In diesem Beitrag nehmen wir den Artikel „M365 in der Anwaltskanzlei: So geht es“ von David Rosenthal (lic. iur., Partner bei VISCHER, Lehrbeauftragter ETH Zürich und Universtität Basel) genauer unter die Lupe. Der Autor geht darin sehr deutlich auf die Chancen & Risiken der Microsoft Cloud ein und berücksichtigt dabei die wichtigsten Faktoren für Anwaltskanzleien.
Wir fassen für Sie die entscheidenden Punkte zusammen, nehmen Stellung zu einzelnen Zitaten und liefern Ihnen wertvolle Inputs & Ergänzungen aus unserer Sicht.
Das Wichtigste in Kürze:
Dank Vertragsanpassungen im April 2023 können Anwaltskanzleien Microsoft 365 (M365) heute datenschutzkonform nutzen.
Es braucht dazu einerseits einige Vertragszusätze für M365, welche über einen professionellen Microsoft-Vertriebspartner angefordert werden müssen. Andererseits ist es nötig, und das ist das Wichtigste, M365 sicher zu konfigurieren, um die Informationssicherheit zu gewährleisten. Dazu gehören geeignete Datenschutz- und Sicherheitseinstellungen.
Um auf Nummer sicher zu gehen, sollte man sich sowohl für die Vertragszusätze als auch für die Sicherheitskonfigurationen einen erfahrenen externen Partner als Unterstützung zur Seite holen. Diese Partnerschaft sollte sorgfältig ausgewählt sein, um sicherzustellen, dass sie den Bedürfnissen der Anwaltskanzlei entspricht.
Denn wenn M365 richtig angewandt wird, bietet es in den allermeisten Fällen trotz kleiner Rest-Risiken, ein höheres Mass an Informationssicherheit als klassische Alternativen.
Wichtigste Punkte, Zitate & Dinotronic Stellungnahmen
Im nachfolgenden Überblick werden zentrale Punkte, Zitate und die Stellungnahmen von Dinotronic in Bezug auf den Artikel von David Rosenthal herausgearbeitet, um Ihnen einen umfassenden Einblick in die komplexen Anforderungen und Lösungen auf dem Weg in Microsoft Cloud zu bieten.
David Rosenthal, Vischer AG | Quelle: https://www.vischer.com/team/david-rosenthal/
1. Vertragsanpassungen für Datenschutz
Die wichtigsten Punkte aus dem Artikel kurz zusammengefasst:
- Schweizer Anwaltskanzleien haben lange Zeit Schwierigkeiten gehabt, Microsoft 365 (M365), das Office-Cloud-Angebot von Microsoft, zu verwenden.
- Vertragsanpassungen waren erforderlich, um M365 für Anwaltskanzleien und andere berufsgeheimnisgeschützte Unternehmen nutzbar zu machen.
- Diese Anpassungen wurden im April 2023 abgeschlossen und bieten Anwaltskanzleien nun eine zufriedenstellende Datenschutzabsicherung.
2. Erforderliche Verträge und Zusätze
Die wichtigsten Punkte aus dem Artikel kurz zusammengefasst:
- Um M365 zu nutzen, sollten Anwaltskanzleien bestimmte Verträge und Zusätze abschließen:
- Microsoft Customer Agreement (MCA): Hauptvertrag für die Nutzung der Cloud-Dienste von Microsoft.
- Data Protection Addendum (DPA): Enthält Datenschutzbestimmungen.
- Amendment for Switzerland regarding Microsoft Products and Services Data Protection Addendum: Anpassungen für den Schweizer Markt.
- Professional Secrecy and Official Secrecy - Industry-Specific Terms (Switzerland): Zusatz zur Geheimhaltungspflicht und Datenschutz.
Dinotronic Kommentar
- Diese Anpassungen an den Microsoft Vertragszusätzen sind wichtig, weil das Standard-DPA nur auf die EU ausgerichtet war.
- Die zusätzlichen „Industry-Specific Terms (Switzerland)“ schliessen Lücken in Bezug auf berufsgeheimnisgeschützte Daten.
3. Vertragsabschluss über Microsoft-Vertriebspartner
Die wichtigsten Punkte aus dem Artikel kurz zusammengefasst:
- Die oben erwähnten Vertragszusätze müssen über einen Microsoft-Vertriebspartner (CSP) angefordert werden.
- Microsoft arbeitet an einem einheitlichen Prozess für den Vertragsabschluss.
