IT-Security und Compliance in Microsoft 365 und Teams für sichere Zusammenarbeit aus der Ferne

Seitenprofil einer Frau, die in einem dunklen Hemd in einem Büro an einem Microsoft Surface Studio arbeitet.

Für Unternehmen weltweit wird in dieser schwierigen Zeit das Arbeiten aus der Ferne zu einer neuen Normalität. Mitarbeiterinnen und Mitarbeiter nutzen Tools wie Microsoft Teams, um zusammenzuarbeiten, zu chatten und miteinander in Kontakt zu bleiben. Die Unternehmen wiederum müssen die Rahmenbedingungen für diese Arbeitsweise schaffen und ihren Beschäftigten vertrauen, dass die Arbeit aus dem Homeoffice funktioniert. Das setzt eine positive Unternehmenskultur voraus. Zugleich müssen sich die Unternehmensführung und insbesondere die IT- und Compliance-Verantwortlichen mit möglichen Risiken auseinandersetzen, um Unternehmensdaten und geistiges Eigentum zu schützen. Wie das mit unserem Kollaborationshub Teams und Microsoft 365 gelingt, möchte ich in diesem Blogpost vorstellen.

Sicher und regelkonform

Zunächst einmal ist es wichtig zu wissen, wo sich die Daten des Unternehmens befinden, während die Mitarbeiterinnen und Mitarbeiter aus dem Homeoffice arbeiten. Daten in Microsoft Teams sind beim Speichern und Übertragen verschlüsselt. Dafür nutzen wir ein sicheres Echtzeit-Protokoll für Video, Audio und Desktop-Sharing.

Verschiedene Tools innerhalb von Microsoft 365 helfen Organisationen, die Kontrolle zu behalten und sensible Daten und Dokumente zu schützen. So ermöglichen wir es beispielsweise, in Microsoft Teams die Zugriffsrechte für externe Gäste einzuschränken. Gleichzeitig können IT-Verantwortliche auch Anwendungen festlegen, auf die alle Teammitglieder Zugriff haben sollen.

Microsoft Teams selbst erfüllt mehr als 90 gesetzliche Vorgaben und Industriestandards für Sicherheit und Compliance – weitere Informationen dazu sind auf unserem Service Trust Portal zu finden. Um auch mit der stetigen Weiterentwicklung gesetzlicher und branchenspezifischer Vorgaben Schritt zu halten, unterstützen wir unsere Kundinnen und Kunden zudem mit einem umfassenden Compliance-Angebot, das die strengsten Branchenvorschriften und gesetzlichen Regelungen erfüllt.

Diese vier Funktionen in Microsoft Teams und Microsoft 365 unterstützen die Compliance in Unternehmen:

1. Verhinderung von Datenverlust (Data Loss Prevention) in Microsoft Teams
Data Loss Prevention (DLP) schützt sensible Informationen in Nachrichten und Dokumenten – so auch in Teams. Versucht jemand beispielsweise ein Dokument mit Gästen in einem Kanal zu teilen, das vertrauliche Informationen enthält, kann eine entsprechend erstellte DLP-Richtlinie dies verhindern.

Das Dashboard von Teams zeigt, wie mit Hilfe von Data Loss Prevention (DLP) sensible Informationen in Nachrichten und Dokumenten geschützt werden.

Hier verhindert eine entsprechend erstellte DLP-Richtlinie das Teilen vertraulicher Informationen.

2. Sensible Daten mit Vertraulichkeitsbezeichnungen schützen
Um wichtige Daten zu schützen, können Organisationen diese mit Vertraulichkeitsbezeichnungen versehen und mit verschiedenen Schutzmechanismen verknüpfen, wie Verschlüsselung, visuelle Markierung oder Zugriffskontrollen. Auf diese Weise kann sichergestellt werden, dass der Schutz der Daten dauerhaft bestehen bleibt, auch wenn es innerhalb einer Organisation oder mit externen Nutzerinnen und Nutzern geteilt wird.

Beispiel zur Anzeige verfügbarer Vertraulichkeitsbezeichnungen aus der Registerkarte Start im Menüband von Excel.
Beispiel zur Anzeige verfügbarer Vertraulichkeitsbezeichnungen aus der Registerkarte Start im Menüband von Excel.

Zu Beginn können Unternehmen es ihren Beschäftigten ermöglichen, manuell E-Mails und Dokumente zu klassifizieren und Vertraulichkeitsbezeichnungen nach ihrer eigenen Einschätzung und Interpretation der internen Richtlinien zu vergeben. Da Nutzerinnen und Nutzer das Anbringen der Labels aber auch vergessen oder vernachlässigen können, bedarf es einer Methode, die gerade für große Datenmengen anwendbar ist. Um unsere Kundinnen und Kunden dabei zu unterstützen, führen wir eine automatische Klassifizierung mit Vertraulichkeitsbezeichnungen für Dokumente in SharePoint Online und OneDrive for Business sowie für empfangene und gesendete E-Mails in Exchange Online ein. Eine öffentliche Vorschau der Funktion gibt es im Laufe der nächsten Woche. Wie bei der manuellen Klassifizierung können Kundinnen und Kunden jetzt auch für Office-Dateien (z.B. PowerPoint, Excel, Word) und E-Mails auf der Grundlage von Organisationsrichtlinien Vertraulichkeitsbezeichnungen einrichten, die automatisch angewendet werden. Zusätzlich zur manuellen Kennzeichnung von Dateien können Unternehmen so auch Richtlinien für die automatische Klassifizierung in Microsoft 365-Diensten wie SharePoint Online, OneDrive und Exchange Online konfigurieren. Diese Richtlinien kennzeichnen Dateien beim Speichern und Übertragen automatisch auf der Grundlage unternehmenseigener Regeln. Diese Klassifizierungen gelten auch, wenn diese Dokumente über Microsoft Teams geteilt werden.

Beispiel für automatisches Anwenden einer Vertraulichkeitsbezeichnung in Office-Apps oder der Empfehlung einer Bezeichnung.
Beispiel für automatisches Anwenden einer Vertraulichkeitsbezeichnung in Office-Apps oder der Empfehlung einer Bezeichnung.

3. Insider-Risiken minimieren
Insider Risk Management untersucht Aktivitäten in Microsoft 365 – einschließlich Teams – um verdächtige Aktivitäten und potenzielle Gefahren frühzeitig zu erkennen.

Als Teil der neuen Insider Risk Management-Lösung in Microsoft 365 ermittelt die Funktion Communication Compliance Verstöße gegen Verhaltensrichtlinien in den Kommunikationskanälen eines Unternehmens und ermöglicht, entsprechende Maßnahmen zu ergreifen. Communication Compliance schlussfolgert mit Hilfe von Machine Learning aufgrund der in Teams verwendeten Sprache, ob es beispielsweise Hinweise auf Bedrohungen gibt, zu Cyber-Mobbing kommt oder ob Teammitglieder anstößige Sprache verwenden. Dies zu erkennen und Abhilfe zu schaffen, verringert interne Risiken und trägt auch zur mentalen Gesundheit der Beschäftigten in unsicheren Zeiten bei.

4. Einfache Aufbewahrungsrichtlinien aktivieren
Um internen Richtlinien, Branchenvorschriften sowie rechtlichen Anforderungen zu entsprechen, sollten Unternehmen ihre Unternehmensinformationen ordnungsgemäß verwalten. Das bedeutet, sie müssen sicherstellen, dass alle relevanten Informationen aufbewahrt und nicht länger benötigte Daten gelöscht werden.

In Teams können Organisationen Richtlinien zur Aufbewahrung von Chat- und Kanal-Nachrichten erstellen und diese dann auf das gesamte Unternehmen oder auf bestimmte Nutzerinnen und Nutzer oder Teams anwenden. Unterliegen die Daten einer Aufbewahrungsrichtlinie kann weiterhin mit ihnen gearbeitet werden, da sie an ihrem ursprünglichen Speicherort aufbewahrt werden. Bearbeitet oder löscht jemand Daten, die der Aufbewahrungsrichtlinie unterliegen, bleibt eine Kopie der Daten solange an einem sicheren Ort gespeichert, wie die Richtlinie gilt.

Aus Compliance-Gründen werden alle Daten aufbewahrt und stehen über eDiscovery zur Verfügung, bis die Aufbewahrungsfrist abläuft. Die jeweilige Richtlinie gibt vor, ob nach Ablauf nichts unternommen oder die Daten gelöscht werden. Die Aufbewahrungsrichtlinie in Teams sorgt dafür, dass die Daten beim Löschen aus allen Speicherorten in Teams entfernt werden.

Um Organisationen noch besser beim Schutz und der Verwaltung ihrer wichtigsten Daten zu unterstützen, ist nun Microsoft 365 Records Management allgemein verfügbar. Alym Rayani, Senior Director Microsoft 365 Compliance, stellt in diesem englischen Blogpost vor, wie Kundinnen und Kunden mit Hilfe dieser neuen Funktion Inhalte klassifizieren, aufbewahren, prüfen, entsorgen und verwalten können – ohne die Produktivität oder Datensicherheit des Unternehmens zu beeinträchtigen. So hilft Records Management mit maschinellem Lernen bei der Identifizierung und Klassifizierung regulatorischer, rechtlicher und geschäftskritischer Aufzeichnungen. Das Feature ermöglicht es auch, die Einhaltung von Vorschriften durch vertretbare Prüfpfade und den Nachweis der Datenvernichtung zu dokumentieren.

Weitere Informationen und Tipps für Zusammenarbeit aus der Ferne in Zeiten von COVID-19 bieten wir hier. IT-Verantwortlichen bieten wir weitere Informationen in den Beiträgen „Datenschutz und Sicherheit in Microsoft Teams: Antworten für IT-Fachleute“ und „Sicher von zu Hause arbeiten – eine Anleitung für Chief Information Security Officers


Ein Beitrag von Marie-Thérèse Fontaine
Product Strategy and Marketing Manager for Microsoft 365 Compliance bei Microsoft Deutschland

Marie-Therese Fontaine

Tags: , , ,

Weitere Infos zu diesem Thema

4. Mai 2020
Datenschutz in Zeiten von COVID-19

Digitalen Technologien kommt bei der Bekämpfung der Pandemie eine große Bedeutung zu – sie können große Datenmengen schneller auswerten und Muster frühzeitig erkennen. Da die dafür notwendigen Daten sehr sensibel sind, ist der Schutz der Privatsphäre besonders wichtig. Wir haben sieben Prinzipien entwickelt, die Regierungen, Gesundheitsbehörden, Forschende sowie die Industrie ab sofort und für die kommenden Phasen der Pandemie berücksichtigen sollten.