Cloud Security

Was sicheres Arbeiten in der Cloud bedeutet

Remote und Hybrid Work haben sich nach COVID etabliert und die Arbeitswelt nachhaltig geprägt. Vernetztes Arbeiten von überall aus mit unterschiedlichsten Parteien – innerhalb und ausserhalb der Organisation – und über verschiedenste Geräte ist das Modell der Zukunft.  

Möglich macht es die Cloud. Die Migration ist in vielen Unternehmen bereits im Gange oder nur noch eine Frage des Zeitpunkts. Cloudnutzer profitieren bereits von den Vorteilen gegenüber On-Premise-Systemen, erleben aber gleichzeitig auch die Zentralität von Security, Compliance, Kontrolle, Datenschutz. Diese in den Griff zu bekommen und in Einklang zu bringen, ist eine echte Herausforderung.  

Viele der Themen können nicht allein von der IT, allein vom CISO oder allein von der Legal-Abteilung bestritten werden, sondern nur im interdisziplinären Zusammenspiel. Nehmen wir beispielsweise das wichtigste Thema "Security". 

 

Oberste Priorität: sicheres Arbeiten in der Cloud 

Früher galten robuste Datensicherheit und „9 to 5“-Büroarbeit als Standard. Die Basis bildeten separate Best-of-Breed-Systeme. Heute wird von überall aus gearbeitet, mit unterschiedlichsten Geräten. Lieferanten und Partner gehen mit Fremdgeräten ins Netzwerk, Mitarbeitende über ihre privaten, teils nicht verwalteten Devices – zum Beispiel private Mobiles, die geschäftlich eingesetzt werden. Die zunehmende Vielfalt unterschiedlichster Geräte von unterschiedlichsten Nutzern muss gemanagt werden, um Risiken zu minimieren und eine sichere moderne Arbeitsweise zu gewährleisten.  

Das Leben in der Cloud ist wie der Eintritt in einen neuen Markt. Das Terrain ist anders, die Spielregeln ebenso. Es lohnt sich, auf erprobte Frameworks zu setzen – angefangen beim Zero-Trust- und „Best-Practice“-Ansatz, der unter anderem folgende Prinzipien verfolgt: 

  • Secure Productivity on any Network 

  • Secure Browsing on any Device 

  • Never Trust, always Verify 

Heute wird von überall aus gearbeitet, mit unterschiedlichsten Geräten. Das muss gemanagt werden, um Risiken zu minimieren und eine sichere moderne Arbeitsweise zu gewährleisten. 



Die gleichen Fehler treten häufig auf 

In vielen Unternehmen passieren jedoch immer wieder die gleichen Fehler bei der Sicherheit. Typisch sind zum Beispiel: 

  1. Vernachlässigung grundlegender Wartung: Backups, Disaster-Recovery-Übungen und Software-Updates oder Patching von Assets werden vernachlässigt. 

  2. Gleiche Absicherung der Cloud wie vor Ort: On-Premises-Kontrollen und -Praktiken werden 1:1 auf die Cloud übertragen, anstatt ein regelbasiertes Sicherheitssystem aufzubauen. Dabei sind die Geräte und Nutzer die Hauptfaktoren für den Entscheid, was erlaubt wird und was nicht.  

  3. Artisan Security: Der Schwerpunkt liegt auf massgeschneiderten manuellen Lösungen anstelle von Automatisierung und standardisierten Tools. 

  4. «Disconnect» im Sicherheitsansatz: Sicherheitsteams, Strategien, Technologien und Prozesse für Netzwerke, Geräte und Identity arbeiten getrennt voneinander. 

  5. Mangelnde Verpflichtung zum Lifecycle: Sicherheitskontrollen und -prozesse werden als Momentaufnahmen behandelt, anstatt sie als Teil eines kontinuierlichen Lebenszyklus zu sehen. 

 

Security by Design: Sicherheit ganzheitlich gedacht 

Security ist aber kein rein technisches Thema und auch keine Eintagsfliege. Sicherheit muss in einen grösseren Kontext gestellt werden. Rechtliche Fragen, Schulungen, Sensibilisierung der Mitarbeitenden, angepasste Abläufe und ein Adoption-Programm sind ebenso entscheidend.  

Neue Prozesse müssen etabliert und im Arbeitsalltag verankert werden, um die Weichen für ein sicheres Arbeiten in der Cloud zu stellen. Dazu gehören zum Beispiel das Monitoring neuer Cloud-Funktionalitäten, Veränderungen in der Bedienung oder Administration von Funktionalitäten, neue Einstellungen, aktualisierte Regulatorien oder Vertragsbedingungen. 

Microsoft-Cloud-Kunden erhalten monatlich zwischen 100 und 300 Benachrichtigungen ausschliesslich über technische Anpassungen. Neben diesen Updates gibt es auch einseitige Änderungen in den Verträgen und Sicherheitsdokumentationen sowie gesetzliche und regulatorische Neuerungen, die die Cloud betreffen. Den Überblick zu behalten und sich richtig zu verhalten, ist zeitintensiv und erfordert das Zusammenspiel unterschiedlichster Disziplinen. Wir vereinfachen Unternehmen diese Aufgabe und unterstützen sie dabei, mit der Cloud Schritt zu halten (mehr erfahren).  

Neue Prozesse müssen etabliert und im Arbeitsalltag verankert werden, um die Weichen für ein sicheres Arbeiten in der Cloud zu stellen.