Zitat aus dem Artikel:
"Es ist daher davon auszugehen, dass gewisse der Microsoft-Partner das besser im Griff haben als andere. Klappt es mit dem Partner nicht, hat Microsoft uns angeboten, dass sich Anwaltskanzleien per E-Mail direkt an sie wenden können."1
Dinotronic Kommentar
- Darauf achten, dass Partner Erfahrung hat mit anderen Unternehmen aus der gleichen Branche
- IT-Partner mit einer ISO 27001 Zertifizierung bevorzugen, da diese höchste Standards in Bezug auf die Informationssicherheit erfüllen und jährlich auditiert werden
- Zudem sollte jede Anwaltskanzlei mit seinem Microsoft-Vertriebspartner (Cloud Solution Provider) einen Auftragsdatenverarbeitungsvertrag abschliessen. Dieser ist entscheidend, um die Einhaltung der Datenschutzgesetze zu gewährleisten, klare Verantwortlichkeiten für die Datenverarbeitung festzulegen und Sicherheitsmassnahmen zu vereinbaren, was Vertrauen, Transparenz und effektives Risikomanagement fördert.
4. Zeitliche Befristung von Vertragszusätzen
Die wichtigsten Punkte aus dem Artikel kurz zusammengefasst:
- Einige der genannten Vertragszusätze sind zeitlich befristet (z. B. auf 36 Monate).
- Kunden müssen die Laufzeit dieser Vereinbarungen überwachen und rechtzeitig verlängern.
Zitat aus dem Artikel:
"Zu beachten ist schliesslich, dass gewisse der genannten Vertragszusätze zeitlich befristet sind (z.B. auf 36 Monate). Microsoft scheut eine ewige Bindung, was freilich die Kunden zwingt, die Laufzeit dieser befristeten Vereinbarungen im Auge zu behalten und rechtzeitig eine Verlängerung vorzusehen. Dem sind sich viele Kunden nicht bewusst. Gelingt die Verlängerung nicht, können sie im schlimmsten Fall gezwungen sein, auf eine Alternative auszuweichen - die es für sie dann vielleicht nicht gibt oder nur mit Einbussen oder hohen Kosten."1
Dinotronic Kommentar
- Professionelle Managed Service Provider setzen sich proaktiv mit diesen Laufzeiten auseinander und stehen mit Anwaltskanzleien zusammen in der Verantwortung.
5. Richtige Konfiguration ist entscheidend
Die wichtigsten Punkte aus dem Artikel kurz zusammengefasst:
- Die sichere Konfiguration der Cloud-Installation ist entscheidend und sogar noch wichtiger als die erwähnten Verträge.
- Kunden sollten Expertenwissen oder Beratung in Anspruch nehmen, da Cloud-Umgebungen viele Einstellungsmöglichkeiten bieten und sich ständig ändern.
Zitate aus dem Artikel:
"…erfordert die richtige Konfiguration entsprechendes Expertenwissen. Wer dieses Know-how intern nicht hat, sollte sich somit beraten lassen. Der Grund liegt darin, dass Cloud-Umgebungen einerseits sehr viele Einstellungsmöglichkeiten und Funktionalitäten bieten und sich andererseits ständig ändern und erweitert werden."1
"Wer M365 einsetzen will, muss also auch verstehen und im Auge behalten, welche Funktionen er nicht einsetzen will und sie rechtzeitig ausschalten. Und er sollte genügend Zeit in die Ausbildung seiner Mitarbeitenden im sicheren Einsatz von M365 investieren und ständig im Auge haben, was an neuen Funktionen von Microsoft aktiviert wird."1
Dinotronic Kommentar
- Professionelle MSP wissen über wichtige Änderungen und Neuerungen bei den Microsoft Services stets Bescheid und nehmen in Absprache mit den Kunden sinnvolle und nötige Anpassungen vor.
- Nebst laufenden Konfigurationsanpassungen sind die Überwachung (7x24) auf ungewöhnliche Ereignisse und die sofortige Reaktion entscheidend. Kleinere Anbieter können das aus Ressourcengründen oft gar nicht anbieten.
6. Sicherheitseinstellungen von M365
Die wichtigsten Punkte aus dem Artikel kurz zusammengefasst:
- Die Datenschutz- und Berufsgeheimnissicherheit erfordert spezifische Sicherheitseinstellungen, darunter:
- Datenhaltung in der Schweiz: Dies bezieht sich auf die physische Speicherung von Daten in Rechenzentren innerhalb der Schweiz. Dies kann für Schweizer Unternehmen wichtig sein, um sicherzustellen, dass ihre Daten in der Schweiz gespeichert und verarbeitet werden, um Datenschutz- und Compliance-Anforderungen zu erfüllen.
- EU Data Boundary: Dies bezieht sich auf die Möglichkeit, Daten innerhalb der EU-Grenzen zu speichern und zu verarbeiten. Dies kann wichtig sein, um sicherzustellen, dass Daten von EU-Bürgern gemäß den Datenschutzbestimmungen der EU behandelt werden.
