Sicherheitseinstellungen

Sicherheitseinstellungen

Der Leitfaden des Datenschützers des Kantons Zürich verlangt, dass mit der Nutzung von Microsoft 365 folgende Konzepte erarbeitet werden:

  • Datenklassifizierung
  • Nutzungskonzept
  • Berechtigungskonzept

Es empfiehlt sich, diese Konzepte mit einem Partner detailliert auszuarbeiten, regelmässig zu überprüfen und die Benutzenden entsprechend zu informieren.

Empfohlene Einstellungen für Microsoft 365-Dienste

Leider müssen die notwendigen Datenschutz- und Sicherheitseinstellungen in mehreren Admin Centern separat konfiguriert werden. Microsoft ist daran, vermehrt Einstellungen in die neuen Security und Compliance Center zu übertragen. Wir geben folgend ein paar Empfehlungen weiter, die Liste ist jedoch nicht abschliessend:

  • Deaktivierung der Erfassung von Telemetriedaten durch die Office-Applikationen
    Diese Richtlinien werden durch Office Cloud Policies unter https://config.office.com konfiguriert.
  • Microsoft Whiteboard Telemetriedaten deaktivieren
    Befindet sich im Microsoft 365 Admin Center unter den Einstellungen.
  • Endbenutzerkommunikation von Microsoft deaktivieren
    Befindet sich im Microsoft 365 Admin Center unter den Einstellungen.
  • Kennwortablauf definieren und wie mit vergessenen Passwörtern umgegangen wird
    Nur Lehrpersonen sollten ihr eigenes vergessenes Kennwort zurücksetzen können, da diese Funktion eine alternative E-Mail-Adresse und eine Mobiltelefonnummer verlangt.
  • Aktivierung Audit Log
    Das Audit Log protokolliert alle Aktivitäten der Benutzenden während 60 Tagen. Es muss im Security Center aktiviert werden.
  • Zugriff auf das Azure Active Directory einschränken
    Alle Benutzenden des Tenants können im Active Directory die Attribute aller Benutzenden und Gruppen einsehen. Dies muss zwingend deaktiviert werden.
  • Zuweisung der Lizenzen über Gruppenmitgliedschaften
    Diese Einstellung kann im Azure Active Directory bei den Lizenzen vorgenommen werden. Auf diese Weise werden die Lizenzen immer gleich zugeteilt und nur die gewünschten Dienste aktiviert. Neue Dienste, die noch nicht genutzt werden sollen, können mit wenigen Klicks für alle Benutzenden deaktiviert werden.
  • Teilen Links in SharePoint online, OneDrive for Business und Teams anpassen
    Die Teilen Links generieren standardmässig immer einen anonymen Zugang auf Dokumente und Ordner. Diese Standardeinstellung sollte zwingend geändert werden, sodass man bewusst auswählen muss, wem man ein Dokument oder einen Ordner freigeben möchte und sich diese Personen auch für den Zugriff anmelden müssen. Anonyme Links sollten nicht vollständig deaktiviert werden. Gerade für die Freigabe an Eltern ist diese Funktion sehr praktisch.
  • Erstellung von Verteilerlisten
    Das Erstellen von Verteilerlisten und somit Generieren von E-Mail-Adressen durch die Benutzenden sollte in Exchange online in den Benutzerrichtlinien deaktiviert werden.
  • Globale Adressbücher
    Exchange online generiert automatisch ein globales Adressbuch für alle Benutzenden des Tenants. Dies bedeutet, dass man einfach nach anderen Benutzenden im Verzeichnis suchen und sie anschreiben kann. In mittleren und grösseren Schulen sollte für die Lernenden ein separates Adressbuch erstellt werden, sodass sie nur die Lernenden des eigenen Schulhauses sehen.
  • Unternehmensweite Kanäle in Stream
    Alle Benutzenden können in Stream unternehmensweite Kanäle (Kategorien) erstellen und Filme zuteilen. Dies sollte auf die PICTS-Gruppe eingeschränkt werden.
  • Freigabe von Filmen in Stream
    Alle hochgeladenen Filme sind standardmässig für alle Benutzenden des Tenants sichtbar. Diese Einstellung muss angepasst werden, sodass man einen Film bewusst an Benutzende oder Gruppen freigibt.

Microsoft Teams Richtlinien

In Microsoft Teams können unterschiedliche Richtlinien für Rollengruppen konfiguriert werden. Diese Funktion sollte genutzt und so unterschieden werden, welche Möglichkeiten die Lernenden haben. Folgend ein paar allgemeine Empfehlungen für Teams:

