt Microsoft die sogenannte „Prüfliste zu den Verantwortlichkeiten für die DSGVO für Microsoft Office 365 zur Verfügung -> hier lesen

Dieser Katalog gibt zum größten Teil Empfehlungen, welche Einstellungen der Verantwortliche am besten vornimmt, um seine Daten besser schützen zu können. Im Prinzip sind es techn. und organisatorische Massnahmen, vom Auftragsverarbeiter an den Verantwortlichen. Die DSGVO sieht dies aber in anderer Richtung vor.

Beim Lesen stellt sich die Frage, wie es funktionieren kann, wenn der Verantwortliche, der ja nach DSGVO weisungsbefugt ist, dem Auftragnehmer eine Weisung erteilen möchte. Dafür ist dann einer dieser Textbausteine verlinkt, die dem Verantwortlichen etwas von oben herab empfehlen, wie er mit seinen Daten umzugehen hat. Eine konkrete Information wie eine diesbzgl. Weisung an den Auftragsverarbeiter zu richten hat und was dieser dann in welcher Zeit tut, konnte ich hier nicht finden.

Die Einhaltung der DSGVO alleine zu betrachten, empfinde ich immer als ein wenig zu kurz gedacht. Es ist, als hätte ich ein Auto ohne Führerschein, beides geht… DSGVO funktioniert meines Erachtens nur, wenn man die Einhaltung als QM-Massnahme betrachtet, nur dann muss man auch gleichzeitig das Thema IT-Sicherheit betrachten.

Ein Beispiel, das wohl jeder nachvollziehen kann. Ich lege meine Passwortliste in die Cloud (in irgendeine, fremdgehostete), weil ich mir ja nicht alles merken kann und es ja so praktisch ist. Beim Anbieter findet ein erfolgreicher Cyber-Angriff statt. So ein Angriff wird fast immer erst später oder auch manchmal nie erkannt. Und jetzt? Vielleicht wird meine Identität geklaut, vielleicht meine Konten abgeräumt, wer weiß, welche Ideen jemand entwickelt.

Es lohnt sich also, ein paar Sicherheitsüberlegungen im Vorfeld anzustellen und nicht jedem Microsoft-Platin-Partner zu vertrauen. Oder würdest Du, wenn es klingelt und Dir jemand irgendeinen Vertrag (nennen wir ihn ADV-Vertrag) unter die Nase hält, glauben, dass er Deine Bankzugangsdaten besser aufbewahren kann als Du selber?

Weil alles, was irgendwie mit IT zu tun hat, auch irgendwie etwas undurchsichtig ist, muss man sich hier wohl einige Gedanken mehr machen. Für IT gibt es zum Glück die BSI-Grundschutzkataloge. Für einen Brand hat man einen Notfallplan, warum nicht auch für IT-Vorfälle? Hier heißt es dann Incidence response. Hat man ein paar Notfallpläne, weiß jeder, was zu tun ist, es wird schneller reagiert und weniger Spuren verwischt. Während man sich Gedanken macht und Konzepte entwickelt, kann man eine höhere Sensibilität entwickeln und Unsicherheiten abbauen. Danach sollte man noch einmal neu überprüfen, welche Anwednugnen mit Fremddatenspeicherung man wirklich benötigt und ob man bei Konzepten wie Office 365 überhaupt mitmachen möchte.

Sehr modern momentan ist es auch, gleichzeitig die Übertragung der Active-Directory-Domain. Dann kann man die Office-Produkte ganz bequem mit seinen Domänenanmeldedaten aktivieren. Echt jetzt?

Alternativen?

Für alles gibt es immer und überall Alternativen. Oft sind sie sogar preisgünstiger und ein Wechsel läßt sich einfacher gestalten. Jeder betreibt ja heutzutage irgendeinen Webserver und wenn nicht, läßt man sich einen einrichten. Dort könnte man seinen eigenen Clouddienst einrichten. Natürlich kann man auch hier Emails, Dateien, Kalender und alles mögliche teilen. Auch kann man hier seinen eigenen Officeserver aufsetzen, z.B: LibreOffice.

Und nun wird alles durch den Adminstrator des eigenen Vertrauens betreut und DSGVO in Verbindung mit IT-Sicherheit sind plötzlich Peanuts.

Anmerkung

Dieser Artikel ist entstanden, weil mich in meinem täglichen Beratungsgeschäft die Naivität von Geschäftsführern und Inhabern mitunter mittelständischer oder sogar größerer Unternehmen oft wie ein Tsunami trifft.

