Schlagwort: Microsoft

Datenschutz an Schulen: Hessen beendet Schonfrist für Microsoft Teams

7. April 2021

Der Hessische Beauftragte für Datenschutz und Informationsfreiheiten Alexander Roßnagel kündigte das Ende der Duldung für den Einsatz von Microsoft Teams an Schulen an. Das Kultusministerium sucht nun Ersatz. 

Bisher wurde an hessischen Schulen Microsoft Teams für den Distanz-Unterricht genutzt. Dies duldete der hessische Datenschutzbeauftragte. Nun wird die Frist am 31. Juli 2021 enden. 

In einer Stellungnahme hieß es dabei, dass die Duldung der Videokonferenzsysteme von US-Anbietern – im speziellen Microsoft Teams – ausläuft. Dies sei vorher nur verlängert worden, weil kein Ersatz da war. „Der Grund für den verlängerten Zeitraum bis Ende Juli dieses Jahres lag in dem gescheiteren Bemühen des Hessischen Kultusministeriums (HKM), den hessischen Schulen bis zum Beginn des aktuellen Schuljahres ein landeseinheitliches, datenschutzkonformes Videokonferenzsystem zur Verfügung zu stellen.” Zudem hatten die „Komplexität des Ausschreibungsverfahrens sowie die Klärung grundsätzlicher Fragestellungen zum Datenschutz” dazu geführt. Eine weitere Verlängerung dieser Duldung sei „ausgeschlossen“.

Wie der Datenschutzbeauftragte mitteilt, sei vielmehr davon auszugehen, „dass bis zum Beginn des neuen Schuljahres eine Anwendung zur Verfügung steht, die sowohl den technischen als auch datenschutzrechtlichen Anforderungen entspricht.“ Hierzu wird ein europaweites Ausschreibungsverfahren durchgeführt. Der fortlaufende Einsatz von Microsoft Teams ist dann also nicht mehr „erforderlich noch datenschutzrechtlich zulässig”. Auch weitere Bundesländer prüfen derzeit Alternativen zu US-amerikanischen Softwareprodukten.

UPDATE: Kritische Schwachstellen in Microsoft Exchange Servern

18. März 2021

Durch die Ausnutzung von Sicherheitslücken erlangten Hacker Zugriff auf die Microsoft Exchange Server (wir berichteten). Die Lücken wurden inzwischen durch ein Windows-Update behoben.

Inzwischen äußerten sich auch weitere Datenschutzaufsichtsbehörden zu dem Vorfall. Einigkeit besteht hinsichtlich der Rechtsfolgen zumindest dann, wenn ein Data Breach in Form eines eindeutigen und nachweisbaren Zugriffs auf personenbezogene Daten stattgefunden hat. In diesem Fall ist die Meldung einer Datenpanne unerlässlich. Bei den Details unterscheiden sich die Meldungen jedoch.

Hier ein landespezifischer Überblick:

Auch Microsoft informiert über die technisch notwendigen Schritte. Darüber hinaus können sich Betroffene mit dem erst kürzlich veröffentlichten Microsoft On-premises Mitigation Tool (EOMT) wohlmöglich noch weiter absichern. Das Tool ersetzt die Sicherheitspatches allerdings nicht. Es kann auf der Github-Website von Microsoft heruntergeladen werden. Sind die Server abgesichert, lädt das Tool den Microsoft Security Scanner herunter. Dieser untersucht dann die Server auf schädliche Elemente.

Datenschutzmeldepflicht : Kritische Schwachstellen in Microsoft Exchange Servern

12. März 2021

Aufgrund von gezielten Angriffen durch Hacker auf verschiedene Versionen der Microsoft Exchange Server hat Microsoft wichtige Sicherheitsupdates zum Download bereitgestellt. Seit Ende Februar 2021 werden offene Flanken der Mail-Einrichtung Exchange Server angegriffen. Vier Lücken wurden dabei mit dem Bedrohungsgrad „äußerst kritisch“ eingestuft. Die Updates erfolgen außer der Reihe und die Angriffswelle dauert aktuell noch an.

