IT und Recht, Cloud und mehr
In mehreren Blogbeiträgen (z.B. Heise) wird über Verhandlungen zwischen der Bundesregierung und der Microsoft Deutschland gesprochen. Hierbei geht es um eine Governance Cloud für Bundesbehörden. Diese hat das Ziel Microsoft Werkzeuge zentral für alle Bundesbehörden anzubieten.
Ich beschäftigte mich schon mit IRM, dann mit RMS und natürlich mit Azure Information Protection. Dazu kam dann recht schnell Sensivity Labeling. Denn mit Sensitvity Labeling ist nun endlich vieles Möglich geworden, was sich die Experten immer gewünscht haben. Ein Produkt ist nie fertig, aber die Usecases wachsen erheblich und auch gerade in Verbindung mit Microsoft Teams:
Es gibt Leser, die haben die Augen überall und dies ist wunderbar. So bekomme auch ich immer mehr Änderungen mit und auch diese, die nicht im Microsoft 365 Admin Center angezeigt wurde:
Datensicherheit wurde mit Azure Information Protection (AIP) erstmals flächendeckend im Unternehmen einsetzbar. Nach IRM, RMS und Secure Island war ist es mit AIP möglich Daten zu klassifizieren, zu verschlüsseln und zu analysieren. Mit einem E5 Plan konnte sogar automatisiert und mit dem AIP Scanner war es möglich auch OnPremises Daten in das System mit aufzunehmen. Aber nun folgt der nächste Schritt der Evolution: Unified Labeling!
Nach der Veröffentlichung von hunderten privaten Datensätzen von Politikern und Prominenten, folgt nun die Aufarbeitung mit vielen verschiedensten Forderungen. Diese Forderungen gehen von der Ausweitung des nationalen Cyberabwehrzentrums hin zu Proaktivität und Ausweiterung des BSI bis hin zu mehr Schulung.
Meine Antwort für mehr Datensicherheit und damit Datenschutz ist ein umfassendes Sicherheitskonzept mit drei Säulen:
Ein Schritt zur Schaffung von Datensicherheit muss das sensitive Labeling der Daten sein. Sensitive heißt in diesem Fall, dass die Eigenschaften am Dokument bleiben, egal wo es liegt und wer damit arbeitet.
Zunächst definiert man Labels und findet heraus wo, welche Daten im Unternehmen verarbeitet werden. Diese Daten werden zunächst Analysiert (Wo, Wie viele, Was, Inhalt) und dann einem vorher definiertem Label zugewiesen. Für das Zuweisen eines Labels für bereits bestehende Daten und neue Daten (eigene, fremde) gibt es verschiedene Mechanismen.
Beim Einsatz von sensitiven Labeling muss im Besonderen auf die MitarbeiterInnen eingegangen werden, denn ohne deren Mitarbeit wird ein Labelingsystem nicht umzusetzen sein.
Dazu kommt, dass Labeling eine technisch-organisatorische Maßnahme im Sinne des Datenschutzes ist, die zum Beispiel zur Absicherung der Verarbeitung von personenbezogenen Daten dienen kann. Ebenfalls dient Labeling als Maßnahme zur Durchsetzung von Datenschutz-Maßnahmen, die zum Beispiel bei der Verhinderung von Datenabfluss, Durchsetzung von Lösch- und Sperrfristen, sowie Durchsetzung von Compliance Richtlinien.
Welche Label jedes Unternehmen einführen und ausrollen will hängt von vielen Faktoren ab. Eine Diskussion kann dementsprechend schon mal 2-3 Monate dauern, um die richtigen Labels zu definieren und dann in einem Proof of Conzept nochmal 1-6 Monaten zur Anpassung dieser.
Die meisten Landesdatenschutzbeautragten empfehlen die Einführung von 4-5 Labeln an. Microsoft selber spricht von 5 Labeln und einige globale Unternehmen nutzen 3 Labels. Schauen wir uns dies doch mal genauer an:
| Klasse 1 | Public | frei zugängliche Daten | Telefonbücher, Adressbücher, Wahlvorschlagsverzeichnisse |
| Klasse 2 | Internal | Kenntnisnahme an ein berechtigtes Interesse der Einsichtnehmenden gekoppelt | beschränkt zugängliche öffentliche Dateien, Verteiler für Unterlagen |
| Klasse 3 | Confidential | unsachgemäße Handhabung den Betroffenen in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen beeinträchtigen könnte | Einkommen, Sozialleistungen, Grundsteuer, Ordnungswidrigkeiten |
| Klasse 4 | Secret | unsachgemäße Handhabung den Betroffenen in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen erheblich beeinträchtigen könnte („Existenz”). | Anstaltsunterbringung, Straffälligkeit, dienstliche Beurteilungen, Gesundheitsdaten, Schulden, Pfändungen |
| Klasse 5 | High Confidential | deren unsachgemäße Handhabung Gesundheit, Leben oder Freiheit des Betroffenen beeinträchtigen könnte | Daten über Personen, die mögliche Opfer einer strafbaren Handlung sein können |
Schutzstufenkonzept Niedersachsen [LINK]
Microsoft selber nutzt seit mehreren Jahren ein Klassifizierungssystem mit ihrem eigenen Produkt Azure Information Protection, welches auch ihr nutzen könnt.
