Microsoft 365 aus dem Blickwinkel Ihrer Compliance

Abbildung 1: Auszug M365 Komponenten  

Quelle: Microsoft  

Microsoft 365 bietet seit Neuerem in allen regulatorischen Fragestellungen nicht nur adäquate Lösungen, sondern es vereinfacht das Management rund um die Erfüllung dieser Anforderungen auch ungemein. Akteure der Finanzdienstleistungsbranche, insbesondere Banken und Versicherer, scheuten sich in der Vergangenheit vor der Einführung und Nutzung der Suite. Nicht zuletzt, weil Fragestellungen rund um Regulatorik, Compliance und Datenschutz intransparent oder ganz offenblieben. So wurden pionierhafte Bemühungen teils schon im Keime erstickt. In diesem Beitrag soll mit Ungewissheiten aufgeräumt und ein Überblick über einige Vorteile und Chancen gegeben werden, die M365 mit sich bringt.  

Keine Angst vor der Microsoft Cloud:

An was denken Sie als erstes, wenn es um das Thema Cloud geht?

Sicher haben sich Vorurteile aus der Vergangenheit eingebrannt, über die wir hier sprechen sollten. Heute mehr denn je, ist die Microsoft Cloud führend in allen Fragen rund um Datensicherheit und Einhaltung von Compliance-Vorgaben.

• M365 kann online und offline genutzt werden. Die Verfügbarkeit für den Nutzer ist allzeit gegeben. Alles was offline passiert wird beim nächsten Onlinegang synchronisiert – ganz automatisch.
• Durch Verschlüsselungstechnologien auf höchstem Niveau und vollumfänglichem Access Management ist sichergestellt, dass nur diejenigen Mitarbeiter auf Daten zugreifen können, die diese Daten rechtmäßig verarbeiten. Alle Anforderungen der DSGVO sind damit selbstverständlich abschließend abgedeckt.
• Die Verfügbarkeit zwischen 99,97 – 99,99 % ist nicht nur ein Werbeslogan. Die Cloud ist, unbeschadet einiger weniger Ausnahmen, immer stärker verfügbar als jede On-Premise-Lösung auf dem heutigen Markt.

M365 ist mehr als nur die Office Suite:

Erst kürzlich ist das Rebranding von Office 365 zu M365 erfolgt. Und das nicht ohne Grund: Der Computing-Riese will damit deutlich machen, dass die Office Software (Office Pro Plus) und das Office 365 Center (browserbasiert) nur eine von vielen Komponenten des Produkts M365 ist.

Daneben sind u.a. OneDrive, Teams und Skype for Business, SharePoint Online, Stream, OneNote, Planner, ToDo und Vieles mehr Teil der Suite. Auch InTune, das Mobile Device Management, kann über M365 aktiviert werden. Weiterhin stehen reichliche Services für den gesicherten IT-Betrieb zur Verfügung, wie etwa Microsoft Information Protection.

Die Mehrwerte für Nutzer sind immens; werden sie doch zu oft unterschätzt. Dabei ist Produktivität im Geschäft der erste Ansatz, um Organisationen wirtschaftlicher zu gestalten. Bei M365 steht der Nutzer im Mittelpunkt und die Arbeit geht leichter von der Hand – Momentum im Daily Business kann besser genutzt werden.

Als weitere prominente Zugmaschine für den Umstieg vieler Unternehmen in der jüngeren Vergangenheit bewährte sich der Business Case, der sich, auf strategischer Ebene erst einmal implementiert, durchwegs positiv evaluieren ließ. Ausschlaggebend hierfür waren u.a. folgende Aspekte: 

Gerade aus Managersicht besonders relevant: das Management in der Cloud und seine Möglichkeiten. Ausgehend hiervon, richten wir den Blick nachfolgend exemplarisch auf dreierlei Compliance-relevante Kompetenzen der M365 Suite.

1. Retention Management:

Das Thema Data Governance ist nicht selten ein rotes Tuch für Firmen, ganz gleich welcher Branche. Die Behörden und Aufsichtsorgane haben aber eine berechtigte Erwartung an Banken und Versicherer, gerade in dieser Disziplin besondere Stärke zu zeigen – beispielsweise rund um Anforderungen resultierend aus dem Sarbanes-Oxley Act (SOX). Nicht nur externe Compliance-Anforderungen spielen dabei eine Rolle, auch interne Richtlinien, die darüber hinausgehen, nehmen eine hervorgehobene Stellung ein und sind nur so gut, wie der Grad ihrer technischen Implementierung. So belegte unlängst eine Studie, dass 41% der Manager die größten Schwierigkeiten bei der Implementierung einer Richtlinie in der Operative hatten (Quelle: Microsoft). Hier zeigt das Microsoft Records and Retention Management eine seiner größten Stärken.

Generell gelten dabei die bekannten Grundsätze zur Aufbewahrung:

Viele Unternehmen haben daher verschiedene Systeme zur Strukturierung der Daten eingekauft, wie bspw. E-Akten, die das Retention Management technisch abbilden. Diese Lösungen gehen oft Hand in Hand  mit Archiv-Storages von Drittanbietern, die trotz ihrer Kosten und Risiken leider nur in den seltensten Fällen ein  wirklich  holistisches Retention Management für die gesamte Organisation und die Gesamtheit ihrer Daten bietet. Mit dem Einsatz von M365 hat jeder Nutzer all seine Dokumente durch die ständige Synchronisierung aller (auch lokal gespeicherter) Daten z.B. via OneDrive-Lösungen in der (bspw. deutschen) Microsoft Cloud. Jede Datei kann vor dem Speichern, ganz gleich ob lokal oder in Lösungen wie SharePoint Online, mit einem Label versehen werden. Im Security und Compliance Center können Administratoren die Data Governance individuell anpassen und ausrollen.

