Category Archives: EU-Recht

Datensicherheit durch Labeling_Klassifizierung

Nach der Veröffentlichung von hunderten privaten Datensätzen von Politikern und Prominenten, folgt nun die Aufarbeitung mit vielen verschiedensten Forderungen. Diese Forderungen gehen von der Ausweitung des nationalen Cyberabwehrzentrums hin zu Proaktivität und Ausweiterung des BSI bis hin zu mehr Schulung. 

Meine Antwort für mehr Datensicherheit und damit Datenschutz ist ein umfassendes Sicherheitskonzept mit drei Säulen: 

  1. Schutz der Identität (Identityprotection)
  2. Schutz der Daten (sensitiv) 
  3. Schutz des Gerätes (MDM, MAM)

Unified Labeling

Ein Schritt zur Schaffung von Datensicherheit muss das sensitive Labeling der Daten sein. Sensitive heißt in diesem Fall, dass die Eigenschaften am Dokument bleiben, egal wo es liegt und wer damit arbeitet. 

Ablauf zu einem Labeling

Zunächst definiert man Labels und findet heraus wo, welche Daten im Unternehmen verarbeitet werden. Diese Daten werden zunächst Analysiert (Wo, Wie viele, Was, Inhalt) und dann einem vorher definiertem Label zugewiesen. Für das Zuweisen eines Labels für bereits bestehende Daten und neue Daten (eigene, fremde) gibt es verschiedene Mechanismen. 

Beim Einsatz von sensitiven Labeling muss im Besonderen auf die MitarbeiterInnen eingegangen werden, denn ohne deren Mitarbeit wird ein Labelingsystem nicht umzusetzen sein.

Labeling als technisch-organisatorische Maßnahme

Dazu kommt, dass Labeling eine technisch-organisatorische Maßnahme im Sinne des Datenschutzes ist, die zum Beispiel zur Absicherung der Verarbeitung von personenbezogenen Daten dienen kann. Ebenfalls dient Labeling als Maßnahme zur Durchsetzung von Datenschutz-Maßnahmen, die zum Beispiel bei der Verhinderung von Datenabfluss, Durchsetzung von Lösch- und Sperrfristen, sowie Durchsetzung von Compliance Richtlinien.

Welches Label ?

Welche Label jedes Unternehmen einführen und ausrollen will hängt von vielen Faktoren ab. Eine Diskussion kann dementsprechend schon mal 2-3 Monate dauern, um die richtigen Labels zu definieren und dann in einem Proof of Conzept nochmal 1-6 Monaten zur Anpassung dieser. 

Die meisten Landesdatenschutzbeautragten empfehlen die Einführung von 4-5 Labeln an. Microsoft selber spricht von 5 Labeln und einige globale Unternehmen nutzen 3 Labels. Schauen wir uns dies doch mal genauer an:

Landesdatenschutz

Klasse 1 Public frei zugängliche Daten Telefonbücher, Adressbücher, Wahlvorschlagsverzeichnisse
Klasse 2 Internal Kenntnisnahme an ein berechtigtes Interesse der Einsichtnehmenden gekoppelt beschränkt zugängliche öffentliche Dateien, Verteiler für Unterlagen
Klasse 3 Confidential unsachgemäße Handhabung den Betroffenen in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen beeinträchtigen könnte Einkommen, Sozialleistungen, Grundsteuer, Ordnungswidrigkeiten
Klasse 4 Secret unsachgemäße Handhabung den Betroffenen in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen erheblich beeinträchtigen könnte („Existenz”). Anstaltsunterbringung, Straffälligkeit, dienstliche Beurteilungen, Gesundheitsdaten, Schulden, Pfändungen
Klasse 5 High Confidential  deren unsachgemäße Handhabung Gesundheit, Leben oder Freiheit des Betroffenen beeinträchtigen könnte Daten über Personen, die mögliche Opfer einer strafbaren Handlung sein können

Schutzstufenkonzept Niedersachsen [LINK]

Microsoft

Microsoft selber nutzt seit mehreren Jahren ein Klassifizierungssystem mit ihrem eigenen Produkt Azure Information Protection, welches auch ihr nutzen könnt. 

