Der Messenger Dienst WhatsApp ist der in Deutschland meist verbreitest Messengerdienst mit Chat bis hin zu Videofunktionen. Viele Unternehmen wollen Ihren MitarbeiterInnen die Nutzung des Messengers für private Zwecke erlauben, es ist in manchen Betriebsvereinbarungen nieder geschrieben und es soll auch vorkommen, dass Kunden mit Unternehmen über WhatsApp kommunizieren. Nun stellt sich gerade im Hintergrund der datenschutzrechtlichen Problematiken mit diesem Dienst, die Frage, wie der Einsatz auf Dienstgeräten bewertet werden muss.
Category Archives: Software
Aktuelle Informationen zu EU-US Privacy Shield – Februar 2019
Das EU-US Privacy Shield wurde als Framework am 12. Juli 2016 beschlossen und tritt die Nachfolge von dem im Oktober 2015 vom Europäischen Gerichtshof für ungültig erklärte Safe Harbor Abkommen an. Das EU-US Privacy Shield Abkommen wird in regelmäßigen Abständen und so erst zuletzt von der EU Kommission/EU Parlament geprüft. Hierzu hat der neue Bundesdatenschutzbeauftragte nun als Antwort auf eine kleine Anfrage im Bundestag Stellung benommen: Continue reading
IT-Grundschutz-Kompendium in der 2019 Version erschienen
Das Bundesamt für Informationssicherheit hat am vergangen Freitag das neue IT-Grundschutz Kompendium veröffentlicht. Es gibt einige Updates und neue Punkte, die ihr für eure TOMs und damit für eure eigene IT Umgebung nutzt könnt/müsst.
OneDrive und Linux – Was ist möglich ohne nativen Client?
Ich nutze unterschiedliche Betriebssysteme und seit einiger Zeit auch vermehrt Ubuntu. Da es leider noch keinen OneDrive Client für Linux Distributionen gibt, habe ich natürlich nach Alternativen gesucht, um meine OneDrive for Business Daten weiter nutzen zu können.
Was ist eigentlich Office 365? – Raphael Köllner im Videobeitrag
Office 365 ist nun schon mehrere Jahre alt und viele Unternehmen, aber auch Privatleute nutzen dieses Produkt. Aber die Mythen von der Einführung von Office 365 halten sich bis heute. So wird behauptet, dass Office 365 nur 365 Tage nutzbar ist oder nur online zur Verfügung steht. Ebenfalls wird gesagt, dass Office 365 nur Office Pro Plus, also die Desktop Version wäre und viele Werkzeuge werden vergessen. Also haben Microsoft und ich uns überlegt, hier zu kleine Video zu produzieren: Continue reading
Microsoft Teams Client für Linux – Ein Update
Ich hab in letzter Zeit mehrere Emails bekommen zu meinem Beitrag und meinen Vorträgen zum Thema Microsoft Teams Deployment und Updates. So erreichte mich auch eine Email vom Leser Alfred, der mich auch noch mehr Informationen in Bezug auf Linux und Microsoft Teams hinwies. Herzlichen lieben Dank! Dies greife ich doch direkt auf und es wird auch auf office365hero.de in der Wissensdatenbank landen.
Azure Compliance und Security – die neue Customer Lockbox
Seit 2015 besitzt Office 365 aus der globalen Cloud die Customer Lockbox, die ich in meinen Vorträgen und Gutachten sehr oft behandle. Diese war auch in einigen Verhandlungen mit dem Betriebsrat und dem Datenschutzbeauftragten sehr nützlich. Nun wird eine Customer Lockbox auch bei Azure eingeführt. Dies schauen wir uns nun genauer an:
Datensicherheit durch Labeling_Klassifizierung
Nach der Veröffentlichung von hunderten privaten Datensätzen von Politikern und Prominenten, folgt nun die Aufarbeitung mit vielen verschiedensten Forderungen. Diese Forderungen gehen von der Ausweitung des nationalen Cyberabwehrzentrums hin zu Proaktivität und Ausweiterung des BSI bis hin zu mehr Schulung.