   

Für klare Sicht in der Cloud 

Moderne Zusammenarbeit funktioniert nur, wenn sie sicher ist. Sicherheit kann man aber nur verstehen, wenn man die Collaboration-Szenarien und die unterschiedlichsten Arbeitsweisen kennt. Wir sind mit der Microsoft Cloud gross geworden, haben langjährige Erfahrung im Bereich Zero Trust für M365 und etablieren seit über 20 Jahren als Collaboration-Spezialisten moderne Arbeitsweisen in Unternehmen. Collaboration und Security denken wir als eine Einheit und vollumfassend. Wir kennen die Herausforderungen und typischen Fehler und wissen, wo man anfangen sollte und wie man das interdisziplinäre Zusammenspiel meistert.  

Die Cloud steht nie still. Wie man mit ihrer rasanten Entwicklung Schritt halten kann.

Microsoft-Cloud-Kunden erhalten monatlich zwischen 100 und 300 Benachrichtigungen ausschliesslich über technische Anpassungen. Neben diesen Updates gibt es auch einseitige Änderungen in den Verträgen und Sicherheitsdokumentationen sowie gesetzliche und regulatorische Neuerungen, die die Cloud betreffen. Den Überblick zu behalten und sich richtig zu verhalten, ist insbesondere für regulierte Unternehmen eine grosse Herausforderung.   

In Zusammenarbeit mit Laux Lawyers haben wir ein Angebot entwickelt, um Unternehmen dabei zu unterstützen, mit der M365-Cloud Schritt zu halten. Alexander Hofmann (Laux Lawyers) und Mark Albrecht (MondayCoffee) erläutern, wie ihr gemeinsames Angebot RunTheCloud Unternehmen dabei unterstützt, die Herausforderungen zu bewältigen. 


Alexander, was fasziniert dich an der Cloud? 

Alexander: Die Interdisziplinarität. Legal, IT, Security, Compliance, die User – die Cloud bringt sie früher oder später alle an einen Tisch. Nicht einmal, sondern immer wieder. Erst das Zusammenspiel aller Stakeholder ermöglicht es, die Opportunitäten der Cloud zu nutzen und Risiken zu minimieren.  

Alexander Hofmann, Senior Advisor Laux Lawyers

Mark Albrecht, COO MondayCoffee

Mark, wie haben MondayCoffee und Laux Lawyers zueinander gefunden? Was verbindet die beiden Unternehmen? 

Mark: Ich bin über ein Whitepaper (Cloud bei Behörden) auf Laux Lawyers aufmerksam geworden. Über die Daten im Footer habe ich sie einfach kontaktiert. Genauso unkompliziert wie diese erste Kontaktaufnahme war auch der Anfang unserer Zusammenarbeit und ist heute das gemeinsame Anbieten von Dienstleistungen. 

Alexander: Wir sind uns sehr ähnlich. Ähnliche Grösse, ähnlicher Mindset und eine geballte Ladung an Kompetenzen auf beiden Seiten.  

Die enge Zusammenarbeit mit IT-Consultants ist Teil unserer Strategie. Bei MondayCoffee, alles andere als ein klassischer IT-Consultant, hat es von Anfang an gepasst. Pragmatisch, unternehmerisch und kundenorientiert arbeiten wir zusammen und für die Kundschaft.  

Mark: Ja – ohne leere Floskeln, sondern in präzisen und konkreten Schritten zum Ziel.  

 

Die Migration in die Cloud ist für viele Unternehmen im regulierten Umfeld eine grosse Herausforderung, das Leben in der Cloud nicht minder anspruchsvoll. Welche Hausaufgaben müssen erledigt werden?  

Alexander: Unternehmen sind es bisher gewohnt, Managed Services zu nutzen. Teilverantwortung der IT wird an einen externen Dienstleister delegiert. Eine 1:1-Beziehung mit einer klaren Governance.  

In der Cloud ist das anders. Es gibt keine eindeutigen Ansprechpartner, die in die Pflicht genommen werden können. Die Cloud wird zu einer “Shared Responsibility” – auch zwischen verschiedenen Parteien im Unternehmen, die sich entsprechend aufstellen und organisieren müssen, um compliant, sicher, einfach und effizient in der Cloud zu arbeiten. 

Ein sicheres und regelkonformes Leben in der Cloud ist keine einmalige Aufgabe, sondern ein kontinuierlicher Prozess, der pflichtbewusst und systematisch ausgeführt werden muss.
— Mark Albrecht, COO MondayCoffee

Mark: Der Umgang mit der Cloud muss vorab klar definiert werden. Gleichzeitig entwickelt sie sich ständig weiter. Es gibt neue Funktionalitäten, Veränderungen in der Bedienung oder Administration von Funktionalitäten, neue Einstellungen, aktualisierte Regulatorien oder Vertragsbedingungen. Ein sicheres und regelkonformes Leben in der Cloud ist keine einmalige Aufgabe, sondern ein kontinuierlicher Prozess, der pflichtbewusst und systematisch ausgeführt werden muss: vom Monitoring über die Analyse bis zur Definition und Umsetzung geeigneter Massnahmen. 

 

Mit eurem gemeinsamen Angebot, RunTheCloud, vereinfacht ihr anderen Unternehmen, die die Microsoft 365 Cloud nutzen, diese fortlaufende Aufgabe. Wie genau? 

