Beiträge

Wir prüfen Microsoft Office 365 auf 5 Aspekte von Datenschutz und Datensicherheit

Office 365 und die DSGVO – Wie sicher sind unsere Daten

Wussten Sie, dass seit dem Inkrafttreten der DSGVO am 25. Mai 2018 nicht nur die Datenverantwortlichen eines Unternehmens in der Verantwortung stehen, sondern auch die sogenannten Auftragsverarbeiter? Das sind neben den klassischen Betreibern von Rechenzentren auch die Anbieter von Cloud-Plattformen und Cloud-Diensten.

Dazu zählt somit Microsoft mit seinem Cloud-Service Office 365. Es lohnt sich also, auch den amerikanischen Softwareriesen und seine Produkte im Hinblick auf die datenschutzrechtlichen Entwicklungen der EU-Staaten zu bewerten.

Datenschutz und Datensicherheit im Microsoft Office

Bei der in Office 365 integrierten Sicherheit setzt Microsoft auf die folgenden 5 Aspekte in Puncto Datenschutz und Datensicherheit.

  • Physische Sicherheit

    • Rund um die Uhr überwachte Rechenzentren
    • Mehrfaktor-Authentifizierung einschließlich biometrischer Scans für den Zugang zum Rechenzentrum
    • Das interne Netzwerk des Rechenzentrums ist vom externen Netzwerk isoliert
    • Dank Rollentrennung werden die Speicherorte bestimmter Kundendaten für Mitarbeiter, die physischen Zugriff haben, unverständlich dargestellt
    • Fehlerhafte Laufwerke und andere Hardwarekomponenten werden entmagnetisiert und zerstört
  • Logische Sicherheit

    • Lockbox-Prozesse für streng überwachte Eskalationsprozesse schränken den menschlichen Zugriff auf Ihre Daten weitestgehend ein
    • Server führen nur Prozesse aus, die sich auf Whitelists befinden, wodurch sich das Risiko verringert, dass Schadsoftware ausgeführt wird
    • Threat Management Teams sind in der Lage, Angriffe auf Daten proaktiv vorherzusehen, zu verhindern und abzuschwächen
    • Durch die Überwachung von Ports und die Erkennung von Netzwerkschwachstellen und Angriffen können unbefugte Zugriffe verhindert oder erkannt werden
  • Datensicherheit

    • Die Verschlüsselung im Ruhezustand schützt Ihre Daten auf den Servern
    • Ihre Daten sind bei der Übermittlung zwischen Ihnen und Microsoft durch die SSL/TLS-Verschlüsselung geschützt
    • Dank Threat Management, Sicherheitsüberwachung und Datei-/Datenintegrität kann jede Art der Datenmanipulation erkannt und verhindert werden
    • Exchange Online Protection bietet erweiterte Sicherheitsfunktionen gegen Spam und Schadsoftware sowie Ausfallsicherheit zum Schutz Ihrer Informationen und E-Mails
  • Kontrollfunktionen für Benutzer

    • Die Office 365-Nachrichtenverschlüsselung ermöglicht Benutzern, verschlüsselte E-Mails an beliebige Empfänger zu senden, ganz gleich, welchen E-Mail-Dienst diese verwenden
    • DLP (Verhinderung von Datenverlust) kann mit Rights Management und der Nachrichtenverschlüsselung kombiniert werden, um Administratoren mehr Kontrolle und geeignete Richtlinien zum Schutz sensibler Daten an die Hand zu geben
    • S/MIME ermöglicht den sicheren E-Mail-Zugriff auf der Basis von Zertifikaten
    • Azure Rights Management gewährt Benutzern nur Zugriff auf Dateiebene, wenn sie die richtigen Anmeldeinformationen eingeben
  • Kontrollfunktionen für Administratoren

