Anpassungen bei Microsoft: Was Unternehmen über Cloud-Sicherheit wissen sollten

Im Zusammenhang mit künstlicher Intelligenz und dem Hype um ChatGPT oder Copilot von Microsoft stellt sich die Frage, ob die Cloud-Dienste von Microsoft sicher sind. Microsoft könnte möglicherweise auf die ausgelagerten Daten zugreifen und die Inhalte für KI-Anwendungen zu Trainingszwecken nutzen. Verschiedene Gerüchte über die Macht von Microsoft kursieren im Netz, was Anlass gibt, nachzuschauen und aufzuklären.
IHK24 Bannerbild Microsoft Anpassungen 2023

Ausgangslage

Die Beantwortung der Frage, ob Microsoft, Google, Apple und wie sie alle heißen, gute oder schlechte Daten- und Servicepartner sind, ist ziemlich komplex, aber für Unternehmen von enormer Bedeutung. Zudem häufen sich derzeit Aussagen oder Vermutungen wie „Microsoft liest unsere Daten aus, speichert und nutzt sie für höhere Zwecke..." versus „Keine Sorge, die Microsoft-Cloud ist sicher...".
In der Tat hat Microsoft kürzlich seine Nutzungsbedingungen angepasst, was im Internet für Furore und Unmut gesorgt hat und in Unternehmen berechtigte Sorgen auslöst. Eine Bestandsaufnahme ist notwendig und ein Blick in die Nutzungsbedingungen auch. Am Ende finden Sie zudem eine Gegenüberstelltung im Umgang mit Daten von openai (ChatGPT Anbieter) und Microsoft (Copilot). 

Gutes oder böses Microsoft?

Eine pauschale Antwort für die gesamte Struktur und eine adäquate Reaktion auf die letzten beiden Aussagen ist nicht möglich. Denn an beiden Aussagen ist etwas Wahres dran. Die Wirklichkeit ist, wie so oft, kompliziert. Wir haben Tim Haas, MS-365-Experte im Kammerbezirk der IHK Südlicher Oberrhein und Geschäftsführer der Ignition Teams GmbH, zum Thema gefragt und er hat sich die Zeit genommen, für Aufklärung zu sorgen.
Nachfolgend eine Einordnung der aktuellen Situation der Nutzungsbedingungen für Microsoft 365 Kunden, also vermutlich für einen Großteil der Unternehmen, die sich mit dem Thema Cloud, Datensicherheit, GPT-Anwendungen und weiteren Aspekten beschäftigen müssen. Der Artikel enthält konkrete Handlungsempfehlungen, ein Fazit und ein Glossar.
Aktuelle Meldung aus dem Netz: „Microsoft hat Anfang des Monats die Nutzungsbedingungen für private MS-365-Verträge geändert und wird Konten, die gegen die Verhaltensregeln verstoßen, sperren“. (Quellen: diverse Foren und Newsticker)
Das stimmt für die privaten Dienste von Microsoft. Für den Einsatz im Unternehmensumfeld sind diese Abonnements jedoch völlig ungeeignet.

Szenario: Führungskräfte und IT-Vertrauen

Unternehmerinnen und Unternehmer nutzen häufig private Microsoft-Accounts zur Speicherung persönlicher Daten, um diese vor dem Zugriff der IT-Administratoren zu schützen. Das ist in vielen Fällen verständlich und nachvollziehbar. Und grundsätzlich ist es auch nicht falsch, für diesen Anwendungsfall eine Cloud-Lösung zu wählen. Aber bitte keine Dienste von DropBox, Microsoft oder Google für die private Nutzung.