Auch viele deutsche Unternehmen sind von den Attacken betroffen. Nach Angaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) sind zehntausende Exchange Server in Deutschland aktuell über das Internet angreifbar und mit hoher Wahrscheinlichkeit bereits mit Schadsoftware infiziert. Betroffen sind Organisationen jeder Größe. Das BSI hat bereits begonnen, potentiell Betroffene zu informieren und empfiehlt allen Betreibern der Exchange Server, sofort die von Microsoft bereitgestellten Patches einzuspielen.

Betroffene Schwachstellen

Die Schwachstellen betreffen die Exchange Server der folgenden Versionen:

  • Exchange Server 2010 (RU 31 für Service Pack 3)
  • Exchange Server 2013 (CU 23)
  • Exchange Server 2016 (CU 19, CU 18)
  • Exchange Server 2019 (CU 8, CU 7)

Die betroffenen Sicherheitslücken werden als Teil einer Angriffskette ausgenutzt. Der anfängliche Angriff setzt die Fähigkeit voraus, eine nicht vertrauenswürdige Verbindung zum Exchange-Server herzustellen, weitere Teilbereiche des Angriffs können dagegen auch ausgeführt werden, wenn der Angreifer bereits Zugang hat oder auf anderem Wege Zugang erhält. Das bedeutet, dass Abhilfemaßnahmen wie das Einschränken von nicht vertrauenswürdigen Verbindungen, oder das Einrichten eines VPNs nur vor dem ersten Teil des Angriffs schützt. Das Patch ist somit die einzige Möglichkeit, den Angriff vollständig abzuschwächen.

Es sei denkbar, dass weitergehende Angriffe mit den Rechten eines übernommenen Exchange-Servers potentiell mit geringem Aufwand auch die gesamte Domäne kompromittieren könne, so das BSI.  Bei Systemen, die bis dato nicht gepatched wurden, sollte von einer Kompromittierung ausgegangen werden. Aufgrund der öffentlichen Verfügbarkeit von sogenannten Proof-of-Concept Exploit-Codes sowie starken weltweiten Scan-Aktivitäten sieht das BSI weiterhin ein sehr hohes Angriffsrisiko.

Die Sicherheitspatches sind über ein Windows Update verfügbar. Durch das Update werden die insgesamt 89 Sicherheitslücken geschlossen.

Chinesischer Bedrohungsakteur wohl verantwortlich

Nach den Informationen von Microsoft habe der in China ansässige und staatlich gelenkte Bedrohungsakteur “Hafnium” die Fehler ausgenutzt, um sich Zugang zu E-Mails und zusätzlicher Malware zu verschaffen, die einen langfristigen Zugriff auf die Umgebungen der Opfer ermöglichen soll. Hafnium greife Organisationen in zahlreichen Branchen an, darunter Forscher von Infektionskrankheiten, Rechtsanwaltskanzleien, Hochschuleinrichtungen, Verteidigungsunternehmen, politische Denkfabriken und NGOs (Nichtregierungsorganisationen).

Datenschutzrechtliche Maßnahmen

Wer als Unternehmen, Organisation oder Behörde von einem Angriff auf personenbezogene Daten betroffen ist, muss einen solchen Vorfall nach der Datenschutz-Grundverordnung (DS-GVO) unter bestimmten Umständen der zuständigen Datenschutzaufsichtsbehörde, bei Kritischer Infrastruktur zusätzlich auch dem Bundesamt für Sicherheit in der Informationstechnik melden.

Auch nach erfolgreichem Einspielen der Patches sollte bedacht werden, dass betroffene Organisationen in der Zwischenzeit angreifbar waren. Nach Angaben des Bayrischen Landesamt für Datenschutzaufsicht (BayLDA) müssen die jeweiligen Unternehmen prüfen (und ihren Incident-Respone-Plan anwenden, sofern ein solcher vorhanden ist), inwieweit Unregelmäßigkeiten im Betrieb festzustellen seien. Des Weiteren müsse die Kompromittierung des Systems durch das Ausnutzen der Sicherheitslücke, gemäß Art. 33 DS-GVO von einem betroffenen Unternehmen auch gemeldet werden, da es zu einer Verletzung der Sicherheit personenbezogener Daten gekommen ist. Unter bestimmten Voraussetzungen müssten dann auch die betroffenen Personen informiert werden. Nur wenn in der vorliegenden Konstellation atypischer Weise kein Risiko für die Rechte und Freiheiten der betroffenen Personen bestehen sollte, müsse keine Meldung erfolgen, so das BayLDA. Darüber hinaus seien jedoch die für den Verzicht auf die Meldung maßgeblichen Feststellungen, d. h. insbesondere die kompletten Untersuchungen des Mail-Servers und seiner Verbindungen ins übrige Netzwerk des Unternehmens umfassend zu dokumentieren.