    • Mittels Multi-Factor-Authentication wird der Zugriff auf den Dienst zum Beispiel mit einem Telefonanruf kombiniert
    • DLP (Verhinderung von Datenverlust) schützt Daten vor Zugriffen von außen wie von innen und bezieht die Mitarbeiter aktiv in Schutzmaßnahmen ein
    • Integrierte Verwaltungsfunktionen für mobile Geräte ermöglichen Ihnen, den Zugriff auf Unternehmensdaten zu kontrollieren
    • Die Verwaltung mobiler Office-Apps wird über Intune gesteuert und bietet differenzierte Kontrollen zum Schutz der in diesen Apps befindlichen Daten
    • Integrierte Antiviren- und Antispamprogramme schützen zusammen mit Advanced Threat Protection vor externen Bedrohungen
    • Office 365 Cloud App Security verbessert die Kontrolle und Transparenz Ihrer Office 365-Umgebung

Sichere Unternehmenssoftware von kreITiv

Egal ob Auswahl, Migration oder rechtskonforme Konfiguration eines passenden Microsoft Office Paketes – Die IT- Infrastrukturexperten der kreITiv GmbH helfen Ihnen und Ihrem Unternehmen gern weiter und beraten Sie zu allen Belangen bezüglich Office365 und der neuen DSGVO > zum Anfrageformular

Im Mai 2018 tritt die DSGVO in Kraft. Wir unterstützen Unternehmen bei der Umsetzung.

Die EU-DSGVO – Segen für Verbraucher, Herausforderung für Unternehmen

Ab dem 25. Mai 2018 gilt europaweit die neue Datenschutzgrundverordnung (DSGVO). In Kraft getreten ist sie bereits vor etwa zwei Jahren am 24. Mai 2016. Eine lange Zeit also für Unternehmen, Behörden, öffentliche Stellen und Vereine oder Verbände diese umzusetzen, müsste man meinen.

Doch wie es in der Natur des Menschen liegt, schieben wir Dinge gern auf und das ganz besonders dann, wenn wir wissen, dass wir noch viel Zeit dafür haben. Im Frühjahr 2018 sind nun viele Unternehmen spät dran und kommen bei der Umsetzung gut ins Schwitzen. Die meisten haben den Aufwand wahrscheinlich gehörig unterschätzt oder waren sich gar nicht bewusst, dass die Gesetzesänderung auch in ihren Geltungsbereich fällt.

“Nur rund jedes achte Unternehmen wird nach eigener Einschätzung bis zum Stichtag die Vorgaben der DSGVO vollständig umgesetzt haben”, sagt der deutsche Verband der Digitalwirtschaft Bitkom.

Die DSGVO ist für die Verbraucherseite eine große Errungenschaft und ein wichtiger Meilenstein für den europäischen Datenschutz. Für Unternehmen und Organisationen stellt die Umsetzung aber eine große Herausforderung dar. Einen groben Überblick über die Datenschutzgrundverordnung und die Herausforderungen für Unternehmen wollen wir in diesem Blogartikel geben.

Was sind eigentlich personenbezogene Daten nach DSGVO?

Allgemein formuliert gelten alle Informationen als personenbezogen, die sich auf “identifizierte oder identifizierbare lebende Personen” beziehen. Somit legt die EU diese Verordnung sehr weit aus. Neben Name, Anschrift und E-Mail-Adresse gelten als solche auch Ausweisnummer, Standortdaten, IP-Adressen, Cookie-Kennungen, Werbe-IDS und Gesundheitsdaten aus Krankenhäusern oder bei Ärzten, die zur eindeutigen Identifizierung einer Person führen könnten.

Erst wenn die Daten so anonymisiert wurden, dass auch mit größerem Aufwand keine Rückschlüsse mehr auf die betroffenen Personen gezogen werden können, gelten Daten als nicht mehr personenbezogen. Genau das stellt für Unternehmen in der Praxis durchaus einen sehr großen Aufwand dar. Was muss also beim Umgang mit personenbezogenen Daten beachtet werden?

Die 6 Grundsätze für die Verarbeitung von personenbezogenen Daten

Grundlegend ist das Verarbeiten von personenbezogenen Daten verboten, wenn nicht eine oder mehrere der folgenden Bedingungen erfüllt sind:

  1. Die Verarbeitung ist für die Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen erforderlich.
  2. Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich.
  3. Die Verarbeitung ist erforderlich, um lebenswichtige Interessen zu schützen.
  4. Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt.
  5. Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich.
  6. Die betroffene Person hat ihre Einwilligung gegeben.

