In den letzten Tagen bekam ich mehrere Email mit der Frage nach einem Best-Praktische im Bereich Kollaboration und Zusammenarbeit mit dem SharePoint Online und dem OneDrive. Diesem gehe ich in diesem Beitrag mal ein. Es geht bei der Thematik um die sichere Zusammenarbeit im Unternehmen und mit Externen. Natürlich müssen rechtliche und unternehmenseigene Vorgaben beachtet und konsequent umgesetzt werden:
Vorarbeiten
Zunächst muss oder sollte die Entscheidung stehen, dass man Daten im SharePoint und OneDrive labeln und schützen will. Diese sollte eigentlich in allen Unternehmen zum Standard gehören. Jedoch ist der Aufwand der Einrichtung und der teilweisen Einschränkungen nicht zu unterschätzen. Deshalb sollte man sich genau überlegen, welche Schutzmaßnahmen man nutzt. Ebenfalls müssen diese überprüft und gegebenenfalls angepasst werden, wenn man merkt, dass es nicht zum Unternehmen passt.
Die Empfehlung ist klar zunächst einen Test in der IT Abteilung zu machen und dann dies abteilungsweise auf das Unternehmen auszurollen. Ebenfalls sollte man einen Security Officer bestimmen, der das Thema innehat und mindestens 2-4h in der Woche Zeit für diese Aufgabe aufbringen kann. Minimal sollte er oder sie 30 Minuten die Woche Zeit haben, dann muss das Berichtswesen und auch die Nutzung hoch automatisiert sein.
In einem nächsten Schritt sollte man die Klassen im IT Board definieren und dann los legen.
Klassen definieren und mit Werkzeugen verbinden
Zunächst sollte man sich Klassen und dazu passende Label überlegen. Hierzu gibt es je nachdem wen man fragt verschiedenste Auffassungen. So gehen die Landesdatenschutzbeauftragten von 5 Klassen mit Labeln aus oder man reduziert diese auf 3 Klassen, wie es manche Konzerne und Unternehmen machen. Wichtig ist, dass diese Klassen sehr leicht verständlich sind und die MitarbeiterInnen diese auch verstehen. Denn sonst werden entweder keine Klassen genutzt oder man verwendet immer die strengste Klasse.
öffentlich / Public
Diese Klasse ist für alle öffentlichen Daten zu bestimmen. Einige Unternehmen meinen, dass diese nicht nötig ist, aber dann hätte man wieder Datensätze ohne Klassifizierung. Diese Datensätze könnte man wieder on Block nicht händeln.
Label: Public
DLP Policy: keine
Verschlüsselung: keine
privat
Diese Klasse bestimmt, dass dies private Inhalte sind und der Eigentümer der Datei und Seite diese mit anderen teilen kann. Es handelt sich alleine um private Daten des Nutzers, wie z.B. eigene Bilder von der Firmenfeier oder auch mal ein eigenes Dokument
Label: Privat
DLP Policy: keine
Verschlüsselung: keine
sensitive (secure/internal)
Diese Klasse beinhaltet Daten die als sensitiv für den Nutzer und das Unternehmen bezeichnet werden. Im Grund handelt es sich um erstmal um alle nicht öffentlichen Unternehmensdaten. Diese Klasse kann als Standardklasse definiert werden und erstmal grundsätzlich auf alle Daten angewendet.
Label: sensitiv
DLP Policy: Warnung der Nutzer bei verschicken der Daten außerhalb des Unternehmens, Aufbewahrung nach GoBD und SharePoint IRM Protection.
secure (highly confidential)
Diese Klasse ist die sicherste Klasse. Man bezeichnet diese auch als “high confidential”. Mit dieser Klasse sollten die maximal 2% wichtigsten und vertrauenswürdigsten Daten gekennzeichnet und geschützt werden. Mit dem Blick aus dem Datenschutz gehören hierzu auch Befunde, Gesundheitsdaten und aus Datensicherheitsgründen z.B. Rezepte oder Formeln.