Meine Antwort für mehr Datensicherheit und damit Datenschutz ist ein umfassendes Sicherheitskonzept mit drei Säulen:
- Schutz der Identität (Identityprotection)
- Schutz der Daten (sensitiv)
- Schutz des Gerätes (MDM, MAM)
Unified Labeling
Ein Schritt zur Schaffung von Datensicherheit muss das sensitive Labeling der Daten sein. Sensitive heißt in diesem Fall, dass die Eigenschaften am Dokument bleiben, egal wo es liegt und wer damit arbeitet.
Ablauf zu einem Labeling
Zunächst definiert man Labels und findet heraus wo, welche Daten im Unternehmen verarbeitet werden. Diese Daten werden zunächst Analysiert (Wo, Wie viele, Was, Inhalt) und dann einem vorher definiertem Label zugewiesen. Für das Zuweisen eines Labels für bereits bestehende Daten und neue Daten (eigene, fremde) gibt es verschiedene Mechanismen.
Beim Einsatz von sensitiven Labeling muss im Besonderen auf die MitarbeiterInnen eingegangen werden, denn ohne deren Mitarbeit wird ein Labelingsystem nicht umzusetzen sein.
Labeling als technisch-organisatorische Maßnahme
Dazu kommt, dass Labeling eine technisch-organisatorische Maßnahme im Sinne des Datenschutzes ist, die zum Beispiel zur Absicherung der Verarbeitung von personenbezogenen Daten dienen kann. Ebenfalls dient Labeling als Maßnahme zur Durchsetzung von Datenschutz-Maßnahmen, die zum Beispiel bei der Verhinderung von Datenabfluss, Durchsetzung von Lösch- und Sperrfristen, sowie Durchsetzung von Compliance Richtlinien.
Welches Label ?
Welche Label jedes Unternehmen einführen und ausrollen will hängt von vielen Faktoren ab. Eine Diskussion kann dementsprechend schon mal 2-3 Monate dauern, um die richtigen Labels zu definieren und dann in einem Proof of Conzept nochmal 1-6 Monaten zur Anpassung dieser.
Die meisten Landesdatenschutzbeautragten empfehlen die Einführung von 4-5 Labeln an. Microsoft selber spricht von 5 Labeln und einige globale Unternehmen nutzen 3 Labels. Schauen wir uns dies doch mal genauer an:
Landesdatenschutz
Klasse 1 | Public | frei zugängliche Daten | Telefonbücher, Adressbücher, Wahlvorschlagsverzeichnisse |
Klasse 2 | Internal | Kenntnisnahme an ein berechtigtes Interesse der Einsichtnehmenden gekoppelt | beschränkt zugängliche öffentliche Dateien, Verteiler für Unterlagen |
Klasse 3 | Confidential | unsachgemäße Handhabung den Betroffenen in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen beeinträchtigen könnte | Einkommen, Sozialleistungen, Grundsteuer, Ordnungswidrigkeiten |
Klasse 4 | Secret | unsachgemäße Handhabung den Betroffenen in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen erheblich beeinträchtigen könnte („Existenz”). | Anstaltsunterbringung, Straffälligkeit, dienstliche Beurteilungen, Gesundheitsdaten, Schulden, Pfändungen |
Klasse 5 | High Confidential | deren unsachgemäße Handhabung Gesundheit, Leben oder Freiheit des Betroffenen beeinträchtigen könnte | Daten über Personen, die mögliche Opfer einer strafbaren Handlung sein können |
Schutzstufenkonzept Niedersachsen [LINK]
Microsoft
Microsoft selber nutzt seit mehreren Jahren ein Klassifizierungssystem mit ihrem eigenen Produkt Azure Information Protection, welches auch ihr nutzen könnt.
Hier ein Beispiel aus Azure Information Protection
Die Standard Labels von AIP sind:
Klasse 1 | Personal | nur für den Mitarbeiter selber |
Klasse 2 | Public | öffentliche Daten |
Klasse 3 | Internal | interne Daten |
Klasse 4 | Confidential | sensible Daten |
Klasse 5 | Secret | hochsensible Daten |
Azure Information Protection – Label Konfiguration [LINK]
Globales Unternehmen
Ein globales Unternehmen wollte im Sinne der Übersichtlichkeit und der Annahme des Systems durch die Mitarbeiterinnen auf wenige Labels setzen:
Klasse 1 | Public | öffentliche Daten |
Klasse 2 | Internal | interne Daten des Unternehmens |
Klasse 3 | Secret | sensible Daten |
Label mit welchen Werten?