Die Einwilligung ist durch die DSGVO für Unternehmen nun kompliziert geworden. Sie ist schwerer zu bekommen, muss aufwendig belegt werden und muss jederzeit widerrufbar sein.

Worauf müssen Unternehmen jetzt achten?

Mit der Neuregelung sind also der Aufwand und die Anforderung für die Verarbeiter erheblich gestiegen. Der Umgang mit Daten ist in Zeiten der Digitalisierung so alltäglich geworden, dass man schnell übersieht, ob und wann man tatsächlich mit kritischen Informationen hantiert. Jeder, der Informationen über Personen speichert, ist nun in der Bringpflicht. Das gilt nicht nur für IT-Unternehmen, sondern bspw. auch für Ärzte, Friseure, Wäschereien und Vereine. Dabei gibt es viel zu beachten und es winken hohe Bußgelder bei Nichteinhaltung.

  • Ein erster Schritt sollte sein, einen Datenschutzbeauftragten zu benennen, wenn dieser notwendig ist. Er ist Pflicht, wenn z. B. Kunden- und Mitarbeiterdaten automatisiert, also per EDV, verarbeitet werden. Für kleinere Unternehmen macht die Verordnung Ausnahmen. Sind weniger als neun Personen damit beschäftigt, personenbezogene Daten zu verarbeiten, braucht es keinen Datenschutzbeauftragten. In Abhängigkeit von der Sensibilität der Daten, kann er aber in speziellen Fällen doch notwendig sein.

  • Vorgesehen ist auch das Anlegen eines Verzeichnisses der Verarbeitungstätigkeiten. Hört sich hochtrabend an, ist am Ende aber nur eine einfache Tabelle, in der aufgelistet wird, welche Daten wann, wie und warum im Unternehmen erhoben werden; etwa die Daten seiner Kunden: Name, Adresse, Telefonnummer.

  • Darüber hinaus muss der Weg der Daten dokumentiert werden, von der Erhebung, Speicherung bis hin zur Nutzung. Diese Prozessdokumentation und -analyse soll bei der Identifikation von Fehlerstellen und der Optimierung von Abläufen helfen. Augenmerk sollte darauf gelegt werden, wie die Daten erhoben und verarbeitet werden. Letzteres ist über die DSGVO nun neu und komplex geregelt, speziell wie und worauf Betroffene einwilligen.

Datenauskunft, Datenschutzfolgenabschätzung und weitere Anforderungen

Den Betroffenen räumt der Gesetzgeber nun alle Möglichkeiten ein, weitreichende Auskunft über ihre Daten zu erhalten und ggf. das sofortige und permanente Löschen zu veranlassen.

Werden sehr sensible Daten verarbeitet – etwa in Arztpraxen oder durch Versicherungsmakler – ist nach DSGVO eine Datenschutzfolgenabschätzung durchzuführen. Das gilt für alle Unternehmen, die eine Identifizierung und Kategorisierung der Person nach Themen wie zum Beispiel Sexualität, Krankheiten, Finanzen, rassische oder ethnische Herkunft oder politischen Ansichten ermöglichen – denn hier besteht ein besonders hohes Risiko für die Betroffenen, wenn diese Daten missbraucht werden.

Für Unternehmen empfiehlt sich künftig das Dokumentieren aller Anstrengungen im Bereich des Datenschutzes.

  • Welche Firewall wird benutzt?
  • Welche Verträge wurden mit Dienstleistern geschlossen?
  • Welche Seminare hat der Datenschutzbeauftragte besucht?

Bei guter Dokumentation und erkennbarer Bemühung, seiner Verpflichtung nach Datenschutz nachzukommen, bestehen gute Chancen, auch im Falle eines Vergehens ohne Bußgeld davonzukommen. Entsprechende Auskünfte sollten man aber umgehend erteilen und Unterlagen lückenlos vorlegen können.