Warum raten wir von der Nutzung dieser Dienste ab: 

Das Hauptproblem ist der Datenschutz: Diese Dienste garantieren keine Datenspeicherung innerhalb der EU und keinen Schutz vor dem Zugriff deutscher Strafverfolgungsbehörden. Auch die Datensicherheit ist nicht gewährleistet, da es kaum praktikable Möglichkeiten gibt, sich vor Datenverlust durch versehentliches Löschen oder Datendiebstahl, zum Beispiel durch Ransomware, zu schützen.
Private Accounts lassen sich zudem nur schwer extern sichern, was aber notwendig ist, um die Folgen einer möglichen Kontosperrung zu vermeiden. Es sind Fälle bekannt, in denen Microsoft private
Accounts wegen des Verdachts der Speicherung illegaler Inhalte gesperrt hat, obwohl es sich nur um harmlose Familienfotos handelte. Natürlich gab es auch berechtigte Fälle, aber die Abgrenzung und der Schaden stehen in keinem Verhältnis.

Handlungsempfehlungen

  1. Geschäftsführer und Inhaber von Unternehmen sollten personenbezogene Daten immer außerhalb der Unternehmens-IT speichern und zusätzlich sichern. Dies ist wichtig, um den Zugriff auch in Situationen zu gewährleisten, in denen der Zugang zum Unternehmen eingeschränkt ist (z.B. bei Insolvenz oder Verkauf).
  2. Sowohl geschäftliche als auch private Daten sollten ausschließlich in Diensten gespeichert werden, die für die geschäftliche Nutzung konzipiert sind. Selbst Basisangebote wie Microsoft 365 Basic bieten ausreichend Speicherplatz in georedundanten Rechenzentren in Deutschland und umfassenden Schutz vor unberechtigtem Zugriff. Durch die Aktivierung der Multi-Faktor-Authentifizierung wird ein deutlich höheres Sicherheitsniveau als bei herkömmlichen NAS-Systemen erreicht.
  3. Cloud-Dienste erfordern immer eine Datensicherung, die eine Wiederherstellung der Daten auch ohne Zugriff auf den Cloud-Account ermöglicht. Viele „günstige" Dienste bieten diese Möglichkeit nicht.
  4. Die Nutzung der Cloud unter diesen Bedingungen ist in der Regel sicherer als der Umgang mit externen Festplatten und NAS-Systemen.
  5. Es empfiehlt sich, einen Basistarif mit einem zusätzlichen Cloud-Backup-Dienst zu kombinieren. Diese Lösung bietet Sicherheit und minimiert den administrativen Aufwand.

Microsoft-Cloud im Unternehmen

Nach der Corona-Pandemie haben viele Unternehmen zusätzlich zur „normalen" IT - was auch immer das bedeuten mag - Microsoft Cloud Services eingeführt, z.B. Videokonferenzteams und Chat-Tools. Häufig fehlt jedoch das nötige Know-how oder die Umsetzung erfolgt nur teilweise durch IT-Mitarbeitende, die mit lokalen Systemen (on premise) vertraut sind. Die besonderen Anforderungen einer Cloud-Umgebung können hier jedoch erhebliche Risiken bergen:
  • Datenschutz (Datenschutz-Folgenabschätzung, Anpassung der technischen und organisatorischen Maßnahmen)
  • ordnungsgemäße Verträge mit Microsoft
  • Datensicherheit (insbesondere Schutz vor Datenverlust und unberechtigtem Zugriff)
  • Betriebsvereinbarungen mit Betriebsrat
  • Ausgestaltung der Compliance-Funktionen des Cloud-Tenants
Qualifizierte Beratung ist daher unerlässlich. Es kommt vor, dass Server-Systemhäuser mit der rechtlichen Beratung und der Einrichtung von Gegenmaßnahmen überfordert sind. Fairerweise muss angemerkt werden, dass die Entwicklungsgeschwindigkeit in der IT-Branche sich selbst überholt und es selbst für ausgewiesene Expertinnen und Experten immer schwieriger wird, den vollständigen Überblick über die technologischen Möglichkeiten und die Änderungen der Allgemeinen Geschäftsbedingungen und Nutzungsbedingungen zu behalten.
So suchen Angreifer gezielt nach nur teilweise genutzten Umgebungen, in denen sie mangelnde Sicherheit und geringes Know-how vermuten. Außerdem müssen die Endbenutzer geschult werden, damit sie wissen, was sie tun und welche Auswirkungen ihre Handlungen in IT-Anwendungen haben können. Stichwort: Die berühmte E-Mail mit dem Anhang, der kein echter Anhang ist, sondern Malware enthält.
Schulungen und Präventionstrainings gegen Angriffe und ein Verständnis dafür, was in Clouds möglich ist und was nicht, sind im Sinne der Organisationsentwicklung sinnvoll und notwendig. Die Verlagerung administrativ aufwendiger und damit kostenintensiver Dienste wie Exchange und Fileserver in die Microsoft Cloud ist in den meisten Fällen schon aus wirtschaftlichen Gründen sinnvoll. Ausnahmen bilden wie immer die Regel.
Mit weiteren Cloud- bzw. MS-365-Diensten in den Microsoft-Lizenzen können zusätzliche Vorteile für Unternehmen erzielt werden:
  • Automatisierung von Verwaltungsprozessen
  • Verbesserung der internen Kommunikation, Einsparung von E-Mails, Zeitersparnis
  • Entlastung der IT-Administratoren
  • Wissensmanagement: Aufbau einer Knowledge Base, digitales Handbuch
  • Digitale Buchhaltung: papierlose Prozesse und Archive ohne teures Dokumentenmanagementsystem
  • Verbesserung der internen Aufgabenverwaltung und Nachverfolgung
  • Beschleunigung interner Projekte
Es gibt viele Gründe, den unsicheren Zustand des teilweisen Einsatzes von MS-365 zu beenden, aber ebenso viele, wenn nicht noch mehr Gründe, es zu verwenden. Das Wissen und die Eingrenzung der Risiken sind das Gebot der Stunde.

