Was Digitalisierungsbeauftragte während der letzten Jahre nicht geschafft haben, ist innerhalb weniger Monate einem kleinen Virus gelungen. Inklusive sämtlicher Nebenwirkungen wie der ungebremsten Verbreitung von Kollaborations-Werkzeugen à la Microsoft Teams. So meldete Microsoft alleine im April 2020 einen Anstieg der Teams-Nutzerzahlen von 20 Millionen auf gewaltige 75 Millionen. Da stellt sich zwangsläufig diese eine Frage: Wie ist es angesichts dieser exponentiellen Zunahme um die Sicherheit rund um Microsoft 365 im Allgemeinen und Microsoft Teams im Speziellen bestellt?
[irp posts=“156879″ ]
Microsoft Teams: datenschutzkonform oder nicht?
Hört man sich bei Sicherheitsanbietern wie die eperi GmbH um, scheinen dort erhebliche Zweifel vorzuherrschen, was die Datenschutzkonformität von Microsoft Teams betrifft. Microsoft behauptet zwar, dass der Einsatz ihrer Kollaborationsplattform unter Datenschutzaspekten bedenkenlos sei. Doch schenkt man zum Beispiel der Berliner Aufsichtsbehörde Glauben, ist die Anwendung von Microsoft Teams nicht ganz so unproblematisch, wie Redmond behauptet. So weist die Anwendung diverse Sicherheitsmängel auf und kann daher nicht ohne Weiteres als datenschutzkonform bezeichnet werden.
Ganz ähnlich sieht es übrigens auch der europäische Datenschutzbeauftragte Wojciech Wiewiórowski. Der kommt in seinem 30 Seiten langen Bericht zu dem Schluss, dass Microsoft und der Datenschutz nicht unbedingt die allerbesten Freunde sind.
[irp posts=“32285″ name=“Office 365-Umgebungen mithilfe von eperi DSGVO-konform absichern“]
Europäischer Gerichtshof (EuGH): US-Server sind nicht datenschutzkonform
Das Ganze wird angesichts des Privacy Shield-Urteils des EUGH erschwert, da Brüssel (in Einklang mit dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg) klarstellte, dass US-basierte Cloud Service Provider mit den eigenen vorhandenen Mitteln den Zugriff durch die US-amerikanischen Geheimdienste nicht effektiv verhindern können. Hierfür wäre nämlich eine Verschlüsselung erforderlich, bei der nur der Datenexporteur den Schlüssel besitzt sowie die Verschlüsselung kontrolliert, und sonst niemand.
Entscheidend in diesem Zusammenhang ist also die Forderung, dass die US-Geheimdienste keinen Zugriff auf die unverschlüsselten Daten erlangen können. Das bedeutet jedoch im Umkehrschluss, dass die Cloud Service Provider selbst nicht verschlüsseln dürfen, da sie ja andernfalls Zugriff auf die unverschlüsselten Daten hätten.
[irp posts=“34708″ ]
Microsoft 365 + Teams werfen datenschutzrechtliche Fragen auf
Da Microsoft als US-Cloud-Anbieter von amerikanischen Behörden zur Datenherausgabe gezwungen werden kann (weshalb unter anderem das Privacy Shield-Abkommen gekippt wurde), muss sichergestellt sein, dass das amerikanische Unternehmen aus der Sicht europäischer Anwender und Firmen zu keinem Zeitpunkt Zugriff auf die unverschlüsselten Daten seiner Kunden hat. Denn nur so können Cloud-Anwender sicher sein, dass nur sie die alleinige Kontrolle über ihre Daten haben und diese rechtskonform gespeichert bzw. ausgetauscht werden. Was Microsoft ansonsten aufgrund der aktuellen Rechtsprechung nicht gewährleisten kann.
Datenschutzkonforme Verschlüsselungslösungen für Microsoft Teams
Was liegt also angesichts des Microsoft-Cloud-Datenschutz-Dilemmas näher, als über eine Verschlüsselungslösung nachzudenken, die für DSGVO-konforme Daten und Verbindungen sorgt, gerade im Kontext von Microsoft 365 und seiner Kollaborationsanwendung Microsoft Teams? Hierzulande bieten drei Firmen eine hierfür passende Lösung an: Secomba GmbH (Anbieter von Boxcryptor), Rohde & Schwarz Cybersecurity GmbH und eperi GmbH.
Alle drei Sicherheitstools ähneln sich bei der Preisgestaltung, in Sachen Leistungsumfang und Funktionen für mehr Teams-Sicherheit unterscheiden sich die Anbieter jedoch teils recht deutlich.