Die neuen Dokumentations-, Nachweis- und Rechenschaftspflichten, die Auskunftspflichten gegenüber Betroffenen und erst recht die Herkulesaufgabe einer DSGVO-konformen Datenschutzerklärung sollte jedes Unternehmen schnellstens in Angriff nehmen. Dazu gehört mindestens die Lektüre des Rechtstextes selbst beziehungsweise eines juristischen Ratgebers. Für die meisten Unternehmen empfiehlt sich außerdem die Hinzuziehung interner oder externer Rechtsberatung. Das Team der kreITiv unterstützt Sie gern bei der Konzeption datenschutzkonformer IT-Systeme und Softwarelösungen. Mit dem kreITiv-DSGVO-Paket passen wir Ihre Webseite rechtskomform an.

Fragen Sie uns nach einer kostenlosen Erstberatung!
Ihre persönlichen Daten gehen nicht in der Masse des World Wide Web unter.

Datenschutz und der gläserne Mensch – Wie sicher sind wir im Netz?

Der Begriff des gläsernen Menschen wird oft mit der Thematik des Datenschutzes assoziiert. Der gläserne Mensch bildet dabei eine Metapher eines vollständig durchleuchteten und überwachten Menschen. Gemeint ist damit, dass ein Nutzer viele Datenspuren beim Browsen oder Posten hinterlässt und somit seine persönlichen Informationen extrem leicht zugänglich macht. Die hinterlassenen Daten können folglich von Dritten ausgewertet und ausgenutzt werden, wodurch die Frage nach effektivem Datenschutz umso mehr an Bedeutung zunimmt.

In welchem Zusammenhang der Datenschutz mit Cookies steht, wie der Datenschutz bei den Online-Riesen Google oder Apple aussieht und wie sich Privatpersonen schützen können, erfahren Sie im kreITiv Blog.

Datenschutz und Cookies

Cookies sind ein wichtiger Faktor im Datenschutz

Cookies sind ein wichtiger Faktor im Datenschutz

Cookies sind kleine Textdateien, welche im temporären Speicher des Browsers eines Seitenbesuchers gespeichert werden. Beim wiederholten Besuch einer Webseite durch den Nutzer werden diese Daten erneut aufgerufen.

Ein nützliches Feature von Cookies ist das Speichern von Anmeldedaten. Cookies ermöglichen ebenfalls einen verlustfreien Warenkorb beim Onlineshopping. Allerdings bieten sie auch Funktionen, welche für Bedenken in Sachen Datenschutz sorgen. Dazu gehört bspw. das Messen von Surfgewohnheiten eines Nutzers. Die gesammelten Daten können ausgewertet und genutzt werden, um personalisierte Werbung anzubieten. Personalisierte Werbung bringt große Vorteile für das Onlinemarketing, da hier die gewünschte Zielgruppe direkt und entsprechend ihrer Interessen angesprochen werden kann. Die Aufzeichnung persönlicher Daten führt jedoch an eine schwammige Grenze des Datenschutzes.

Die Nutzer können sich schützen, indem sie das automatische Zulassen von Cookies im Browser deaktivieren. Außerdem besteht seit dem 30. September 2015 eine Pflicht zum Hinweis der Nutzung von Cookies auf Webseiten, welchem der Nutzer zustimmen muss. Betreiber von Webseiten sollten darauf achten, ihren Besuchern diese Information in einer angemessenen Form mitzuteilen.

Apple vs. Google – Datenschutz als Unternehmensvorteil

Die weltweit wellenschlagende NSA-Affäre mit Edward Snowden im Mittelpunkt hat bei vielen Menschen das Bewusstsein für den Datenschutz gestärkt. Auch die Giganten der Onlinebranche Google und Apple möchten diese veränderte Stimmung in der Bevölkerung zu ihrem Vorteil nutzen.

Zwischen Google und Apple entbrannte dadurch ein regelrechter Wettstreit um die Krone des Datenschutzes. Die beiden Großunternehmen stufen nun eine erfolgreiche Datenschutzrichtlinie als realen Wettbewerbsvorteil ein. Davon kann der Endnutzer nur profitieren.

