Sicherheitslücken und ungenügender Datenschutz: Microsoft patzt bei Office 365
Microsoft Office 365 ist ein Erfolgsbeispiel für ein cloudbasiertes Geschäftsmodell. Immer mehr Unternehmen und auch private Anwender nutzen die Office-Apps als „Software as a Service“ (SaaS). Doch Microsoft schlampt bei der Umsetzung von Datenschutzrichtlinien und hält sich nicht an bewährte Sicherheitsvorgaben.
Was bietet Microsoft Office 365 seinen Kunden?
Neben der Möglichkeit, auf Office-Anwendungen über eine Vielzahl von Betriebssystemen zuzugreifen, erhalten Nutzer Speicherplatz auf dem Datei-Hosting-Dienst OneDrive, sowie Zugriff auf die E-Mail- und Aufgabenverwaltungsanwendung Outlook. Darüber hinaus können die Anwendungen Excel, Word und PowerPoint genutzt werden. Allerdings sind nicht alle Office-365-Abonnements gleich. Deshalb sollten sich Unternehmen mit den verschiedenen Abonnementmodellen vertraut machen und prüfen, welcher Plan für ihre Zwecke geeignet ist. Im Zuge dessen müssen sie sich auch mit dem Thema „Cloud-Datenschutz“ auseinandersetzen.
Sicherheitslücken und mangelhafter Datenschutz
Eine verblüffende Sicherheitslücke ist, dass Office 365 beim ersten Anmelden das Kennwort des Nutzers im Klartext und nicht verschlüsselt übermittelt. Bei einem zwischengeschalteten Proxy lässt sich das gewählte Kennwort ohne Weiteres auslesen. Darüber hinaus kommt das Kennwort bei den Servern vom Microsoft ebenfalls im Klartext an.
Außerdem widersetzt sich Microsoft gegen geltende Datenschutzbestimmungen, da Office 365 noch vor der Zustimmung zur zugehörigen Einverständniserklärung Telemetriedaten an Microsoft sendet. Darüber hinaus ignoriert die Software getroffene Einstellungen des Betriebssystems. Hierbei handelt es sich um Informationen zu aufgerufenen Programmen, geöffneten Dokumenten und verwendeten Vorlagen – also personenbezogene Daten. Laut DSGVO bedarf es hierzu der expliziten Zustimmung des Nutzers.
Wie können Unternehmen das Security-Problem lösen?
Mehrere der Office-365-Sicherheitsfeatures bieten Verschlüsselung, einschließlich Customer Key, der es Administratoren ermöglicht, ihre eigenen Schlüssel für die serverseitige Verschlüsselung von Data at Rest zu importieren. Allerdings hat Microsoft weiterhin den Zugriff auf die Verschlüsselungscodes. Dies bedeutet wiederum, dass die US-Behörden auf das System zugreifen können.
Die alleinige Kontrolle über sensible Daten kann lediglich mit einer zentralen Datenschutzplattform erreicht werden, die eine zusätzliche Verschlüsselungsebene mit intelligenten Key-Management-Funktionen bietet. Zu beachten ist, dass die zentrale Plattform lediglich dem Kunden die alleinige Kontrolle über die kryptografischen Schlüssel gewährt und starke Verschlüsselungsmethoden für Daten in Use, in Transit und at Rest nutzt. Darüber hinaus sollten Unternehmen darauf achten, dass die eingesetzte Lösung alle Office-365-Funktionen unterstützt, so dass keine Einbußen bei der Nutzung auftreten.
