Meldung

Datenschutzkonforme Nutzung von Microsoft Office

Es ist kein Geheimnis: Bei der Nutzung von Microsoft Office werden die Daten in der Cloud gespeichert. Das ist wegen US Cloud Act und Schrems-II-Urteil datenschutzrechtlich problematisch. Unternehmen müssen deshalb aber nicht zwangsläufig die Finger vom Office-Paket lassen. Collaboration-Spezialist ownCloud erläutert, wie es eingesetzt werden kann, ohne gegen Datenschutzrecht zu verstoßen.
Microsoft Office beherrscht den Markt und die Arbeitsplatz-Software hat sich auch in Deutschland zum De-facto-Standard entwickelt. Viele Unternehmen wollen darauf nicht verzichten, weil es die Bearbeitung und den Austausch von Dokumenten mit der Außenwelt so bequem und einfach macht. Einen Wechsel zu anderen Anbietern ziehen die meisten von ihnen ohnehin nicht in Betracht: zu hoch wären Investitionen in Lizenzen und Weiterbildung, zu groß die Nachteile durch Inkompatibilitäten.

Microsoft Office speichert Daten dabei in der Cloud – etwa dann, wenn User ihre Dokumente über Microsoft OneDrive, SharePoint oder Teams teilen und gemeinsam bearbeiten. Die Aboversion Microsoft 365 geht noch konsequenter mit Daten um und speichert gleich alle Dokumente oder E-Mails in der Cloud. Da Microsoft ein US-amerikanisches Unternehmen ist, unterliegt es dem Cloud Act. Das bedeutet, dass die amerikanische Regierung Zugriff auf die Daten in der Cloud hat. Zudem kippte der europäische Gerichtshof mit dem Schrems-II-Urteil den so genannten "Privacy Shield", wodurch es keine rechtliche Grundlage mehr für den Datentransfer in die USA gibt.

Bleibt den Unternehmen also nur die Wahl zwischen Pest und Cholera? Nein, sagt der Digital-Collaboration-Spezialist ownCloud [1]. Durch eine geschickte Anpassung der Microsoft-Umgebung lasse sich vermeiden, dass Dokumente in die Cloud der Redmonder wandern. Die folgenden Vorkehrungen sollten Unternehmen treffen, um Microsoft Office datenschutzkonform einzusetzen:

  • Statt OneDrive oder SharePoint sollten Unternehmen eine alternative Lösung als zentrale Dateiablage nutzen, die sie als Private Cloud im eigenen Rechenzentrum oder bei einem IT-Dienstleister ihrer Wahl betreiben können. Am besten eignen sich dafür so genannte Filesharing-Lösungen.
  • Mit Microsoft Office Online Server stünde eine Browser-Version der Office-Programme zur Verfügung. Auch sie können Unternehmen im eigenen Rechenzentrum oder bei einem selbst gewählten IT-Dienstleister betreiben. Durch offene Schnittstellen lässt sich diese Software gut an fremde Filesharing-Lösungen anbinden. Dann könnten die User Office-Dokumente mit Microsoft Word, Excel oder PowerPoint bearbeiten, ohne dass eine Übertragung in die Microsoft-Cloud stattfindet.
  • Auch Microsoft Outlook lasse sich durch die Kombination mit einer Filesharing-Lösung risikofrei nutzen. Anstatt Dokumente zu versenden, verschickten die User lediglich Links zu Dateien oder Ordnern, die in dieser Lösung abgelegt seien. Dokumente verließen dadurch niemals die Private Cloud.
  • Um Dokumente datenschutzkonform auszutauschen und gemeinsam zu bearbeiten, könne eine Filesharing-Lösung auch direkt in Microsoft Teams integriert werden. Diese Einbindung sei technisch anspruchsvoll, aber von einigen Filesharing-Anbietern bereits umgesetzt.

"Unternehmen können Filesharing-Lösungen wie ownCloud problemlos selbst betreiben oder per Managed Service betreiben lassen. Durch die Integration in die Microsoft-Anwendungen gibt es weder Inkompatibilitäten noch Produktivitätsverlust. Aufgrund der zentralen Datenspeicherung in der Private Cloud riskieren sie keine unbefugten Zugriffe oder Datenschutzverstöße. Das Beste aus beiden Welten sozusagen", sagt Tobias Gerlinger, CEO und Managing Director von ownCloud in Nürnberg. "Da die Software quelloffen ist, erhalten Unternehmen zusätzlich hundertprozentige Sicherheit, dass nicht unbemerkt Daten an unbefugte Dritte abfließen und sind obendrein vor einem so genannten Vendor-Lock-in geschützt."
12.07.2021/dr

Tipps & Tools

Intensiv-Seminar "Aufbau einer PKI unter Windows Server" [2.08.2021]

Microsoft verwendet Zertifikate für mehrere PKI-fähige Produkte, daher bedarf es sowohl innerhalb der Organisation als auch für externe Partner einer fehlerfreien Zertifikatausstellung. Anfang September erfahren Sie in unserem Intensiv-Seminar in Hamburg, was Sie beim Aufbau einer Public-Key-Infrastruktur unter Windows Server beachten müssen. Dabei zeigen wir unter anderem, wie Sie PKI-fähige Anwendungen identifizieren und eine Testumgebung aufbauen und konfigurieren. Zögern Sie nicht zu lange – und sichern Sie sich einen der letzten Restplätze für das Intensiv-Seminar! Abonnenten nehmen wie immer zum Vorzugspreis teil. [mehr]

Sicherheitslücke in systemd begünstigt Denial-of-Service-Attacken [30.07.2021]

Das Qualys Research Team hat eine schwerwiegende Sicherheitslücke in Linux-Betriebssystemen identifiziert. Für den den systemd-Daemon betreffenden Bug weit verbreiteter OS wie RHEL 8 und Debian 10 ist ein Patch verfügbar. [mehr]

Fachartikel

SOC-Grundlagen: Weniger Fehlmeldungen durch besseren Kontext [21.07.2021]

Wer als Sicherheitsspezialist in einem Security Operations Center arbeitet, der wird tagein, tagaus mit einer schier endlosen Flut an Meldungen konfrontiert. Jedoch sind nicht alle dieser Nachrichten wirklich sicherheitsrelevant, denn bei einem Großteil handelt es sich um Fehlalarme oder unwichtige Informationen. Der Artikel erklärt, wie mehr Datenkontext dabei helfen kann, zwischen echten Signalen und sogenanntem Rauschen zu unterscheiden, um dem Problem der Alarmmüdigkeit entgegenzuwirken. [mehr]

Buchbesprechung

Windows 10 Power-Tipps

von Günter Born

Anzeigen