Apple Chef Timm Cook warb nach der Vorstellung des iPhone 6 mit strengen Richtlinien bezüglich des Zugangs von Behörden zu Nutzerdaten. Dabei versicherte Cook, dass Apple keine Hintertüren integrieren würde, um Behörden einen Zugriff auf Nutzerdaten zu ermöglichen. Gleichzeitig nutzte Cook die Möglichkeit, um Dauerkonkurrent Google anzugreifen, welcher die Surfgewohnheiten von Nutzern misst, um so personalisierte Werbung anbieten zu können.

Und tatsächlich wurde Apple im Test der Electronic Frountier Foundation für das Jahr 2015 ein besserer Umgang im Hinblick auf Datenschutz als Konkurrent Google attestiert. In der Analyse wird jährlich die Einhaltung von IT-Grundrechten durch große Unternehmen in den USA geprüft.

Welche Bedeutung hat Datenschutz für mich?

Facebook, Twitter und Co. - Viele Soziale Netzwerke erlauben viele Angriffspuntke auf persönliche Daten

Facebook, Twitter und Co. – Viele Soziale Netzwerke erlauben viele Angriffspuntke auf persönliche Daten

Die Bedrohung, zum gläsernen Menschen im Web zu werden, ist heutzutage allgegenwärtig. Die totale Vernetzung von etlichen sozialen Plattformen bietet eine große Angriffsfläche zur Übernahme von persönlichen Informationen.

Deutlich sichtbar wird die persönliche Beobachtung bei der Ansicht von Werbung auf verschiedenen Webseiten, welche genau auf den Nutzer zugeschnitten ist und diesen scheinbar durch das Netz “verfolgt”. Durch Analyse von Facebook Likes, dem Freundeskreis oder markierten Standorten kann personenbezogene Werbung angeboten werden.

Dieser von uns allen hinterlassene digitale Fußabdruck kann auch genutzt werden, um Einblick in den Alltag eines Nutzers zu erlangen. Wann eine Person zu Hause, auf Arbeit, im Fitnessstudio oder im Urlaub ist, kann durch Analyse von Social Media Daten ermittelt werden. Zusätzlich enthalten die meisten Fotos, welche mit dem Smartphone aufgenommen werden, Breiten- und Längengrade im Dateicode, welche zur Positionierung des Gerätes und des Inhabers genutzt werden können.

Auch im Berufsleben spielen unsere geteilten Aktivitäten eine Rolle. Beispielsweise ist die Überprüfung von Social Media Profilen beim Bewerbungsprozess längst Standard in vielen Unternehmen.

Ein Ausweg aus der Datenfalle

Um einem Missbrauch von persönlichen Daten vorzubeugen, sollte man das eigene Bewusstsein zum Schutz persönlicher Daten stärken. Ein wichtiger Schritt wäre bspw. die Nutzung von mehreren Diensten, um so eine Verknüpfung der persönlichen Informationen zu erschweren. Die genutzten Onlinedienste müssen auch nicht immer von großen Anbietern stammen. Es gibt viele kleine Webdienste, welche eine gute Datenkodierung anbieten und so Sicherheit der Daten gewährleisten.

Zusammenfassend kann man jedoch sagen, dass die Eigenverantwortung beim Thema Datenschutz doch recht hoch ist. Wer nicht viel Persönliches im Web teilt, ist definitiv auf der sicheren Seite. Ist das soziale Netzwerk jedoch unumgänglich, sollte auf die geteilten Inhalte und deren Auswirkungen bei einem eventuellen Datenmissbrauch geachtet werden.

Sollten Sie Fragen zum Datenschutz auf Unternehmensbasis haben, beraten Sie die kreITiv Spezialisten gerne zu den Themen IT-Sicherheit, datenschutzkonforme Webentwicklung und den Dateneinsatz im Onlinemarketing.

Cloud aus Deutschland, ISO-Zertifizierungen und Datenschutzbewusstsein

Sicherheit in der Public Cloud

Die Cloud und wieso auch die KMU sie nutzen sollte, wurde in vorherigen Beiträgen des kreITiv-Blogs schon erläutert. Nun sind Datenschutz und Datensicherheit aber zentrale Themen bei der Nutzung jedweder IT. Speziell Cloud-Produkte sind hier noch mit Ressentiments behaftet.

