Es gibt immer wieder interessante Hinweise zu Konfigurationen von Microsoft 365, um so das Produkt datenschutzkonform bereiten zu können. In diesem Blogpost nehmen wir den Artikel 1 zu 1 auseinander und kommentieren diesen.
Äußerungen
Erzbistum München äußert sich um Einsatz von Microsoft 365 nach der DSK Festlegung
Kommentar
Das Erzbistum München setzt auch einen risikobasierten Ansatz und erlaubt auch nach der DSK Festlegung. Im Rahmen dessen wurden zwei konkrete Empfehlungen gegeben, die eingehalten werden sollen:
OneDrive deaktivieren
“über die Gruppenrichtlinien bei der Installation von MS365 die Komponente MS Onedrive dauerhaft abgeschaltet und – ggfs. über gesonderte – Programme Mitteilungen von Windows an Microsoft unterbunden sind und”
Wie funktioniert es?
Zum OneDrive gehören die folgenden Komponenten:
- OneDrive pro User (bis zu 5 TB Speicherplatz im SPO Plan 2) / WebApp
- OneDrive Sync Client (Windows, Mac)
- OneDrive Sync Client (alter Goove Client für SP)
- OneDrive Applikationen (Desktop (integriert in Windows), mobile Apps (iOS, Android)
In diesem Fall ist wahrscheinlich auch der OneDrive for Business gemeint und nicht der Consumer OneDrive. Letzter wird nicht mit Microsoft 365 eingesetzt, sondern steht nur den Consumern zur Verfügung und ist auch technisch ein anderes Werkzeug, z.B. basiert dieser nicht auf einem SharePoint.
Sie empfehlen nun den OneDrive per GPO deaktivieren. Der Hinweis ist leider technisch nicht korrekt und nicht vollständig.
Per GPO kann ich den Client nur auf Windows-Systemen deaktivieren, bzw. ausblenden, so dass dieser nicht mehr genutzt werden kann, um Daten vom SharePoint / OneDrive for Business zwischen dem Rechner und der Cloud hin- und her zu synchronisieren.
Wie per GPO?
A. Blockieren der OneDrive.exe in Windows
aa. löschen von Verknüpfungen
bb. exe deinstallieren
B. Verwendung blockieren in Word, PowerPoint
HKCU\Software\Policies\Microsoft\Office\16.0\Common\Internet
“Ändern Sie den DWORD-Wert “OnlineStorage”.
Verfügbare Werte:
- 0 Richtlinie ist deaktiviert (alle Speicherorte werden angezeigt)
- 1 Nur OneDrive Personal-Speicherorte sind ausgeblendet
- 2 Alle SharePoint Online-Speicherorte sind ausgeblendet
- 3 Alle Microsoft Online-Speicherorte sin”d ausgeblendet
Wenn Sie andere Werte festlegen, ist die Richtlinie deaktiviert (alle Speicherorte werden angezeigt).
Wenn der Wert auf 1 festgelegt ist, können die Benutzer ihren persönlichen OneDrive-Speicherort unter ” Ort hinzufügen” nicht mehr anzeigen.
Ergebnis der GPO Einsatzes
Der OneDrive kann nun nicht mehr auf dem Windows Rechner selber genutzt werden. Aber nur auf dem Windows Rechner, der OneDrive steht den Nutzern weiterhin als WebApp und auf den mobilen Geräten zur Verfügung. So können weiterhin Daten in die Cloud und vor allem z.b. bei iOS auch automatisch gesynct werden. Diese GPO Einstellungen sind nicht ausreichend.
Wie kann man den OneDrive wirklich deaktivieren?
Man kann den Usern die Lizenz nicht nehmen, da man sonst die SharePoint Lizenz nehmen müsste und dann kein SharePoint mehr funktioniert.
Es gibt Möglichkeiten:
- Site löschen und Berechtigung nehmen
- Deaktivieren der Ansicht / Verknüpung
- Unternehmensapp im AAD Login deaktivieren
Entfernen Sie die Site Collection Admin-Berechtigung des Benutzers von OneDrive Sites
- Gehen Sie zu: SharePoint Admin Center
- Klicken Sie auf “Benutzerprofile” in der linken Navigation
- Klicken Sie auf “Benutzerprofile verwalten”
- Suchen Sie den Benutzer
- Klicken Sie auf das Kontextmenü des Benutzers
- Persönliche Websitesammlungsbesitzer verwalten
- Ändern Sie den Websitesammlungsbesitzer.