Beispielphrasen:

  • Machen doch alle, dann muss es doch sicher sein
  • Microsoft, ist doch der Größte, die müssen es doch wissen usw.
  • Ohne WhatsAPP kann man keine Photos schicken
  • bei uns ist doch nichts zu holen
  • geht unendlich so weiter

Es ist mitunter schwierig, in diesen Unternehmen wenigstens ein minimales Sicherheitsniveau zu etablieren.  Hochinteressant, dass viele immer noch ein Urvertrauen in Unternehmen haben, deren Inhaber, sie gar nicht kennen. Cybercrime ist ein einträgliches Geschäft, Bankraub vom Sofa aus, während die Lieblingsserie auf Netflix läuft, oder so. Es gibt zwar nie keine 100-%ige Sicherheit, aber man sollte sich wenigstens Gedanken darüber machen, was man zu verlieren hat. Oft gibt es imUnternehmen die teuerste Alarmanlage, mit Wachdienst, Videoüberwachung u.ä. und dann kopieren diese Unternehmen ihre Geschäftsgeheimnisse in irgendwelche Clouds. Das muss man erstmal sacken lassen.

Deshalb ist dieser Artikel für die, die kein Lichtschwert besitzen, für die anderen nicht 😉

 

Massendatenspeicherung, tolles Wort

So nun soll sie doch kommen, die Massendatenspeicherung. Massenhaft Buchstaben in diesem Wort. Man hat nun sehr lange daranrumgefeilt, nachdem sie ja schon mehrfach unter anderem am EuGH abgeschmettert wurde. Nun wurde endlich eine Formulierung gefunden, für die dann eine rechtliche Grundlage geschaffen werden konnte.

Gemeint ist damit die Speicherung von Telekommunikationskopfdaten für nun in der neuen Variante für 4-10 Wochen. Um, natürlich mit richterlichem Beschluß, im Falle von Straftaten, diese Daten auswerten zu können und auch um im Vorwege Straftaten verhindern zu können.

Kopfdaten
Das sind alle Verbindungsdaten ausser Inhaltsdaten. Also wer mit wem unter welcher Nummer wie lange telefoniert, gechattet xyz hat.

Sie spukt mir schon sehr lange im Kopf herum diese Massendatenspeicherung. Es stellen sich mir wieder viele Fragen:

  • Wo sollen sie hin diese Massendaten, die da gespeichert werden sollen
  • Wer bezahlt das ganze? Es werden ja die Telefon- und Internetprovider in die Pflicht genommen, dieses zu tun, das heisst wahrscheinlich, dass sie ihre Systeme darauf anpassen müssen, ist bestimmt teuer.
  • Wer soll sie dann im Falle eines Falles auswerten, diese Massen von Daten, die da in der Massendatenspeicherung gespeichert werden?

Die Namensgebung ist auch super, Massendatenspeicherung, da muß ich gleich an Messies denken, die alles sammeln und nichts wegwerfen können. Es gibt noch das Synonym Vorratsdatenspeicherung. Speicherung auf Vorrat, so wie Suppe, falls uns die Daten mal ausgehen. Ok, ich höre jetzt auf und denke nochmal ernsthaft darüber nach:

Die Vorratsdaten, die ja nun zwischen 4 und 10 Wochen gespeichert werden, wer das wie festlegt, konnte ich noch nicht plausibel herausfinden, müssen danach wieder gelöscht werden. Sie dürfen nur ausgewertet werden, wenn es einen richterlichen Beschluß gibt. Da stellt sich natürlich die Frage, wie funktioniert das technisch.

Beispiel:
Mutmasslicher Terrorist x hat 5 Handys bei unterschiedlichen Providern, noch diverse Internetzugänge und unzählige Mailadressen. Es wird jetzt vermutet, dass der mutmassliche Terrorist x einen Anschlag auf Flughafen irgendwo plant. Der überarbeitete Richter gibt die Erlaubnis, diese Daten auszuwerten. Ab jetzt bis minus 10 Wochen würde ich sagen, oder? Wie bekommen jetzt diejenigen, die die Daten auswerten alle Daten?

Es erschliesst sich mir nicht, wie das ohne eine Art Metadatenbank, die alle Daten zusammenführt, funktionieren soll. Desweiteren gibt es in den Massendaten des mutmasslichen Terroristen x wahrscheinlich auch sehr viele Verbindungen zu Teilnehmern ohne terroristischen Hintergrund. Da hat er mal den Klempner angerufen, min. 3 mal beim Pizzaexpress (sind die jetzt auch verdächtig? 3 mal und die Pizzabecker sind alle arabischer Abstammung), Anruf bei Oma etc. Müssen jetzt die Verbindungsdaten dieser Teilnehmer auch ausgewertet werden? Oma hat bei dem selben Pizzaexpress bestellt und hat denselben Klempner (bei ihr war der 5 mal, die Heizung ging nicht), ist das vielleicht eine Gruppe? Und der Zeitrahmen, beim Angriff auf den Bundestag, haben sie 3 Monate benötigt, ehe sie tätig wurden.

