IT und Recht, Cloud und mehr
Das Jahr 2019 hat gerade erst begonnen, so dass ich mich in der regelmäßigen Routine mit dem Privacy Shield beschäftigte. So wurde und wird dieses auch durch das EU Parlament und die EU Kommission überprüft. Letztlich prüft auf der EuGH das Privacy Shield in aktuellen Verfahren.
Wie bereits auf der Ignite 2018 angekündigt, wird nun die Standardinstallation von 32 bit auf 64 bit geändert. Dies hat Einfluss auf die Installation bei den Nutzerinnen:
Microsoft ändern nicht regelmäßig, aber dann doch alle paar Monate ihre IP Ranges. Nun ist Azure AD und damit MAM und MDM betroffen. Hier müsst ihr einmal überprüfen, ob eure Firewall noch korrekt eingestellt ist:
Nach der Veröffentlichung von hunderten privaten Datensätzen von Politikern und Prominenten, folgt nun die Aufarbeitung mit vielen verschiedensten Forderungen. Diese Forderungen gehen von der Ausweitung des nationalen Cyberabwehrzentrums hin zu Proaktivität und Ausweiterung des BSI bis hin zu mehr Schulung.
Meine Antwort für mehr Datensicherheit und damit Datenschutz ist ein umfassendes Sicherheitskonzept mit drei Säulen:
Ein Schritt zur Schaffung von Datensicherheit muss das sensitive Labeling der Daten sein. Sensitive heißt in diesem Fall, dass die Eigenschaften am Dokument bleiben, egal wo es liegt und wer damit arbeitet.
Zunächst definiert man Labels und findet heraus wo, welche Daten im Unternehmen verarbeitet werden. Diese Daten werden zunächst Analysiert (Wo, Wie viele, Was, Inhalt) und dann einem vorher definiertem Label zugewiesen. Für das Zuweisen eines Labels für bereits bestehende Daten und neue Daten (eigene, fremde) gibt es verschiedene Mechanismen.
Beim Einsatz von sensitiven Labeling muss im Besonderen auf die MitarbeiterInnen eingegangen werden, denn ohne deren Mitarbeit wird ein Labelingsystem nicht umzusetzen sein.
Dazu kommt, dass Labeling eine technisch-organisatorische Maßnahme im Sinne des Datenschutzes ist, die zum Beispiel zur Absicherung der Verarbeitung von personenbezogenen Daten dienen kann. Ebenfalls dient Labeling als Maßnahme zur Durchsetzung von Datenschutz-Maßnahmen, die zum Beispiel bei der Verhinderung von Datenabfluss, Durchsetzung von Lösch- und Sperrfristen, sowie Durchsetzung von Compliance Richtlinien.
Welche Label jedes Unternehmen einführen und ausrollen will hängt von vielen Faktoren ab. Eine Diskussion kann dementsprechend schon mal 2-3 Monate dauern, um die richtigen Labels zu definieren und dann in einem Proof of Conzept nochmal 1-6 Monaten zur Anpassung dieser.
Die meisten Landesdatenschutzbeautragten empfehlen die Einführung von 4-5 Labeln an. Microsoft selber spricht von 5 Labeln und einige globale Unternehmen nutzen 3 Labels. Schauen wir uns dies doch mal genauer an:
| Klasse 1 | Public | frei zugängliche Daten | Telefonbücher, Adressbücher, Wahlvorschlagsverzeichnisse |
| Klasse 2 | Internal | Kenntnisnahme an ein berechtigtes Interesse der Einsichtnehmenden gekoppelt | beschränkt zugängliche öffentliche Dateien, Verteiler für Unterlagen |
| Klasse 3 | Confidential | unsachgemäße Handhabung den Betroffenen in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen beeinträchtigen könnte | Einkommen, Sozialleistungen, Grundsteuer, Ordnungswidrigkeiten |
| Klasse 4 | Secret | unsachgemäße Handhabung den Betroffenen in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen erheblich beeinträchtigen könnte („Existenz”). | Anstaltsunterbringung, Straffälligkeit, dienstliche Beurteilungen, Gesundheitsdaten, Schulden, Pfändungen |
| Klasse 5 | High Confidential | deren unsachgemäße Handhabung Gesundheit, Leben oder Freiheit des Betroffenen beeinträchtigen könnte | Daten über Personen, die mögliche Opfer einer strafbaren Handlung sein können |
Schutzstufenkonzept Niedersachsen [LINK]
Microsoft selber nutzt seit mehreren Jahren ein Klassifizierungssystem mit ihrem eigenen Produkt Azure Information Protection, welches auch ihr nutzen könnt.
