FAQ (deutsch)
Technische Abläufe
Häufig gestellte Fragen und Voraussetzungen zum technischen Ablauf rund um PRW® Compliance Set: M365
Ablauf eines Microsoft 365-Scan
Häufig gestellten Fragen zum Ablauf eines vollständigen Microsoft 365-Scans Ihres Mandanten.
Sicherheit
Implementierte Sicherheitsfunktionen zur Sicherstellung eines sicheren Scan-Ablaufes Ihres Microsoft 365-Mandanten.
Datenstandorte und Bewegungsdaten
Präzise Ermittlung von Datenstandorten und Bewegungsdaten im Microsoft 365-Mandanten.
PRW® Compliance Set: M365-SCAN
Ablauf eines Scans
Zur Durchführung eines vollständigen Scans von Microsoft 365 wird sich die von der PRW Legal Tech GmbH entwickelte Softwarelösung zunächst über eine sichere Verbindung auf Ihren Mandanten (Tenant) verbinden. Hierzu wird im Vorfeld zum Scan ein Benutzer im Azure Active Directory für diesen Zweck angelegt, welcher über ausreichend Privilegien (Globaler Administrator) verfügen muss - weitere Informationen zu den Privilegien entnehmen Sie dem Reiter "Notwendige Berechtigungen".
Unsere Microsoft 365 Compliance-Berater verbinden sich mit Ihrem Microsoft 365-Mandanten, um die Analyse Ihrer Umgebung in einer gemeinsamen Sitzung durchzuführen. Dabei begleiten Ihre IT-Abteilung und bestenfalls auch ein Datenschutzbeauftragter (intern/extern) den gesamten Prozess. Im Anschluss an die Analyse findet eine detaillierte Ergebnisbesprechung statt und Sie erhalten umfassende Instruktionen rund um die Bearbeitung wichtiger Handlungsempfehlungen oder Unterstützung bei der Einschätzung von Risiken.
Alle erhobenen Daten werden noch vor Ende der Sitzung restlos und sicher vernichtet. Das Analyseergebnis wird Ihnen verschlüsselt in Form eines geschützten PDF-Dokumentes übermittelt.
Für einen umfassenden und aussagekräftigen Scan verwenden wir zahlreiche Microsoft 365 Schnittstellen (auch bekannt als „API“). Die Auflistung verwendeter Schnittstellen erweitert sich regelmäßig aufgrund der Weiterentwicklung von Microsoft 365 selbst:
- Az
- Az.Accounts
- Azure
- AzureADPreview
- ExchangeOnlineManagement
- ExchangePowerShell
- Microsoft.Graph
- Microsoft.Graph.Applications
- Microsoft.Graph.Authentication
- Microsoft.Graph.Bookings
- Microsoft.Graph.Calendar
- Microsoft.Graph.ChangeNotifications
- Microsoft.Graph.CloudCommunications
- Microsoft.Graph.Compliance
- Microsoft.Graph.CrossDeviceExperiences
- Microsoft.Graph.DeviceManagement
- Microsoft.Graph.DeviceManagement.Actions
- Microsoft.Graph.DeviceManagement.Administration
- Microsoft.Graph.DeviceManagement.Enrolment
- Microsoft.Graph.DeviceManagement.Functions
- Microsoft.Graph.Devices.CloudPrint
- Microsoft.Graph.Devices.CorporateManagement
- Microsoft.Graph.DirectoryObjects
- Microsoft.Graph.Education
- Microsoft.Graph.Files
- Microsoft.Graph.Financials
- Microsoft.Graph.Groups
- Microsoft.Graph.Identity.DirectoryManagement
- Microsoft.Graph.Identity.Governance
- Microsoft.Graph.Identity.SignIns
- Microsoft.Graph.Mail
- Microsoft.Graph.Notes
- Microsoft.Graph.People
- Microsoft.Graph.PersonalContacts
- Microsoft.Graph.Planner
- Microsoft.Graph.Reports
- Microsoft.Graph.SchemaExtensions
- Microsoft.Graph.Search
- Microsoft.Graph.Security
- Microsoft.Graph.Sites
- Microsoft.Graph.Teams
- Microsoft.Graph.Users
- Microsoft.Graph.Users.Actions
- Microsoft.Graph.Users.Functions
- Microsoft.Graph.WindowsUpdates
- Microsoft.Online.SharePoint.PowerShell
- MicrosoftTeams
- MSOnline
Für einen vollständigen Scan Ihres Microsoft 365-Mandanten ist die Azure Active Directory Rolle „Globaler Administrator“ notwendig. Für die Aussagekraft der Scan-Ergebnisse ist es notwendig, unter anderem Prüfungen rund um OneDrive, SharePoint Online, Compliance Center oder bspw. Microsoft Teams durchzuführen. Insbesondere für diese Lösungen ist es derzeit nicht möglich, geringere Berechtigungen als die des globalen Administrators anzuwenden. Weitere Informationen erhalten Sie hierzu auch in folgender Microsoft Dokumentation:
Zur genauen Bestimmung der von Ihren Microsoft 365-Diensten eingesetzten Diensteendpunkten sowie deren exakte Datenlokation (Microsoft Rechenzentrum) setzen wir diverse Technologien ein, unter anderem messen wir den Datenstrom der von Ihnen eingesetzten Lösungen. Zur Bestimmung der Microsoft Rechenzentren führen wir die Messungen von einem System außerhalb des Microsoft Ökosystems durch, und erhalten unter anderem dadurch exakte Standortbestimmungen:
Standortdaten des hierfür eingesetzten Rechenzentrums:
Am Datacenter-Park 1
08223 Falkenstein (Vogtland, Deutschland)
PRW® Compliance Set: M365 folgt dem Bewertungsprinzip, welches im Verfahren dem Standard NIST 800-30 (OWASP Risk Rating Methodology) folgt, und klassifiziert Risiken (Gefahren) in die Kategorien
- Very Low
- Low
- Moderate
- High
- Very High
Weitere Informationen zu „NIST 800-30 – Guide for Conducting Risk Assessments“ erhalten Sie hier.
