Videokonferenzen sind derzeit das Mittel der Wahl, um auch im Homeoffice mit den Kolleginnen und Kollegen in Kontakt zu bleiben. IT-Verantwortliche stellt das vor neue Herausforderungen. Datenschutz und Sicherheit haben für sie immer höchste Priorität, doch noch nie waren diese Themen so wichtig wie jetzt, da so viele Endbenutzerinnen und -benutzer aus der Ferne zusammenarbeiten. Um IT-Verantwortliche bei den vielen Fragen, die sie gerade erreichen, und den aktuellen Herausforderungen zu unterstützen, haben wir in diesem Blogpost einen Überblick zu Datenschutz und Sicherheit in Microsoft Teams zusammengestellt.
Bei Microsoft sind Sicherheit, Compliance, Datenschutz und Transparenz elementare Bestandteile unserer Produkte und Dienste – das gilt natürlich auch für unsere Kollaborationslösung Microsoft Teams. In den vergangenen Wochen haben wir bereits bewährte Verfahren vorgestellt, mit denen Chief Information Security Officers sicheres Arbeiten aus dem Homeoffice gewährleisten können. Zusätzlich zu den hier gelisteten Informationen haben wir ein Whitepaper zusammengestellt, um ganzheitlich aufzuzeigen, wie wir mit Datenschutz und Datensicherheit innerhalb von Microsoft 365 umgehen. Dieses steht unter dem folgenden Link zum Download bereit: aka.ms/datenschutzmicrosoft365
Im Folgenden stellen wir die Methoden und Möglichkeiten vor, die Teams für Sicherheit und Datenschutz bietet.
Datenschutz- und Sicherheitskontrollen für Videobesprechungen
- Besprechungsoptionen: Die Organisatorin oder der Organisator einer Besprechung kann entscheiden, welche externen Gäste direkt an Besprechungen teilnehmen können und welche zunächst im Wartebereich warten müssen, bevor sie für die Teilnahme zugelassen werden. Teilnehmerinnen und Teilnehmer, die sich über das Telefonnetz einwählen, erhalten ebenfalls über den Wartebereich Einlass. Zudem können Organisatoren Personen auch während einer Besprechung aus dem Meeting entfernen. So gewährleisten wir, dass vertrauliche Videobesprechungen auch nur dem vorgesehenen Personenkreis zugänglich bleiben.
- Rollen in einer Teams-Besprechung: Besprechungsorganisatoren können den Teilnehmenden entweder die Rolle „Referent“ oder „Teilnehmer“ zuweisen und so kontrollieren, welche Personen Inhalte in der Besprechung präsentieren können. Auf diese Weise werden unerwünschte Unterbrechungen eines Meetings vermieden.
- Zustimmung der Teilnehmerinnen und Teilnehmer zu einer Aufzeichnung: In Microsoft Teams können Nutzerinnen und Nutzer ihre Besprechungen und Gruppenanrufe aufzeichnen, um die geteilten und besprochenen Inhalte zu dokumentieren. Jede Aufzeichnung einer Besprechung geht mit einer entsprechenden Benachrichtigung und Datenschutzerklärung an die Teilnehmerinnen und Teilnehmer einher. Die Organisatorin oder der Organisator des Meetings kann zudem steuern, welche Personen die Möglichkeit zum Aufzeichnen der Besprechung erhalten und wer in der Organisation Zugriff darauf hat.
- Zugriff auf die Aufzeichnungen einer Besprechung: Nur die Teilnehmerinnen und Teilnehmer einer Besprechung sowie zum Meeting eingeladene Personen haben Zugriff auf die Aufzeichnung einer Besprechung. Die Organisatorin oder der Organisator eines Meetings kann zudem weitere Personen autorisieren. Die Aufzeichnungen werden in Microsoft Stream hochgeladen und lassen sich – je nachdem, welche Berechtigungen die Administratoren aktiviert haben – entweder freigeben oder herunterladen.