Unsinnig ist es eine eigene Klasse für die Zusammenarbeit mit Externen zu machen, um eventuell das Wasserzeichen zu entfernen oder das Dokument so “roh” wie möglich zu halten. Es ist möglich, dass auch der externe Nutzer das Wasserzeichen entfernt oder die Schutzklasse ändern und dies mit Begründung. Ich würde nie meine höchste Schutzklasse beschneiden wollen, sondern statt den Schutzstandard zu beschneiden, lieber den Externen eine AIP P1 Lizenz oder eine EMS E3 Lizenz sponsern, den die Kosten können nicht so hoch sein, als wenn diese Dateien geleakt werden.
Label: secure
DLP Policy: Warnung der Nutzer bei verschicken der Daten außerhalb des Unternehmens, Aufbewahrung nach GoBD und SharePoint IRM Protection.
Verschlüsselung: ja, Azure Vault oder sogar HYOK
Berechtigungen: eng mit AIP
zusätzliche Einschränkungen: Kein Drucken, Kein Screenshot und ggf. kein Bearbeiten, Datei kann nicht oder nur mit AIP Protection verschoben werden ggf. Wasserzeichen
Diskussion: eigene Klasse für Betriebsrat und Datenschutz
Fraglich ist, ob es eine eigene Klasse für den Betriebsrat und den Datenschutz geben muss oder auch für den Vorstand inkl. Assistenten. Dies wird kontroverse diskutiert. Meiner Ansicht nach kann man die Secure Klasse nutzen, aber es wäre auch kein zusätzlicher Aufwand eine DS-BS Klasse anzulegen, so dass diese beiden MitarbeiterInnen ihre Daten für sich verschlüsseln können. Man könnte sogar alle anderen MitarbeiterInnen ausschließen.
Grafik
Rollout
AIP: Klassen nach der Vorbereitung anlegen
User: Lizenzen zuordnen (z.B. AIP P2, EMS E5 oder Microsoft 365 E5)
Client: AIP Client, AIP Viewer auf die Rechner und Smartphones
OneDrive
Link: https://admin.onedrive.com/
Interessant wird es nun beim OneDrive noch einige Einstellungen vorzunehmen, die für den gesamten Office 365 Tenant gelten. Gehen wir die einzelnen Punkte einmal durch:
Freigabe
Im Rahmen der Freigabe solltet ihr bei den Standardlinks auf “Intern” setzen, so dass wenn ein Nutzer eine Datei teilen will diese Option direkt ausgewählt ist und er diese aktiv ändern muss, wenn er die Datei anders teilen will. Weiterhin sollten die Links nicht länger als 30 Tage gelten, der Nutzer kann lieber noch einmal eine Freigabe erteilen als das der Link wie im Standard 90 Tage gilt. Jeder Tag birgt ein Risiko eines Angriffes. Sollten Sie die Tage erhöhen, definiert bitte erweitere Kontrollverpflichtungen z.B. über automatisch zugesendete Berichte.
Die Dateien und Ordner können auf Anzeigen, Bearbeiten und Hochladen stehen, denn der Nutzer kann dies granularer einstellen, aber diese Möglichkeit sollten ihm nicht genommen werden.
Externe Freigaben
Bei den Externen Freigaben sollte im Unternehmen auf die Einstellung “Neue und vorhandene existierende Benutzer” eingegrenzt werden. Damit werden anonyme Links ausgeschlossen. Je nach Branche lohnt es sich sogar auf “vorhandene existierende Benutzer” eingegrenzt werden, denn so lässt sich erreichen, dass externe Benutzer erst einmal den OnBoarding Prozess durchlaufen und eine Nutzungsvereinbarung, sowie eine Geheimhaltungserklärung unterschreiben. Danach sind diese im Office 365 Tenant eingetragen und können ausgewählt werden.
Erweiterte Einstellungen
Unter diesen Einstellungen könnt ihr das Teilen für bestimmte Domains zulassen und blockieren. Dies erhöht definitiv, aber schließt auch Szenarien mit unbekannten Externen aus, wobei ich diese Einstellungen wählen würde, denn dies gilt für mich als zweite Sicherungsmaßnahme, dass der Externe auch den OnBoarding Prozess durchlaufen hat und seine Domain eingetragen wurde.
Zwingend zu aktivieren ist die Einstellung, dass Externe Benutzer den Link mit ihrem Account an den die Einladung zum Teilen erstellt wurde auch angenommen wird. So wird verhindert, dass der Link weitergeleitet wird und eventuell durch andere geöffnet werden könnte.
