Customer Lockbox – mehr Sicherheit im Supportfall?

Announcing-Customer-Lockbox-for-Office-365-1-1024x673

Im Rahmen der Auftragsdatenverarbeitung (ADV) muss der Nutzer/Kunde die volle Kontrolle über seine Daten haben und diese jederzeit ändern, löschen oder auch prüfen können. Dies gehört zu den klassischen Anforderungen der Nutzung eines Cloud Dienstes in Deutschland. Das genau dieser Punkt der Kontrolle der Daten durch einige Datenschutzbeauftragen immer mal wieder als nicht kontrollierbar bei Office 365 gilt ist nachvollziehbar, den die Angst vor Datenverlust/ Integritätsverlust in einem weitentfernen Rechenzentrum ist größer als bei einem Server im eigenen Keller, obwohl alleine aus technischer Sicht es zu einer Mehrzahl eher umgekehrt sein wird.

Nun geht Microsoft den nächsten Schritt, um noch mehr Sicherheit zu gewährleisten. Sie bieten das Tool Lockbox an. Lockbox ist ein Tool, um den Usern die volle Datenkontrolle über deren Inhalte in einem fremden System, hier Office 365, zu bieten und zwar in den Fällen des Supports. In denen der Microsoft Support Engineer Zugriff auf den Tenant aber nicht auf die Daten benötig, zu denen er eigentlich eh nie Zugriff benötigt, aber Kontakt bekommen könnte, wenn wir uns die Tabelle im Trust Center genauer anschauen.

Es wird mit Lockbox ist dementsprechend eine neue Zugangstechnologie/Genehmigungsverfahren für Microsoft Support Mitarbeiter auf die Tenants ihrer Kunden. Es gibt somit keinen ständigen Zugriff, den gab es zuvor auch nicht, sondern nur einen theoretischen wie ihn jeder Globaladmin in seinem Netzwerk hat.

Der Support Mitarbeiter erhält somit nur Just-in-Time Zugriff, die durch Lockbox erst nach mehreren Ebenen der Genehmigungen durch den Kunden und Microsoft Manager möglich wird. Der Zugang ist darüber hinaus zeitlich und inhaltlich stark begrenzt. Ich muss als Kunde jedesmal den Zugriff genehmigen.  Ich meine gelesen zuhaben im untersten Level von maximal 15 Minuten. (ab 15 Minuten – prüfe ich noch)

Wenn man den Zugang nicht genehmigt erhält der Mitarbeiter keinen Zugriff. Aber auch solange der Zugang nicht genehmigt ist, bekommt der Mitarbeiter keinen Zugriff. Somit hängt auch dies an euch, ob ihr Zugang gewährt oder nicht. Ich vermute, dass bei einer Ablehnung ein Support nicht möglich sein wird.

Weiterhin wird der Zugriff protokolliert und geprüft. Wir als Kunden genau diese Protokolle und deren Datenintegrität überprüfen können, frage ich aktuell bei Microsoft nach.

Wie wird protokolliert und aufgezeichnet?

Vor einigen Tagen berichtete sich schon von den neuen APIs und vor allem von der Office 365 Management API (Security & Compliance). Genau über diese API, welche ihr selber in der Preview testen könnt, wird das Verfahren protokolliert und durchgeführt. Im Grunde könntet ihr für euch selber ein ähnliches Verfahren aufsetzen. Dies finde ich persönlich sehr transparent von Microsoft und lässt aus meiner Sicht keine Wünsche offen.

Informationen zu der API: https://blogs.office.com/2015/04/21/announcing-the-new-office-365-management-activity-api-for-security-and-compliance-monitoring/

mein Blogpost: (link folgt)

 

 

Zusammenfassung:

Lockbox ist für mich ein Standardwerkzeug und ein Muss für jeden der Office 365 einsetzt, denn so erhalte ich die Kontrolle und Transparenz, wann wer und wo Zugriff auf meine Inhalte hatte. Kritisch könnte man natürlich sagen, dass man als Admin eh immer Zugriff hat, aber dagegen lässt sich sagen, dass man hiermit zumindest eine ordentliche Protokollierung und ein zusätzliches Kontrollverfahren hat.

Ich werde dieses einmal testen und euch dann hier eine Rückmeldung geben.

 

 

via: https://blogs.office.com/2015/04/21/announcing-customer-lockbox-for-office-365/

https://support.office.com/de-DE/article/Customer-Lockbox-Anfragen-in-Office-365-36f9cdd1-e64c-421b-a7e4-4a54d16440a2