Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Fit für die DSGVO finden Sie jetzt hier
Cover Cover Probeheft bestellen
Betriebsrat Brexit Checklisten Cookies Corona Drittland EuGH Facebook Fotos gemeinsame Verantwortlichkeit Homeoffice IoT IT-Sicherheit KI Kommunen Microsoft 365 Privacy Shield Risiko Schrems II Tracking Urteil Vorlagen Windows 10
Menü
Aktuelle Ausgabe

Datenschutz PRAXIS 04/21

Zeitschrift - Aktuelle Ausgabe

jetzt informieren
Betriebsrat Brexit Checklisten Cookies Corona Drittland EuGH Facebook Fotos gemeinsame Verantwortlichkeit Homeoffice IoT IT-Sicherheit KI Kommunen Microsoft 365 Privacy Shield Risiko Schrems II Tracking Urteil Vorlagen Windows 10
Ratgeber
12. Oktober 2017

Office 365 und Microsoft Azure

DP+
Office 365 und Microsoft Azure
Bild: bluebay2014 / iStock / Thinkstock
0,00 (0)
drucken
Das müssen DSBs wissen
Cloud-Lösungen wie Office 365 und Azure arbeiten zusammen und bieten praktische Funktionen. Doch Vorsicht: Oft sind die Daten in außereuropäischen Rechenzentren gespeichert und entziehen sich dem Einfluss des Datenschutzbeauftragten. Aber mittlerweile gibt es Alternativen.

Der Vorteil von Microsoft Office 365 und der Cloud-Plattform Microsoft Azure besteht zunächst darin, dass die Dienste von überall erreichbar sind.

Unsichere Zugriffe verhindern

Greifen Anwender aber von unsicheren Netzwerken im Urlaub, von Hotspots oder von anderen gefährdeten Netzwerken aus auf die Daten zu, laufen Unternehmen Gefahr, dass Fremde Daten mitlesen. Gelingt es Angreifern zudem, die Anmelde-Informationen des Anwenders auszulesen, können sie alle Daten abgreifen, die dem entsprechenden Anwender in der Cloud zur Verfügung stehen.

Handelt es sich dabei um privilegierte Konten wie Administratoren, ist die Gefahr noch größer.

Aus diesem Grund sollten Unternehmen genau darauf achten, aus welchen Netzwerken Anwender auf die Clouddienste zugreifen dürfen. Microsoft stellt dazu Hilfsmittel zur Verfügung, die verhindern, dass eine Anmeldung aus unsicheren Netzwerken möglich ist. Über Richtlinien lässt sich festlegen, von wo aus die Anwender zugreifen und welche Geräte sie dabei einsetzen dürfen.

Leider sind die Richtlinien und Schutzmechanismen nicht automatisch aktiviert. Auch sichere Anmeldemethoden wie Mehrfachauthentifzierung sind nicht automatisch aktiv. Die Anmeldung an Dienste in office365 erfolgt über Anmeldekonten aus Microsoft Azure Active Directory.

Unternehmen, die auf Office 365 setzen, nutzen also immer Microsoft Azure mit, selbst wenn sie keine anderen Dienste gebucht haben.

Zugriff mit jedem Gerät

Der Zugriff auf Dienste wie Office 365 ist nicht nur von überall aus möglich, sondern auch von jedem Gerät aus. Ganz klar, dass Gefahren drohen, wenn Anwender mit Geräten hantieren, die nicht durch die interne IT im Unternehmen abgesichert sind (Stichwort „Bring Your Own Device“).

Auf fremden Rechnern können sich Viren und Trojaner befinden, oder Angreifer hören den Netzwerkverkehr mit.

Dabei muss es sich nicht unbedingt um unsichere öffentliche Rechner in Internetcafés oder Hotels handeln, sondern auch um Home-Office-Arbeitsplätze, auf denen keine ausreichenden Sicherheitsverfahren etabliert wurden. Hier bietet Microsoft ebenfalls Funktionen an, um zu verhindern, dass gefährdete Rechner Zugriff erhalten.

Dazu benötigen Unternehmen ein Mobile Device Management, um sicherzustellen, dass keine heiklen Daten in Gefahr geraten.

Datenschutzbeauftragte müssen hier steuernd eingreifen: Es muss im Unternehmen klar definiert sein, wer wann von wo auf welche Dienste in Office 365 zugreifen darf.

Datenspeicherung in ausländischen Rechenzentren

Unabhängig davon, ob Office 365 oder Azure zum Einsatz kommen, werden die Daten in den meisten Fällen in ausländischen Rechenzentren gespeichert. Amerikanische Geheimdienste und ähnliche Organisationen können die Daten also auslesen.

Um dieses Risiko zu umgehen, sollten Unternehmen darauf achten, dass die Daten komplett in deutschen Rechenzentren gespeichert werden und damit dem deutschen Datenschutzrecht unterliegen.

Nutzen Unternehmen diese Funktionen aus Deutschland nicht, müssen sie sicherstellen, dass sie nur unkritische Daten in den Clouddiensten speichern. Das dürfte dann nicht weit über den Kantinenplan hinausgehen.

Die Alternative: Microsoft Azure Deutschland

Microsoft bietet mit Azure Deutschland eine Erweiterung von Microsoft Azure an, die auf deutschen Servern läuft und von deutschen Unternehmen betreut wird. Bei Azure Deutschland handelt es sich um keinen neuen Serverdienst.

Alle bisherigen Angebote von Microsoft Azure stehen auch hier zur Verfügung, nur dass deutsche Rechenzentren die Daten und Dienste betreuen.

