TEIL 1 | Umstellung auf Microsoft 365: Aufgaben und Herausforderungen
Microsoft 365 ist mehr als nur ein Outlook in der Cloud und hinter Outlook steckt mehr als nur ein E-Mail-Postfach mit Kalender. Wer eine gewachsene Unternehmens-IT-Struktur teilweise oder ganz in die Cloud verlagern möchte, um moderner, flexibler und effizienter arbeiten zu können, muss sich – auch als organisatorischer und nicht als technischer Begleiter – mit einigen Begriffen und der grundlegenden Struktur beschäftigen. Accounts, Benutzerprofile, persönliche und gemeinsam genutzte E-Mail-Postfächer, Sammel- und Funktionspostfächer, Kalender, Gruppen, gespeicherte Daten, geteilte Daten – so viele Begriffe. Doch was ist was und was ist bei einem Umstieg auf Microsoft 365 zu beachten? Wir können helfen. Grundlegend können die anstehenden Aufgaben in folgende Kategorien einsortiert werden: Juristische Aufgaben: Von der initialen Datenschutz-Risikoanalyse über die Datenschutz-Folgenabschätzung bis hin zur erforderlichen Dokumentation sowie der Überwachung der rechtlichen Entwicklungen – Hier ist rechtliche Expertise und Sorgfalt gefragt. Dies überlässt man am besten den Fachanwälten und Fachanwältinnen. IT-bezogene Bestandsaufnahme: Welche Tools (Programme, Services usw.) werden genutzt? Welche Daten werden wo und wie gespeichert? Welche technischen und organisatorischen Schutzmaßnahmen gibt es und sind diese ausreichend? Diese und weitere Fragen gilt es durch eine systematische Bestandsaufnahme und Analyse zu klären. Am effizientesten erledigt man dies in Zusammenarbeit mit Rechts- und IT-Experten. IT-bezogene Umsetzungen: Juristische Theorie gut und schön, aber was bedeutet das für die IT-Abteilung oder den IT-Dienstleister konkret? Ist juristisch alles geklärt und organisiert haben ITler oft weiterhin Fragezeichen in den Augen. In Folge der Bestandsaufnahme braucht es einen konkreten Maßnahmenkatalog für Optimierungen und Maßnahmen, damit ein Umzug in die Cloud technisch und rechtlich sicher durchgeführt werden kann. Unsere Rechts- und IT-Experten können durch Erfahrungen aus diversen Projekten sehr gute Unterstützung geben. Technische Inventur und Umsetzungsplanung: Für einen reibungslosen Umzug in die Cloud ist ein genauer Blick auf den Ist-Zustand erforderlich. Nicht selten sind IT-Umgebungen historisch gewachsen und wurden über die Jahre von Personen mit verschiedensten Philosophien aufgebaut und gepflegt. Du möchtest noch mehr zum Thema „Umstellung auf MS 365“ erfahren? Dann freue dich schon auf unseren nächsten Newsletter! Dort werden wir dir einige Tipps zu den Bereichen Benutzer-Accounts und E-Mail-Postfächern geben.
Die Nutzung von Microsoft-365 aus Sicht des revDSG
Die Gewährleistung der digitalen Datensicherheit ist für viele Unternehmen eine anspruchsvolle und herausfordernde Aufgabe. Eine Alternative zur eigenständigen Gewährleistung der Datensicherheit ist das Outsourcing. Datenschutzrechtlich handelt es sich dabei um eine Auftragsbearbeitung. Microsoft 365 ist ein Angebot der amerikanischen Microsoft Corporation, ermöglicht aber die Auswahl der Schweiz als Datenstandort. Somit werden Daten von Schweizer Unternehmen automatisch in der Schweiz gespeichert, sofern die Erstellung der Microsoft365- Umgebung nach der Eröffnung der Microsoft Rechenzentren erfolgte. Die Nutzung von Microsoft 365 ist für Unternehmen in der Schweiz aus datenschutzrechtlicher Sicht zulässig, sofern beim Umstieg bestimmte technische, organisatorische und vertragliche Massnahmen zum Schutz der Datensicherheit umgesetzt werden. Es ist ferner zu empfehlen, die getroffenen Massnahmen zu dokumentieren, um auf Verlangen des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) nachweisen zu können, dass insbesondere die Datensicherheit gewährleistet ist. Gerne unterstützen wir Sie dabei!
IT-Security 2023: Was sind die Top-Themen im neuen Jahr?
Das Jahr 2022 neigt sich dem Ende zu: Wir blicken zurück und wagen zudem einen Ausblick auf Herausforderungen sowie Änderungen von Rahmenbedingungen, die uns nächstes Jahr im Bereich IT-Sicherheitbeschäftigen werden. Auch in diesem Jahr gab es wieder regelmäßig Berichte über verschiedenste deutsche Organisationen, die Opfer von Hacking-Angriffen wurden, wie beispielsweise das Fraunhofer-Institut in Halle, das Großhandelsunternehmen Metro oder die Deutsche Presse-Agentur (dpa). Aber auch kleine und mittelständische Unternehmen aller Branchen waren und sind betroffen. Analysen zeigen, dass bei dem Großteil all dieser Angriffe in 2022 Ransomware zum Einsatz kam. Diese Art von Cryptovirus versucht möglichst alle Systeme einer Organisation und die darauf enthaltenen Daten zu verschlüsseln, sodass die betroffenen Unternehmen diese nicht mehr lesen bzw. nutzen können und somit in ihrem Geschäftsbetrieb sehr stark oder sogar vollständig eingeschränkt werden. Zur Entschlüsselung verlangen Angreifer dann ein „Lösegeld“, das meist mittels Kryptowährungen bezahlt werden soll. Im letzten Quartal 2022 gab es zusätzlich auch immer mehr Fälle von Pre-Ransomware Attacken, welche dazu dienen Ransomware Angriffe für einen späteren Zeitpunkt vorzubereiten. Vor diesem Hintergrund und der stetig wachsenden Anzahl an Marktplätzen im Darkweb, die „Ransomware-as-a-Service“ anbieten, ist zu erwarten, dass diese Art von Angriffen auf Unternehmen in 2023 nochmal deutlich zunehmen wird. Unternehmen sollten daher in erster Linie auf Systeme zur frühzeitigen Erkennung solcher Angriffe setzen, aber auch sicherstellen, dass sie über ein funktionierendes Backup-Konzept verfügen. Für Betreiber*innen kritischer Infrastrukturen (KRITIS), welche ohnehin bereits gesetzlich dazu verpflichtet sind, angemessene technische und organisatorische Maßnahmen zur Verhinderung von Cyber-Attacken zu treffen, werden u.a. solche „Systeme zur Angriffserkennung“ (Intrusion Prevention Systeme) ab 2023 sogar zur Pflicht. Denn mit Blick auf das IT-Sicherheitsgesetz 2.0 müssen sie bis spätestens Mai 2023 nochmal nachbessern, um alle Anforderungen des neuen Gesetzes auch weiterhin erfüllen zu können. Wir gehen diese neuen Herausforderungen auch im nächsten Jahr wieder hochmotiviert an und helfen natürlich auch dir gerne dabei, das IT-Sicherheitsniveau in deinem Unternehmen auf die jeweiligen akuten und zu erwartenden Bedrohungen anzupassen, um auch in 2023 bestmöglich geschützt zu sein!