Hier ein Beispiel aus Azure Information Protection
Die Standard Labels von AIP sind:
| Klasse 1 | Personal | nur für den Mitarbeiter selber |
| Klasse 2 | Public | öffentliche Daten |
| Klasse 3 | Internal | interne Daten |
| Klasse 4 | Confidential | sensible Daten |
| Klasse 5 | Secret | hochsensible Daten |
Azure Information Protection – Label Konfiguration [LINK]
Ein globales Unternehmen wollte im Sinne der Übersichtlichkeit und der Annahme des Systems durch die Mitarbeiterinnen auf wenige Labels setzen:
| Klasse 1 | Public | öffentliche Daten |
| Klasse 2 | Internal | interne Daten des Unternehmens |
| Klasse 3 | Secret | sensible Daten |
Ein Label kann mit verschiedenen Parametern verknüpft werden. Dies hat Einfluss auf die Art des Labels und die Anzahl. Folgende Liste gibt einen Eindruck am Beispiel der Klasse “Internal”:
Internal
Weiterhin muss geklärt werden, wie eine Zusammenarbeit mit Externen in einem Labelingsystem aussieht und wie MitarbeiterInnen mit Externen zusammenarbeiten. Ebenfalls gibt es die Möglichkeit Externe mit internen Accouns auszustatten oder über B2B eine Verbindung zuschaffen. Dies muss alles in Zusammenhang mit den geschlossenen Verträgen und den gegebenfalls neuen Verträgen einbezogen werden.
Ich werde mich zu diesem Thema in weiterhin widmen. Gerade die Zusammenarbeit mit Externen in einer sicheren Umgebung hat bestimmte Parameter und Voraussetzungen.
Wenn ihr nun eure Daten klassifiziert, verschlüsselt und diese auch noch überwacht, könnt ihr von einer sicheren Verarbeitung der Daten ausgehen. Auch wenn Datensätze abgefangen werden können diese nicht geöffnet oder sogar später noch gesperrt werden. Wenn ihr das Öffnen einer Datei noch an ein Gerät bindet, dann kann niemand Drittes mit den Dateien etwas anfangen.
Leider haben sehr viele Unternehmen heute noch kein Labeling-System für Ihre Daten und oder auch Datenspeicherorte. Eine Einführung ist mit Kosten und Aufwand verbunden, aber es führt kein Weg vorbei.
Microsoft Teams ist in aller Munde und auch in sehr vielen meiner Gesprächen ist Teams ein Thema. Ich bereite auch für die Microsoft Ignite Sessions zu Microsoft Teams vor. Da ich mich in meiner Person auch mit den Speicherorten und Verarbeitungen von Daten in Microsoft Teams.
Microsoft hat vor ein paar Tagen eine Sammlung aller GDPR Ressourcen zum Thema Azure veröffentlicht. Auf dieser Webseite findet ihr viele Links, Whitepapers und Informationen rund um azure und GDPR. Aus meiner Sicht geht das Material leider nicht tief genug und ich würde mir auch eine Datenbank wünschen, die für das jeweilige Produkt die Informationen anzeigt.
Verschlüsselung und Datenschutz mit Open Source und EPRi in der deutschen Microsoft Cloud. Dies scheint wohl eines der ersten Projekte zu sein, dass wahrscheinlich schon halb produktiv läuft, da wir in der deutschen Cloud noch in der Preview sind.
Nun ist auch die Session von Peter und mir vom Microsoft Technical Summit online 🙂
Viel Spaß beim Betrachten 🙂
Vom 17. September bis zum 19. September findet diesmal in Darmstadt das – nach der Cebit – größte Event der Microsoft Deutschland GmbH statt. Es handelt sich um eine technische Konferenz mit vielen Vorträgen, Workshops am letzten Tag und drum herum Treffen der Communities und Förderprogramme von Microsoft.
Ich werde im Rahmen dieser Konferenz mit Peter Kirchner zusammen einen Vortrag zum Thema
“Was gehen mich Datenschutz & Datensicherheit in der Cloud an”
halten. Wir wollen die aktuellen Themen zu der Thematik ansprechen und uns gemeinsam mit den Teilnehmern um Unterschiede und Gemeinsamkeiten kümmern. Wir erläutern, wie man compliant und sicher mit dem Thema umgehen kann.