Konrad-Zuse-Straße 1 85716 Unterschleißheim
+49 (0)89 2488 369-0

Wie sicher ist Microsoft 365 wirklich? Und wie können Nutzer sich zusätzlich schützen?

Vor kurzem äußerte die deutsche Datenschutzkonferenz (DSK) schwerwiegende Bedenken an der Rechtskonformität von Microsoft 365. Hauptgrund sei die fehlende, aber dringend notwendige Transparenz. Welche Daten halten für eigene Agenden seitens Microsoft her?Und welche Daten werden überhaupt abgegriffen? Darüber lässt der Hersteller seine Nutzer im Unklaren. Auch wenn Microsoft der DSK in einer offiziellen Stellungnahme deutlich widerspricht und angibt, dass Kunden M365 bedenkenlos und rechtssicher nutzen können, raten Experten vor allem größeren Organisationen wie etwa Schulen und Behörden aber auch Privatanwendern von der Nutzung ohne zusätzliche Maßnahmen ab. Wir haben uns genauer erkundigt und einen Spezialisten, Florian Tenius, Head of Partnermanagement bei der Ftapi Software GmbH, zu Rate gezogen.

Lesen Sie selbst: 

In letzter Zeit äußerte die DSK schwerwiegende Bedenken an der Datenschutzkonformität von Microsoft 365. Was ist wirklich dran? Wie schätzen Sie die Lage ein? 

Florian Tenius: Microsoft 365 ist in der Arbeitswelt eine populäre und sehr verbreitete Plattform, allerdings teile ich die Bedenken, wenn es um den Datenschutz geht. Unternehmen, Behörden und Organisationen müssen sicherstellen, dass personenbezogene Daten und das geistige Eigentum sicher sind – egal, ob sie in der Cloud oder auf den Firmen-internen Servern gespeichert sind. Als zertifizierter Datenschützer und Experte für sicheren Datentransfer stelle ich in Gesprächen mit Kunden und Partnern immer wieder fest, dass Datenschutz gerade beim Versand und dem Austausch von Daten häufig nicht bedacht wird. Auch die Datenschutzfunktionen von Microsoft Office 365 reichen hier meiner Einschätzung nach nicht aus, um den gesetzlichen Anforderungen an den Datenschutz gerecht zu werden..   

Sollten Unternehmen auch weiterhin auf MS 365 setzen? Gibt es Alternativen? 

Florian Tenius: Insbesondere Unternehmen aus Branchen mit hohen Sicherheitsanforderungen oder Organisationen, die mit besonders sensiblen Daten arbeiten, wie Behörden oder auch Krankenhäuser, sollten sich nach Alternativen umsehen. Doch gänzlich auf MS 365 zu verzichten, wird für viele Unternehmen keine Option sein, dafür sind die Programme einfach zu weit verbreitet. Mein Tipp: Versuchen Sie, Ihre Systeme durch zusätzliche Maßnahmen zu schützen und nutzen Sie sogenannte Data Protection Plattformen (DPP): durch den Einsatz verschiedener Sicherheitsmaßnahmen wie z.B. Data Loss Prevention (DLP), die durchgängige Verschlüsselung der Unternehmenskommunikation oder Maßnahmen für ein sicheres Identity & Access Management (IAM) kann eine Art zusätzliche Sicherheitsschicht eingezogen werden, die gängige Anwendungen, eben auch die von MS 365 ergänzen und zusätzlich absichern.  

Manche Unternehmen unterliegen besonders hohen Sicherheitsanforderungen, etwa im Bereich Healthcare, Behörden, Rechtsanwälte, Steuerberater, … Gibt es Maßnahmen, um sich zusätzlich zu schützen? 

Florian Tenius: Die gibt es auf jeden Fall! Eine effektive Maßnahme, um Informationen und Dateien vor unbefugten Zugriffen von außen zu schützen, ist eine durchgängige Ende-zu-Ende-Verschlüsselung. Daten und Informationen werden noch vor dem Versenden verschlüsselt und können erst vom Empfänger wieder entschlüsselt werden – ein sogenannter Man-in-the-Middle-Angriff, bei dem Informationen während des Datentransfers abgefangen werden, ist damit quasi unmöglich. FTAPI setzt bei der Verschlüsselung auf den Einsatz führender Verschlüsselungstechniken: Die SecuPass-Technologie ermöglicht eine Ende-zu-Ende-Verschlüsselung des gesamten Datentransfers ohne den Austausch von Zertifikaten oder manuellem Schlüsseltausch.  

Neben dem sicheren Austausch von Daten spielt auch ein sicherer Speicherort eine wichtige Rolle. Virtuelle Datenräume, wie die FTAPI SecuRooms, bieten hier eine Alternative zu den kostenfreien Datenräumen, die von internationalen Hyperscalern angeboten werden. Bei der Anbieterauswahl sollten Unternehmen darauf achten, dass die Datenräume in Europa, oder wie im Fall von FTAPI sogar in Deutschland, gehostet werden, um den strengen Datenschutzrichtlinien gerecht zu werden. Über ein feingranulares Zugriffskonzept haben Unternehmen darüber hinaus immer einen genauen Überblick darüber, wer wann auf welche Dateien zugreifen darf. Darüber hinaus sollte auch ein durchdachtes, technisch automatisiertes Löschkonzept erarbeitet werden. 

Es gibt zahlreiche Maßnahmen, um die sogenannten Daten-Workflows umfassend zu schützen. Lassen Sie uns gerne darüber sprechen!   

 

Über FTAPI

Das Münchener Software-Unternehmen FTAPI bietet eine umfassende Plattform für einfache und sichere Daten-Workflows und Automatisierung. Damit verbindet FTAPI Menschen, Daten und Systeme sicher, schnell und einfach. Seit 2010 vertrauen über 2.000 Unternehmen, Behörden und medizinische Einrichtungen mit mehr als einer Million Nutzer:innen auf die Produkte SecuMails, SecuRooms, SecuForms und SecuFlows – egal ob es um das Senden oder Empfangen von Daten, den strukturierten Dateneingang, das Teilen von vertraulichen Informationen oder die sichere Automatisierung von Daten-Workflows geht: mit der Secure Data Workflow Plattform von FTAPI sind sensible Daten jederzeit geschützt. www.ftapi.com

Florian Tenius, Head of Partnermanagement bei FTAPI




    * Pflichtfeld

    10. Januar 2023