Überwachung am Arbeitsplatz

11. Januar 2021

Die Überwachung von Angestellten ist für manche Arbeitgeber nicht nur per Videoüberwachung eine Option (wir berichteten), sondern auch direkt am Arbeitsrechner. Aufgrund der Zunahme der Home-Office-Tätigkeit weltweit, haben sich manche Arbeitgeber, getreu dem Motto „Vertrauen ist gut, Kontrolle ist besser“, auch intensiver mit dem Thema auseinandergesetzt, als zuvor.

Dabei ist aber zu beachten, dass – genau wie bei einer Videoüberwachung – eine anlasslose Überwachung ohne konkrete Verdachtsmomente rechtlich nicht zulässig ist. Der Vorgesetzte darf solche Kontrollen nur einführen, wenn er einen konkreten Verdacht auf ein pflichtwidriges oder strafbares Handeln zu seinen Lasten hegt.

Eine Überwachung am Arbeitsplatz ist technisch unkompliziert über Logfiles möglich, wenn der Angestellte einen Laptop vom Arbeitgeber erhält oder die gesamte Arbeitsumgebung auf einem Terminalserver des Arbeitgebers liegt.

Daneben gibt es die Option, dass auch eine Überwachung der Arbeitsweise und -Intensität der Angestellten direkt durch das genutzte Programm möglich ist. Beispielsweise bieten die Microsoft Office-Programme die Möglichkeit an, eine Produktivitätsbewertung vorzunehmen. Damit ist es möglich Daten darüber zu sammeln, wie viele Dateien der Angestellte aufruft, mit Kollegen teilt oder als Anhang verschickt. Gesammelt werden Kennzahlen wie: Kommunikation, Besprechungen, Zusammenarbeit an Inhalten, Teamarbeit, Mobilität, Endpunktanalyse, Netzwerkverbindungen und Microsoft 365 Apps-Integrität.

Microsoft weist darauf hin, dass die Informationen nur zur Weiterentwicklung der digitalen Transformationen mit Microsoft 365 vorgesehen sind. Allerdings können besonders neugierige Arbeitgeber anhand dieser Daten eine Produktivitätsbewertung auslesen und mit anderen Mitarbeitern vergleichen.

Diese Produktivitätsbewertung ist standardmäßig deaktiviert. Arbeitgeber sollten sich auch gut überlegen, ob sie diese Option aktivieren möchten. Denn wenn Angestellte mitbekommen, dass sie untereinander verglichen werden, führt das zu einer größeren Stressbelastung und kann letztlich die Produktivität verringern.

Eine solche systematische personenbezogene Überwachung darf außerdem rechtlich nicht ohne Einwilligung des Mitarbeiters erfolgen. Eine Ausnahme stellt der oben erwähnte konkrete Verdachtsmoment dar.

Arbeitgeber sollten also entweder ganz auf eine Überwachung verzichten oder die Ergebnisse anonymisiert bzw. in übergeordneten systematisch angelegten Zahlengruppen anzeigen lassen. So sind keine Rückschlüsse auf den einzelnen Mitarbeiter möglich, aber es ist trotzdem ersichtlich, bei welchen Punkten Verbesserungsbedarf besteht.

Microsoft veröffentlicht Anhang zu Standardvertragsklauseln

24. November 2020

Im Anschluss an die Schrems II-Rechtsprechung des Europäischen Gerichtshofes (wir berichteten) und den neuen Empfehlungen des Europäischen Datenschutzausschusses (wir berichteten) reagierte Microsoft nun mit neuen Vertragsklauseln. Diese sollen es ermöglichen, personenbezogene Daten in Drittländer – insbesondere die USA – exportieren zu können.