Mark: Änderungen und Aktualisierungen von Microsoft 365 – sowohl technischer als auch rechtlicher Natur – werden in Echtzeit überwacht, analysiert, nach erforderlichen Massnahmen kategorisiert und mit Handlungsempfehlungen angereichert. Der Kunde bezieht diese aufbereiteten Informationen und Empfehlungen über ein Portal, auf welches er jederzeit Zugriff hat. Das bedeutet: Der Kunde muss sich die Rohdaten nicht selbst auf verschiedenen Kanälen zusammensuchen, analysieren, ihre Relevanz für Geschäftsprozesse, IT-Infrastruktur, Governance-Richtlinien und Benutzerakzeptanz bewerten und daraus dann Aktionen ableiten, sondern kann direkt mit der Umsetzung beginnen. 

Alexander: Genau. Die Basisarbeit wird automatisch erledigt. Das ist ähnlich wie beim Bloomberg-Terminal. Auch hier werden Marktdaten so aufbereitet, dass die internen Spezialistinnen und Spezialisten damit arbeiten und zielgerichtet relevante Themen angehen können. Komplexe Sachverhalte werden verständlich übersetzt und besteht punktuell Bedarf an zusätzlicher Expertise oder Unterstützung bei der Verarbeitung der Themen, stehen wir als Team zur Verfügung.  

Mit RunTheCloud haben sie einen unsichtbaren Kollegen an ihrer Seite, der ihnen Arbeit abnimmt und dessen Einschätzung sie vertrauen können, ohne alles noch einmal selbst prüfen zu müssen.
— Alexander Hofmann, Senior Advisor Laux Lawyers

Was schätzen Kundinnen und Kunden besonders an RunTheCloud? Wo liegt das grösste Potenzial? 

Mark: Sie können sich auf das Wesentliche fokussieren. Sich auf kritische Themen vorbereiten und sich vor ungewünschten Überraschungen schützen oder auch schneller von interessanten Neuerungen profitieren. Wir nehmen ihnen die repetitiven Aufgaben ab und machen dank unserer gebündelten Expertise aus rohen Informationen verwertbares Wissen, auf das sie sich verlassen können. 

Alexander: Mit der Cloud verhält es sich wie mit dem Eintritt in einen neuen Markt. Ich muss verstehen, wie ich mich dort verhalten soll, mit den lokalen Gegebenheiten umgehen lernen. Auch wenn man seit der Pandemie nicht mehr nur in die Cloud darf, sondern will, ist sie für viele regulierte Unternehmen noch Neuland. Mit RunTheCloud haben sie einen unsichtbaren Kollegen an ihrer Seite, der ihnen Arbeit abnimmt und dessen Einschätzung sie vertrauen können, ohne alles noch einmal selbst prüfen zu müssen. RunTheCloud schafft Orientierung und unterstützt den kontinuierlichen Lernprozess, welchen wir mit der Cloud haben.  

​​Reguliert in der Cloud: Chancen und Grenzen​ 

Cloudbasierte Services und vernetztes Arbeiten gehören in vielen Unternehmen schon lange zur Routine. Auch in regulierten Branchen schlägt der neue Arbeitsmodus immer höhere Wellen. Dahinter steht die Hoffnung, durch die neuen Chancen effektiver zu arbeiten und Marktveränderungen besser gewachsen zu sein. Ohne die Compliance zu gefährden.  All das ist möglich – mit etwas Geduld, dem richtigen Ansatz und realistischen Erwartungen. Ein Interview mit Joachim Marte, Director Sales & Strategic Business Development.  

Joachim Marte, Director Sales & Strategic Business Development

Die Cloud-Nutzung im regulierten Umfeld – ein begehrtes Thema. Was hat sich in den vergangenen Jahren getan und wo stehen wir aktuell?  

Joachim Marte (JM): Begehrt, aber auch gescheut – viele Firmen haben immer noch grossen Respekt vor der Migration. Die Bankenwelt hat sich in den letzten Jahren massiv verändert. Institute mussten sich schneller als je zuvor an die neuen Marktbedingungen anpassen und für sich und ihre Kunden neue Geschäftsmodelle erarbeiten. Dabei waren Kryptowährungen, volatilere Aktienmärkte, instabile Wirtschaftsmärkte und vor allem die Corona-Pandemie Treiber der digitalen Innovation in Bezug auf Arbeitsmittel.  

An vielen Orten entstanden neue Herausforderungen. Die bis zu diesem Zeitpunkt sehr starren Prozesse – die gut funktioniert haben und zur Wahrung von Identität, Vermögen und Persönlichkeitsrechten notwendig sind – nun mit neuen Medien, einer neuen Art der Kommunikation und den Cloud-Komponenten anzureichern. Kunden, Mitarbeiter, Partner – alle waren auf einmal im Homeoffice und mussten auf physische Präsenz verzichten. Es musste also schnell gehen. Sehr schnell.  

Viele Banken haben sich auf die Reise in Richtung Cloud begeben, um ihre Abläufe zu verbessern, Mitarbeitenden entgegenzukommen und effizienter zu arbeiten.

Viele Banken haben sich auf die Reise in Richtung Cloud begeben, um ihre Abläufe zu verbessern, Mitarbeitenden entgegenzukommen und effizienter zu arbeiten.

  

Welche Ansätze haben sich bewährt?  