Hier ein Beispiel aus Azure Information Protection
Die Standard Labels von AIP sind:
| Klasse 1 | Personal | nur für den Mitarbeiter selber |
| Klasse 2 | Public | öffentliche Daten |
| Klasse 3 | Internal | interne Daten |
| Klasse 4 | Confidential | sensible Daten |
| Klasse 5 | Secret | hochsensible Daten |
Azure Information Protection – Label Konfiguration [LINK]
Ein globales Unternehmen wollte im Sinne der Übersichtlichkeit und der Annahme des Systems durch die Mitarbeiterinnen auf wenige Labels setzen:
| Klasse 1 | Public | öffentliche Daten |
| Klasse 2 | Internal | interne Daten des Unternehmens |
| Klasse 3 | Secret | sensible Daten |
Ein Label kann mit verschiedenen Parametern verknüpft werden. Dies hat Einfluss auf die Art des Labels und die Anzahl. Folgende Liste gibt einen Eindruck am Beispiel der Klasse „Internal“:
Internal
Weiterhin muss geklärt werden, wie eine Zusammenarbeit mit Externen in einem Labelingsystem aussieht und wie MitarbeiterInnen mit Externen zusammenarbeiten. Ebenfalls gibt es die Möglichkeit Externe mit internen Accouns auszustatten oder über B2B eine Verbindung zuschaffen. Dies muss alles in Zusammenhang mit den geschlossenen Verträgen und den gegebenfalls neuen Verträgen einbezogen werden.
Ich werde mich zu diesem Thema in weiterhin widmen. Gerade die Zusammenarbeit mit Externen in einer sicheren Umgebung hat bestimmte Parameter und Voraussetzungen.
Wenn ihr nun eure Daten klassifiziert, verschlüsselt und diese auch noch überwacht, könnt ihr von einer sicheren Verarbeitung der Daten ausgehen. Auch wenn Datensätze abgefangen werden können diese nicht geöffnet oder sogar später noch gesperrt werden. Wenn ihr das Öffnen einer Datei noch an ein Gerät bindet, dann kann niemand Drittes mit den Dateien etwas anfangen.
Leider haben sehr viele Unternehmen heute noch kein Labeling-System für Ihre Daten und oder auch Datenspeicherorte. Eine Einführung ist mit Kosten und Aufwand verbunden, aber es führt kein Weg vorbei.
Mit der vorletzten Windows 10 Insider Build (18305) kam eine neue Funktion die Windows Sandbox in das Portfolio neben Hyper-V Manager in die Pro, Enterprise und EDU Varianten. Ich habe beide Funktionen einmal gegenüber gestellt, auch wenn die Sandbox noch nicht richtig funktioniert.
Microsoft reagiert auf die zunehmenden Sicherheits und Compliance Anforderungen und bietet nun zwei neue Microsoft 365 Pläne an. Diese sollen den Nutzern die Durch- und Umsetzung von Security und Compliance Anforderungen erleichtern. Dies ist gerade auch im aktuellen Hinblick auf den Hackerangriff auf Politiker und berühmte Personen in Deutschland äußerst wichtig!
Dieses neue Paket vereint den Sicherheitswert von Office 365, Windows 10 und EMS in einem einzigen Angebot. Es bietet die besten Dienste für fortschrittlichen Schutz vor Bedrohungen, einschließlich Microsoft Threat Protection (Azure Advanced Threat Protection (ATP), Windows Defender ATP und Office 365 ATP einschließlich Threat Intelligence), sowie Microsoft Cloud App Security und Azure Active Directory. Dieses Angebot ist für $12 pro Benutzer und Monat erhältlich.