Die Besonderheit des PRW® Compliance Set: M365 hierbei ist jedoch auch die juristische Risikobewertung zu jedem Finding des Scans.
Eine Musterauswertung (nach einer ersten Analyse der Microsoft 365-Umgebung) mit einer beispielhaften Bewertung einzelner Faktoren des Mandanten „Mustermann GmbH“ finden Sie hier:
Für weitere Auswertungen oder Informationen etwa zum Inhalt oder zum gesamten Umfang des PRW® Compliance Set: M365 bzw. für eine Berichtsausgabe in deutscher Sprache kontaktieren Sie uns gerne.
- Temporärer Azure Active Directory Benutzer
- Globale Administrator-Berechtigung
Sicherheit während des Scan-Prozesses
Maßnahmen zur sicheren Durchführung eines Scans
Um einen Scan durchführen zu können, sind während des Ablaufes hohe Privilegien erforderlich, siehe "notwendige Berechtigungen" weiter oben.
Um einen möglichst hohen Grad der Sicherheit während des Scan-Ablaufes zu gewährleisten empfehlen wir folgende Maßnahmen
- Temporär für die Zeit des Scans einen neuen Benutzer im Azure Active Directory anzulegen
- Im Nachgang zum Scan-Prozess das Azure Active Directory Activity Log mit einem Filter auf den temporären Benutzer herunterzuladen und zu archivieren - dieses auditierbare und manipulationssichere Log enthält Transparent alle Zugriffe, welche während des Scan-Prozesses stattgefunden haben
- Den Benutzer für die Zeit des Scan's (30 Minuten - 2,5 Stunden) mit Multi-Factor-Authentication zu schützen
- Volle Transparenz während dem Scan-Vorgang selbst. Sie begleiten jeden Schritt in Form einer Screen-Sharing-Session und verfolgen den gesamten Prozess zu jeder Zeit
- Temporärer Benutzer
- Multi-Factor-Authentication
Ermittlung Ihrer Bewegungsdaten und ruhenden Daten
Wie lassen sich für Microsoft 365 ruhende Daten bzw. Bewegungsdaten ermitteln?
Als eine der aufwändigsten Funktionen der PRW® Compliance Set: M365-Softwarelösung lässt sich unter anderem die genaue Ermittlung von Bewegungsdaten und ruhenden Daten bestimmen.
Mithilfe kombinierter Technologien (Datenstrommessung, Bestimmung der von Microsoft angegebenen Endpoints in der Microsoft 365 Serviceregistry Ihres Mandanten, Datenbankinformationen je Benutzer - und vieles mehr) sind wir in der Lage, Informationen rund um ruhende Daten und Bewegungsdaten auf Funktionsebene zu ermitteln. Auch Risiken durch den Einsatz von Drittanbieter-Apps lassen sich nach einem Scan transparent darstellen. Damit ermöglichen wir es Ihnen, Microsoft 365-Lösungen so zu parametrisieren, dass diese rechtskonform eingesetzt werden können.
Aus bereits erfolgten Scan's konnten wir bislang Datenströme in folgende Microsoft Rechenzentren ermitteln:
- Deutschland (Frankfurt am Main)
- Niederlande (Amsterdam)
- Norwegen (Oslo)
- Schweden (Gävle)
- Irland (Dublin)
- Frankreich (Paris)
- Österreich (Wien)
- Vereinigtes Königreich (London)
- Vereinigtes Königreich (Cardiff)
- Dänemark (Kopenhagen)
- USA (Iowa)
- USA (Virginia)
- USA (Georgia)
- USA (Washington)
- Indien (Pune)
- Japan (Osaka)
- Südkorea (Seoul)
Prozessablauf PRW® Compliance Set: M365 - vom scan zum gutachten
Prozessablauf
Scan des Mandanten
Wir führen einen umfassenden Scan Ihres gesamten Microsoft 365-Mandanten samt der von Ihnen eingesetzten Lösungen durch.
Verschlüsselte Verarbeitung
Zur visuellen Aufbereitung der Ergebnisse in Form eines Berichtes verarbeiten wir die Scan-Ergebnisse temporär in einer verschlüsselten Datenbank. Die erhobenen Daten werden nach der Aufbereitung des Berichtes sicher vernichtet.
Ergebnisbesprechung
Unsere Microsoft 365 Compliance Experten führen mit Ihnen eine qualifizierte Ergebnisbesprechung durch und erläutern Ihnen Handlungsempfehlungen und etwaige Risiken.
Bearbeitung der Handlungsempfehlungen
Wichtige Handlungsempfehlungen oder Risikobewertungen werden durch Sie, einen eingesetzten IT-Dienstleister oder unter Zuhilfenahme der Cloud Business Group bearbeitet.
Zweiter Scan des Mandanten
Es findet ein zweiter Scan statt, welcher die Wirksamkeit der bearbeiteten Handlungsempfehlungen dokumentiert.
Rechtsgutachten
Nach einer Übergabe der Ergebnisse aus dem zweiten Scan an die PRW Rechtsanwälte durch die Cloud Business Group erhalten Sie ein qualifiziertes Rechtsgutachten auf der Grundlage Ihrer Microsoft 365-Beschaffenheit.