Durch bereits von Microsoft vordefinierte und länderspezifische Regulatorik in diesen Bereichen, muss meist nur noch Individuelles angepasst werden. Zusätzlich unterstützt intelligentes Machine Learning während des Labeling-Prozesses durch den Nutzer die Auswahl der Klassifizierung von Dateien – der Computer erkennt bestimmte Daten in Dokumenten (bspw. eine IBAN) und kann so die Klassifizierung bereits vorauswählen und/oder den Nutzer auf diese Daten im Dokument hinweisen. Hier greifen alle Microsoft Lösungen integriert ineinander. So können beispielsweise ganze SharePoint- Bibliotheken mit Default-Werten für Records Retention versehen werden, es können Event Based Retentions konfiguriert werden (bspw. im Identity Management mit bestimmten Aktionen sobald ein Nutzer das Unternehmen verlässt) und vieles mehr. Die intelligente Technologie bietet nicht nur im Retention Management, sondern auch bspw. im Knowledge Management, der Informationssicherheit (Microsoft Information Protection – MIP) oder in der e-Discovery, ganz wesentliche Vorteile.

2. Microsoft Information Protection (MIP):

Ihre Daten wollen und müssen geschützt werden. Gründe gibt es reichlich, vollintegrierbare Lösungen hingegen nur wenige. Nicht nur die Kronjuwelen eines Unternehmens, auch Kunden- und Mitarbeiterdaten aus dem Daily Business müssen vollumfänglich geschützt werden. MIP ist eine cloudbasierte Lösung, die es Unternehmen ermöglicht, alle Daten forciert automatisiert, manuell durch User oder in einer Mischvariante zu klassifizieren (bzw. klassifizieren zu lassen). Dabei können Labelbezeichnungen und dahinterliegende Mechanismen sowie der Automatisierungsgrad (manuelle Auswahl durch User, manuelle Auswahl durch User, aber mit getroffener Vorauswahl oder streng vorgegeben) durch Administratoren konfiguriert und ausgerollt werden.

Klassifizierungen können beim Speichern von Dateien und beim Speichern in Drittanbieterlösungen sowie beim Versand von E-Mail – auch nach extern – abgefragt werden. Die dahinterliegenden Mechanismen steuern beispielsweise, ob ein Dokument versendet, gedruckt, gelesen und bearbeitet (auch an externe Adressaten) werden kann oder ob eine E-Mail weitergeleitet werden darf. Hier kommt Azure Rights Managment (ARM) zum Tragen. ARM verwendet Verschlüsselungstechnologien, Authorisierungsrichtlinien und Identitäten. Und all das funktioniert unabhängig vom Dateiablageort, mithin auch außerhalb Ihrer Organisation. Über ein Webinterface kann der Administrator und/oder jeder User alle Datenflüsse nachverfolgen, analysieren, Zugriffe beobachten und auch im Nachgang bestimmte Dateien für Einzelpersonen sperren.

MIP kann über alle Office-Anwendungen hinweg und zusätzlich in Outlook angewendet werden.

3. e-Discovery:

Unternehmen sind verpflichtet bei Strafsachen von Kunden, Lieferanten oder Mitarbeitern auf gerichtliche Anordnung bestimmte Daten freizugeben. Um wirklich alle relevanten Daten auch zu finden, nicht nur in gemeinsam genutzten Verzeichnissen, Datenbanken, Storage-Lösungen, sondern auch in E-Mail-Postfächern und vermeintlich nur lokal gespeicherten Desktoppfaden – ja, es ist konfigurierbar, dass jede einzelne Datei sofort in OneDrive synchronisiert wird, unabhängig wo ein User sie speichert – hat Microsoft die eDiscovery entwickelt. Der eDiscovery-Manager ist in der Lage in der jeweiligen Geo Location (bspw. Deutschland), bzw. im gesamten Tenant auf Basis von Metadaten/Tags, auf Knopfdruck alle relevanten Daten zu extrahieren. Bisher gekannte Aufwände und Lücken in der Datenmasse sind damit hinfällig geworden.

Banken- und Versicherungsgruppen in allen Teilen der globalisierten Welt treiben den Wandel rund um den Arbeitsplatz der Zukunft bereits an und führen dabei M365 ein. Zu nennen sind dabei u.a. TD, Raiffeisen Bank International, Munich Re und viele weitere. Als digitale (Mit-)Gestalter, Berater und Umsetzer sind wir auch bei unseren Kunden, nicht nur aus der Banken- und Versicherungswelt, in der Vergangenheit und ganz aktuell in allen Belangen rund um die Implementierung von M365 eingebunden.

Wir gehen den Weg von der strategischen Planung bis zur User Adoption gemeinsam mit Ihnen. Sprechen Sie uns an!

Der Autor: Benedikt Meyer ist Geschäftsführer der Blue Mountain Consulting GmbH und agiert als Senior Berater in den Bereichen Projekt-/Programm Management sowie als Compliance Manager.