Neue Funktionen in Microsoft 365 erleichtern das Einhalten der DSGVO
Im Rahmen der Microsoft Ignite-Konferenz haben wir diverse Sicherheits- und Compliance-Funktionen rund um Microsoft 365 präsentiert. Wie helfen diese Funktionen Kunden dabei, die Vorgaben der ab Mai 2018 einzuhaltenden EU-Datenschutz-Grundverordnung (DSGVO, englisch: General Data Protection Regulation, GDPR) zu befolgen?
Im Lauf des Jahres haben wir Office 365, Enterprise Mobility + Security und Windows zu einer einzelnen, stets aktuellen Lösung verschmolzen namens Microsoft 365. Organisationen müssen sich dank Microsoft 365 nicht länger mit den Kosten verschiedener, fragmentierter Systeme abfinden, die nicht auf das Einhalten moderner Standards ausgerichtet sind.
Eine überprüfbare Plattform, der Sie vertrauen können
Wir wissen, dass der DSGVO unterliegende Unternehmen das Einhalten der Verordnung dokumentieren müssen. Daher investieren wir in Werkzeuge, die beim Erreichen dieser Ziele helfen.
Anwender von Microsoft 365 profitieren von integrierter Sicherheit und Compliance bei täglich genutzten Apps, Diensten und Endgeräten. Microsoft hat eine lange Historie rund um Transparenz, Defense in Depth und fest verankertem Datenschutz. Daher konnten wir als erster Anbieter von Enterprise-Cloud-Diensten die strengen Kontrollmechanismen etablieren, die zum Einhalten des Cloud-Datenschutzstandards ISO 27018 nötig sind. Wir sind auch der erste Anbieter, der Vertragsvereinbarung zur DSGVO eingeht.
Auftritt Compliance Manager – Das erreichen Ihrer jeweiligen Compliance-Ziele kann schwierig sein. Das ist uns bewusst. Es ist nicht leicht, immer auf neuestem Stand zu sein hinsichtlich der jeweils relevanten Vorgaben sowie die hierfür verlangten Kontrollmechanismen zu definieren und zu implementieren.
Unser neuer Compliance Manager hilft Ihnen hierbei, indem er den Zugriff auf alle Compliance-relevanten Aspekte zentralisiert. Mit dem Compliance Manager können Sie in Echtzeit Risikobewertungen umsetzen. Er liefert Ihnen eine übergreifende Bewertung, die Ihr Compliance-Niveau abbildet und gegen gängige Regulierungsanforderungen stellt (wenn Sie Microsoft-Cloud-Dienste verwenden).
Zudem steht Ihnen einen integrierte Managementfunktion für Kontrollmechanismen zur Verfügung sowie Reporting-Tools, die Audit-fertige Reports erstellen. In unserem Tech Community Blog erfahren Sie mehr über den Compliance Manager. Unser Preview-Programm startet im November.
[caption id="attachment_835" align="alignnone" width="1024"] Beispielhafte Ansicht des Dashboards des Compliance Manager[/caption]
Breitflächige Verfügbarkeit der Service-Verschlüsselung mittels Customer Key – Die Dienste-Verschlüsselung per Customer Key kann Kunden beim Einhalten ihrer Compliance-Vorgaben helfen, da sie hierdurch die Schlüssel zur Chiffrierung ihrer Office-365-Daten managen können. Anhand dieses Beispiels wird sichtbar, wie Customer Key in SharePoint Online:
Vereinfachen Sie den Schutz von Daten
Organisationen sehen sich immer mehr und immer komplexeren elektronischen Daten gegenüber. Aus Sicht von Sicherheit und Compliance ist es unabdingbar, diese Datenflut unter Kontrolle zu bekommen. Nur lässt sich feststellen, was aufzuheben und wo bei Bedarf Relevantes zu finden ist. Microsoft bietet daher einige neue Funktionen, die die bereits vorhandenen, umfassenden Fähigkeiten von Microsoft Information Protection und Advanced Data Governance noch weiter ausbauen. Das ist umso wichtiger, da schätzungsweise 58 Prozent aller Angestellten unberechtigten Parteien versehentlich vertrauliche Daten zugänglich gemacht haben.
