Wie sicher sind die cloudbasierten Produkte von Microsoft im Sinne der DSGVO und den Einfluss auf die Unternehmensresilienz?

Immer größer scheinen die Bedenken hinsichtlich des Einsatzes von cloudbasierten Microsoft-Produkten zu werden. Unsicherheiten werden aus verschiedenen Richtungen geschürt, wobei die Komplexität der IT-Sicherheitsthematik durchaus förderlich ist. Aber auch die Stellungnahmen einiger Datenschutzbehörden sind geeignet, IT-Verantwortliche in Unternehmen, Behörden und gemeinnützigen Einrichtungen aufhorchen lassen.

Die gute Nachricht: Microsoft stellt sich dieser Situation und hat mit einer Stellungnahme, welche am 17. August 2022 auf der Unternehmenshomepage veröffentlicht wurde, Stellung bezogen.

Der Verfasser dieser Zeilen ist Leidtragender des „Blue Screen of Death“ aus den 90ern des letzten Jahrhundert. Wodurch eine positive Sicht des Unternehmens Microsoft für dieses Leben ausgeschlossen ist: „Ich spreche natürlich über den blauen Bildschirm des Todes. Jüngere PC-Benutzer haben keine Ahnung, wie üblich dieser Panikbildschirm einmal war oder was er bedeutete. Das, woran Sie gerade gearbeitet haben, war verschwunden, und Ihr Computer musste neu gestartet werden. Dies dauerte zehn Minuten. Diejenigen von uns, die sich daran erinnern, versuchen es zu vergessen, aber es ist schwer.“

Eine kritische Prüfung mit dem kleinen IT-Team unseres Unternehmens lässt jedoch nur wohlwollend positiv zusammenfassen:

Microsoft verspricht branchenführende Sicherheitsstandards auf einem hohen Stand der Technik. Dazu zählen

• Umfangreicher Antivirenüberwachung zur Abwehr komplexer Bedrohungen
• Zweiter Faktor für die Authentifizierung
• Ende-zu-Ende Verschlüsselung
• Sicherheitskonsole zur Unterstützung von IT-Verantwortlichen (Admins, Datenschützer u. IT-Sicherheitsbeauftragte)

WICHTIG: Die obigen Punkte setzen zum Großteil voraus, dass eine ausreichend kompetente Administration erfolgt. Verantwortliche in KMU, die diese nicht gegeben sehen, sollten bereit sein, ausreichend externe Kapazitäten zu buchen. Was jeder Unternehmensverantwortliche können muss, ist die richtigen Fragen zu stellen.

Nach wie vor sind Arbeitsumgebungen einrichtbar, welche den Verzicht auf Cloud-Speicherung vorsehen. Wer keine derartige Einschränkung wünscht, kann die Datenspeicherorte transparent einsehen und definieren, zumindest in den „Enterprise“ und „Education“ Produkten. Auch der Umgang mit dem „Cloud-Act“ (Zugriff US-amerikanischer Behörden) ist geregelt.

Ein großer Kritikpunkt ist die Auswertung von Anwendungsdaten, also Telemetriedaten. Keine neue Erkenntnis ist, dass „cloudbasierte Programme nur funktionieren, wenn Nutzeraktionen übermittelt werden, damit die jeweilige Reaktion der Applikation ausgeführt werden kann“(Quelle). Jedoch scheint es, als hätte Microsoft verstanden, denn das Microsoft Datenschutzdashboard bietet recht umfangreiche Möglichkeiten, digitale Bewegungsdaten von Nutzern zu schützen. Auch das geht naturgemäß nur mit einer gewissen Anwenderkompetenz und entsprechendem Zeitaufwand.

Resümee:
Mit der entsprechenden Anwendungskompetenz lassen sich Microsoft Cloud-Anwendungen rechtskonform und der IT-Sicherheit dienlich einsetzen. Unternehmensverantwortlich sollten versuchen, der IT-Abteilung des Unternehmens (ob intern oder extern) die richtigen Fragen zu stellen.

 

Frank Tengler-Marx

IT-Grundschutzpraktiker (BSI)
Datenschutzbeauftragter (IHK)