JM: Die Banken haben sich zunächst darauf konzentriert, ein Fundament für die Cloud-Nutzung zu schaffen. Eine Basis, wie die Umgebung Microsoft 365 parametrisiert werden muss, damit sie schrittweise an Anwendungsfällen der Banken angepasst und geöffnet werden kann. Sie haben sich intern und mithilfe von Fachberatungsstellen juristisch und technologisch unterstützen lassen, Konzepte ausgearbeitet und die Entscheidungsgrundlagen für die Geschäftsleitung ermöglicht.  

Anbieter wie Microsoft haben mit ihren Cloud-Diensten eine Opportunität eröffnet, diesen raschen Bewegungen und Veränderungen Herr zu werden. Dabei bildeten sich Communities zwischen Kantonalbanken, Privatbanken und anderen regulierten Unternehmen, um sich gegenseitig darin zu unterstützen, mit den neuen Themen der Cloud richtig umzugehen. 

Wo stiess man an Grenzen oder wo traf nach der Begeisterung Ernüchterung ein?  

JM: Knifflig wird’s beim Thema Kontrolle, Sicherheit und Compliance. Banken waren auf einmal damit konfrontiert, dass sie Kontrolle abgeben, externen Anbietern wie Microsoft Vertrauen schenken, ihre Türen einen Spalt öffnen und für neue Weisungen, Regelwerke und Kontrollstellen sorgen mussten.  

Das erforderte ein Umdenken und Umlernen. In der vertrauten Informatikwelt wurde auf dem klassischen Perimeter-Schutz aufgebaut, dem Prinzip der Burg: Ich baue hohe Mauern, mache es besonders schwer einzutreten, verriegle alle Zugänge oder stelle Wachposten auf. Die Bewohner der Burg empfanden dies als ausreichend, da potenzielle Angriffe eher von aussen kamen.  

Mit der Cloud-Nutzung verlängerten sich die Prinzipien des Schutzwalles hin zu Microsoft. Schützenswerte Dokumente waren auf einmal von überall auf der Welt einsehbar. Das musste unter den Bedingungen und Vorgaben der Aufsichtsorgane passieren, sicher und kontrolliert. 

Es stellte sich also die Frage: Wie genau kann ich die Vorgaben der Regulierungsbehörden einhalten, wenn ich doch Kontrolle verliere, oder sogar Dienste beanspruche, bei denen eine Gewährleistung von Business Continuity eine neue Risikobewertung mit sich bringt? Genau an dieser Stelle befinden sich die meisten der Banken aktuell. 

Die Cloud-Nutzung erfordert ein Umdenken und Umlernen.

Womit beginnt das Arbeiten in der Cloud – und welche Use Cases haben sich etabliert?  

JM: Zuerst haben sich die meisten Banken in unserem Kundenportfolio damit beschäftigt, das Fundament zu legen, Grundlagen zu erarbeiten, welche Inhalte und Informationen besonders schützenswert sind, und eine Compliance- und Governance-Strategie der Cloud adaptiert.  

Aufbauend auf diesem Fundament wurden dann einzelne Use Cases entwickelt. Simpel ausgedrückt: Ich möchte modern mittels Microsoft Teams zusammenarbeiten, Dateien sicher austauschen und gemeinsam an Lösungen arbeiten, nahtlos Homeoffice ermöglichen etc. 

Da jeder Dienst auf Basis von Use Cases dann an die ursprünglichen Schutzgedanken adaptiert werden muss, konnte man dann sehr schnell fokussiert auf dem Anwendungsfall die betroffenen Dienste diskutieren, eine Risikoanalyse abhalten und Entscheidungsgrundlagen erarbeiten. All das muss auf juristischen Abklärungen beteiligter Cloud-Datenschutzexperten gestützt sein. 

Was kann man von Vorreitern wie der St. Galler Kantonalbank lernen?  

JM: Die kurze Antwort: mutig sein, ausprobieren und dranbleiben.  

Als Vorreiterin in Sachen Modern Work arbeitet die St. Galler Kantonalbank seit 2019 mit Microsoft 365, 2022 kam Teams dazu. Damit ist sie eine der ersten Banken, die das MS-Tool für die Kommunikation nutzt. Natürlich gab es anfangs Bedenken. Die Technik war das eine, Compliance und Datenschutz das andere.  

Die Crux liegt in der sorgfältigen Prüfung und Umsetzung aller Compliance- und Datenschutz-Themen. Mit MondayCoffee hatte die Kantonalbank einen Partner, der mit technischem Knowhow, Cloud-Wissen und Best-Practices im regulierten Bereich unterstützt – bis zum Erreichen der gesetzten Ziele. 

Ausserdem müssen die Geschäftsleitung und die Mitarbeitenden von der Veränderung überzeugt sein. Die Nutzerinnen und Nutzer brauchen ausreichend Zeit für die Umstellung und sollten in einer sicheren Testumgebung alles ausprobieren können. Dann arbeiten die meisten auch effizient und vor allem gern im neuen Umfeld. 

Geschäftsleitung und Mitarbeitende müssen von der Veränderung überzeugt sein.

Wie geht die Reise weiter? Eine Zukunftsprognose.  

JM: Da die Cloud-Welt in rasantem Tempo voranschreitet, ist eine Organisation im regulierten Umfeld neu damit konfrontiert, stetig Änderungen der Cloud und Auswirkungen auf bestehende Verträge, Sicherheitseinstellungen und Schnittstellen zu verfolgen. Das mag herausfordernd klingen – gerade mit Blick auf die klassische Informatik, bei der man den Server gewartet hat und ausrechnen konnte, wie lange die Investition für eine vollständige Abschreibung in Betrieb sein musste.  