Je nach Definition von Szenarien kann die letzte Option aktiviert oder deaktiviert sein. Ich lasse externen Nutzern ihre Elemente in ihrem Besitz dennoch nicht teilen, denn ich gehe davon aus, dass diese mit mir an einem Projekt arbeiten und die Dateien und Inhalte sollen unter meiner Kontrolle bleiben. Alternativ müsste ich wieder die Kontrolle erhöhen und mir als Projektleiter genau ansehen, wer hier etwas an wen teilt.
Weitere Einstellungen
In diesem Fall lasse ich den Besitzern die Namen anzeigen, die ihre Dateien angezeigt haben. Durch die obigen Einstellungen ist das Datenschutzrisiko gering, denn diese Personen haben meine Nutzungserklärung unterschieben und sich einverstanden erklärt. Es ist eine Cybersecurity-Einstellung.
Synchronisieren
Ich lasse die Schaltfläche “Synchronisieren” im OneDrive angeschaltet und schränke dies nicht besonders z.B. über Dateitypen ein. Dies muss aber an den Szenarien geprüft werden. Ich Begrenze auch nicht auf PC in der Domain, denn ich habe EMS und kontrolliere MDM & MAM.
Speicher
Nun kommt wohl die größte Diskussion, die ich bei dieser Thematik immer erlebe.
Im Standard gibt es 1 TB und im Maximum 5TB Speicherplatz. Microsoft gibt als Empfehlung die 1 TB heraus, um den Nutzern in der Regel keine Grenze zu setzen, die in einer reinen OnPremise Umgebung mit 200MB bis 1GB im Maximum leben mussten. Wenn man nun z.B. umstellt und alle Dateien grundsätzlich über den OneDrive speichert und somit nur den OneDrive für seine Dateien hat, ist auch 1TB ausreichend, da die meinsten PC nur 500GB Festplatte haben.
Aus Sicherheitsgründen könnte man die Größe auf 100GB einschränken. Dies genügt in der Regel für die Arbeit mit dem OneDrive heraus, auch wenn man alle Daten hiermit speichert und sichert. Es gibt auch einige Unternehmen die den Speicher auf 50 oder 20 GB begrenzen, um eventuellen Datenverlust zu vermeiden. Dies sollte jedoch lieber über DLP eingeschränkt und über EMS zusätzlich abgesichert werden.
Die Tage, die Dateien im OneDrive aufbewahrt werden, nachdem der User diese gelöscht hat, habe ich auch 360 gestellt. So kann der Administrator 1 Jahr lang diese noch wiederherstellen und der Nutzer seine 30 Tage Restore nutzen.
Gerätezugriff
Nun nutze ich schon Intune, aber ich kann auch über den OneDrive Einstellungen machen, um den Zugriff von Geräten auf diesen einzuschränken. Wichtig ist jedoch, dass ihr hier globale Einstellungen macht und anders als bei AIP oder Intune nicht kategorisieren könnt, um granularer einen Schutz mitzugeben.
So habe ich hier kaum Einstellungen in der Regel vorgenommen. Ich habe den Zugriff für Geräte ohne moderne Authentifizierung entfernt, aber nicht über IP-Adressen eingeschränkt. Um die Szenarien nicht zu sehr einzuschränken habe ich im Bereich der mobilen Apps (iOS und Android nur folgende Einstellungen vorgenommen:
- Drucken von Dateien in Apps blockieren. //Dies sollen Sie bitte immer über den Rechner machen, der von mir die jeweiligen Informationen für geeignete Drucker mitbekommen hat.
- App-Daten verschlüsseln, wenn das Gerät gesperrt ist. // Verschlüsselung? -> immer es geht im Zweifel um Daten des Unternehmens
- Alle 7 Tage Office 365 Anmeldung anfordern. // Ich verstehe, dass viele dies als “lästig” empfingen und die User es nicht mögen werden. Jedoch habe ich in vielen Kundenszenarien wenig bis gar keine Beschwerden bekommen. Alle wissen, dass der Zugriff der entscheidende Punkt zur Absicherung ist.