Die einzelnen Assistenten zum Erstellen neuer Objekte bieten dann ebenfalls ausschließlich Standorte aus Deutschland an.

Zusammenarbeit mit T-Systems

Hier arbeitet Microsoft beispielsweise mit der Telekom zusammen, aber auch mit anderen Unternehmen, die die Netzwerkverbindungen zur Verfügung stellen. Die Netzwerkverbindungen bauen Unternehmen wie BT, Equinix, Colt und andere auf. Außerdem hat Microsoft einen Datentreuhänder-Vertrag abgeschlossen, der ausschließt, dass Microsoft Zugriff auf die Daten hat.

Dadurch bekommen auch US-Behörden keinen Zugriff auf die Daten. Azure Deutschland wird zum großen Teil von T-Systems zur Verfügung gestellt.

Microsoft bietet an, dass die Server nicht nur in Deutschland stehen und die Daten hier gespeichert werden, sondern dass deutsche Unternehmen auch die Verwaltung übernehmen. Das stellt sicher, dass die Infrastruktur unter deutscher Rechtsprechung steht. Microsoft arbeitet hier mit einem Treuhändervertrag mit T-Systems.

Mehr dazu finden Sie unter http://ogy.de/ms-deutsche-cloud.

Office 365 Deutschland nutzen

Neben Azure Deutschland bietet Microsoft auch Office 365 Deutschland an. Hier hat sich der amerikanische Konzern ebenfalls mit der Telekom zusammengetan. Da die Daten in deutschen Rechenzentren gespeichert und die Dienste aus Deutschland durch die Telekom zur Verfügung gestellt werden, gelten deutsche Rechtsvorschriften.

So lässt sich deutscher Datenschutz sicherstellen.

Auf Art der Verträge achten

Zwar bietet Microsoft über Distributoren oft Verträge an, die auch für die US-Version von Office 365 gültig sind. Allerdings stellen diese keineswegs sicher, dass amerikanische Behörden nicht auf die Daten zugreifen. Datenschutz aus Deutschland lässt sich nur mit Office 365 Deutschland gewährleisten.

Die Buchung erfolgt in diesem Fall über die deutsche Telekom, wo Unternehmen zudem einen zertifizierten Support bekommen. Alle Dienste werden in deutschen Rechenzentren bereitgestellt, als Datentreuhänder dient T-Systems.

Wer auf die klassischen Office-365- und Azure-Dienste setzt, kann über Dienstleister problemlos zu Office 365 Deutschland und Azure Deutschland umziehen.

Fazit: Besser in deutsche Rechenzentren umziehen

Um deutschen Datenschutznormen zu entsprechen, kommen Unternehmen kaum um die Buchung von Office 365 Deutschland oder Azure Deutschland herum. Aber auch hier sind dringend Richtlinien nötig, die verhindern, dass Anwender aus unsicheren Netzwerken und von gefährdeten Rechnern aus Zugriff auf die Clouddienste nehmen.

Für einen Angreifer spielt es keine Rolle, ob Daten, die er stiehlt, in deutschen oder amerikanischen Rechenzentren gespeichert sind.

Thomas Joos
+

Weiterlesen mit DP+

Sie haben noch kein Abo und möchten weiterlesen?

Weiterlesen mit DP+
Konzentrieren Sie sich aufs Wesentliche
Profitieren Sie von kurzen, kompakten und verständlichen Beiträgen.
Kein Stress mit Juristen- und Admin-Deutsch
Lesen Sie praxisorientierte Texte ohne Fußnotenapparat und Techniker-Sprech.
Sparen Sie sich langes Suchen
Alle Arbeitshilfen und das komplette Heftarchiv finden Sie online.
Jetzt Probeheft anfordern

Sie sind bereits Abonnentin oder Abonnent? Dann melden Sie sich bitte hier an.

Wie nützlich war dieser Beitrag für Sie?
Jetzt teilen:
drucken
Verfasst von
DP
Thomas Joos

Thomas Joos ist freiberuflicher Autor und Journalist mit Schwerpunkt Microsoft und hat über 20 Jahren Berufserfahrung als IT-Consultant und Trainer.

zu den Kommentaren
Verwandte Beiträge
12. April 2021
Gratis
Welche Rechtsgrundlage ist nötig, wenn ein Verantwortlicher ein Testsystem mit echten Personaldaten betreiben möchte?
Bild: iStock.com / Kachura Oleg

Testsystem mit echten Personaldaten: Darf das sein?

Urteil
Betriebsrat Urteil
08. April 2021
Gratis
Datenschutzkonferenz zu Impfnachweisen
Bild: iStock.com / Firn

Vom Kinobesuch bis zum Impfnachweis: DSK fordert klare gesetzliche Regelungen

News
Corona
06. April 2021
Gratis
Der BSI-Standard 200-4 gibt Tipps zum Notfall-Management und zum BCM
Bild: iStock.com / designer491

BSI-Standard 200-4: Was Notfall-Management & Datenschutz gemeinsam haben

Hintergrund
IT-Sicherheit
01. April 2021
Gratis
Pandemie neben weiteren Themen im 29. Tätigkeitsbericht des BfDI.
Bild: Rawpixel / iStock / Getty Images Plus

Von Pandemie bis Brexit: BfDI stellt Tätigkeitsbericht vor

News
31. März 2021
DP+
Wer personenbezogene Daten in einen Drittstaat übermittelt, muss unter Umständen individuelle „ergänzende Maßnahmen“ ergreifen
Bild: iStock.com / sdecore

Technische Schutzmaßnahmen auswählen (Teil 2)

Analyse
Drittland Schrems II
weitere Beiträge laden
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen.