Office 365: 5 Risikomanagement-Herausforderungen

author
Veröffentlichungsdatum: 08/13/2020
feature image

Möchten Sie mehr zum Thema sensible Daten und Datenschutz erfahren? Dann lesen Sie folgenden Artikel: So finden Sie sensible Inhalte in Office 365.


Wir leben in beispiellosen Zeiten. Obwohl viele Firmen ihren Umstieg in die Cloud bereits umsichtig geplant und durchgeführt haben, mussten als Reaktion auf die globale Pandemie viele ihre Pläne ändern oder den Ablauf beschleunigen. Innerhalb weniger Wochen hat sich das Geschäftsleben in aller Welt rapide verlangsamt:

  • Unternehmen haben virtuelle Geschäftsmöglichkeiten entwickelt oder mussten schließen
  • Menschen blieben daheim und kauften weniger
  • Die Gesellschaft kam nur schleppend voran

CIOs sowie leitende Risikomanager, Datenschutz- und Informationssicherheitsbeauftragte mussten plötzlich mit bislang ungekannten Situationen zurecht kommen. Nun erfordern viele Dinge gleichzeitig unsere Aufmerksamkeit, z. B.:

  • die Wahrung der Geschäftsintegrität durch Verhinderung von Sicherheitsverstößen durch bekannte und unbekannte Schwachstellen;
  • der richtige Umgang mit neuen Angriffsflächen, die sich aus Verschiebungen des technischen und physischen Sicherheitsstatus aufgrund geplanter und ungeplanter Veränderungen in den Umgebungsfaktoren ergeben;
  • die Verwaltung unserer Investitionen anhand des richtigen Risikoprofils;
  • die zukunftssichere Gestaltung der Geschäftskontinuität und der Notfallwiederherstellung und
  • die Koordination und Abstimmung von Verfahren und Richtlinien mit Technologie und Sicherheitslösungen sowie
  • die Skalierung zur Ermöglichung von IT-Effizienzprogrammen und -paradigmen.

microsoft teams

Parallel zum Umstieg vieler Organisationen auf eine fast vollständig im Homeoffice tätige Belegschaft stellte sich auch die Frage „bereit oder nicht?“, die mit einer Beschleunigung beim Umstieg auf Cloud-Technologien wie Microsoft Office 365 und einer Explosion virtueller Daten einherging. Ob Daten nun von und in Ihrer Organisation generiert werden oder durch Ihre Organisation bei einer externen Partei (Kunde, Dienstleister, Partner oder andere) abgerufen werden: Die einzige Möglichkeit, sie effektiv zu schützen, ist, einen genauen Überblick darüber zu haben.

Enthalten sie Kundeninformationen, Mitarbeiterinformationen, geistiges Eigentum, sensible Unterhaltungen, personenbezogene Daten, Patientendaten, Finanzdaten und so weiter? Was genau sind die Auswirkungen einer dramatischen Verschiebung in die Cloud in Bezug auf das Unternehmensrisikomanagement?

Warum sollten Sie eigentlich Ihre Daten und Systeme auf einen fremden Computer verlagern – oder darauf Infrastruktur hosten? Das direkte Argument für Cloud-Computing ist klar: Reduzierte Gesamtbetriebskosten und weniger Hardware, um die sich IT-Administratoren kümmern müssen. Wenn Sie Ihre Anwendungen in der Cloud hosten und dort Ihre Daten speichern, könnten Sie damit Kosten reduzieren und den globalen Zugriff auf Inhalte verbessern.

Cloud-Computing bedeutet für die IT-Teams kleiner und großer Organisationen sowie Technologie-Anbieter und ihre Kunden zahlreiche Vorteile. Es ermöglicht Unternehmen, viel weniger in Infrastruktur und Ressourcen, die intern gehostet, verwaltet und gewartet werden müssen, zu investieren. So können sie in leistungsfähigere Anwendungen investieren, die sie in einer extern gehosteten und vollständig redundanten Umgebung entwickeln – und zwar zu einem Bruchteil der Kosten.

Gleichzeitig ist für Organisationen, die regulatorische Anforderungen erfüllen müssen, der Umzug in die Cloud nicht ohne Risiko. Zu berücksichtigen sind fünf wichtige Variablen:

  1. Zugriff und Kontrolle

Einige Unternehmen haben erhebliche Bedenken hinsichtlich der Speicherung von Geschäftsdaten außerhalb der Unternehmensmauern, da nicht bei ihnen angestellte IT-Administratoren, über ein hohes Maß an Zugriff und Kontrolle über die Informationen verfügen; sowie der zur Verfügung stehenden technischen Lösungen zur Sicherung und Verwaltung des Benutzerzugriffs und der Authentifizierung.

  1. Sensible Daten

Für Unternehmen, die über den Umzug in die Cloud nachdenken, stellt sich nicht die Frage, OB sie es tun werden, sondern nur, WAS sie in die Cloud auslagern werden. Mit sehr wenigen Ausnahmen werden die meisten Organisationen einige Daten entweder bewusst oder unbewusst in die Cloud verschieben.

In einigen Unternehmen legen einzelne Mitarbeiter Daten bereits in persönlichen Cloud-Speichern wie Dropbox oder Yahoo ab. Dies geschieht meist, weil Benutzung und Zugriff so einfach sind. Dieser Umstand aber wird IT-Administratoren und Sicherheitsbeauftragten die Zornesröte ins Gesicht treiben, doch das ist es, was passiert, wenn Unternehmen ihre eigenen Systeme so gestalten, dass ihre Nutzung zu umständlich ist.

  1. Abhängigkeit von Dienst-Anbietern

Sie müssen sich überlegen, wie viel Vertrauen Sie Ihrem potenziellen Cloud-Anbieter entgegenbringen. Ihr Vertrauen in den Anbieter Ihrer Wahl und dessen Transparenz im Hinblick auf seine Sicherheits- und Datenschutzmaßnahmen müssen ein wesentlicher Bestandteil Ihrer Entscheidung sein. Was kann Ihr Anbieter Ihnen beispielsweise über seine Backup- und Datenwiederherstellungsverfahren sagen?

office 365 cloud

  1. Datensouveränität

Sollte Ihr Unternehmen Datensouveränitätsanforderungen unterliegen, müssen Sie nicht nur sicherstellen, dass Ihre Daten „im Lande“ bleiben, sondern auch Ihre entsprechenden Backups. Das Gleiche gilt für Anforderungen an vertretbare Datenlöschung und das Informationsmanagement. Stellen Sie sicher, dass Sie genau wissen, wo sich alle Kopien Ihrer Daten befinden. Dies stellt für Unternehmen bereits in ihren eigenen Systemen eine Herausforderung dar. Machen Sie deshalb Ihre Erwartungen auch bei den Cloud-Anbietern klar und deutlich.

  1. Kontrolle über Funktionen

Außerdem sollten Sie genau nachvollziehen können, wie Ihr Cloud-Anbieter „neue Verbesserungen“ an dem Dienst einführen wird, den er Ihnen anbietet. Einer der großen Vorteile der Cloud ist, dass Dienstanbieter wie Microsoft, Amazon und andere permanent Innovationen vorantreiben und ihr Angebot entsprechend aktualisieren können. Während das aus technologischer Perspektive einen großen Vorteil darstellt, kann es allerdings Auswirkungen auf Datenschutz und Datensicherheit haben.

Es dürfte niemanden überraschen, dass im Hinblick auf Datenschutz und Datensicherheit nach wie vor die größten Bedenken beim Schritt in die Cloud bestehen! Datenschutz- und Sicherheitsteams oder CISOs deaktivieren häufig Office 365-Funktionen wie die externe Freigabe, OneDrive-Speicher oder Yammer, da sie befürchten, dass sie nicht in der Lage sein werden, das Verhalten ihrer Benutzer zu kontrollieren. Seien Sie sich jedoch dessen bewusst, dass diese Funktionen standardmäßig aktiviert sind!

office 365 security

Eine einfache Möglichkeit, damit umzugehen, ist, sicherzustellen, dass alle Aktualisierungen, die für Ihre Umgebung zur Verfügung stehen, zunächst in einer „Test“- oder Nichtproduktionsinstanz Ihres Tenants vorgenommen werden. So können Ihre Sicherheits- und Datenschutzteams eine umfassende Bewertung aller Risiken durchführen, die neue Funktionen mit sich bringen, bevor Sie diese für Ihre Produktionsdaten und
-systeme einführen. Als absolutes Minimum sollten Sie Zeitperioden fordern, in denen neue Funktionen gemeinsam mit Ihren Datenschutz-, Sicherheits- und Compliance-Teams überprüft werden können, bevor Sie damit fortfahren!

Daten sind überall, ob strukturiert oder unstrukturiert, ob sie genutzt werden oder nicht. Sie fließen durch Informationssysteme, Websites und -anwendungen, werden über Instant Messenger und Kollaborationssysteme on-premises oder in der Cloud geteilt und „ruhen“ in Datenspeichern, Datenbanken und File Shares.

Wie ich bereits in der Vergangenheit erörtert habe, ermöglicht die Kennzeichnung und Klassifizierung von Daten einer Organisationen einen besseren Einblick und eine bessere Kontrolle über die Unternehmensdaten. Metatags ermöglichen Organisationen, ihre E-Discovery und Programme zur Aufbewahrung von Aufzeichnungen zu optimieren und gleichzeitig den Informationsfluss zu schützen und zu kontrollieren.

Viele Organisationen haben Datenschutzrichtlinien, die eher theoretisch als auf den Realbetrieb ausgerichtet sind. Mit anderen Worten: Es gibt eine Unternehmensrichtlinie, die nicht durchgesetzt wird oder deren Umsetzung den „geschäftlichen Anwendern“/„Dateneigentümern“ überlassen wird. Das Problem bei einem auf Vertrauen in die geschäftlichen Anwender basierenden System ist, dass sich nur schwer voraussagen lässt, in welchem Umfang und wie sachgerecht Daten korrekt gekennzeichnet werden. Finden unangebrachte Diskussionen statt? Werden sensible oder vertrauliche Informationen geteilt? Werden Datenschutz- und Compliance-Richtlinien mit Absicht oder versehentlich umgangen? Wem vertrauen Sie – dem Benutzer oder der Maschine?

AvePoint Compliance Guardian bietet Ihnen ein effektives, automatisiertes und betriebsorientiertes Risikomanagement-Framework, das Ihre Organisation mit auf den realen Alltag in Ihrem Unternehmen zugeschnittenen Richtlinien und Kontrollen für Datenschutz und Risikomanagement ausstattet. Compliance Guardian ergänzt Office 365 zusätzlich mit wichtigen Funktionen wie:

  • Klassifizierungsrichtlinien, die über Office 365 hinausgehen und auch On-Premises-Filesharing oder SharePoint beinhalten.
  • Dateianalyseberichten, mit denen Kunden sich auf Migrationen in die Cloud vorbereiten können, bevor sie sensible Daten verschieben.
  • Unternehmensrisikoberichten, die potenziell unzureichend kontrollierte Dateifreigaben oder sensible Daten in mehreren Systemen identifizieren.
  • Maßnahmenrichtlinien und Vorfallsworkflows, die Kunden dabei helfen, ihre Risiken in Echtzeit zu reduzieren.

Die Cloud kann Ihnen das Leben erleichtern und Ihnen dabei helfen, Ihre Daten und Systeme viel sicherer und in viel größerem Umfang zu verwalten. Achten Sie nur darauf, dass Sie aus der Perspektive des Datenschutzes und der Datensicherheit mit beiden Beinen fest auf dem Boden stehen und schon hindert Sie nichts mehr daran, mit Ihren Anwendungen mehr zu erreichen!


Sie möchten über die Artikelreihe auf dem Laufenden bleiben? Dann abonnieren Sie unseren Blog!

author

Dana Louise Simberkoff is the Chief Risk, Privacy and Information Security Officer at AvePoint. She is responsible for AvePoint’s privacy, data protection, and security programs. She manages a global team of subject matter experts that provide executive level consulting, research, and analytical support on current and upcoming industry trends, technology, standards, best practices, concepts, and solutions for risk management and compliance. Ms. Simberkoff is responsible for maintaining relationships with executive management and multiple constituencies both internal and external to the corporation, providing guidance on product direction, technology enhancements, customer challenges, and market opportunities. Ms. Simberkoff has led speaking sessions at data privacy and security events around the globe. She was featured in Forbes, writes a monthly column for CMSWire, and was highlighted in the CSO Online list of “12 Amazing Women in Security”. She is a current member of the Women Leading Privacy Advisory Board and a past member of the Education Advisory Board for the International Association of Privacy Professionals (IAPP). Ms. Simberkoff holds a BA from Dartmouth College and a JD from Suffolk University Law School. LinkedIn: www.linkedin.com/in/danalouisesimberkoff/en Twitter: http://www.twitter.com/danalouise

Alle Beiträge von anzeigen Dana S.
Share this blog

Abonnieren Sie unseren Blog