- Wenn das Gerät offline ist:
- Minuten, nach denen der Benutzerzugriff überprüft werden soll: 90
- Tage nach denen die App-Daten gelöscht werden sollen: Regel 720 / Tipp: 90 (3 Monate / Urlaub? ) Achtung: Elternzeit und Mutterschutz 6 Monate, aber dann können die Dateien auch neu gesynct werden.
Compliance
Hinter diesem Punkt verbergen sich die DLP, eDiscovery, Benachrichtigungen und Überwachungsoptionen. Dies folgt in Teil 2 des Blogbeitrages.
Benachrichtigungen
Unter Benachrichtigungen habe ich alle Optionen aktiviert. Dies soll und muss den Nutzer so weit wie möglich benachrichtigen und es hilft auch, wenn mal ein Nutzer den Überblick über seine Freigaben verloren hat. Dies passiert leider sehr schnell.
SharePoint
Link: https://rakoellner-admin.sharepoint.com (rakoellner = eurer SPO)
Im SharePoint kann ich weiterhin ähnliche Einstellungen, wie im OneDrive Admin Center machen. So gehe ich hier nur auf die unterschiedlichen Einstellungen ein. Ich würde euch auch bitten mit dem OneDrive zu beginnen. Ob ihr nun das alte Center oder das neue Center nutzt ist eure Entscheidung, wobei in weinigen Monaten das neue Admincenter alle Funktionen inkl. neue Funktionen haben wird.
Für den SPO verweise ich gerne auf meinen IRM Artikel hier im Blog.
Weitere Einstellungen kommen ebenfalls in Teil 2.
MDM & MAM über EMS bzw. Intune
Es ist sinnvoll um einen umfassenden Schutz gerade für die Klassen internal und secure zu erreichen auch den Schutz des Gerätes, sowie der Applikationen zu erreichen.
Hinweis: Hier ist zwingend der Betriebsrat (nicht nur bei BYOD), sondern auch der Security Officer und der Datenschutzbeauftragte einzubinden.
MDM
Im Mobile Device Management ist es anzuraten, Geräte in der Azure AD aufzunehmen und diese für unternehmenseigene Geräte als diese “Unternehmen” zu verwalten und bei BYOD Szenarien zumindest diese mit der Kennung “Privat” aufzunehmen, um ggf. Daten löschen zu können und ein gewisses Schutzlevel halten und vorallem durchsetzen zu können. So muss zwingend die Möglichkeit beendet werden Jailbreaks auf dem Gerät durchzuführen oder ein schwaches Passwort einzugeben. Dies ist im Zusammenspiel von Intune und Exchange Online durchsetzbar.
MAM
Mit dem Mobile Applikation Management ist es möglich Apps als unternehmenseigene Apps zu kennzeichen und so Daten und deren Inhalt, die durch diese Apps verwaltet und verarbeitet werden zu schützen. Ich nutze hier in meiner Umgebung den App Store und gebe meine Apps mit, es sind:
- OneDrive
- SharePoint
- Outlook (Groups)
- Microsoft Teams
Szenarien
Mit dieser Lösung sind verschiedenste Szenarien abzudecken und eine Zusammenarbeit in einer sicheren Umgebung denkbar. Folgende Standardszenarien sind denkbar:
1. Zusammenarbeit innerhalb des Unternehmens
2. Zusammenarbeit zwischen zwei oder mehreren Mitarbeitern des Unternehmens
3. Zusammenarbeit mit einem oder mehreren Externen
4. Zusammenarbeit mit Externen und Internen
Ihr wollt mehr Erfahren zur sicheren Zusammenarbeit mit SharePoint und OneDrive?
Dann kommt in einer meiner Sessions auf den großen Konferenzen
z.B. CDC in Hanau: https://www.cdc-germany.de/
oder sprecht mich an unter: raphael.koellner@rakoellner.com
Linksammlung
https://docs.microsoft.com/en-us/office365/enterprise/security-solutions
SharePoint Berechtigungen https://support.office.com/en-us/article/Understanding-permission-levels-in-SharePoint-87ecbb0e-6550-491a-8826-c075e4859848
https://docs.microsoft.com/en-us/office365/enterprise/secure-sharepoint-online-sites-and-files
https://resources.techcommunity.microsoft.com/security-compliance-and-administration/