Die Vorteile der neuen Welt überwiegen mehr als je zuvor. Mit der effizienten Nutzung der Cloud kann von heute auf morgen ein komplett neuer Geschäftszweig aufgebaut werden. Die Organisation erfährt eine neue Agilität, kann von überall arbeiten und dennoch immer den Anforderungen an Compliance und Security gerecht werden.  

 

DR. WIESELHUBER & PARTNER: Die Weichen für einen effizienten, digitalen Wandel legen

WS+4.jpg
W&P Logo Vektor transparent.png
 

Dr. Wieselhuber & Partner GmbH ist ein führendes Unternehmensberatungshaus für Familienunternehmen und Tochtergesellschaften von Konzernen in München. Sie ist spezialisiert auf die unternehmerischen Gestaltungsfelder Strategie, Digitale Transformation, Business Performance sowie Restructuring und Finance.

Ausgangslage

Vor dem Hintergrund der Digitalisierung wuchs bei Dr. Wieselhuber & Partner der Wunsch, die Zusammenarbeit im täglichen Projektgeschäft auf einen modernen und aktuellen Standard zu heben. Zugunsten der Effizienz und Qualität der Prozesse sollte die bestehende Arbeitsweise in die neue Cloud-Struktur transformiert werden.

Vorgehen

Unter dem Namen WE-Net wurde die Out-of-the-Box-Lösung CoffeeNet 365 eingeführt. Zur finalen Definition der Anforderungen veranstaltete MondayCoffee Konzept- und Pilot-Workshops. Damit konnte WE-Net entlang der Anforderungen und Kenntnisse der Key User mit dem Projektfortschritt wachsen.

Resultate

Mit WE-Net ist bei Dr. Wieselhuber & Partner heute kollaboratives Arbeiten in Multi-Projektmanagement-Strukturen möglich – sowohl standort- als auch teamübergreifend. Die interne Kommunikation und der Austausch von Information ist deutlich transparenter und erfolgt in Echtzeit über einen ansprechenden Kanal, der auch gerne genutzt wird.

Sicher arbeiten mit Microsoft Teams: Was sollten IT-Verantwortliche beachten?

Secure Remote Work MS Teams.gif

Immer häufiger entscheiden sich Unternehmen für Microsoft Teams, die integrierte Plattform für Zusammenarbeit und Kommunikation. Häufig resultiert dieser Entscheid aus dem Tagesgeschäft, das die Notwendigkeit einer stärkeren Digitalisierung im Unternehmen vor Augen führt – um agiler zu werden und die hybriden Arbeitsmodelle zu fördern. In anderen Worten: um mehr Flexibilität zu erlangen und im härteren Wettbewerb erfolgreich zu sein.  Wie geht man aus Sicht der IT mit diesen Anforderungen um? Unser CTO, Thomas Peyer, kennt die Antworten auf die typischen Fragestellungen. 


Wie sicher ist Microsoft Teams? 

Es ist erstaunlich, wie umfassend das Arsenal von Microsoft 365 ist, um beispielsweise mit Teams sicheres Arbeiten zu gewährleisten. Viele der Sicherheitsfunktionen, die heute durch einfache Konfiguration aktiviert werden können, waren bis vor Kurzem nur Grosskonzernen vorbehalten. 

Es ist erstaunlich, wie umfassend das Arsenal von Microsoft 365 ist, um sicheres Arbeiten zu gewährleisten.

Die hohe Integration aller Services von Microsoft 365 in einer gemeinsamen Plattform bietet mehr Sicherheit bei gleichzeitig weniger Aufwand und Kosten als bei eigenständigen Systemen. So bietet Microsoft z. B. eine integrierte Verwaltung der Benutzer-Identitäten, die über alle Services anwendbar ist. Ein weiteres Beispiel ist das zentrale Überwachungssystem mit präventivem Abwehrmechanismus (ATP = Advanced Threat Protection). ATP sorgt dafür, dass Ihr Unternehmen von den gängigsten Phishing-Attacken verschont wird. Im Fall eines Angriffs informiert und reagiert das System in Echtzeit – rund um die Uhr. Dies ist ein grosser Mehrwert gegenüber der manuellen Suche in System-Logs mit den anschliessenden eingeleiteten Massnahmen. So müssen Sie sich nur noch um Ausnahmesituationen kümmern und haben mehr Zeit für andere Aufgaben.  

Die Software passt sich Ihren Anforderungen an, denn der darunter liegende Stack von Microsoft 365 ist auf alle Unternehmensgrössen und Branchen ausgelegt. 


Welches sind die wichtigsten Sicherheitselemente von Teams? 

Wie oben angesprochen, resultieren verschiedene Vorteile aus der gemeinsamen Plattform, was die Transparenz für die IT erhöht und gleichzeitig die Komplexität reduziert. 

Ein Kernaspekt für mehr Sicherheit in einer hybriden Arbeitsweise ist der Schutz der Benutzeridentitäten, um deren Missbrauch auszuschliessen. Dank MFA (Multi-factor Authentication) kann ich bereits mit den günstigsten Microsoft-Lizenzen eine State-of-the-Art-Sicherheit bieten. 

