Microsoft Cloud: Ein Image-Update

Ich kenne die typischen Argumentationsketten von Kunden, die den Weg in die Cloud nur ablehnend oder verzögert vollziehen. Ich bin aber dennoch oder gerade deswegen ambitioniert, mich dem unliebsamen Thema „Datenschutz und Compliance“ innerhalb der Cloud entgegenzustellen. Die steigenden Anforderungen und Regulatoren an die Sicherheit hochsensibler Daten sind unser Motivationsfaktor, das Licht im Keller einzuschalten! Einen positiven Ausblick möchte ich bereits vorwegnehmen: Ihr seid nicht allein mit dieser Herausforderung!

Microsofts starkes Engagement und sein Security-Versprechen

Die Frage nach dem Speicherort der Daten oder besser gesagt nach der lokalen Verankerung des ausgewählten Rechenzentrums zur Langzeitspeicherung, treibt viele Unternehmen um.

Ein essenziell wichtiger Punkt, wenn die Verantwortung von sensiblen Informationen in externe Hände gelegt wird. Interne Informationen von personenbezogenen Daten bis hin zu ganzen Unternehmensstrategien erfordern Sicherheit, Vertrauen und eine Compliance-Strategie:

• Wer hat Zugriff auf meine Daten?
• Sind die Daten vor Spionage und unwillkommenen Mitlesern geschützt?
• Wie hoch ist der Schutz vor Cyber-Attacken?

Trotz aller Bedenken zwingt die vorherrschende Corona-Pandemie und die Aussicht auf die zukünftige New-Work-Bewegung, Unternehmen, sich intensiv mit kritischen Fragestellungen des kollaborativen Arbeitens auseinanderzusetzen, um den Geschäftserfolg ortsunabhängig zu sichern. Mitarbeitende sind aufgrund von Schutzmaßnahmen in das Homeoffice verlagert worden und gleichzeitig musste die kollaborative IT-Infrastruktur rasant umgesetzt und somit ganzheitlich neu betrachtet werden.

Hieraus lassen sich allerdings auch positive Aspekte ableiten:

Insbesondere Microsoft als Cloud-Anbieter ist im Zugzwang, das Thema Security und die Bedenken der Kunden auf die priorisierte Agenda zu schreiben. Als Vorreiter hat Microsoft für seine Kunden die „EU Data Boundary for the Microsoft Cloud“ eingeführt. Das Versprechen von Microsoft lautet: Keinerlei personenbezogene Daten verlassen die EU und eine kundenverwaltete Datenverschlüsselung wird bereitgestellt.

Ein wichtiger Meilenstein in die richtige Richtung, um eine wichtige Vertrauensstellung aufzubauen. Auf dieses Versprechen folgen beträchtliche Investitionen in den Ausbau der Rechenzentrumsinfrastruktur innerhalb Europas. Die Verteilung auf 13 Länder ist bereits aktiv im Aufbau. Die Gewissheit, dass Microsoft-Kunden im Zuge der Digitalisierung alle notwendigen Prozesse im Rahmen der europaweit geltenden Gesetze und Vorschriften nachvollziehen können, ist gegeben. Mit der Finalisierung des Ausbaus der Rechenzentren haben Microsoft-Kunden endlich die Möglichkeit, den genauen geografischen Speicherort ihrer Daten selbst zu bestimmen.

Zusätzlich verspricht Microsoft das Anfechten jeder einzelnen staatlichen Anfrage nach personenbezogenen Auskünften, solange es hierfür eine rechtliche Grundlage gibt. Eine Klage, welche die ausgeführte Praxis der USA, Durchsuchungsbefehle für Server außerhalb des Landes zu vollstrecken, infrage stellt, wurde bestätigt. Kundendaten werden demnach gemäß den geltenden nationalen Gesetzen des jeweiligen Kunden vor unerwünschter Offenlegung verantwortungsvoll von Microsoft geschützt!

Vollkommene Transparenz ist ein wichtiges Versprechen, das Microsoft seinen Kunden zusagt – soweit der gesetzliche Rahmen es nicht untersagt. Eine Kopie der Anfrage sowie des richterlichen Beschlusses zur Offenlegung der Daten werden Kunden zugesagt und es wird ihnen sogar eine Entschädigungszahlung zugesichert, sollten gesetzliche Beschlüsse die Offenlegung nicht verhindern können.

Dieses Engagement von Microsoft im Zuge der „EU Data Boundary“ versteht sich als kostenlose Serviceleistung und Qualitätsversprechen an die Kunden. Das bedeutet, dass EU-Kunden keinerlei preisliche Nachteile erfahren werden!

Zahlen, Daten und Fakten:

• Microsoft investiert jährlich über 1 Milliarde US-Dollar in Cybersecurity
• Die Digital Crimes Unit (DCU) beschäftigt 3.500 Sicherheitsfachleute im weltweiten Einsatz gegen digitale Kriminalität
• 6,5 Billionen Signale aus der ganzen Welt werden täglich auf Gefahren analysiert, hierbei zählt Microsoft auch auf die Hilfe von KI und Maschine Learning
• Das DCU-Team verhindert rund 5 Milliarden Malware-Attacken pro Monat

Der Schutz sensibler Daten innerhalb von Kollaborationsplattformen in der Praxis

Microsoft Teams hat sich zu einem festen Bestandteil unseres Alltags entwickelt. Nicht nur beruflich, sondern auch privat nutzten wir es täglich in intensivem Umfang, vor allem in der Zeit der vorherrschenden Pandemie. Einhergehend mit Ausgangssperren und Social Distancing, haben die Menschen weltweit Teams schätzen und lieben gelernt. Schließlich besteht hier die Option, den Liebsten trotz Kontaktbeschränkungen zumindest virtuell zu begegnen. Mit einer weltweiten täglichen Nutzeranzahl von 115 Millionen und einer jährlichen Wachstumsrate von 100 Prozent ist Teams nicht mehr aus unserem Alltag wegzudenken und fester Bestandteil unserer Kommunikationskultur geworden!