[irp posts=“32381″ name=“Cloud-Daten mit eperi Gateway vollumfänglich und wirksam schützen“]
Boxcryptor: Günstiger Datenschutz für kleinere Unternehmen und Privatanwender
Die Boxcryptor-App von Secomba klinkt sich als Plugin in Microsoft Teams beim Anwender ein, womit sie intransparent für den Benutzer ist und der Standard-Workflow teilweise gestört wird. Folge: Die Anwender müssen umlernen. Hinzu kommt, dass weder Teams-Mail, und -Kalender noch die Chat-, Channel- und Gruppen-Nachrichten verschlüsselt werden, da ausschließlich eine Dateiverschlüsselung stattfindet. Zudem fehlt aufgrund des Plugins die Suchfunktion, und Office Online wird auch nicht unterstützt.
Für 8 Euro pro Monat und Anwender ist Boxcryptor eine recht günstige Sicherheitslösung, stellt aber nicht die notwendige Datensicherheit bei der Benutzung von Microsoft Teams her.
R&S Cybersecurity: eingeschränkter Datenschutz für Firmen und Behörden
Mit ihrem Sicherheitstool „R&S Trusted Gate – Solution for Office 365“ will Rohde & Schwarz Cybersecurity die Daten sämtlicher Microsoft 365-Lösungen verschlüsseln, und das auf Basis einer Proxy-Lösung. Hierbei wird zunächst die Originaldatei verschlüsselt und fragmentiert, womit sie sich auf mehreren Servern und/oder Cloud-Instanzen ablegen lässt. So weit, so gut.
Allerdings macht es das R&S Trusted Gate seinen Anwendern nicht unbedingt leicht. So steht für die Suche ein eigenes Plugin bereit, was erst einmal ein Umdenken und Umlernen erfordert. Zudem werden ähnlich wie bei Boxcryptor nur die Cloud-Dateien verschlüsselt, nicht aber die Teams-nahen Anwendungen bzw. Verbindungen. Heißt konkret: Mail, Kalender sowie sämtliche Nachrichten sind vor fremden Blicken ungeschützt.
Preislich lässt sich zu R&S Trusted Gate leider nichts sagen, da sich die Kalkulation am jeweiligen Projekt orientiert. Zur Zielgruppe zählen vor allem Enterprise-Kunden sowie öffentliche Einrichtungen und Behörden.
eperi Gateway: Rundum-Datenschutz auf EuGH-Niveau
Einen ganz anderen Weg beschreitet die eperi GmbH. Deren Verschlüsselungslösung wird auch als Proxy an zentraler Stelle des Unternehmens, in der Cloud und bei Partnern wie der Deutschen Telekom gehostet.
Das eperi Gateway verschlüsselt – wie Boxcryptor und R&S Trusted Gate auch – sämtliche Dateien. Zusätzlich werden sämtliche Kommunikationswege der Teams-nahen Anwendungen wie Mail, Kalender und die Nachrichten-Tools verschlüsselt, und das in Echtzeit.
Das heißt: Mit dem eperi Gateway machen sich während der Teams-Nutzung keinerlei Einschränkungen bemerkbar, da kein Plugin oder Ähnliches zum Einsatz kommt. Damit lässt sich die Suchfunktion wie gewohnt nutzen. Zudem werden die Inhalte bereits vor dem Transfer in die Cloud verschlüsselt bzw. pseudonymisiert, womit sie vor fremden Blicken jederzeit geschützt sind. Zudem sichert das eperi Gateway sämtliche Desktop-, Web- und Mobil-Applikationen ab und ist vollständig in die Plattformen Microsoft OneDrive, SharePoint und Outlook/Exchange integriert.
Fazit: Vollständiger Datenschutz nur mit eperi
Zusammenfassend lässt sich also sagen, dass vor allem kleinere Firmen mit weniger als 50 Mitarbeitern oder Privatpersonen mit dem Boxcryptor-Teams-Schutz gut bedient sind. R&S sowie eperi haben eher Enterprise-Kunden und Behörden im Fokus. Nutzt man Microsoft Teams ausschließlich zum Austausch von Dateien, sind alle drei Lösungen unter rechtlichen Aspekten ein probates Mittel.
Sollen allerdings auch die Kollaborationskanäle wie Chat, Kalender, Mail, etc. in Verbindung mit Microsoft Teams eingesetzt werden, stellt aktuell ausschließlich das eperi Gateway in Kombination mit eperi Cloud Data Protection für Microsoft Teams eine vollkommen sichere Lösung dar.
Disclaimer: Diesen Blogbeitrag habe ich gemeinsam MIT der Firma eperi FÜR eperi verfasst.