Musterauswertung des Mandanten Mustermann GmbH

Musterauswertung

des Mandanten Mustermann GmbH

Microsoft Protection Analysis_Seite_01
Microsoft Protection Analysis_Seite_02
Microsoft Protection Analysis_Seite_03
Microsoft Protection Analysis_Seite_04
Microsoft Protection Analysis_Seite_05
Microsoft Protection Analysis_Seite_06
Microsoft Protection Analysis_Seite_07
Microsoft Protection Analysis_Seite_08
Microsoft Protection Analysis_Seite_09
Microsoft Protection Analysis_Seite_10
Microsoft Protection Analysis_Seite_11
Microsoft Protection Analysis_Seite_12
Microsoft Protection Analysis_Seite_13
Microsoft Protection Analysis_Seite_14
Microsoft Protection Analysis_Seite_15
Microsoft Protection Analysis_Seite_16
Microsoft Protection Analysis_Seite_17
Zurück
Weiter

Bewertung

Ausschnitte aus der Bewertung der Ergebnisse des Mandanten Mustermann GmbH

  • Der Mandant Mustermann GmbH setzt Dienste ein, welche personenbezogene Daten in die Vereinigten Staaten (USA) sendet. Es ist erforderlich, die Risiken der eingesetzten Funktionen zu bewerten oder teilweise Funktionen und Lösungen zu deaktivieren. Teile der eingesetzten Dienste gehören nicht zu den „Microsoft 365 Apps for Enterprise“ und werden außerhalb der Kontrolle von Microsoft betrieben. Eine Risikobewertung dieser Apps ist notwendig. Nach einem genauen Blick auf die eingesetzten Services fällt auf, das der Mandant Mustermann GmbH auch  “Azure Cognitive Services”, unter anderem „Speech-to-Text“, in Microsoft Teams einsetzt. Diese Funktionen sind aus Sicht der Mustermann GmbH problematisch.
  • Der Mandant Mustermann GmbH hat eine unzureichende Situation im Hinblick auf die Lizenzierung wichtiger Funktionen (Information Protection und Information Governance) – unter anderem zur Verschlüsselung personenbezogener Daten in SharePoint Online, OneDrive und Exchange Online und kann Löschkonzepte nur über aufwändige manuelle (organisatorische) Maßnahmen umsetzen – Funktionen wie „Aufbewahrungsbezeichner“ stehen im Mandanten aufgrund fehlender Lizenzen nicht zur Verfügung.
  • Verschlüsselungen sensibler Informationen sind nur unzureichend umgesetzt.
  • Der Mandant Mustermann GmbH hat Handlungspotenzial im Hinblick auf die Anzahl eingesetzter Administratoren und sollte im Azure Actiove Directory Maßnahmen rund um Identity Governance ergreifen (bspw. Azure Active Directory Privileged Identity Management).
  • Der Mandant Mustermann GmbH hat Risiken im Umgang mit eingesetzten Drittanbieter-App’s (etwa durch Graph API-Zugriffe) – Datenschutzfolgeabschätzungen sollten in Erwägung gezogen werden oder die Zugriffe durch Drittanbieter-Apps reduziert werden.
  • Der Mandant Mustermann GmbH verfügt noch über keinen Prozess im Umgang mit Gästebenutzern sowie Zugriffe durch Gästebenutzer auf sensible Informationen. Es sollten Maßnahmen im Bereich des Azure Active Directory Identity Governance umgesetzt werden (etwa sogenannte „Access Reviews“ für Microsoft 365 Gastbenutzer).
  • Der Mandant Mustermann GmbH gestattet es, Aufzeichnungen in Microsoft Teams-Besprechungen durchzuführen, und sollte entweder ein Löschkonzept für gespeicherte Aufnahmen implementieren (bspw. über Aufbewahrungsbezeichner), um personenbezogene Daten sicher zu löschen oder alternativ die Funktion deaktivieren. Es können auch organisatorische Maßnahmen ergriffen werden, um rechtskonform mit Aufzeichnungen umzugehen.
  • Der Mandant Mustermann GmbH setzt einige Built-In Funktionen (aus Sicht von Microsoft sind dies sogenannte „optional verbundene Dienste“, welche aber im Standard-Auslieferungszustand von Microsoft 365 aktiviert sind) von Microsoft Teams ein, bei welchen personenbezogene Daten zu eben diesen Drittanbietern in die Vereinigten Staaten übertragen werden. Diese Funktionen wären nur mit einem erheblichen Risiko einzusetzen – über eine Deaktivierung sollte nachgedacht werden, ansonsten wäre eine Datenschutzfolgeabschätzung notwendig. Details und Informationen im Umgang zu diesen Diensten erhalten Kunden des PRW® Compliance Set: M365 in der Ergebnisbesprechung.
  • Der Mandant Mustermann GmbH hat noch keine angemessenen Maßnahmen ergriffen, um Bedrohungen rund um Microsoft 365 wirksam zu erkennen sowie aufgrund mangelnder Kenntnis von Bedrohungen Maßnahmen ergreifen können. Bspw. werden kompromittierte Identitäten nicht erkannt und Anomalien (etwa unbefugte Zugriffe auf sensible Informationen) werden nicht identifiziert. Es sollten angemessene Maßnahmen zur effektiven Erkennung von Bedrohungen ergriffen werden. Details zur Implementierung eines wirksamen Bedrohungsmanagements erhalten Kunden des PRW® Compliance Set: M365 in der Ergebnisbesprechung.
  • Der Mandant Mustermann GmbH sendet teilweise aus dem eingesetzten Betriebssystem Windows 10 und Windows 11 sensible Telemetriedaten aus Microsoft Office auf Microsoft Server in den Vereinigten Staaten. Datenschutzaufsichtsbehörden fordern, eine regelmäßige Prüfung der Datenübertragungen an Microsoft durchzuführen. Exemplarisch sollen der Datenverkehr, der den Benutzercomputer verlässt bzw. der Datenfluss von Microsoft-Software zu Microsoft-Servern oder anderen Zielen ermittelt und bewertet werden. Eine bekannte Datenschutzaufsichtsbehörde fordert gar auf einer Website:
    „Soweit entsprechende Konfigurationsmöglichkeiten nicht zur Verfügung stehen, sind , um die Übermittlung personenbezogener Telemetriedaten zu unterbinden, mittels vertraglicher, technischer oder organisatorischer Maßnahmen (z. B. durch eine Filterung der Internetzugriffe über eine entsprechende eigene Infrastruktur des Verantwortlichen) sicherzustellen, dass nachweislich keine Übermittlung von Telemetriedaten an Microsoft stattfindet.“.

    Für den Mandanten Mustermann GmbH ist es erforderlich, die Compliance der eingesetzten Betriebssysteme und der installierten Microsoft Office Produkte zu überprüfen und zusätzliche Maßnahmen zu ergreifen, Telemetriedatenübermittlungen an Microsoft-Server aus Microsoft Office und Windows besser zu unterbinden. Im Rahmen der Ergebnisbesprechung werden Implementierungsmaßnahmen empfohlen.