Weitere optionale sicherheitsrelevante Funktionen wie PIM (Privileged Identity Management) erleichtern den Umgang mit privilegierten Zugriffsrechten. Wenn Benutzende also vorübergehend zusätzliche administrative Rechte benötigen, um einen Task zu erledigen, können sie diese für einen begrenzten Zeitraum bei ihren Vorgesetzten oder der IT-Abteilung anfordern. Damit können in der Organisation minimale Berechtigungen vergeben werden («Need-to-know-Prinzip»). Im Bedarfsfall lässt sich der Zugriff dank Self-Service des Berechtigungsmanagements flexibel erweitern, ohne Zusatzaufwand für die IT zu verursachen. 

franck-DoWZMPZ-M9s-unsplash .jpg

Schliesslich haben Unternehmen die Möglichkeit, besonders schützenswerte Information mit zusätzlicher Verschlüsselung (Information Protection) zu sichern. So bleiben sensible Inhalte vor unbefugtem Zugriff sicher, egal wo sie abliegen. 

Eine Aufzählung aller Features ist in diesem Rahmen nicht sinnvoll, da viele von ihnen zu sehr ins Detail gehen und nicht alle gleich relevant sind für jedes Unternehmen. 

Wie wirkt sich der Betrieb von Teams auf die IT-Abteilung aus? 

Der Betrieb einer integrierten Plattform wie Microsoft 365 setzt ein anderes Betriebskonzept voraus, als dies in der vergangenen Welt der unterschiedlichen Spezialsysteme der Fall war. Denn die Benutzenden einer Cloud-Plattform greifen zu jeder Tageszeit auf dort abliegende Daten zu, was Ansprüche an einen 24x7-Support weckt. 

IT-Verantwortliche sollten Microsoft 365 bewusst anpacken und sich von der «alten Welt» verabschieden. Der Parallelbetrieb führt über kurz oder lang ins Chaos.

Auf der anderen Seite übernimmt Microsoft 365 einen Grossteil der repetitiven Aufgaben, womit das IT-Team sich neuen Aufgaben stellen muss (Stichwort: Schulungsbedarf). Kurz: IT-Verantwortliche sollten das neue Betriebsmodell mit Microsoft 365 bewusst anpacken und sich gleichzeitig von der «alten Welt» verabschieden, um die in Aussicht gestellten Vorteile realisieren zu können. Der Parallelbetrieb führt über kurz oder lang ins Chaos. 

Wo fängt man am besten an? 

Rom wurde nicht an einem Tag gebaut. Auch beim Aufbau der Microsoft Plattform hilft die Orientierung an einer Roadmap – einer Art Landkarte, um den Entwicklungsweg aufzuzeigen. Wo Sie beginnen, und welche Zwischenstationen Sie durchschreiten – das sind Fragen, die unternehmensspezifisch festgelegt werden müssen.  

Ein Blog-Beitrag von Thomas Peyer, CTO bei MondayCoffee

Ein Blog-Beitrag von Thomas Peyer, CTO bei MondayCoffee

Wir empfehlen, sich für diesen Prozess eng mit dem Business abzustimmen. Denn im Unterschied zu früheren IT-Projekten geht es darum, mehr Verantwortung ans Business zu übergeben, und mittels unternehmensweiter Governance und Standardisierung Leitplanken zu etablieren. Die Reise ist spannend und bietet allen die Gelegenheit, sich weiterzuentwickeln. 

Das Thema beschäftigt nicht nur die IT, auch auf Management-Ebene kommen Fragen auf. Auch hier gibt unser CTO, Thomas Peyer Antworten: Zum Interview

Sicher zusammenarbeiten mit Microsoft Teams: Insights für Ihr Business

Secure+Remote+Work+-+Business.gif

Mit der steigenden Anzahl von Microsoft-Teams-Nutzenden im Home-Office und unterwegs nehmen gleichzeitig die Fragen nach Datenschutz und Sicherheit zu. Auch bei unserer Kundschaft können wir das beobachten. Dabei kommen auf Management-Ebene immer wieder die gleichen Fragen auf. Unser CTO, Thomas Peyer, gibt Antworten.


Was versteht man heute eigentlich unter «sicher» im Umgang mit Informationen? 

Informationssicherheit ist tatsächlich eine recht komplizierte Angelegenheit, und nicht jeder stellt sich dasselbe darunter vor. Experten und Expertinnen sprechen von den folgenden drei «Schutzzielen», die zur Informationssicherheit beitragen – z. B. auch im Zusammenhang mit der DSGVO (GDPR): 

  • Vertraulichkeit, d. h. die Verhinderung der unbefugten Offenlegung von Informationen (beabsichtigt oder nicht)  

  • Integrität, d. h. die Verhinderung, dass Informationen durch Unbefugte verändert werden können (z. B. Phishing, Cyber Extortion etc.), und  

  • Verfügbarkeit, d. h. die Sicherstellung, dass die Informationen immer verfügbar sind. 

Jedes dieser Schutzziele enthält weitere Unterziele, die von unzähligen Sicherheitsmassnahmen umgesetzt werden. Ohne weiter ins Detail zu gehen, lässt sich zusammenfassen: Es ist keine triviale Aufgabe, eine hohe Informationssicherheit zu erlangen. 


Sind meine Daten mit MS Teams denn sicher? Sind sie genauso sicher wie auf dem Server in meinem Unternehmen?  