Hier ein Beispiel aus Azure Information Protection

Die Standard Labels von AIP sind:

Klasse 1 Personal nur für den Mitarbeiter selber
Klasse 2 Public öffentliche Daten
Klasse 3 Internal interne Daten
Klasse 4 Confidential sensible Daten
Klasse 5 Secret hochsensible Daten

 

Azure Information Protection – Label Konfiguration [LINK]

 

Globales Unternehmen

Ein globales Unternehmen wollte im Sinne der Übersichtlichkeit und der Annahme des Systems durch die Mitarbeiterinnen auf wenige Labels setzen:

Klasse 1 Public öffentliche Daten
Klasse 2 Internal interne Daten des Unternehmens
Klasse 3 Secret sensible Daten

 

Label mit welchen Werten?

Ein Label kann mit verschiedenen Parametern verknüpft werden. Dies hat Einfluss auf die Art des Labels und die Anzahl. Folgende Liste gibt einen Eindruck am Beispiel der Klasse “Internal”:

Internal

  • Lizensierung
    • Funktionsumfang
    • Geräte und Dateien?
  •  Markierung
    • ja oder nein 
    • Ort der Markierung: Footer
    • Farbe der Markierung: Blau
    • Text für die Markierung: INTERNAL
    • Größe des Textes
  • Verschlüsselung
    • ja oder nein
    • HYOK
    • BYOK
    • Azure Key Vault mit MS Schlüssel: check
  • Automatisierung
    • Standard-Label
    • AIP Scanner Parameter
    • automatisches Label?
    • Hinweis zum Label
  • Aufbewahrung
    • Archiv
    • Backup
    • Aufbewahrung
  • Data Loss Prevention
    • Regeln
  • Gerät (MDM)
    • welche Geräte?
    • VPV?
    • Verschlüsselte Festplatte?
    • weitere Parameter
  • App (MAM)
    • unternehmeseigene App
    • private App
  • Berechtigungen
    • Wer? (Gruppe?): alle im Unternehmen
    • Welche? (Lesen, Schreiben): Vollzugriff
  • Löschfristen
    • ab wann soll die Datei gelöscht werden?
  • Sperrfristen
    • ab wann soll die Datei für Zugriff gesperrt werden
      • offline  (z.B. offline Nutzung im Zug oder Flugzeug): 10 Tage
      • online
  • Conditional Access
    • Voraussetzungen zum Zugriff definieren?
    • Abhängigkeiten 
  • Superuser
    • definieren
    • testen
  • Microsoft Cloud App Security
    • Berichte
    • automatisches Labeln? Prüfung
  • OMS
    • Berichte
    • E-Mails an Mitarbeiter
  • Schulungen für Mitarbeiter für dieses Label definieren
    • Umfang
    • Test
    • Prüfung
    • Support Einweisen und Schulung
  • Label und Externe
    • Zugriff
    • Überwachung
    • B2B
    • Sonstiges

 

Label und Externe

Weiterhin muss geklärt werden, wie eine Zusammenarbeit mit Externen in einem Labelingsystem aussieht und wie MitarbeiterInnen mit Externen zusammenarbeiten. Ebenfalls gibt es die Möglichkeit Externe mit internen Accouns auszustatten oder über B2B eine Verbindung zuschaffen. Dies muss alles in Zusammenhang mit den geschlossenen Verträgen und den gegebenfalls neuen Verträgen einbezogen werden. 

Ich werde mich zu diesem Thema in weiterhin widmen. Gerade die Zusammenarbeit mit Externen in einer sicheren Umgebung hat bestimmte Parameter und Voraussetzungen. 

 

Datensicherheit mit Klassifizierung

Wenn ihr nun eure Daten klassifiziert, verschlüsselt und diese auch noch überwacht, könnt ihr von einer sicheren Verarbeitung der Daten ausgehen. Auch wenn Datensätze abgefangen werden können diese nicht geöffnet oder sogar später noch gesperrt werden. Wenn ihr das Öffnen einer Datei noch an ein Gerät bindet, dann kann niemand Drittes mit den Dateien etwas anfangen. 

Leider haben sehr viele Unternehmen heute noch kein Labeling-System für Ihre Daten und oder auch Datenspeicherorte. Eine Einführung ist mit Kosten und Aufwand verbunden, aber es führt kein Weg vorbei.

 

Aktuell: Hacken und die Strafbarkeit

Aus aktuellem Anlass und einer Diskussion mit meinen Jugendlichen zum Thema Hacken möchte ich das Thema der letzten Tage einmal aufgreifen. Es geht um das Thema “Hacken”, welches wird zunächst einmal genauer geleuchten müssen. Wie meinen Kursteilnehmern versprochen, werde ich großteils auf Paragraphen verzichten. 