- Kanalmoderation und -kontrollen: Die Besitzerinnen und Besitzer eines Kanals können eine Unterhaltung moderieren und steuern, wer Inhalte in einer Kanalkonversation teilen kann.
- Einhaltung der Kommunikationsrichtlinien: Kommunikationsrichtlinien ermöglichen es Unternehmen eine Kultur der Inklusion und Sicherheit zu fördern, indem negative Verhaltensweisen wie Mobbing und Belästigung erkannt und verhindert werden. Mit vordefinierten oder benutzerdefinierten Richtlinien kann die interne und externe Kommunikation nach Richtlinienübereinstimmung durchsucht werden, um unangemessene Nachrichten zu erkennen, zu erfassen und Maßnahmen dagegen zu ergreifen.
Datenschutz by design
Nutzerinnen und Nutzer von Teams vertrauen uns eines ihrer wertvollsten Güter an – ihre Daten und persönlichen Informationen. Unser Ansatz beim Datenschutz basiert auf unserer Verpflichtung, transparent über das Sammeln, die Nutzung und das Weiterverbreiten eurer Daten zu sein. Datenschutz ist seit jeher tief in unserer Unternehmensphilosophie und in der Entwicklung unserer Produkte verankert. Mit Inkrafttreten der DSGVO haben wir diese weltweit umgesetzt und die entsprechenden Richtlinien und Maßnahmen ergriffen, um unsere Lösungen und Produkte daran anzupassen. Dabei berufen wir uns auf unsere Datenschutzverpflichtungen:
- Wir verwenden die Daten unserer kommerziellen Angebote niemals zu Werbezwecken.
- Wir verfolgen weder die Aufmerksamkeit der Teilnehmerinnen und Teilnehmer noch die Erledigung weiterer Aufgaben (Multitasking) während eines Teams-Meetings.
- Die Daten werden nach der Beendigung oder dem Ablauf des Abonnements gelöscht.
- Wir ergreifen strenge Maßnahmen, um sicherzustellen, dass der Zugang zu Daten beschränkt ist. Die Anforderungen, die erfüllt sein müssen, damit wir Anfragen der Regierung nachkommen, haben wir sehr sorgfältig ausgearbeitet.
- Nutzerinnen und Nutzer können jederzeit selbst und ohne Begründung auf ihre eigenen Kundendaten zugreifen.
- Wir veröffentlichen regelmäßige Transparency Reports über unsere Transparency Hub. In diesen Berichten legen wir detailliert dar, wie wir auf die Datenanfragen Dritter reagiert haben.
- Wir haben Maßnahmen ergriffen, um sicherzustellen, dass es keine Hintertüren und keinen direkten oder ungehinderten Zugang der Regierung zu euren Daten gibt.
Weitere Informationen dazu bietet unser Trust Center.
Schutz von Identitäts- und Kontoinformationen
- Mit der Multi-Faktor-Authentifizierung (MFA) stellen wir Nutzerinnen und Nutzer zusätzliche Wege der Verifizierung bereit, um ihre Identität zu bestätigen und so Konten vor Angriffen zu schützen. MFA ist das effektivste Mittel gegen einen möglichen Identitätsdiebstahl, der häufigsten Ursache für den Verlust und Diebstahl von Informationen.
- Der bedingte Zugang ermöglicht es, risikobasierte Richtlinien für den Zugriff festzulegen – basierend u.a. auf der Benutzerumgebung, des Gerätezustands und des Standortes.
- Mit dem Microsoft Endpoint Manager können IT-Verantwortliche Geräte und Anwendungen verwalten und den bedingten Zugriff auf jedem Endgerät einsetzen.
- Der sichere Gastzugriff ermöglicht es Nutzerinnen und Nutzern in der Zusammenarbeit mit externen Gästen deren Zugang zu Unternehmensdaten zu kontrollieren.
- Der externe Zugriff ermöglicht organisationsübergreifende Zusammenarbeit über eine authentifizierte Verbindung.