- Customer Lockbox: Dies ist eine Sicherheitsfunktion, die es Kunden ermöglicht, die Freigabe von Kundendaten durch Microsoft zu kontrollieren. Kunden können Anfragen von Microsoft zur Datenfreigabe genehmigen oder ablehnen, um die Sicherheit und Kontrolle über ihre Daten zu gewährleisten.
- Sensitivity Labels: Sensitivity Labels sind ein Werkzeug zur Klassifizierung und zum Schutz von Dokumenten und Daten in M365. Sie ermöglichen es Benutzern, den Grad der Vertraulichkeit oder Sensitivität von Informationen festzulegen und entsprechende Sicherheitsrichtlinien anzuwenden, wie beispielsweise Verschlüsselung oder Zugriffsbeschränkungen, basierend auf der Sensitivitätsstufe der Daten. Dies hilft bei der Einhaltung von Datenschutzvorschriften und Sicherheitsrichtlinien. Es schützt insbesondere auch vor der Erpressung mit Veröffentlichung von vertraulichen Daten bei einer erfolgreichen Ransomware-Attacke.
Zitat aus dem Artikel:
"Wir können hier nicht auf alle Sicherheitseinstellungen von M365 eingehen; diese sollte für eine Anwaltskanzlei jemand vornehmen oder mindestens überprüfen, der darin Erfahrung hat."1
Dinotronic Kommentar
- Der Schutz von sensiblen Daten erfordert organisatorische und technische Massnahmen. Professionelle MSP können ihre Kunden in beiden Bereichen begleiten und müssen dabei zunehmend auch in der Lage sein, die Geschäftsprozesse zu verstehen und diese entsprechend zu berücksichtigen
- Wir empfehlen unseren Kunden zusätzlich fast immer den Einsatz von Datenklassifizierung und -verschlüsselung auf Basis von Microsoft Purview. Damit ist eine nahtlose Integration in die Microsoft-Plattform gewährleistet, mit Fokus auf Automatisierung und Skalierbarkeit für effektive Datensicherheit.
- Im Artikel nicht erwähnt, aber aus unserer Sicht ebenfalls von grossem Mehrwert, sind das Logging und Alerting. Sie ermöglichen durch systematisches Protokollieren von Aktivitäten eine frühzeitige Erkennung von Angriffen. Sie unterstützen forensische Analysen, helfen bei der Einhaltung von Compliance-Anforderungen und ermöglichen die automatisierte Überwachung von Systemleistung und Benutzerverhalten.
7. Bring Your Own Key (BYOK)
Die wichtigsten Punkte aus dem Artikel kurz zusammengefasst:
- BYOK ist optional und erlaubt Kunden die eigene Verwaltung der Verschlüsselungsschlüssel.
- Es ist komplex und erfordert Fachwissen, wird jedoch selten verwendet.
Zitat aus dem Artikel:
"BYOK setzt aber ein entsprechend hohes Fachwissen voraus und birgt nebst höheren Kosten auch einige operative Risiken."1
Dinotronic Kommentar
- BYOK ist grundsätzich möglich, aber auch aus unserer Sicht in den seltensten Fällen empfehlenswert oder sogar erforderlich.
8. Identity and Access Management (IAM) & Backups
Die wichtigsten Punkte aus dem Artikel kurz zusammengefasst:
- Unternehmen legen grossen Wert darauf, neben anderen Sicherheitsfunktionen und -einstellungen ein effektives Identity and Access Management (IAM)-Konzept zu etablieren. Dies umfasst die Kontrolle darüber, wer, wann und auf welche Ressourcen zugreifen kann, sowie die Durchsetzung dieser Zugriffskontrollen.
- Die Überwachung der Ressourcennutzung in Echtzeit ist entscheidend, um sofort auf Anomalien reagieren zu können. Cloud-Lösungen bieten hierbei mehr Optionen als rein lokale Installationen.
- Microsoft sichert keine Daten ab. Unternehmen müssen eigene Back-ups für Geschäftskontinuität und Schutz gegen Ausfälle unabhängig von Microsoft erstellen.
Zitat aus dem Artikel:
"Auch wenn Microsoft mehrere Rechenzentren betreibt, um sich für den Fall einer Katastrophe abzusichern, stellt Microsoft kein Back-up der Daten sicher. Dies muss die Anwaltskanzlei selbst machen, und sie sollte das mit einer Lösung unabhängig von Microsoft realisieren. Dies gibt ihr auch einen gewissen Schutz für den Fall, dass Microsoft nicht mehr in der Lage sein sollte, ihren Service zu erbringen - oder sie dies nicht mehr tun will."1
Dinotronic Kommentar
- Wir empfehlen ein tägliches Backup mit Aufbewahrung bis 10 Jahre auf separate Cloud-Speicher an einem anderen Standort.