Mit diesem Schritt wolle man über die aktuellen Richtlinien hinausgehen. Zusätzlich erhoffe man sich, dass dieser Schritt bei den Kunden zusätzliches Vertrauen schaffen werden.

Rechtsweg und Informationspflichten

Microsoft verpflichte sich, gegen jede nicht rechtmäßige Anordnung auf Herausgabe von personenbezogenen Daten vorzugehen und ggf. den entsprechenden Rechtsweg einzuschlagen. Darüber hinaus wolle man alle zumutbaren Anstrengungen unternehmen, um die Anfragen Dritter so umzuleiten, dass die Daten direkt vom Kunden angefordert werden müssten. Des Weiteren sollen Kunden, sofern dies im konkreten Fall rechtlich möglich sei, unverzüglich benachrichtigt werden. Sollte die Benachrichtigung untersagt sein, verpflichte man sich, alle rechtlichen Mittel einzusetzen, um das Verbot anzugreifen und den Kunden sobald wie möglich zu informieren.

Anspruch auf Schadensersatz

Personen die durch die nach der DSGVO unrechtmäßige Datenverarbeitung einen materiellen oder immateriellen Schaden erleiden, erhalten einen Anspruch auf Schadensersatz. Dabei trage der Betroffene die Beweislast. Diese Verpflichtung übertreffe die aktuellen Empfehlungen des Europäischen Datenschutzausschusses.

Ausblick

Ob weitere Unternehmen diesem Beispiel folgen werden, ist zurzeit noch nicht ersichtlich. Es bleiben auch weiterhin viele Fragen offen. Die neuen Ergänzungen lösen nicht den Kern des bisherigen Problems. Die vom Europäischen Gerichtshof als unverhältnismäßig beanstandeten Zugriffsmöglichkeiten der US-Geheimdienste auf personenbezogene Daten können auch weiterhin nicht unterbunden werden. Nach den neuen Klauseln existiert eine rechtliche Grundlage für eine Anfechtung auch nur dann, wenn das Herausgabeverlangen nach dem nationalen Recht rechtswidrig wäre. Das ist bei Geheimdienstanfragen innerhalb der Vereinigten Staaten nur sehr selten der Fall.

Zahlreiche Dienste für Videokonferenzen sind nicht rechtskonform

23. Juli 2020

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit Maja Smoltczyk hat auf ihrer Webseite einen Hinweis zum Thema Videokonferenzen veröffentlicht. In diesem wird vor dem Einsatz der Anwendungen für Videokonferenzen von Microsoft (Teams und Skype) sowie Zoom gewarnt. Damit geht die Diskussion um die Datenschutzkonformität – jedenfalls mit Microsoft – in die nächste Runde.

Bereits im April hat die Berliner Datenschutzbeauftragte eine Guideline für Videokonferenzen veröffentlicht (wir berichteten). Auf diese hat Microsoft mit einer Stellungnahme reagiert.

Die Behörde bleibt weiterhin bei ihrer Auffassung des unzureichenden Datenschutzes in Bezug auf die Microsoft-Produkte Teams und Skype. Zusätzlich hat sie in ihrer aktuellen Stellungnahme weitere Produkte unter die Lupe genommen. Dabei sind auch weit verbreitete Dienste für Videokonferenzen wie Zoom, Google Meet, GoToMeeting und Cisco WebEx negativ aufgefallen. Gegenstand der Prüfung waren Auftragsverarbeitungsverträge. Diese weisen entweder Mängel auf oder fehlen komplett.

Darum sollte bei Abschließen eines Vertrages mit einem der Dienstleister darauf geachtet werden, dass ein Auftragsverarbeitungsvertrag mit abgeschlossen wird. Dazu hat die Berliner Datenschutzbeauftragte Empfehlungen veröffentlicht, worauf bei Abschluss eines Auftragsverarbeitungsvertrags zu achten ist.

Lediglich die Anwendungen Jitsi in seiner kommerziellen Version, sichere Videokonferenz.de, TixeoFusion, BigBlueButton und Wire genügen den datenschutzrechtlichen Anforderungen. Die genannten Dienste für Videokonferenzen decken unterschiedliche persönliche Erfordernisse ab. Die Anwendungen unterscheiden sich in der Art des Zugangs – zum Beispiel browserbasiert oder programmbasiert – als auch über die Zugangsmöglichkeit über eine mobile App-Anwendung.