Handlungsempfehlungen

  1. Lassen Sie sich von Cloud-Spezialisten beraten.
  2. Stellen Sie sicher, dass die Sicherheitseinstellungen und die Datensicherung Ihrer Cloud-Umgebung auf dem neuesten Stand sind. In diesem Zusammenhang sollten auch die Administratoren geschult werden.
  3. Prüfen Sie die Möglichkeiten von M365 für Ihre Organisation, um zu entscheiden, ob eine erweiterte Nutzung sinnvoll ist.
  4. Implementieren Sie ein Cloud-zu-Cloud-Backup, das eine Datenwiederherstellung unabhängig von Microsoft ermöglicht.
  5. Erledigen Sie alle datenschutzrechtlichen Aufgaben im Zusammenhang mit M365.
  6. Entscheiden Sie sich für die volle Nutzung der Dienste mit entsprechendem Sicherheitsaufwand oder für eine starke Einschränkung der Hintergrunddienste bei ausschließlicher Nutzung von MS Teams. Lassen Sie keine Schatten-IT zu!

Fazit

Die Anwendungen von Microsoft sind aus der Büro- und Geschäftswelt nicht mehr wegzudenken. Allen Unkenrufen zum Trotz sind die Lösungen für Unternehmen gut, wenn die richtigen so eingesetzt werden, dass sie den individuellen und geschäftlichen Anforderungen gerecht werden. Skepsis durch Anpassung der Nutzungsverträge ist angebracht, zumal die Chatbots bzw. KI-GPT-Anwendungen von Microsoft auch in Deutschland bald bzw. in Enterprise-Lizenzen bereits verfügbar sind.
Nehmen Sie sich im Zweifelsfall Zeit und externe Unterstützung. Achten Sie darauf, wie Unternehmen wie Microsoft mit Ihren Daten umgehen. Auf B2B-Ebene haben Sie wenig zu befürchten, aber schließen Sie die Kanäle, über die Sie die Kontrolle über Ihre Daten verlieren können.
Die IT-Welt ist so schnelllebig, dass es mehr als legitim ist, von Fachleuten oder Dienstleistern Rückversicherung über den Zustand der Cloud zu verlangen.