Microsofts Information Protection-Lösung hilft beim Identifizieren, Klassifizieren, Schützen und Überwachen Ihrer vertraulichen Daten. Und zwar bei deren Erzeugung, beim Speichern oder Weitergeben. Wir haben an verschiedenen Stellen in unsere Lösungen zum Schutz von Informationen investiert – und können Sie noch besser zum Schutz von Daten während deren kompletten Lebenszyklus beitragen. Wichtig ist es, eine besser integrierte, konsistentere Lösung zum Klassifizieren, Kennzeichnen und Schützen von Daten über unsere Schutztechniken hinweg. Dies sorgt für nachhaltigen Schutz Ihrer Daten – überall. Microsoft Cloud App Security ist jetzt fest mit Azure Information Protection verzahnt, um in Cloud-Anwendungen gespeicherte Daten zu klassifizieren und zu kennzeichnen.
Zu den Verbesserungen der Advanced Data Governance gehört das ereignisgesteuerte Speichern in Office 365 Advanced Data Governance. Anwender können hiermit Ereignisse (Events) anlegen, die die Speicherfrist für Daten in Office 365 beeinflusst. Das belegbare Löschen von Daten senkt die Sicherheits- und Compliance-Risiken von Organisationen. Die Funktion findet sich derzeit im Office 365 Universal Preview Program und steht Ihnen zum Ausprobieren zur Verfügung.
Neue Multi-Geo-Funktionen in Office 365: Einzelne Nutzer können Daten in weltweit verteilten (Geos) Office-365-Rechenzentren speichern und pro Anwender bestimmte Regionen festschreiben. Per Multi-Geo können Kunden innerbetriebliche, regionale und lokale Vorgaben an den Speicherort umsetzen und den weltweit verteilten Anwendern damit zeitgemäße Zusammenarbeit ermöglichen. Mehr über Multi-Geo finden Sie hier.
Zudem verbessern wir die Nachrichtenverschlüsslung in Office 365, was den Austausch von verschlüsselten Nachrichten mit beliebigen Kommunikationspartnern innerhalb und außerhalb der eigenen Organisation erleichtert. Empfänger können von Office 365 geschützte E-Mails auf verschiedensten Endgeräten lesen, darunter herkömmliche E-Mail-Clients und sogar Consumer-E-Mail-Dienste wie Google Mail, outlook.com oder live.com.
Mit intelligenten Werkzeugen Daten besser finden und kontrollieren
Mit manuellen Prozessen werden Organisationen dem anschwellenden Strom aus gesammelten, vertraulichen Daten nicht Herr. Selbst wenn Sie die Speicherorte all dieser Daten kennen und wissen, wie Sie die Datensätze behandeln müssen, genügt das noch nicht: Die Daten müssen dauerhaft vor Bedrohungen geschützt sein. Die DSGVO schreibt angemessene Schutzmaßnahmen vor, um unberechtigte Zugriffe oder Datenlecks zu verhindern. Zudem müssen Betroffene und Behörden im Fall einer Datenpanne benachrichtigt werden. Heute dauert es im Schnitt 90 Tage, bis eine erfolgreiche Attacke entdeckt wird. Microsoft investiert fortlaufend sowohl in Tools zum schnelleren Aufspüren solcher Attacke und zu deren Eindämmung, als auch in Werkzeuge, die solche Datenlecks von vornherein verhindern.
Analyse von Office-365-fremden Daten durch Advanced eDiscovery: Zwar steigt die Menge der mittels Office 365 erzeugten und darin gespeicherten Daten exponentiell an. Viele Organisationen haben aber dennoch Daten in älteren Fileshares und Archiven. Zudem erzeugen sie Daten in anderen Cloud-Diensten, die eventuell relevant sein können für durch ein Auskunftsersuchen einer betroffenen Person ausgelösten einen eDiscovery-Fall; dieses Recht auf Auskunft ist fest in der DSGVO verankert. Organisationen können solche Office-365-fremden, fallspezifischen Daten in einen speziell zugewiesenen Azure-Container importieren und sie mittels Office 365 Advanced eDiscovery analysieren. Organisationen können so mittels eines einzigen eDiscovery-Workflows sowohl Office-365- als auch Office-365-fremde Daten analysieren und erlangen so die Durchgängigkeit, die für vertretbare Entscheidungen in Bezug auf den kompletten Datensatz des Falles nötig ist.