Streit um Videokonferenzsysteme – Microsoft mahnt Berliner Datenschutzbehörde ab

20. Mai 2020

Microsoft Deutschland hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit wegen der Empfehlungen für Videokonferenzen abgemahnt. Über die Veröffentlichung der Guidelines für Videokonferenzen berichteten wir bereits im April. Die Behörde warnte darin insbesondere vor unbefugtem Mithören, Aufzeichnen und Auswerten der Videoinhalte. Gegenstand der Warnung waren auch die beiden Microsoft-Produkte Skype und Teams. Wie t-online.de berichtete, hat Microsoft die Behörde mit Schreiben vom 5. Mai aufgefordert, “unrichtige Aussagen so schnell wie technisch möglich zu entfernen und zurückzunehmen”. In der Warnung sieht Microsoft eine erhebliche Rufschädigung, die zu einem kommerziellen Schaden führe.

Microsoft wirft der Datenschutzbehörde vor, dass mehrere Annahmen der Guideline faktisch oder rechtlich unzutreffend seien. Die Warnung suggeriere, dass die Produkte nicht nur datenschutzrechtlich, sondern auch strafrechtlich bedenklich seien. Das Unternehmen stört sich insbesondere daran, dass pauschal das Risiko aufgeführt wird, dass bei Videokonferenzen Dritte unbefugt mithören und aufzeichnen. Bei dieser Aussage differenzierten die Guidelines nicht und würden es damit auch auf die Microsoft-Produkte beziehen.

Am 6. Mai veröffentlichte Microsoft eine umfassende Stellungnahme zu den Guidelines. Darin beklagt das Unternehmen, vor der Veröffentlichung der Guidelines nicht angehört worden zu sein. Zudem seien die Produkte im Allgemeinen und Microsoft Teams und Skype for Business Online im Besonderen datenschutzkonform .

Die Stiftung Warentest testete kürzlich mehrere Videokonferenz-Programme. Microsoft erlangte mit Teams und Skype einen Doppelsieg. Allerdings kritisierten die Tester, dass die Datenschutzerklärung “keine ernsthafte Befassung mit der DSGVO erkennen” ließe.

Mittlerweile hat die Berline Datenschutzbehörde die Warnung von ihrer Website ohne Kommentar gelöscht. Auch andere Landesdatenschutzbehörde befassten sich mit Microsoft-Produkten. So verbat etwa die Hessische Datenschutzbehörde die Nutzung von Microsoft Office 365 in hessischen Schulen und die Baden-Württembergische Datenschutzbehörde riet zum Einsatz von Open-Source-Produkten. Die Datenschutzbehörde NRWs veröffentlichte erst kürzlich “Leitplanken für die Auswahl von Videokonferenzsystemen während der Kontaktbeschränkungen aufgrund der Corona-Pandemie“. Danach sollen Verantwortliche zunächst prüfen, ob sie mit verhältnismäßigem Aufwand einen eigenen Dienst implementieren können. Im Übrigen listet die Behörde mehrere Prüfkriterien für einen datenschutzkonformen Einsatz bestehender Online-Dienste bereit. Ähnliche Kriterien finden sich in der Checkliste des Dokuments “Best-Practice zum Homeoffice” der Bayerischen Datenschutzbehörde.

Nur wenige Nachbesserungen bei Microsoft-Anwendungen

1. August 2019

Bei Untersuchungen im Auftrag des niederländischen Justizministeriums wurden letztes Jahr massive Datenschutzverstöße bei Microsoft festgestellt. Das Ergebnis einer Nachuntersuchung zeigt, dass trotz vieler Nachbesserungen Office Online, die mobilen Apps und Windows 10 Enterprise immer noch nicht datenschutzkonform sind.

Als Nachbesserungsmaßnahmen wurden z.B. neue Datenschutzbestimmungen für die Nutzung von Enterprise-Versionen von Office und Windows 10-Software für die rund 300.000 digitalen Arbeitsplätze in den Ministerien und anderen Behörden vereinbart. Die acht vorher identifizierten Mängel bei Office 365 ProPlus wurden ebenfalls behoben.