Ein Label kann mit verschiedenen Parametern verknüpft werden. Dies hat Einfluss auf die Art des Labels und die Anzahl. Folgende Liste gibt einen Eindruck am Beispiel der Klasse “Internal”:
Internal
- Lizensierung
- Funktionsumfang
- Geräte und Dateien?
- Markierung
- ja oder nein
- Ort der Markierung: Footer
- Farbe der Markierung: Blau
- Text für die Markierung: INTERNAL
- Größe des Textes
- Verschlüsselung
- ja oder nein
- HYOK
- BYOK
- Azure Key Vault mit MS Schlüssel: check
- Automatisierung
- Standard-Label
- AIP Scanner Parameter
- automatisches Label?
- Hinweis zum Label
- Aufbewahrung
- Archiv
- Backup
- Aufbewahrung
- Data Loss Prevention
- Regeln
- Gerät (MDM)
- welche Geräte?
- VPV?
- Verschlüsselte Festplatte?
- weitere Parameter
- App (MAM)
- unternehmeseigene App
- private App
- Berechtigungen
- Wer? (Gruppe?): alle im Unternehmen
- Welche? (Lesen, Schreiben): Vollzugriff
- Löschfristen
- ab wann soll die Datei gelöscht werden?
- Sperrfristen
- ab wann soll die Datei für Zugriff gesperrt werden
- offline (z.B. offline Nutzung im Zug oder Flugzeug): 10 Tage
- online
- ab wann soll die Datei für Zugriff gesperrt werden
- Conditional Access
- Voraussetzungen zum Zugriff definieren?
- Abhängigkeiten
- Superuser
- definieren
- testen
- Microsoft Cloud App Security
- Berichte
- automatisches Labeln? Prüfung
- OMS
- Berichte
- E-Mails an Mitarbeiter
- Schulungen für Mitarbeiter für dieses Label definieren
- Umfang
- Test
- Prüfung
- Support Einweisen und Schulung
- Label und Externe
- Zugriff
- Überwachung
- B2B
- Sonstiges
Label und Externe
Weiterhin muss geklärt werden, wie eine Zusammenarbeit mit Externen in einem Labelingsystem aussieht und wie MitarbeiterInnen mit Externen zusammenarbeiten. Ebenfalls gibt es die Möglichkeit Externe mit internen Accouns auszustatten oder über B2B eine Verbindung zuschaffen. Dies muss alles in Zusammenhang mit den geschlossenen Verträgen und den gegebenfalls neuen Verträgen einbezogen werden.
Ich werde mich zu diesem Thema in weiterhin widmen. Gerade die Zusammenarbeit mit Externen in einer sicheren Umgebung hat bestimmte Parameter und Voraussetzungen.
Datensicherheit mit Klassifizierung
Wenn ihr nun eure Daten klassifiziert, verschlüsselt und diese auch noch überwacht, könnt ihr von einer sicheren Verarbeitung der Daten ausgehen. Auch wenn Datensätze abgefangen werden können diese nicht geöffnet oder sogar später noch gesperrt werden. Wenn ihr das Öffnen einer Datei noch an ein Gerät bindet, dann kann niemand Drittes mit den Dateien etwas anfangen.
Leider haben sehr viele Unternehmen heute noch kein Labeling-System für Ihre Daten und oder auch Datenspeicherorte. Eine Einführung ist mit Kosten und Aufwand verbunden, aber es führt kein Weg vorbei.
Exchange Online Mailbox-Audit Update
Windows Sandbox vs. Hyper- V
Mit der vorletzten Windows 10 Insider Build (18305) kam eine neue Funktion die Windows Sandbox in das Portfolio neben Hyper-V Manager in die Pro, Enterprise und EDU Varianten. Ich habe beide Funktionen einmal gegenüber gestellt, auch wenn die Sandbox noch nicht richtig funktioniert.