  • Referentinnen/Referenten in Konferenzen
    In den Besprechungsrichtlinien kann konfiguriert werden, dass nur die/der Konferenzorganisatorin/organisator standardmässig Referentenberechtigungen hat. Alle weiteren Benutzende sind Teilnehmende. Diese Einstellung wurde aufgrund von Erfahrungen aus dem Lockdown 2020 hinzugefügt, da die Lernenden Lehrpersonen stummgeschaltet, aus der Konferenz entfernt, weitere Lernende hinzugefügt und den eigenen Bildschirm geteilt haben.
  • Konferenzaufnahmen
    Das Aktivieren von Aufnahmen in Konferenzen sollte auf die Lehrpersonen beschränkt werden.
  • Nachrichten löschen
    Das Löschen von Nachrichten von anderen Benutzenden in einem Teams Chat sollte für die Lehrpersonen aktiviert werden.
  • Teams Apps
    Nicht benötigte oder Drittanbieter-Apps sollten möglichst deaktiviert oder nur ausgewählt zugelassen werden. Drittanbieterapps gewährleisten nicht den gleichen Datenschutz wie Microsoft und können zu unerwarteten Kosten führen.
  • Externer- und Gastzugriff
    Die mit der Aktivierung und Konfiguration des Externen- und Gastzugriffs ist mit Risiken verbunden. Grundsätzlich sollte dieser nicht einfach deaktiviert werden, da die Funktionen ihre Daseinsberechtigung haben. Zum Beispiel für die Zusammenarbeit und Kommunikation mit den Eltern und Lehrpersonen anderer Schulen. Allenfalls schränkt man aber jedoch ein, wer Gäste einladen kann und welche Domains externer Benutzer für die Kommunikation zugelassen werden.
  • Externe Cloudspeicher
    Alle externen Cloudspeicher, die in Teams integriert werden könnten, müssen aus Datenschutzgründen deaktiviert werden.
  • Verzeichnissuche
    Die Suche nach anderen Benutzenden kann aufgrund der globalen Adressbücher aus Exchange online eingeschränkt werden. Man muss in diesem Fall die vollständige E-Mail-Adresse einer Benutzerin/eines Benutzers kennen, damit man sie/ihn anschreiben kann. In mittleren und grösseren Schulen sollte dies zwingend aktiviert werden, damit ein Cyber-Mobbing in Teams erschwert wird.

Azure Active Directory-Sicherheit

Das Azure Active Directory beinhaltet bereits einige Sicherheitsstandards, damit Angriffe auf Benutzende erfolgreich abgewehrt werden können. So werden Anmeldeversuche inkl. IP-Adresse und möglichem Standort erfasst und notfalls Benutzende gesperrt, falls zu viele verdächtige Anmeldeversuche auftreten. Diese Funktionalitäten können mit ausführlicheren Berichten, Alarmierungen und Schutzmassnahmen erweitert werden. Es benötigt dazu jedoch zusätzliche, kostenpflichtige Lizenzen (mind. Azure AD Premium P1).

2-Faktor-Authentifizierung

Der Leitfaden des Datenschützers des Kantons Zürich empfiehlt, dass die 2-Faktor-Authentifizierung für Administratoren, Lehrpersonen und Mitarbeitende der Schulen aktiviert wird, sobald besondere Personendaten gespeichert werden. Die Azure AD Multi Factor Authentication ist für Schulen in der Basisfunktionalität kostenlos. Die Benutzenden benötigen in diesem Fall ein Smartphone für den Empfang eines Codes per SMS oder Telefonanruf. Für den Telefonanruf kann auch ein Telefon in der Schule registriert werden. Dies beschränkt die Nutzung jedoch auf die Schule. Die bedeutend benutzerfreundlichere Variante ist die Installation der Microsoft Authenticator App auf dem eigenen Smartphone. Nach der Konfiguration können alle Anmeldungen über eine Push-Mitteilung der App bestätigt oder abgelehnt werden.

Daten unter dem Berufsgeheimnis

Falls Daten, die unter dem Berufsgeheimnis stehen, gespeichert werden sollen, müssen die sogenannte Customer Lockbox und der Customer Key konfiguriert werden. Das bedeutet, dass die Schule einen eigenen Schlüssel für die Verschlüsselung aller Daten generiert und sicher vor einem Zugriff durch Microsoft ablegt. Microsoft hat somit keinen Zugriff mehr auf die Daten. Diese Konfiguration lohnt sich nur für grössere Schulen, die zusammen mit einem Partner das notwendige Wissen aufbringen können. Es benötigt zusätzliche, kostenpflichtige Lizenzen.

Backup

Obwohl Microsoft mehrere Sicherheitseinstellungen hat, sodass keine Daten verloren gehen können, empfiehlt es sich, ein separates Backupkonzept zu erstellen.
Die folgende Liste zeigt die bereits verfügbaren Mechanismen, damit einem Datenverlust vorgebeugt werden kann:

  • Dokumentversionierung (max. 500 Versionsstände pro Dokument)
  • Papierkorb in OneDrive for Business, SharePoint online und Teams (max. 180 Tage pro Datei)
  • Zweiter Papierkorb in Outlook (max. 30 Tage pro Element. Es werden jedoch keine Daten aus dem ersten Papierkorb automatisch gelöscht.)
  • Retention Policy (Verhinderung von Löschungen durch Benutzende)
  • Georedundanz und lokal im Datencenter. (Eine Datei ist immer dreimal pro Datencenter gespeichert und in ein georedundantes Datencenter gespiegelt.)

Mittlerweile gibt es mehrere Backupsoftwarehersteller, die auch diverse Microsoft 365-Daten entweder in der Cloud oder lokal sichern können. Einige Hersteller:

  • Mount10
    Schweizer Backupanbieter mit Datencentern in ehemaligen Armeebunkern.
  • Veeam Backup for Office 365
    Tool, das auf einem Windows-Gerät installiert werden muss und lokal auf eine Festplatte oder ein NAS sichert. Für bis zu 10 Benutzenden ist das Backup kostenlos. Danach fallen jährliche Benutzerlizenzen an.
  • Synology NAS
    Diverse NAS-Speicher des Herstellers Synology bieten ein Backuptool ohne zusätzliche Lizenzkosten an.

Die Backupanbieter können normalerweise folgende Daten sichern und wiederherstellen:

  • E-Mail-Nachrichten inkl. Anhänge, Termine und Kontakte aus Exchange online
  • Dokumente, Listen und OneNote-Notizbücher aus OneDrive for Business, SharePoint online und Teams
  • Teams Chatnachrichten (eingeschränkt)

Aufgrund der Kosten muss genau geplant werden, welche Daten wie lange gesichert werden. Es lohnt sich aber für Schulen aller Grösse, eine Backuplösung anzuschaffen.