Diese Nachbesserungen wurden aber noch nicht für Office Online und den mobilen Office-Apps umgesetzt. So kann man den Datenverkehr in Office nicht minimieren und bei den iOS App (Word, Excel und PowerPoint) werden Daten an eine US-amerikansiches Marketing-Unternehmen weitergeleitet, das sich auf Profiling spezialisiert hat. Die Nutzer werden nicht über den Zweck dieser Verarbeitung informiert und können sie auch nicht abstellen.

Microsoft verspricht mehr Kontrolle über Nutzerdaten

8. Mai 2019

Der Software-Konzern reagiert auf die Kritik am Umgang mit Benutzerdaten (wir berichteten) in seinen Produkten, die in Europa in den vergangenen Monaten lauter geworden ist.

Als Reaktion darauf möchte Microsoft über drei Zugänge seinen Kunden mehr Transparenz und Kontrolle über ihre Daten geben. Das wurde nun auf einem Blogbeitrag veröffentlicht.

Zunächst sollen die gesammelten Daten in zwei Gruppen eingeteilt werden: Notwendige (required) und optionale. Notwendige Informationen braucht Microsoft, damit Produkte wie das Betriebssystem oder Office-Software richtig funktionieren. Darunter fallen etwa Begriffe bei Suchanfragen, aber auch Geräte-IP und -typ.

Optionale Daten sollen zur Produktverbesserung genutzt werden. Die genutzten Microsoft-Produkte werden jedoch umfänglich funktionieren – unabhängig davon, ob Kunden der Sammlung von optionalen Daten zustimmen.

Das transparentere Vorgehen soll dem Nutzer die Entscheidung, welche Daten er teilen möchte, erleichtern. In verständlicher Sprache will Microsoft dann erklären, wofür es die Daten überhaupt sammelt und warum sie einer der beiden Kategorien zugeordnet wurden.

Letzlich will Microsoft auch halbjährlich Reports veröffentlichen. So soll zum einen veröffentlicht werden, wenn neue notwendige Daten gesammelt werden. Zum anderen sollen Kunden aber auch darüber informiert werden, wenn Microsoft aufhört, bestimmte Arten von notwendigen Daten zu sammeln. Der IT-Konzern will in den Reports auch darauf eingehen, wie er auf neue Datenschutzbestimmungen reagiert.

Die Maßnahmen sollen in den folgenden Monaten umgesetzt werden. Zunächst für die Produkte Windows 10 und Office 365 ProPlus, anschließend für die Plattformen Xbox und Dynamics 365.

EU-Verträge mit Microsoft werden datenschutzrechtlich untersucht

11. April 2019

Zu Beginn der Woche teilte die EU-Datenschutzbehörde EDPS mit, dass nunmehr die Verträge der EU-Dienststellen mit Microsoft dahingehend untersucht werden, ob diese mit der DSGVO in Einklang zu bringen sind.

Auch die verschiedenen Institutionen der EU nutzen Microsofts Produkte und Dienstleistungen. Infolgedessen werden große Mengen an persönlichen Daten verarbeitet. Die EU-Datenschutzbehörde möchte deshalb in einem ersten Schritt alle eingesetzten Produkte und Dienstleistungen von Microsoft erfassen, um dann in einem nächsten Schritt die einzelnen vertraglichen Regelungen an den Maßstäben der DSGVO zu messen.

Nach der DSGVO sind Dienstleister selbst für den Datenschutz verantwortlich. “Allerdings bleiben die EU-Institutionen für Datenverarbeitungen in ihrem Namen verantwortlich, wenn sie auf Dienstleister zurückgreifen”, erklärte der stellvertretende EU-Datenschutzbeauftragte Wojciech Wiewiórowski. “Sie sind darüber hinaus verpflichtet sicherzustellen, dass die vertraglichen Abmachungen den Regeln entsprechen.”

Die EU-Datenschutzbehörde nimmt Bezug auf die Untersuchung des niederländischen Justizministeriums im November 2018. Dabei sind beim Einsatz der Enterprise-Version von Microsoft Office in Behörden zahlreiche Verstöße gegen die DSGVO festgestellt worden. (wir berichteten)

1 2 3 4