Mit der steigenden Anzahl von Microsoft-Teams-Nutzenden im Home-Office und unterwegs nehmen gleichzeitig die Fragen nach Datenschutz und Sicherheit zu. Auch bei unserer Kundschaft können wir das beobachten. Dabei kommen auf Management-Ebene immer wieder die gleichen Fragen auf. Unser CTO, Thomas Peyer, gibt Antworten.
Was versteht man heute eigentlich unter «sicher» im Umgang mit Informationen?
Informationssicherheit ist tatsächlich eine recht komplizierte Angelegenheit, und nicht jeder stellt sich dasselbe darunter vor. Experten und Expertinnen sprechen von den folgenden drei «Schutzzielen», die zur Informationssicherheit beitragen – z. B. auch im Zusammenhang mit der DSGVO (GDPR):
Vertraulichkeit, d. h. die Verhinderung der unbefugten Offenlegung von Informationen (beabsichtigt oder nicht)
Integrität, d. h. die Verhinderung, dass Informationen durch Unbefugte verändert werden können (z. B. Phishing, Cyber Extortion etc.), und
Verfügbarkeit, d. h. die Sicherstellung, dass die Informationen immer verfügbar sind.
Jedes dieser Schutzziele enthält weitere Unterziele, die von unzähligen Sicherheitsmassnahmen umgesetzt werden. Ohne weiter ins Detail zu gehen, lässt sich zusammenfassen: Es ist keine triviale Aufgabe, eine hohe Informationssicherheit zu erlangen.
Sind meine Daten mit MS Teams denn sicher? Sind sie genauso sicher wie auf dem Server in meinem Unternehmen?
Die kurze Antwort ist: Ja! Mit der Verwendung von MS Teams sind Ihre Daten deutlich sicherer als mit einer Datenspeicherung auf Ihrem eigenen Server vor Ort.
Gleichzeitig ist zu betonen, dass wir zwei recht unterschiedliche Dinge vergleichen. Der On-Premises-Server war in der Zeit vor dem allzeit verfügbaren Cloud-Computing ziemlich sicher – vor allem bei grösseren Unternehmen, die hohe Geldsummen in spezialisierte Sicherheitslösungen investiert hatten. Gleichzeitig ging man davon aus, dass die Arbeit zu 90 % innerhalb der Büroräumlichkeiten und innerhalb eines firmeneignen Netzwerks stattfand. Bei zahlreichen kleineren Unternehmen hingegen war die Datensicherheit eher prekär, wenn man genauer hinschaute.
“ Teams und Microsoft 365 in Kombination enthalten bereits zahlreiche Mechanismen, um die Informationssicherheit wirksam abzudecken. ”
Heute leben wir hingegen in einer völlig anderen Realität – und diese ist durch die COVID-Pandemie noch befeuert worden. Heute können nur wenige Unternehmen davon ausgehen, dass alle Mitarbeitenden grundsätzlich nur innerhalb des Unternehmens auf Daten zugreifen. Stattdessen wollen Mitarbeitende jederzeit und auch von zuhause aus mit beliebigen Endgeräten arbeiten können. Diese immer wichtiger werdenden hybriden Arbeitsmodelle – d. h. die Kombination aus Büroarbeit mit «Remote Work» – erfordern einen besonderen Massnahmen-Mix, um Informationssicherheit zu erreichen. Teams und Microsoft 365 in Kombination enthalten bereits zahlreiche Mechanismen, um die Informationssicherheit wirksam abzudecken.
Führt die Arbeit in MS Teams nicht zu einem viel einfacheren Abfluss von schützenswerten Daten?
Nein, das ist nicht der Fall. Natürlich sollte man sich jederzeit seiner Aktionen bewusst sein, aber mittels gezielter Konfigurationen lässt sich ein Sicherheitsniveau erreichen, das sich noch vor wenigen Jahren nur einzelne Grossbanken leisten konnten. Davon können heute Unternehmen jeglicher Grösse profitieren. Teams ist auch deswegen eine sichere Plattform, weil alle Inhalte «an einem Ort», in einem integrierten System basierend auf Microsoft 365 liegen. Man kämpft also nicht wie früher mit unabhängigen Systemen, die alle separat geschützt werden mussten (z. B. Server, Netzwerk, Firewalls, Betriebssysteme, Identitäten, etc.). Gleichzeitig reduziert diese Integration die Komplexität und die Kosten – und erhöht die Transparenz, wenn diese benötigt wird.
“Teams ist eine sichere Plattform, weil alle Inhalte «an einem Ort», in einem integrierten System basierend auf Microsoft 365 liegen.”
Wo fange ich also an, um Microsoft Teams sicher einzusetzen?
Es gibt zwar keine Einzelmassnahme, welche absolute Sicherheit garantiert, aber manche Massnahmen haben eine besonders grosse Wirkung. So würde ich mich als Erstes um den Schutz der Benutzeraccounts und der Profile der Mitarbeitenden kümmern, um sicherzustellen, dass diese nicht missbraucht werden können (z. B. durch Multi-Factor-Schutz mit dem Mobiltelefon).
Ein Blog-Beitrag von Thomas Peyer, CTO MondayCoffee
Darauf folgen mehrere weitere Schritte, die konzeptionell mit der Geschäftsstrategie und den bereits bestehenden technischen Rahmenbedingungen abgestimmt sein müssen. Es braucht also eine geführte Diskussion, um die für ein Unternehmen richtige Lösung umzusetzen.
Wie geht man aus Sicht der IT mit diesen Anforderungen um? Auch hier gibt unser CTO, Thomas Peyer Antworten: Zum Interview
