Wie geht man mit geklauten (Microsoft-) Schlüsseln um?

Data Privacy von Ioannis Dimas

Roter Zahlencode wird von geheimen Leitungen abgezapft.
Chim/Shutterstock.com

Bei Microsoft kam ein Schlüssel abhanden, zugegebenermaßen keiner aus Metall wie für ein Haustürschloss – nur digital, aber eben doch ein Schlüssel.

Wie Microsoft nun häppchenweise kommuniziert, nicht nur irgendein Schlüssel, sondern ein Generalschlüssel – Sie wissen schon, wie der aus Metall, mit dem sich mehrere unterschiedliche Schlösser öffnen lassen – Haustüre, Wohnungstüre, Tiefgarage, Heizungskeller etc. – eine Art Masterkey wie der ITler sagt.

Mit diesem Masterkey könnten somit alle möglichen Microsoft-Cloud-Dienste und Anwendungen wie Teams, Sharepoint, Exchange etc. sperrangelweit offengestanden haben. Beklemmend dabei sind mehrere Aspekte. Zum einen die doch sehr sparsame Informationspolitik von Microsoft, in Form von ungenauen Aussagen, zum anderen, ob die Schwachstellen ausgenutzt wurden und in welchem Umfang Informationen wie lange etc. unbefugten Dritten zur Verfügung standen. Wenn man die Analysen von Sicherheitsexperten zu diesem Thema in der Fachpresse verfolgt, ist das flaue Gefühl im Magen sofort da.

Was bedeutet das in der Theorie?

Irgendwann im Leben hat jeder gelernt, dass der Verlust eines Schlüssels, eine massive Sicherheitslücke darstellt und sofortiges Handeln erfordert, in Form von Austausch der Türschlösser.

Wie verhält sich ein Mensch in der privaten Realität?

Es wird sofort ein Schlüsseldienst beauftragt, die betroffenen Schlösser werden durch (nach Möglichkeit) bessere ausgeauscht und die übrigen Nutzer der Schließanlage werden informiert. Wenn es ein Generalschlüssel ist und der Austausch der Schließanlage notwendig sein sollte, ist es gut, eine Versicherung zu haben - ansonsten wird es teuer - ist aber unumgänglich, da die übrigen Nutzer der Schließanlage auf die Behebung achten.

Wie wird meist im beruflichen Umfeld reagiert?

Wenn es ein "Metallschlüssel" ist - dann wie oben beschrieben. Wenn es aber ein (abstrakter) digitaler Masterkey von Microsoft ist, wird es für außenstehende etwas merkwürdig – es passiert tatsächlich nicht wirklich viel – eher gar nichts. Die Meldung wird zur Kenntnis genommen, mit einem Achselzucken - wenn überhaupt. Frei nach dem Motto "Microsoft wird es schon irgendwie richten. Und alle Anderen sitzen doch im gleichen Boot."

Soweit Theorie und Wirklichkeit!

Doch was bedeutet dies nun für den Nutzer der Clouddienste von Microsoft?

Microsoft ist vertraglich gesehen Auftragnehmer und nach Art. 28 DS-GVO hat Microsoft einen Vertrag zur Auftragsverarbeitung. Verantwortlich für die Datenverarbeitung sind dann doch die einzelnen beauftragenden Unternehmen. Daten wurden nun beim Auftraggeber geleakt, bzw. es gab/ gibt einen Sicherheitsvorfall im Zusammenhang mit personenbezogenen Daten.

Betroffene müssen sich aber auch andere Fragen stellen:

  • Muss es möglicherweise der Aufsichtsbehörde gemeldet werden – Stichwort "Art. 33 DSGVO – Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde"?
  • Hätten die betroffenen Personen nicht informiert werden müssen?
  • Müssen Maßnahmen ergriffen werden, um zukünftig ähnliche Schwachstellen zu vermeiden?
  • ...

Bei einem anderen Dienstleister wären diese Fragen aufgekommen und der Prozess zum Umgang mit Datenpannen wäre von den Verantwortlichen im Unternehmen ausgeführt worden:

  • Analyse des Vorfalls
  • Dokumentation, des Ereignisses und getroffenen Gegenmaßnahmen
  • Meldung an die zuständige Aufsichtsbehörde für den Datenschutz
  • Information an die Betroffenen Personen
  • Umsetzung der Gegenmaßnahmen
  • Schulung der Mitarbeiter

Unsere Empfehlung

  • Sprechen Sie das Thema mit Ihrem Datenschutzbeauftragten und den Verantwortlichen für IT-Sicherheit an.
  • Besprechen Sie, wie mit diesem Sachverhalt oder ähnlichen umgegangen werden soll.
  • Führen Sie Risikobewertungen oder Datenschutzfolgenabschätzungen in Absprache mit Ihrem Datenschutzbeauftragten durch.
  • Überprüfen Sie regelmäßig / zyklisch die Einhaltung der mit Ihren Dienstleistern geschlossenen Vereinbarungen zur Auftragsverarbeitung.
  • Bevor Sie Onlinedienste oder andere Dienstleistungen beauftragen, oder in Anspruch nehmen, prüfen Sie, ob diese konform der DS-GVO sind oder durch Dienste von EU ansässigen Dienstleistern substituieren werden können. Das Argument: "Das setzen doch alle ein", sollte nicht das Hauptargument für die Auswahl sein, sondern tatsächliche nachvollziehbare Anforderungen.

Sprechen Sie uns zu den Themen IT-Sicherheit und Datenschutz an, wir stehen Ihnen gerne zur Verfügung. Für Risikobewertungen und der Erstellung notwendiger Dokumentationen stellen wir unseren Kunden, unser Onlinetool EDIRA zur Verfügung – legen Sie sich einen Testaccount an und überzeugen Sie sich von den angebotenen Funktionen.

Kontaktieren Sie uns

Sie sind Ihrer digitalen Souveränität bereits einen großen Schritt näher gekommen.

Wir freuen uns auf Ihr Interesse und Ihre Fragen.

Was ist die Summe aus 8 und 4?
Diese Anfrage ist für Sie unverbindlich und keine Zahlungsmittel sind notwendig.
eteslogo4

Autoren

Markus Espenhain

Unser Geschäfts­führer und Gründer ist für die Strategie und den Kontakt zu Kunden & Partnern verantwortlich. Im Blog stellt er Ihnen neue Partnerschaften und Unternehmens-News vor.

Markus Espenhain Portrait

Ioannis Dimas

Datenschutz und Informationssicherheit sind seine Herzensangelegenheit. Er berät Unternehmen zu diesen Themen und kann viel dazu berichten.

Ioannis Dimas Portrait

Chantal Nußbaum

In den Bereichen Datenschutz und Informationssicherheit liegt ihr Schwerpunkt. Durch Fortbildungen ist sie immer auf dem neusten Stand der Gesetze.

Christian Gleich

Sein Schwerpunkt liegt in dem Kontakt zu Kunden. Durch seine tägliche Arbeit mit unserem gesamten Produktportfolio landen Neuigkeiten immer zuerst bei ihm.