Dieses neue Paket kombiniert Office 365 Advance Compliance und Azure Information Protection. Es wurde entwickelt, um Chief Compliance Officers bei der Durchführung laufender Risikobewertungen mit einem Compliance-Score für alle Microsoft Cloud-Dienste zu unterstützen, sensible Daten automatisch zu klassifizieren und zu schützen und effizient auf regulatorische Anforderungen zu reagieren, indem es künstliche Intelligenz (KI) nutzt. Dieses Angebot ist für $10 pro Benutzer und Monat erhältlich.
| Produkt | Funktionsumfang (Auszug) | Preis |
| Microsoft 365 Business | O365 Business Premium, EM+S E3, Win10 E3 | 16,90€ pro M |
| Microsoft 365 F1 | O365 F1, EM+S E3, Win10 E3 | 9,50€ pro M |
| Microsoft 365 E3 | O365 F3, EM+S E3, Win10 E3 | 34,55€ pro M |
| Microsoft 365 E5 | O365 E5, EM+S E5, Win10 E5 | 64,13€ pro M |
| Microsoft 365 Identity & TP | Office 365 ATP Plan 2 (O365 ATP und Threat Intelligence ), Azure ATP, MCAS, Azure AD Premium Plan 2 (Azure Identity Protection, Access Review, Privileged Identity Management, Risk-Based Conditional Access), Windows Defender ATP | 12 $ pro M |
| Microsoft 365 IP & Compliance | Office 365 Advanced Compliance (Customer Key, Customer Lockbox, Advanced Data Governance, Advanced eDiscovery, Privileged Access Management), Azure Information Protection P2 | 10 $ pro M |
ab 1. Februar (z.B. CSP Partner)
Es war auf der Ignite 2018 angekündigt worden und nun wird der Microsoft Teams Client ein Teil der Office 365 Pro Plus Installation. Zunächst beginnt dies mit Office 365 Business und wird in den nächsten Wochen auf auf Enterprise und EDU ausgerollt werden.
Der Microsoft Teams Client ist aktuell für Windows, MacOS, iOS, WindowsPhone (abgekündigt), Android und als WebClient (Browser) verfügbar. Dabei muss man in den Funktionsumfang des Clients auf den verschiedenen Plattformen unterschieden werden.
Ich wurde in letzter Zeit über verschiedene Kunden, aber auch nun aus der MVP Community gefragt, wie es nun mit dem Löschen und dem Wiederherstellen von Teams und Kanälen in Microsoft Teams läuft. Dies hat auf der einen Seite rechtliche Bewandnis, z.B. im Löschkonzept oder im Lifecycle oder hat ganz einfache Auswirkungen auf die Anwender in der täglichen Nutzung. Aber beginnen wir mit den Basics und gehen dann tiefer in die Materie ein:
Microsoft Teams besteht im Kern aus SharePoint Online, Exchange Online und Skype for Business. Die einzelnen Teams sind im Kern Office 365 Groups, die wiederrum mit Erweiterungen aus dem Hause von Microsoft oder von 3rd Party Anwendungen erweitert werden können. Dazu kommen auch eigene Apps oder Bots, die in Teams und deren Kanäle hinzugefügt werden können.
Wenn ihr ein Microsoft Teams löschen wollt gibt es verschiedene Wege:
| Löschung | Rechte |
| Team im Client löschen | Teams Admin, Global Admin |
| Team per PowerShell löschen | Global Admin |
| Team per Graph löschen | Global Admin |
| Team per Azure Function/Logic App löschen | Global Admin |
Neben dem „Löschen“ einen Teams könnt ihr dieses seit Ende 2018 auch in ein Archiv verschieben. Dies ist meiner Meinung nur ein Archiv light, denn es betrifft zunächst nur die Office 365 Group Dienste im Team und Apps wie Planner oder auch 3rd Party Apps werden nicht gesperrt oder eingefroren. Sobald ein Team ins Archiv verschoben wurde, ist es nur noch für den Admin sichtbar und kann auch in der Suche nicht gefunden werden. Grundsätzlich sollte man überlegen, ob man Teams überhaupt löscht oder es nicht sinnvoller ist diese ins Archiv zu verschieben und erst nach 5 Jahren nach Ende des Projektes endgültig zu löschen.