Die kurze Antwort ist: Ja! Mit der Verwendung von MS Teams sind Ihre Daten deutlich sicherer als mit einer Datenspeicherung auf Ihrem eigenen Server vor Ort. 

Gleichzeitig ist zu betonen, dass wir zwei recht unterschiedliche Dinge vergleichen. Der On-Premises-Server war in der Zeit vor dem allzeit verfügbaren Cloud-Computing ziemlich sicher – vor allem bei grösseren Unternehmen, die hohe Geldsummen in spezialisierte Sicherheitslösungen investiert hatten. Gleichzeitig ging man davon aus, dass die Arbeit zu 90 % innerhalb der Büroräumlichkeiten und innerhalb eines firmeneignen Netzwerks stattfand. Bei zahlreichen kleineren Unternehmen hingegen war die Datensicherheit eher prekär, wenn man genauer hinschaute. 

 Teams und Microsoft 365 in Kombination enthalten bereits zahlreiche Mechanismen, um die Informationssicherheit wirksam abzudecken. 


william-iven-SpVHcbuKi6E-unsplash.jpg

Heute leben wir hingegen in einer völlig anderen Realität – und diese ist durch die COVID-Pandemie noch befeuert worden. Heute können nur wenige Unternehmen davon ausgehen, dass alle Mitarbeitenden grundsätzlich nur innerhalb des Unternehmens auf Daten zugreifen. Stattdessen wollen Mitarbeitende jederzeit und auch von zuhause aus mit beliebigen Endgeräten arbeiten können. Diese immer wichtiger werdenden hybriden Arbeitsmodelle – d. h. die Kombination aus Büroarbeit mit «Remote Work» – erfordern einen besonderen Massnahmen-Mix, um Informationssicherheit zu erreichen. Teams und Microsoft 365 in Kombination enthalten bereits zahlreiche Mechanismen, um die Informationssicherheit wirksam abzudecken. 

Führt die Arbeit in MS Teams nicht zu einem viel einfacheren Abfluss von schützenswerten Daten? 

Nein, das ist nicht der Fall. Natürlich sollte man sich jederzeit seiner Aktionen bewusst sein, aber mittels gezielter Konfigurationen lässt sich ein Sicherheitsniveau erreichen, das sich noch vor wenigen Jahren nur einzelne Grossbanken leisten konnten. Davon können heute Unternehmen jeglicher Grösse profitieren. Teams ist auch deswegen eine sichere Plattform, weil alle Inhalte «an einem Ort», in einem integrierten System basierend auf Microsoft 365 liegen. Man kämpft also nicht wie früher mit unabhängigen Systemen, die alle separat geschützt werden mussten (z. B. Server, Netzwerk, Firewalls, Betriebssysteme, Identitäten, etc.). Gleichzeitig reduziert diese Integration die Komplexität und die Kosten – und erhöht die Transparenz, wenn diese benötigt wird. 

Teams ist eine sichere Plattform, weil alle Inhalte «an einem Ort», in einem integrierten System basierend auf Microsoft 365 liegen.

Wo fange ich also an, um Microsoft Teams sicher einzusetzen? 

Es gibt zwar keine Einzelmassnahme, welche absolute Sicherheit garantiert, aber manche Massnahmen haben eine besonders grosse Wirkung. So würde ich mich als Erstes um den Schutz der Benutzeraccounts und der Profile der Mitarbeitenden kümmern, um sicherzustellen, dass diese nicht missbraucht werden können (z. B. durch Multi-Factor-Schutz mit dem Mobiltelefon). 

Ein Blog-Beitrag von Thomas Peyer, CTO MondayCoffee

Ein Blog-Beitrag von Thomas Peyer, CTO MondayCoffee

Darauf folgen mehrere weitere Schritte, die konzeptionell mit der Geschäftsstrategie und den bereits bestehenden technischen Rahmenbedingungen abgestimmt sein müssen. Es braucht also eine geführte Diskussion, um die für ein Unternehmen richtige Lösung umzusetzen.  

Wie geht man aus Sicht der IT mit diesen Anforderungen um? Auch hier gibt unser CTO, Thomas Peyer Antworten: Zum Interview

Microsoft rollt Office 365 in der Schweiz aus: Was erwartet Sie?

Ob privat oder geschäftlich – wir leben alle in der Wolke. Doch was bedeutet es konkret, seine Geschäftsdaten vollständig Microsoft zu überlassen? Und was ändert sich, wenn Microsoft ihr Office 365 auf eigenen Datenzentren in der Schweiz anbietet, die eine lokale und georedundante Datenresidenz ermöglichen? 

Bereits im Sommer berichteten wir davon, dass die Microsoft Cloud in 2019 Einzug in die Schweiz hält. Vor kurzem konnten wir ein spannendes Event mit Kunden und Prospects durchführen, bei dem sich alles um dieses Thema drehte – mit Fokus auf Office 365, das seit wenigen Tagen verfügbar ist.  

BE+LI+.jpg

Unser Fazit: Ob in puncto Produktivität, Effizienz oder Innovation, die Datenverwaltung mittels Cloud-Technologie hat Zukunft. Laut unserem CEO und Gründer Reto Meneghini jedenfalls ist die Infrastruktur und Organisation, die hinter der MS Azure und Office 365 Cloud steht, über jeden Zweifel erhaben. Denn die dabei gebotene Sicherheit – die Kombination aus Vertraulichkeit, Integrität und belastbarer Verfügbarkeit – ist deutlich höher, als dies konventionelle Unternehmen von alleine erreichen können. Ab sofort profitieren auch Schweizer Unternehmen von der Cloud-Lösung, und das mit Schweizer Rechenzentren. Informieren Sie sich hier über die wichtigsten Änderungen. 