Ihr seht, mangels Verständnis für diese Angelegenheit, schiessen mir viele Gedanken durch den Kopf, nicht alle sind ernst gemeint. Der mutmassliche Terrorist x ist eine Phantasiegestalt, eventuelle Ähnlichkeiten mit noch lebenden Personen sind rein zufällig.

Und Übrigens: In Frankreich gibt es bereits die Speicherung von Verbindungsdaten, und hat es prophylaktisch genützt bei Charlie?

 

Die betr. Datenschutzbeauftragte / Aufgaben

Welches sind die Aufgaben der betrieblichen Datenschutzbeauftragten? Was tut denn nun diese Datenschutzbeauftragte?

Die betr. Datenschutzbeauftragte (DSB) stellt die Einhaltung des BDSG (Bundesdatenschutzgesetz) sicher. Und was bedeutet das? In den von mir neu übernommenen Betrieben herrscht insbesondere bei denen, die vorher noch keine Datenschutzbeauftragte hatten, Unsicherheit über die Tätigkeiten, die im Rahmen dieses Vertrages zu erbringen sind. Hier ein paar Beispiele für Firmen, die das erste Mal eine betr. Datenschutzbeauftragte bestellt haben:

Etablierung des Schutzes personenbezogener Daten und damit verbundener IT-Sicherheitseinrichtungen

  • Erstellung der öffentlichen Verfahrensverzeichnisse, die nach dem „jedermann-Prinzip“ jedem! zugänglich gemacht werden müssen und über die jede Firma verfügen muss!
  • Überprüfung des Kenntnisstandes derjenigen Mitarbeiter, die regelmäßig mit personenbezogenen Daten umgehen
  • Durchführung von regelmäßigen Unterweisungen für Mitarbeiter, z.B. bei Prozessänderungen, neuen gesetzl. Auflagen, in Schadensfällen, bei besonderen Anlässen…
  • Prüfung der Systeme auf Zugangssicherheit, Optimierung von Zugängen u.ä.
  • Schwachstellenanalysen, Zutritt, Zugang, Apps, mobile etc.
  • Erteilung von Auskünften u.ä. bei Anfragen von Betroffenen
  • Übernahme der Gespräche mit dem Beauftragten für den Datenschutz des jeweiligen Bundeslandes bei Kontrollbesuchen
  • Zusammenarbeit mit dem Betriebsrat, Erstellung von Mitarbeitervereinbarungen u.ä.
  • Beratung der Geschäftsführung zu Themen rund um den Datenschutz
  • ….

Wie geht das in der Praxis? Der Gesetzgeber geht davon aus, dass nicht alle Punkte immer sofort nach Bestellung einer neuen Datenschutzbeauftragten erfüllt werden können. Vielmehr ist betr. Datenschutz ein Prozess, der sich immer weiter entwickelt und verändert. Mehr Wissen schafft mehr Sicherheit. Jeder Betrieb hat seine Besonderheiten. Je nach Branche ist ein anderes Sicherheitsniveau anzustreben.

Aus diesem Grund empfiehlt der Gesetzgeber, diese Tätigkeit, wenn eine externe Datenschutzbeauftragte bestellt werden soll, im Rahmen eines Vertrages durchzuführen. Wegen der erhöhten Anforderungen sollte dieser Vertrag über min. 2 Jahre abgeschlossen werden.

Wir bieten für unsere Kunden deshalb Verträge an, die über 2 Jahre laufen und sich jeweils um 1 weiteres Jahr verlängern, wenn man miteinander weiterarbeiten möchte. Die Preise sind gestaffelt nach Unternehmensgrösse:

Wartungsvertrag 1: <15 Mitarbeiter
Wartungsvertrag 2: <25 Mitarbeiter
Wartungsvertrag 3: <50 Mitarbeiter

Unsere Kunden kommen aus den folgenden Bereichen: Medizin, techn. Gewerbe und Auftragsdatenverarbeitung (Versicherungen, Hausverwaltungen u.ä.)

Gerne beraten wir Sie unverbindlich, rufen Sie uns an!
Flyer Datenschutz und IT-Sicherheit

Abgrenzung §11 BDSG Auftragsdatenverarbeitung — Funktionsübertragung

Hier ein Versuch der Abgrenzung Auftragsdatenverarbeitung nach §11 BDSG vs. Funktionsübertragung

Es handelt sich um Auftragsdatenverarbeitung, wenn der Zweck des Auftrages der Umgang mit den gelieferten personenbezogenen Daten ist. Also Ergänzung, Korrektur, Werbung etc. Abgrenzung §11 BDSG Auftragsdatenverarbeitung — Funktionsübertragung weiterlesen