- Professionelle MSP verwenden standardisierte On- und Offboarding-Prozesse, welche auf einem Benutzer-/Rollenkonzept basieren.
- Wir setzen auf das "Least Privilege" Sicherheitsprinzip. Das besagt, dass Nutzer und Systeme nur die minimal erforderlichen Rechte und Zugriffe erhalten sollten, um ihre spezifischen Aufgaben zu erfüllen. Durch die Begrenzung von Berechtigungen auf das unbedingt Notwendige wird das Risiko von Missbrauch, Datenverlust und Sicherheitsverletzungen erheblich reduziert.
- Erhöhte Berechtigungen (möglichst granular und präzise) sollten in einem automatisierten Self-Service-Prozess ausschliesslich temporär aktiviert werden.
- Sämtliche Logs sollten zentral gesammelt und für mindestens 1 Jahr aufbewahrt werden, damit bei einem Vorfall der genaue Hergang analysiert werden kann und wichtige Korrelationen möglich sind.
9. Risikobeurteilung und Lawful Access
Die wichtigsten Punkte aus dem Artikel kurz zusammengefasst:
- Die Nutzung von M365 birgt Risiken, aber bei richtiger Anwendung bietet sie hohe Informationssicherheit.
- Der risikobasierte Ansatz für Lawful Access ist anerkannt und sollte verwendet werden.
Zitate aus dem Artikel:
"Grundsätzlich lässt sich sagen, dass M365 bei richtiger Anwendung ein höheres Mass an Informationssicherheit bietet, als viele lokale Installationen es aufweisen (z.B. punkto Schutz des E-Mail-Servers)."1
"Dies bringt natürlich auch das viel zitierte erhöhte Risiko eines ausländischen Behördenzugriffs mit sich (Stichwort «US CLOUD Act», «Schrems II»). Nach Meinung vieler Experten wird dieses Risiko allerdings deutlich überbewertet."1
"Klar ist, dass sich ein Restrisiko eines ausländischen Lawful Access nie ausschliessen lässt, nicht einmal bei einem reinen Schweizer Angebot. Nach dem sogenannten risikobasierten Ansatz genügt es jedoch, dass dieses tief genug ist."1
Dinotronic Kommentar
- Auch aus unserer Sicht ist das Risiko des ausländischen Behördenzugriffs in den allermeisten Fällen viel geringer als die meisten anderen Risiken in einem Unternehmen.
10. Datenschutzerklärung anpassen
Die wichtigsten Punkte aus dem Artikel kurz zusammengefasst:
- Bei Cloud-Projekten müssen Datenschutzerklärungen angepasst werden, um den Einsatz von Dritten als Dienstleister zu berücksichtigen.
- Es sollte darauf hingewiesen werden, dass Personendaten möglicherweise in jedes Land der Welt gelangen können.
Dinotronic Kommentar
- Für die Erstellung Ihrer professionellen Datenschutzerklärung empfehlen wir Ihnen den Datenschutzgenerator von der Datenschutzpartner AG: https://www.datenschutzpartner.ch/angebot-datenschutz-generator/
Fazit
Die wichtigsten Punkte aus dem Artikel kurz zusammengefasst:
- M365 ist eine leistungsfähige Lösung für Anwaltskanzleien, erfordert jedoch sorgfältige Vorbereitung, Konfiguration und Überwachung.
- Restrisiken im Zusammenhang mit Cloud-Lösungen müssen akzeptiert und aktiv gemanagt werden.
Zitate aus dem Artikel:
"Bei der Diskussion um die Risiken von Cloud-Lösungen ist allerdings zu beachten, dass auch die Alternativen dazu keineswegs risikolos sind. Der Einsatz von Cloud-Anbietern wie Microsoft führt zwar zu einer höheren Abhängigkeit von einem externen Dienstleister, der zudem im Ausland sitzt, doch ist dieser Dienstleister zugleich in der Lage, beispielsweise in die Informationssicherheit mehr zu investieren als wohl so gut wie jedes andere Unternehmen in der Schweiz. Nötig sind somit eine Gesamtbetrachtung und ein bewusster Entscheid."1
Dinotronic Kommentar
- Da wir auf umfassende Erfahrung mit den Besonderheiten von Anwaltskanzleien zurückgreifen können, sind wir in der Lage, Sie optimal zu unterstützen.
- Unsere Priorität liegt auf Informationssicherheit, was durch unsere ISO 27001-Zertifizierung gewährleistet ist.
- Dank 7x24 Monitoring und Reaktion gewährleisten wir eine kontinuierliche Überwachung und schnelle Reaktion auf eventuelle Sicherheitsvorfälle.
1 Quelle: https://www.rosenthal.ch/downloads/Rosenthal-M365-Anwaltskanzlei.pdf