Wie geht man mit geklauten (Microsoft-) Schlüsseln um?

Was bedeutet das in der Theorie?

Irgendwann im Leben hat jeder gelernt, dass der Verlust eines Schlüssels, eine massive Sicherheitslücke darstellt und sofortiges Handeln erfordert, in Form von Austausch der Türschlösser.

Wie verhält sich ein Mensch in der privaten Realität?

Es wird sofort ein Schlüsseldienst beauftragt, die betroffenen Schlösser werden durch (nach Möglichkeit) bessere ausgeauscht und die übrigen Nutzer der Schließanlage werden informiert. Wenn es ein Generalschlüssel ist und der Austausch der Schließanlage notwendig sein sollte, ist es gut, eine Versicherung zu haben - ansonsten wird es teuer - ist aber unumgänglich, da die übrigen Nutzer der Schließanlage auf die Behebung achten.

Wie wird meist im beruflichen Umfeld reagiert?

Wenn es ein "Metallschlüssel" ist - dann wie oben beschrieben. Wenn es aber ein (abstrakter) digitaler Masterkey von Microsoft ist, wird es für außenstehende etwas merkwürdig – es passiert tatsächlich nicht wirklich viel – eher gar nichts. Die Meldung wird zur Kenntnis genommen, mit einem Achselzucken - wenn überhaupt. Frei nach dem Motto "Microsoft wird es schon irgendwie richten. Und alle Anderen sitzen doch im gleichen Boot."

Soweit Theorie und Wirklichkeit!

Doch was bedeutet dies nun für den Nutzer der Clouddienste von Microsoft?

Microsoft ist vertraglich gesehen Auftragnehmer und nach Art. 28 DS-GVO hat Microsoft einen Vertrag zur Auftragsverarbeitung. Verantwortlich für die Datenverarbeitung sind dann doch die einzelnen beauftragenden Unternehmen. Daten wurden nun beim Auftraggeber geleakt, bzw. es gab/ gibt einen Sicherheitsvorfall im Zusammenhang mit personenbezogenen Daten.

Betroffene müssen sich aber auch andere Fragen stellen:

• Muss es möglicherweise der Aufsichtsbehörde gemeldet werden – Stichwort "Art. 33 DSGVO – Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde"?
• Hätten die betroffenen Personen nicht informiert werden müssen?
• Müssen Maßnahmen ergriffen werden, um zukünftig ähnliche Schwachstellen zu vermeiden?
• ...

Bei einem anderen Dienstleister wären diese Fragen aufgekommen und der Prozess zum Umgang mit Datenpannen wäre von den Verantwortlichen im Unternehmen ausgeführt worden:

• Analyse des Vorfalls
• Dokumentation, des Ereignisses und getroffenen Gegenmaßnahmen
• Meldung an die zuständige Aufsichtsbehörde für den Datenschutz
• Information an die Betroffenen Personen
• Umsetzung der Gegenmaßnahmen
• Schulung der Mitarbeiter

Unsere Empfehlung

• Sprechen Sie das Thema mit Ihrem Datenschutzbeauftragten und den Verantwortlichen für IT-Sicherheit an.
• Besprechen Sie, wie mit diesem Sachverhalt oder ähnlichen umgegangen werden soll.
• Führen Sie Risikobewertungen oder Datenschutzfolgenabschätzungen in Absprache mit Ihrem Datenschutzbeauftragten durch.
• Überprüfen Sie regelmäßig / zyklisch die Einhaltung der mit Ihren Dienstleistern geschlossenen Vereinbarungen zur Auftragsverarbeitung.
• Bevor Sie Onlinedienste oder andere Dienstleistungen beauftragen, oder in Anspruch nehmen, prüfen Sie, ob diese konform der DS-GVO sind oder durch Dienste von EU ansässigen Dienstleistern substituieren werden können. Das Argument: "Das setzen doch alle ein", sollte nicht das Hauptargument für die Auswahl sein, sondern tatsächliche nachvollziehbare Anforderungen.

Sprechen Sie uns zu den Themen IT-Sicherheit und Datenschutz an, wir stehen Ihnen gerne zur Verfügung. Für Risikobewertungen und der Erstellung notwendiger Dokumentationen stellen wir unseren Kunden, unser Onlinetool EDIRA zur Verfügung – legen Sie sich einen Testaccount an und überzeugen Sie sich von den angebotenen Funktionen.