Der Löschvorgang eines Microsoft Team ist aus technischen, vertraglichen und rechtlichen Gründen entsprechend von Microsoft gestaltet. So wird nach dem Löschbefehl das Team erstmal nur verschoben und nicht gelöscht. Das Team ist damit in der Liste und auch mit der Suche nicht mehr zu finden. Jedoch besteht die Möglichkeit per PowerShell das Team 30 Tage nach dem Löschauftrag wiederherzustellen. Dies bedeutet, das Team und dessen Inhalt wird zum Zeitpunkt der Löschung wiederhergestellt. Alle Mitglieder können die Anwendungen und auch das Team wieder nutzen, es sei den, dass Lizenzen z.B. für 3rd Party Apps abgelaufen sind oder Workflows nicht mehr laufen.
Der Name des Microsoft Teams ist damit innerhalb der 30 Tage nicht verfügbar, denn ein Name kann nur einmal vergeben werden. Man könnte das zuvor gelöschte Team in dem Zeitraum der 30 Tage auch wiederherstellen wollen, also ist der Name für neue Teams gesperrt.
Dies hat zur Folge, dass Ideen der Anwender, wie „ich brauche das Team einmal neu ohne Inhalt“, nicht funktionieren kann. Ein Team kann nicht gelöscht und kurz darauf wiederhergestellt werden. Es sei denn es gäbe eine Möglichkeit, dass ein Team auch direkt endgültig gelöscht werden kann, dann könnte es auch wenig später mit gleichem Namen wieder neu erstellt werden.
Es gibt einen PowerShell Befehl, der genau das endgültige Löschen einen Team auslöst. Ihr müsst jedoch sehr vorsichtig sein:
a) Genau das Team auswählen
b) sicher sein, dass ihr es wirklich endgültig löschen wollt
Dann könnt ihr folgenden Befehl nutzen:
#Alle gelöschten Gruppen anzeigen
Get-AzureADMSDeletedGroup
#Object ID holen und Team endgültig löschen
# ACHTUNG: Ein Wiederherstellen des Teams ist ab hier nicht mehr möglich!
Remove-AzureADMSDeletedDirectoryObject -Id <objectId>
#Prüfen, ob das Team endgültig gelöscht wurde
Get-AzureADMSDeletedGroup
Ihr könnt ein Microsoft Team innerhalb der 30tägigen Frist sowohl aus dem Client als auch per PowerShell wiederherstellen. Nach dem Ablauf der 30 Tage ist ein Wiederherstellen nicht mehr möglich. Das Löschdatum zeigt euch damit die Frist an, ihr könnt dieses auch auslesen und einen kleinen Timer bauen.
In einem Microsoft Team bestehen verschiedene Kanäle. In dem folgenden Bild seht ihr mein Test-Team welches ich mit Microsoft zusammen für Veranstaltungen, Workshops und Tests nutze:
Nun könnt ihr den Kanal per UI, also im Client, oder auch per PowerShell löschen. Der Kanal verschwindet dann aus der Liste und ist nicht mehr erreichbar. Der Name des Kanals ist hier weiterhin vergeben.
Ein Microsoft Teams Kanal kann wiederhergestellt werden. Nach dem Ablauf der 30 Tage ist ein Wiederherstellen nicht mehr möglich. Das Löschdatum zeigt euch damit die Frist an, ihr könnt dieses auch auslesen und einen kleinen Timer bauen.
Kanäle werden beim Löschen des Teams mit dem Team wiederhergestellt.
Nun wollt ihr einen Kanal schließen und mit gleichem Namen wieder eröffnen, also das Prozedere, welches wir oben mit dem Team schon gemacht haben. Es soll einfach einen „sauberen“ Kanal geben. Ich stehe hier mit dem Microsoft Teams Team in engem Kontakt, denn es gibt aktuell kein PowerShell Skript oder Trick, um den Kanal endgültig zu löschen. Gelöschte Kanäle sind demnach gelöscht und der Name ist vergeben, bis das Team gelöscht oder der Kanal mit Zeitablauf endgültig gelöscht wird.