Beiträge

Das leistet Microsoft Azure in Sachen Datenschutz

Spricht man mit Anwendern über das Thema Cloud, kommt meist ganz schnell der bestmögliche Datenschutz zur Sprache. Das gilt vor allem für US-zentrische Cloud-Anbieter wie Google und Microsoft, bei denen lieber zwei bis dreimal hingesehen wird, wie es um den Schutz der Daten in der Cloud-Umgebung bestellt ist. Da wir bei n-komm vor allem auf Microsoft Azure setzen, haben wir uns die zugehörigen Standards und Versprechungen seitens Microsoft genauer angesehen. Damit unsere Kunden ihre Daten und Anwendungen auch guten Gewissens in der Microsoft-Cloud ablegen können.

Eines ist sicher: Microsoft steckt viel Geld in die Sicherheit seiner Cloud-Umgebung. Von mehr als 1 Milliarde US-Dollar ist die Rede, und rund 3.500 Sicherheitsexperten sind tagtäglich damit beschäftigt, die Cloud-Plattform aus dem Hause Microsoft stets ein bisschen sicherer und robuster zu machen.

Dies geschieht unter anderem mithilfe des Azure Security Center. Damit lässt sich die Azure-Cloud-Umgebung bestmöglich schützen – egal, ob sie im Rechenzentrum bereitsteht oder komplett bei Microsoft oder in einer Kombination aus beidem. Damit lässt sich beispielsweise eine Bewertung vornehmen, die klar und schonungslos aufzeigt, wie es um die Sicherheit der eigenen Azure Cloud-Infrastruktur bestellt ist. Damit lassen fehlende Systemupdates, offene Zugriffspunkte und unverschlüsselte Datenpfade ermitteln.

Microsoft stellt für Compliance-Regularien nützliche Werkzeuge bereit

Wichtig im Kontext von Cloud-Umgebungen ist auch die Datensicherheit unter Compliance-Aspekten. Denn was nützt die sicherste Datenspeicherung, wenn länderspezifische Regularien missachtet werden. Daher unterstützt Microsoft mit Azure Compliance die volle Bandbreite an bekannten Regeln, die sowohl von regionaler als auch branchenspezifischer Bedeutung sind.

Dazu gehören die Regularien des IT-Grundschutzes genauso wie die DIN-Normen ISO 9001, ISO 27001 und andere mehr. Für die fehlerfreie Umsetzung spezieller Regeln stellt Microsoft hierfür eigens entwickelte Werkzeuge und Anleitungen zur Verfügung. Damit lassen sich die firmenrelevanten Regeln recht mühelos im eigenen Unternehmen umsetzen und implementieren. Ein Tool hierfür nennt sich Azure Policy.

Compliance Manager und Azure Site Recovery sorgen für noch mehr Datensicherheit

In diesem Kontext ist auch der Compliance Manager zu bewerten. Mit diesem Tool steht Ihnen ein Dashboard zur Verfügung, das Ihnen genau zeigt, ob und in welchem Umfang Ihr Unternehmen die erforderlichen ISO 27001- und DSGVO-Regularien im Bezug auf Office 365 und Microsoft Azure einhalten.

Interessant in diesem Zusammenhang ist auch das Disaster Recovery-Tool Azure Site Recovery. Damit lässt sich im Falle eines kleineren oder größeren IT-Schadens Ihre Cloud-Umgebung nahtlos weiternutzen, als ob nichts geschehen wäre. Hierfür wird eine Cloud-Instanz, bestehend aus Daten und Anwendungen, in einer regional entfernten Cloud-Umgebung repliziert. Das erlaubt das sofortige Weiterarbeiten, falls es einmal zum GAU kommen sollte. Diese Sicherheitsmaßnahme empfiehlt sich vor allem für unternehmenskritische Anwendungen und Daten, die stets zur Verfügung stehen sollen.

Weitere Informationen zu MicrosoftAzure: Business Cloud Tools – Microsoft Azure

E-Akte & IT-Sicherheit

Die E-Akte ist in aller Munde. Nur worauf ist zu achten wenn es um Datenschutz und die Sicherheit geht? Wir sagen es Ihnen. Eine Einführung der E-Akte kann nur erfolgen, wenn alle Beteiligten Ihre Einverständnis dazu erteilt haben. Zu berücksichtigen ist dabei auch, dass die Verarbeitung der Daten stets zweckgebunden erfolgen muss – die gesammelten Daten dürfen nicht freiweg für verschiedene Zwecke eingesetzt werden. Die Bestimmungen des Datenschutzes sind auch bei der E-Akte unbedingt zu berücksichtigen!

Daher ist es wichtig, den Datenschutzbeauftragten des Unternehmens oder der Behörde von Anfang an in die Umsetzung des Vorhabens einzubinden. Dieser wird die sogenannte Schutzbedarfsfeststellung vornehmen und festlegen, welche Maßnahmen einzuhalten sind. Zusätzlich müssen die verwendeten Systeme gegen Ausfall geschützt werden, außerdem gegen Datenverlust sowie gegen unberechtigten Zugriff. Idealerweise wird ein Sicherheitskonzept erstellt, das verschiedene Szenarien beinhaltet und so dem „worst case“ vorbeugt.