Continue reading

MFA und Azure Information Protection Labels

Es gibt bei manchen Unternehmen und auch bei mir die Anforderung auch Multifaktor-Authentification (MFA) einzusetzen, um Dateien nachhaltig und endgültig zu schützen. In diesem Blogbeitrag beschreibe ich dies, wie ich es für meinen Tenant gemacht habe.

Continue reading

Ignite 2018 – Azure Information Protection Neuigkeiten

Ich war selber auf der Ignite und habe auch Sessions zum Thema AIP oder auch Unified Labeling halten dürfen. Dies im Zusammenhang mit Rechtsanwälten oder Lehrern in sensiblen Bereichen. Da es hier viele Ankündigungen und Neuerungen gab, habe ich diese einmal kurz für euch zusammengefasst:

Continue reading

Road to Microsoft Ignite – Raphael´s Sessions und Podcasts

Ich freue euch nun meine aktuellen Sessions, Breakouts, Podcasts und Meetups vorstellen zu können. Knapp eine Woche vor der Konferenz sind so langsam alle Zeiten und Räume bekannt, so dass ich euch diese mit Links in einer Auflistung (Datenbank) präsentieren kann. Schaut einfach vorbei und begrüßt mich bei meinen Sessions:

Continue reading

Das Ultimatum des EU Parlamentes zum Privacy Shield Abkommen ist abgelaufen

Ich berichtete euch von der letzten Debatte und den Beschlüssen des EU Parlamentes zum Thema Privacy Shield. Dies war der Nachfolger von Safe Harbor und wurde auch gegen viele kritische Stimmen vor 2 Jahren ins Leben gerufen. Die Review des bilateralen Abkommens zwischen den USA und der EU stand nun an. 

Continue reading

Microsoft Teams und das Recording von Meetings – Eine Sicht aus dem Datenschutz und Betriebsrat

Ich diskutiere gerne und bin sehr oft mit am Tisch, wenn Betriebsrat, Datenschutz, IT Abteilungsleiter und auch teilweise ein Mitglied der Geschäftsführung über das Thema der Aufnahme von Meetings sprechen. Dieses Thematik kam erst richtig mit der Einführung von neuen Technologien wie eben Skype for Business oder heute Teams auf. Vorher wurden meistens nur größere Meetings aufgenommen, die eh z.B. im Ziel des Marketings oder von unternehmensweiter Informationspolitik aufgenommen wurde. In der Regel wurden keine Teammeetings aufgenommen und man konnte diese sich später nicht noch einmal ansehen. Aber heute gibt es verschiedene Anforderungen, die das Thema in den Vordergrund drängen.

Continue reading

SPS Lissabon – Raphael spricht über Microsoft Teams

Ich war schon zur TUGA IT Konferenz in Lissabon bei Microsoft und freue mich natürlich auch sehr, dass ich nun wieder nach Lissabon mit vielen Freunden und Bekannten komme. Diesmal heißt es SPS Lissabon und es kommen auch diesmal wunderbare Sprecher zusammen:

Continue reading

Azure AD und der Datenschutz

Am vergangenen Donnerstag hatten wir ein grandioses Azure Meetup Cologne bei der Alegri International Service GmbH zum Thema Azure AD und Autopilot. Im Rahmen dessen hatte ich kurz neue Einstellungen in Bezug auf die Azure AD und den Datenschutz erläutert. Dies greife ich nun in diesem Blogbeitrag auf. 

Continue reading

Reform der Cybersecurity in der EU

Cybersecurity wird immer wichtiger. Die EU Kommission und auch das EU Parlament haben dies erkannt. Im Rahmen ihrer Arbeit in Ausschlüssen, Arbeitsgruppen und in der Kommission werden Rechtsakte Vorbereitet, Informationen eingeholt und Grundlagen geschaffen sich in der EU und deren Bürger und Unternehmen vor Cyberangriffen zu schützen. Die großen IT Konzerne wie Microsoft, Google oder auch Amazon sind bei Verhandlungen dabei und verbessern ihre Infrastruktur und ihre Dienste. Letztlich rege und fördert die EU Unternehmen und StartUPs in Europa Lösungen zu entwickeln. 

Continue reading