Primo Amrein, Cloud Lead, Microsoft Switzerland

Primo Amrein, Cloud Lead, Microsoft Switzerland

Ihre Vorteile mit der Schweizer Office 365

Mehr Produktivität, Effizienz, Sicherheit – oder einfach flexible Skalierbarkeit? Die Vorteile der Funktionen, die in der Schweizer Microsoft Cloud nach und nach ausgerollt werden, sind vielseitig. Primo Amrein, Cloud Lead von Microsoft Switzerland, erzählt uns direkt von den neuesten Entwicklungen.

Wie bereits in anderen Ländern, baut Microsoft in der Schweiz ein Cloud-Setup auf – mit zwei georedundanten Datenzentren in Zürich und Genf, auf denen die Kundendaten gespiegelt werden. Das Konzept besteht darin, dass Kunden ihre Daten in der Microsoft-Cloud speichern können, ohne dass diese das Land verlassen. Die diversen Dienstleistungen werden aktuell noch schrittweise ausrollt. Davon profitieren vor allem regulierte Branchen, die auch von Sicherheit und Compliance-Standards von Microsoft 365 profitieren wollen und gleichzeitig auf lokale Datenresidenz angewiesen sind. Office 365 steht nun seit Kurzem zur Verfügung. Dynamics 365 sowie die Power Plattform folgen im Lauf der nächsten Monate.

Ihre Vorteile mit der Schweizer Microsoft Cloud: 

  • Vertragliche Verbindlichkeit, dass Kundendaten „at rest“ sicher in der Schweiz bleiben 

  • Schnellerer Server-Zugriff aufgrund tieferer Latenzwerte (der tatsächliche Geschwindigkeitsschub ist abhängig von der konkreten Netzwerksituation) 

  • Office 365 Pricing wird wie bisher von EU-Datenzentren angeboten (bei Azure-Dienstleistungen werden höhere Preise verlangt) 

  • dieselben Compliance-Standards wie bei Microsoft weltweit

Up in the Sky is down to Earth! 

Wo Daten im Spiel sind, herrscht auch rechtliches Konfliktpotenzial. Klaus Krohmann, Rechtsanwalt von BDO AG, teilt seine Einschätzungen rund um die rechtlichen Aspekte dieses Themas für Schweizer Unternehmen und Behörden: Grundsätzlich fällt auf, wie unproblematisch die Swiss Cloud aus rechtlicher Sicht ist – und dass signifikante Vorteile daraus resultieren können. 

  1. Aufbewahrungsvorschriften: Eine Schweizer Cloud bietet den Vorteil, dass Daten jederzeit an Schweizer Behörden geliefert und dabei die Funktionen der Cloud-Technologie genutzt werden können. Davon profitieren vor allem Amtsstellen, die sensible Daten nun auch in der Cloud speichern können. 

  2. Datenschutz: Je heikler die Personendaten, desto riskanter ist eine Datenspeicherung im Ausland. Bei einer Schweizer Datenresidenz ist das ein grosser Vorteil. Ausserdem entfällt der Zwang, Personen über den Speicherort ihrer Daten zu informieren. 

  3. Offenlegungspflichten: Gerade bei administrativen Verfahren, zivilen Streitigkeiten und Strafverfahren hat die lokale Datenspeicherung Vorteile. Der Zugriff ist im Inland einfacher und kostengünstiger.

Klaus Krohmann, Rechtsanwalt, BDO AG

Klaus Krohmann, Rechtsanwalt, BDO AG

CLOUD Act & Datencloud: Was bedeutet das Gesetz für die Cloud? 

In europäischen Ländern wie der Schweiz gelten andere Rechtsnormen wie in den Vereinigten Staaten – ein alter Schuh. Neu ist das Konfliktpotenzial, das jede neue länderübergreifende Technologie zum Thema Datenschutz mit sich bringt. Ein Beispiel ist der sogenannte CLOUD Act („Clarifying Lawful Overseas Use of Data”). Dabei handelt es sich um ein amerikanisches Gesetz vom 23. März 2018, das der Abkürzung zum Trotz nichts mit der Daten-Cloud zu tun hat, sondern auf den Umgang mit Daten in Übersee abzielt. Demnach unterliegen IT-Dienstleister wie Microsoft einer Herausgabeverpflichtung und müssen US-Behörden Zugriff auf gespeicherte Daten geben – auch wenn die Daten ausserhalb der USA liegen. Die Durchsetzbarkeit dieses US-Gesetzes in anderen Ländern wie der Schweiz, wo z.T. widersprechende Rechtsnormen gelten, ist höchst strittig. Dies bedeutet, dass es unklar ist, wie entsprechende US-Strafdrohungen ausgehen würden – egal ob die Daten in der Cloud oder einem On-Premise-Server gespeichert sind. 

Schliesslich muss sich jedes Unternehmen selbst überlegen, wie es mit solchen rechtlichen Unwägbarkeiten umgehen soll. 

Möchten Sie mehr zum Thema Microsoft Swiss Cloud mit Office 365 erfahren? Gerne stehen wir Ihnen für ein Gespräch zur Verfügung.