Schutz und Verteidigung vor Cyberbedrohungen
- Verschlüsselung: Microsoft Teams verschlüsselt Daten sowohl bei der Übertragung als auch im Ruhezustand. Microsoft verwendet Industriestandardtechnologien wie TLS und SRTP, um alle Daten bei der Übertragung zwischen den Geräten der Nutzerinnen und Nutzer und den Rechenzentren sowie zwischen den Rechenzentren zu verschlüsseln. Das beinhaltet u.a. Nachrichten, Dateien und Besprechungen. Bei Bedarf können Inhalte entschlüsselt werden, um Sicherheits- und Compliance-Verpflichtungen wie z. B. eDiscovery zu erfüllen.
- Verhinderung von Datenverlusten: Data Loss Prevention verhindert, dass sensible Informationen versehentlich mit anderen geteilt werden.
- Vertraulichkeitsbeschriftungen ermöglichen es, mit Hilfe von Datenschutz- und Gasteinstellungen des Teams zu kontrollieren, welche Personen auf ein Team zugreifen können.
- Advanced Threat Protection schützt Nutzerinnen und Nutzer vor bösartiger Software, die in Dateien – auch in OneDrive oder SharePoint – versteckt sein kann.
- Cloud App Security bietet Tools zur Identifizierung und Eindämmung verdächtiger oder böswilliger Aktivitäten – das beinhaltet groß angelegte Löschungen von Teams oder das Hinzufügen nicht autorisierter Nutzerinnen und Nutzer.
Erfüllung von mehr als 90 gesetzlichen Vorgaben und Industriestandards
- Microsoft erfüllt den „Anforderungskatalog Cloud Computing“ (C5) des BSI für mehr als 100 seiner weltweiten Rechenzentren.
- Compliance und gesetzliche Standards: Zur Einhaltung globaler, nationaler, regionaler sowie branchenspezifischer Vorschriften unterstützt Microsoft Teams mehr als 90 gesetzliche Standards – darunter HIPAA, GDPR, FedRAMP, SOC und der Family Educational Rights and Privacy Act (FERPA) für die Sicherheit von Studierenden und Kindern.
- Informationsbarrieren ermöglichen es, die Kommunikation zwischen Nutzerinnen und Nutzern sowie Gruppen in Teams zu kontrollieren, um Geschäftsinformationen im Falle von Interessenkonflikten oder bei Verstößen gegen Richtlinien zu schützen.
- eDiscovery, Beweissicherung, Audit-Protokolle und Inhaltssuche: eDiscovery und verwandte Funktionen ermöglichen IT-Verantwortlichen die einfache Identifizierung, Speicherung und Verwaltung von Informationen, die in Rechtsfällen relevant sein können.
- Richtlinien für die Aufbewahrung von Informationen: Mit Hilfe der Aufbewahrungsrichtlinien können Inhalte einer Organisation verwaltet und Informationen gelöscht oder aufbewahrt werden, um Unternehmensrichtlinien, Branchenvorschriften oder gesetzliche Anforderungen zu erfüllen.
Bei Microsoft sind wir uns bewusst, dass Sicherheit und Datenschutz noch nie so wichtig waren wie heute. Für alle unsere Kundinnen und Kunden sind wir bestrebt, sicherzustellen, dass Microsoft Teams höchste Standards erfüllt – sei es etwa für Schulen und Universitäten, die den Lehrbetrieb online abhalten oder Unternehmen, die auf Homeoffice umsteigen. Unser Ziel ist es, in dieser dynamischen Situation dazuzulernen und uns stetig weiterzuentwickeln, um Teams und Organisationen in ihrer Produktivität und Sicherheit zu unterstützen. Dabei möchten wir unseren Kundinnen und Kunden die Kontrolle und die Möglichkeiten zur Verwaltung bieten, die sie benötigen. Mehr Informationen bietet dazu unser Microsoft Trust Center.
Ein Beitrag von Stratos Komotoglou
Senior Subsidiary Product Marketing Manager Microsoft 365 Security bei Microsoft Deutschland