Bitte beachten: Weitere Aspekte für die Einführung der E-Akte

Die Einführung der E-Akte ist mit einem gewissen Zeitaufwand verbunden, der wiederum durch das gleichzeitige Bestehen von E-Akte und Papierakte gekennzeichnet ist. Teilweise müssen neue Lösungen und Abläufe gefunden werden bzw. werden bestehende Systeme angepasst. Dennoch ist der Zeitraum, in dem E-Akte und Papierakte nebeneinander geführt werden, meist recht lang. Damit dieses Hybridsystem funktioniert, müssen ganzheitliche Lösungen gefunden werden, die sich bestenfalls auf die gesamte Verwaltung beziehen und nicht als Insellösungen zum Einsatz kommen.

Problem Posteingang: E-Mails sollten in einem zentralen Posteingang landen und von dort aus an die zuständigen Stellen weitergeleitet werden. Das gilt auch für Papierpost, die eingescannt und an die zuständige Organisationseinheit weitergeleitet wird. In dem Zuge muss auf die Vernichtung von Originalunterlagen hingewiesen werden, dazu sollte es eine interne Regelung geben. Bei der elektronischen Erfassung der Post werden beschreibende Merkmale erfasst, die als Metadaten bezeichnet werden. Sie sind für die weitere Bearbeitung unerlässlich und werden später durch zusätzliche Angaben ergänzt.

Problem Postausgang: Das Problem des Postausgangs ist etwas komplexer – hier sollte bereits zu Beginn der Einführung der E-Akte eine Regelung zu den nötigen Maßnahmen vorliegen, nach denen eine Dokumentation der Kommunikationspartner und –formen erstellt werden kann. Regelungen zum Postausgang müssen intern getroffen werden, in jedem Fall sollte er aber zentral zusammenlaufen.

Aktenplan: Synonym zu einem bekannten Aktenplan für Papierakten sollte auch eine elektronische Variante vorliegen, wenn mit der E-Akte gearbeitet wird. Darin enthalten sein müssen die Aufbewahrungsfristen. Zu Beginn des Projekts wird der Aktenplan nur grob erstellt, die weiteren Details werden nach und nach eingearbeitet. Der Aktenplan der Verwaltung kann für die elektronische Variante angepasst und ergänzt werden. Auf der Grundlage eines umfassenden Aktenplans lässt sich ein Dokumenten-Managementsystem einrichten, mit dem die Dateiablage erfolgt.

Speicherung über lange Zeit: Digitale Dokumente werden einer Langzeitspeicherung unterzogen, um die Daten vor Zerstörung und Änderung zu schützen. Wichtig ist dabei, dass die Echtheit der Unterlagen jederzeit nachgewiesen werden kann. Hierbei kann ein Archivierungssystem für E-Mails hilfreich sein: Es archiviert alle E-Mails, noch ehe sie an den zuständigen Bearbeiter weitergeleitet werden. Dieses Archiv kann nicht mehr verändert werden. Sind die Aufbewahrungsfristen verstrichen, erhält die Archivbehörde Akten und Dokumente zur weiteren Verarbeitung. Dort wird das Schriftgut gesichtet und weiterhin aufbewahrt. Wichtig: Die übermittelten Daten sollten in einem Format gespeichert werden, das nicht an eine bestimmte Technologie gebunden ist, denn neue Technologien werden die heute gängigen Varianten ablösen.

Akteneinsicht: Die Einsicht in eine E-Akte ist verständlicherweise deutlich einfacher möglich als bei der Papiervariante. Wird die Akte oder werden Auszüge daraus an Dritte übermittelt, muss auf eine sichere Übertragung geachtet werden. Auch über Identifizierungsmöglichkeiten des Empfängers muss hier nachgedacht werden, eine Autorisierung zum Abruf der Daten ist nötig.

Projektmarketing: Ebenfalls in die Vorüberlegungen kann das Marketing einbezogen werden. Dieses dreht sich um die E-Akte selbst, um deren Nutzen und um die Maßnahmen zur Einführung. Wird das Vorhaben in der Presse positiv dargestellt – und gibt es bereits tatsächlich positive Beispiele -, so motiviert dies auch die Mitarbeiter und überzeugt sie eher von dem Vorhaben. Der Bereich der Öffentlichkeitsarbeit darf hier nicht unterschätzt werden, denn er sorgt unternehmensintern und –extern dafür, dass die Behörde oder Einrichtung im Gespräch bleibt. Im positiven Sinne natürlich und als Vorreiter bei elektronischen Neuerungen. Im Hinblick auf Marketingmaßnahmen sei vor allem der Aspekt der Sicherheit hervorgehoben, denn auf diesen achten die Empfänger der Marketingaktionen besonders. Sie müssen davon überzeugt werden, dass die E-Akte nicht nur praktisch, sondern auch sicher ist.