In diesem Artikel wollen wir kurz erläutern, worauf Sie beim Erwerb und der Nutzung von Cloud-Produkten achten sollten.

Standort Deutschland und Zertifizierungen schaffen Vertrauen

Rechenzentren dienen der Bereitstellung der Cloud. Somit sind auch die Daten, die Sie eventuell in die Cloud verlagern, in diesen Rechenzentren abgelegt. In Anbetracht der Entscheidung des EuGH, das Safe Harbor Abkommen für ungültig zu erklären und das EU-US Privacy Shield Abkommen erst erarbeitet wird, sind Standorte von Rechenzentren außerhalb Deutschlands immer mit einem Datenschutzrisiko verbunden. Achten Sie daher – auch aus Compliance-Vorgaben für Ihre Branche – stets darauf, dass Sie Cloud-Dienstleistungen aus deutschen Rechenzentren erhalten. Bei Amazon AWS und Microsoft Azure können Sie zum Beispiel Standorte auswählen, andere Anbieter sollten explizit den Standort Deutschland angeben.

Ist man nun innerhalb Deutschlands, ist das Vorhandensein einer ISO 27001-Zertifizierung der nächste wichtige Kontrollpunkt. Damit ist sichergestellt, dass sich der Anbieter an anerkannte Verfahrensweisen zur Erbringung von Datensicherheit hält.

Sicherheit bei der Nutzung der Cloud

Die Bedrohungen für Rechenzentren entsprechen denen von klassischen Firmennetzwerken. Da in Rechenzentren jedoch zentral Daten von vielen Unternehmen gelagert und bewegt werden, sind sie ein wesentlich attraktiveres Ziel für potentielle Angreifer. Auch ist der Clouddienstleister eben ein externer Dienstleister, so dass Ihre Daten grundsätzlich einem höheren Risiko des Fremdzugriffes oder Verlustes ausgesetzt sind.

Folgende Maßnahmen sind daher stets empfohlen:

  • Legen Sie Ihre Daten immer verschlüsselt ab
  • Fertigen Sie immer regelmäßig Backups Ihrer Daten an
  • Legen Sie diese Backups ebenfalls nur verschlüsselt ab
  • Prüfen Sie diese Backups regelmäßig auf Korrektheit und Vollständigkeit
  • Legen Sie nur so viele Logins an wie gerade nötig
  • Prüfen Sie, ob die Verbindungen zum Rechenzentrum stets verschlüsselt sind (Hinweise zur Verschlüsselung im www finden Sie in unserem Blogartikel zum Thema)
  • Verwenden Sie sichere Passwörter (mind. 8 Zeichen, Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, keine erkennbaren Muster)
  • Wechseln Sie regelmäßig die Passwörter
  • Sensibilisieren Sie Ihre Mitarbeiter regelmäßig über die Themen Datenschutz und Datensicherheit
  • Schränken Sie Nutzerrechte auf genau das ein, was ein Nutzer zum Arbeiten benötigt

Sie erkennen, dass sich diese Verhaltensweisen auch auf Ihre lokale IT anwenden lässt. Für spezielle Cloud-Dienstleistungen ließe sich diese Liste noch erweitern, was jedoch den Rahmen dieses Artikels sprengen würde.

Datenschutz und Datensicherheit für Unternehmen

Was sollten Sie im Hinterkopf behalten:

  • Rechenzentren/Cloud aus Deutschland sorgt für hohen Datenschutz
  • ISO 27001 sorgt für anerkannte Maßnahmen für eine hohe Datensicherheit
  • Richtige Verhaltensweisen im Umgang mit Cloud-IT sorgen für Sicherheit bei deren Nutzung

Wenn für Sie noch Fragen offen sind oder Sie eine individuelle Beratung zu den Themen Datenschutz und Datensicherheit Ihrer IT wünschen, dann wenden Sie sich gern an das Team der kreITiv GmbH.