Dieses Feature ist derzeit noch in einer Preview-Phase und benötigt eine Advanced eDiscovery-Lizenz pro Nutzer, dessen Daten analysiert werden. Im weiteren Verlauf dieses Jahres kommt zusätzlich noch der Erwerb des eDiscovery Storage Plan hinzu für alle Office-365-fremden Daten, die in den eigens zugewiesenen Azure-Container importiert werden. Der eDiscovery Storage Plan ist in 500GB-Schritten erhältlich und kostet 100 US-Dollar pro Monat.
[caption id="attachment_845" align="alignnone" width="1024"] Beispielansicht von Advanced eDiscovery[/caption]
Wir haben zudem unsere Anti-Phishing-Fähigkeiten in Office 365 Advanced Threat Protection ausgebaut. Der Schwerpunkt liegt auf der Abwehr von Content-Phishing, Domain-Spoofing und Kampagnen zum Identitätsdiebstahl. Office 365 Advanced Threat Protection schützt jetzt auch zusätzlich SharePoint Online, OneDrive for business und Teams. Windows bringt jetzt Windows Defender Application Control mit, das auf dem Microsoft Intelligent Security Graph beruht und verhindern soll, dass bösartiger Code auf dem Endgerät ausgeführt werden kann.
Um auch die Post-Breach-Seite zu optimieren, stellen wir mit Azure Advanced Threat Protection einen nagelneuen Dienst für Anwender vor, der unsere lokalen Erkennungsfunktionen für Identitätsattacken auf die Cloud ausweitet und mit dem Microsoft Intelligent Security Graph verzahnt. Darüber hinaus integriert Windows Defender Advanced Threat Protection die KI-Fähigkeiten von Hexadite, um so automatisch neue Alarme zu untersuchen, die Komplexität einer Bedrohung zu erfassen und notwendige Schritte zur Abwehr einzuleiten.
Neues zum Security-Management in Office 365: Advanced Security Management bietet jetzt noch tiefere Einblicke in Office 365 sowie bessere Kontrolle darüber. Seit Oktober 2017 wird Advanced Security Management in unseren EU-Rechenzentren gehostet, damit in der EU ansässige Organisationen ihre Compliance-Auflagen besser erfüllen können. Wir verbessern den Einblick in den Dienst weiter, in dem wir Unterstützung für Aktivitäten in Skype for Business, Yammer und Office 365 Threat Intelligence hinzufügen. Von diesen Diensten stammende Signale können Aktivitätsalarme auslösen und für Alarme bei der Anomalie-Erkennung herangezogen werden. Um unsere Investitionen in Microsoft 365 in Reihe zu bekommen, benennenn wir Advanced Security Management um in Office 365 Cloud App Security.
Der nächste Schritt hin zu Ihrer DSGVO-Compliance
Aufgrund der DSGVO muss jede Organisation überdenken, wie sie mit den derzeitigen SIcherheits- und Compliance-Herausforderungen umgeht. Eventuell sind durchgreifende Änderungen daran nötig, wie Ihr Unternehmen Daten sammelt, verwendet und behandelt.
Als weltweit aktives Unternehmen mit hunderten Millionen von Kunden auf der ganzen Welt unterliegen wir vielen strengen Auflagen, darunter die EU-Datenschutz-Grundverordnung. Von daher kennen wir die Herausforderungen, vor denen Sie stehen. Als Ihr vertrauenswürdiger Partner verpflichten wir uns, über unsere mindesten Verantwortungen hinaus zu gehen und stets in Ihrem besten Interesse zu handeln. Microsoft ist aktiver Teilnehmer in einer Community von Compliance-Fachleuten, die Ihnen bei all Ihren DSGVO-Anliegen zur Seite stehen können. Dazu gehören Audits und Beratung, Hilfe bei der Cloud-Migration oder auch maßgeschneiderte Lösung Ihres speziellen Problems.
Alle weiteren Details zu unseren neuen Sicherheitsfunktionen sowie den übrigen Fähigkeiten von Microsoft 365 finden Sie im Whitepaper Accelerate your GDPR compliance journey with Microsoft 365.