- Löschen der Site
Gute Anleitung: https://www.sharepointdiary.com/2018/02/disable-onedrive-for-business-in-office-365-sharepoint-online.html#ixzz7piye11tz
Ergebnis: keine geeignet Maßnahme für den Datenschutz, keine geeignete Maßnahme zur Reduzierung der Risiken aus der DSK Festlegung
Kommunikation von Windows an Microsoft
“ggfs. über gesonderte – Programme Mitteilungen von Windows an Microsoft unterbunden”.
Hier für benötigt man keine gesonderten Programme. Es ist sehr einfach dies per GPOs zu gewährleisten und eventuell zur Absicherung über die Firewall/Proxy.
Mit Windows Enterprise und wenigen GPOs lässt sich die gesamte Kommunikation von Windows 10 und Windows 11 unterbinden. Dies führt aber zu erheblichen Problemen. Da so auch die Kommunikation zu einem WSUS oder anderen Werkzeugen zur Verwaltung von Windows unterbunden wird. Dies hat zur Folge, dass das Betriebssystem weder von Microsoft (nicht gewollt) noch sauber vom Betreiber in Echtzeit/zeitnah nach Stand der Technik mit Sicherheitsupdates versorgt werden kann.
Es ist nicht sinnvoll alles abzudrehen, da die Risiken daraus resultieren höher sind, als das Risiko eines Datentransfers von pseudonymisierten Telemetrie- und Diagnosedaten. Risiken:
- Art 32 DSGVO kann nicht erfüllt werden (technisch / Updates / z.B. Security)
- Abwehr von Angriffen / Cyberangriffe
Ergebnis: keine geeignet Maßnahme für den Datenschutz, keine geeignete Maßnahme zur Reduzierung der Risiken aus der DSK Festlegung
pseudonymisierte Benutzernamen
“alle Nutzer keine personalisierten Benutzernamen bzw. E-Mail-Postfächer, sondern pseudonymisierte Benutzernamen oder Funktionspostfächer haben.”
Die Idee die Benutzernamen zu pseudonymisieren ist zu Beginn der Diskussion um den Datenschutz und Office 365 gerade im Bildungsbereich aufgekommen. Hier wurde oft die Personalnummer anstelle des Vor- und Nachnamen genommen worden.
33846575@contoso.com anstelle von John.Doe@contoso.com
Diese Idee war von Beginn an eine sehr schlechte Idee und Durchführung, da
| 33846575 = John-Doe | beides ein pers. Datum, da pseudonomisierte Daten auch pers. Daten sind. |
| 33846575 = John-Doe | beides die gleiche Qualität von pers. Datum |
| 33846575 = John-Doe | beides ist ein Datum, welches in die Cloud synchronisiert werden muss. |
33846575 ist hingegen noch viel schlechter, da (aus der Praxis, als ich alles Rückbauen musste)
- Man nicht erkennt mit wem man spricht (erhöht: Datenabfluss, Cybersecurity)
- Man auch beim Versenden von Mails sich verklickt in der Praxis (erhöht: Datenabfluss, Cybersecurity, Datenschutzvorfälle stark erhöht)
- Lizenzrecht = User nicht klar erkennbar, Einhaltung der Lizenzbedingungen kaum möglich (z.B. 1 User = 1 Lizenz, Erkennbarkeit durch Microsoft)
- Support Fälle = Man muss auch mit dem Microsoft Support mit dem User sprechen und deckt so eh die Identität auf. User muss immer einbezogen werden. Dazu kommt, dass der Support immer prüfen muss und identifizieren, das führt zu Verwechslungen und Zeitverlust.
Wer also auf diese Idee gekommen ist, muss im Grunde in die Haftung genommen werden, für alle Schäden und Mehrkosten, die dadurch entstehen. Es ist aus meiner Sicht grob fahrlässig.
Ergebnis:
Die Maßnahmen stellen keine geeignete Maßnahme um Microsoft 365 datenschutzkonformer einzusetzen. Weiterhin stellen diese keine geeignete Maßnahme zur Reduzierung der Risiken aus der DSK Festlegung dar.
One comment
Comments are closed.