Wer kennt ihn nicht, den SNICKERS®-Spot „Erste Besucher“, der auf charmant witzige Art und Weise verdeutlicht, wie Teams und andere Kollaborationsplattformen unser Leben während der Pandemie und darüber hinaus nachhaltig geprägt haben.

Der Austausch über Videotelefonie und die raschen Konversationen über die diversen Chat-Kanäle, die Teams seinen Usern bietet, beunruhigt verständlicherweise führende Personen in Unternehmen und Datenschutzbeauftragte. Hierüber abgewickelter Datentransfer sensibler oder gar personenbezogener Daten muss zwingend auf die benötigten Sicherheitsaspekte hin geprüft werden.

Mit der Ende-zu-Ende-Verschlüsselung stellt Microsoft seinen Unternehmenskunden eine solide Basis an Datenschutz bereit, aktuell verfügbar für die VoIP-Telefonie. An der Verschlüsselung für Online-Meetings wird derzeit unter Hochdruck gearbeitet. Die Public Preview für diesen Dienst wird noch im Jahr 2021 erfolgen. Der New-Work-Bewegung ist hierdurch ein weiterer Meilenstein aus dem Weg geräumt worden und die Grenzen zwischen den altbekannten Büroinfrastrukturen und der grenzenlosen Freiheit in der Ausübung der täglichen Arbeiten verschwimmen zusehends zugunsten der Flexibilität.

Mit positivem Beispiel in dem Bereich der beruflichen Cloud-Nutzung und der kollaborativen Zusammenarbeit im Public-Sektor geht die öffentliche Behörde Polizei Hamburg voraus! Zusammen mit Microsoft wurde eine Kommunikationslösung für den schnellen, aber hochgradig gesicherten Austausch von Standortdaten, GPS-Ortung, Fotos und vielem mehr entwickelt, die täglich von 1.400 Polizistinnen und Polizisten im Innen- und Außendienst in Hamburg verwendet wird. Dank der digital optimierten Zusammenarbeit der Polizei in Hamburg führen beispielsweise Personensuchen schneller und effektiver zum Erfolg.

Ein Blick hinter die Kulissen

Werfen wir nun einen Blick auf die gesetzlichen Regulatoren und wie Microsoft sich diesen Herausforderungen stellt. Einleitend sei erwähnt, dass Microsoft der Cloud-Anbieter ist, der sich mit den meisten Sicherheitszertifizierungen schmücken darf.

Die Einhaltung internationaler Standard-Zertifizierungen wie ISO 27001 oder ISO 27018, die die Security-Management-Systeme im Umgang mit personenbezogenen Daten regulieren, versteht sich von selbst. Die Anforderungen der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) und die Einhaltung eines Rahmens zur Gestaltung von Privacy Management Systemen in der ISO 27701 sind weitere Bestrebungen zur Stärkung des Vertrauens in die Microsoft-Cloud. Globale, regionale und branchenspezifische Zertifikate, die im Rahmen des Compliance-Angebots bereitgestellt und ausgebaut werden, sind jederzeit hier einsehbar.

Datenschutz und Compliance – eine ernst zu nehmende Führungsaufgabe

Alle Bemühungen, Investitionen, Transparenzzusagen und Zertifizierungen, die zuvor beleuchtet wurden, sind in letzter Instanz aber nichts wert, wenn nicht auch der korrekte Umgang mit Compliance-Themen von der obersten Ebene vorgelebt wird. Die Führungskraft muss sich Ihrer Rolle als Vorbild bewusst sein und Compliance als Teamarbeit verstehen. Wenn nicht alle Mitarbeitenden am gleichen Strang ziehen, rücken die gesteckten Ziele in weite Ferne.

Compliance-Management ist eben auch als dauerhafter Bestandteil des Changemanagements innerhalb der Unternehmensstruktur zu verstehen. Es ist wichtig, jeden Mitarbeitenden der Unternehmung mit ins Boot zu holen. Die Risiken aus einem non-complianten Verhalten zu erkennen, fällt den meisten von uns leicht. Das richtige Compliance-Verhalten in die täglichen Arbeitsabläufe zu integrieren, birgt paradoxerweise enorme Gefahren für die Mitarbeiterzufriedenheit. Schnell fühlen sich diese von der konsequenten Umsetzung der Regeln und den Kontrollmaßnahmen unterdrückt, was unbedingt bereits im Vorfeld vermieden werden muss!

Die Einhaltung der Compliance durch jeden einzelnen Mitarbeitenden kann nur durch Transparenz und die klare Kommunikation der Unternehmensziele aus den obersten Führungsetagen gewährleistet werden.

adesso bietet Compliance-Service als Add-On an

Dank unserer langjährigen Branchenexpertise und Erfahrung als IT-Dienstleister bieten wir Compliance- und Datenschutzpakete als zusätzliche Add-ons an. Lasst uns darüber sprechen: Von maßgeschneiderten Workshops über Mitarbeiterschulungen zu Security und Datenschutzthemen bis hin zu Cloud oder On-Premises Implementierungslösungen, gehen wir den Weg gerne mit euch und euren Kunden.