Bonus: ChatGPT oder MS-Copilot im Unternehmen

Die Warnungen vor Datenschutzproblemen bei den kostenlosen Versionen von ChatGPT, gemeint ist ChatGPT 3.5, werden leider viel zu häufig ignoriert und sollten nicht nur im betrieblichen Kontext sehr ernst genommen werden. Gleiches gilt für die bing-Variante und den GPT-Kollegen Google Bard. Immer noch ist vielen Usern nicht klar, welche Auswirkungen der leichtfertige Umgang mit sensiblen hochgeladenen Daten bedeuten kann.  
Kein Wunder, denn die KI-Dienste sind im Alltag sehr nützlich, kostenfrei, enorm einfach zu bedienen und die Outputs sind verblüffend gut. Schlimmer noch als formale Datenschutzprobleme ist die konkrete Gefahr des Know-how-Diebstahls, insbesondere wenn Mitarbeitende oder Führungskräfte interne Informationen zur Bearbeitung in die freie Version von KI-Tools hochladen. Microsoft ist maßgeblich an OpenAI beteiligt und hat daher die Produkte in seiner aktuellen Suite als kostenlose Preview veröffentlicht.

Geschütze Bot-Nutzungsmöglichkeiten

Hier geht es zur Preview von Bing Chat Enterprise, die sichere und geschützte Variante von ChatGPT, und die Microsoft Edge for Business Sidebar ohne zusätzliche Kosten sind für Microsoft Kunden verfügbar, die eine Microsoft 365-Lizenz E3, E5, Business Standard, Business Premium oder A3 oder A5 für Lehrkräfte abonniert haben. Alternativ bietet auch openai eine ChatGPT Enterprise Lizenz an, in welcher versichert wird, dass Daten nicht zu Trainingszwecken in den Datenbestand und damit in den Eigentum von openai übergehen.
Hinweis: Der Markt ist so volatil wie nie zuvor. Es ist gut möglich, dass sich viele neue Optionen für Unternehmen von anderen Anbietern ergeben werden, die zum Stand dieses Artikels noch nicht verfügbar sind.
Das Besondere: Nutzer- und Unternehmensdaten sind geschützt und gelangen nicht nach außen. Sie können sicher sein, dass die Chatdaten nicht gespeichert werden, dass Microsoft keinen Zugriff darauf hat und dass sie nicht zum Trainieren des gesamten Datenmodells verwendet werden.  Achten Sie auf den grünen Hinweis: "Ihre persönlichen und geschäftlichen Daten sind in diesem Chat geschützt". Mehr dazu auf der Seite von Microsoft hier.
Sobald Sie in Ihrem Unternehmen die MS-365 Enterprise-Version ab E4 einsetzen, können Sie Copilot, das GPT-Modell von Microsoft, verwenden, um Ihre Unternehmensdaten zu trainieren. Dabei werden die gleichen Mechanismen wie bei den großen openai Datensammlungen verwendet, so dass Sie Ihre eigenen Daten zur Skalierung verwenden können. Weitere Informationen darüber, wie GPT lernt und was sich hinter Prompting verbirgt, finden Sie unter
 Die Mär künstlicher Intelligenz und Tipps und Tricks zu ChatGPT nachlesen. 
Weitere Vertiefungen zum Spektrum der MS-365-Welt finden Sie unter Blogbeiträgen wie 

Online-Veranstaltung zum Thema

Digitales Unternehmen Xing
Regelmäßig senden wir einen Online-Impuls mit anschließendem Austauschformat unter dem Titel: Wie bewerten, ob die IT-Ausstattung den Unternehmenszweck erfüllt
Die Teilnahme ist kostenlos. 

Glossar

Leider wimmelt es in der Softwarewelt von Fachbegriffen, Abkürzungen und Akronymen. Wir haben daher ein Glossar aus dem Fließtext erstellt, da es nicht möglich war, mit den korrekten Fachbegriffen zu schreiben, wir aber unserem Motto “endlich verständlich” treu bleiben wollen.
  • Ransomware: Schadsoftware, die einen Computer oder Daten sperrt und ein Lösegeld für die Entsperrung verlangt.
  • NAS-Systeme (Network Attached Storage): Speichersysteme, die über ein Netzwerk mit anderen Geräten verbunden sind und zentralen Datenspeicher bereitstellen.
  • Georedundante Rechenzentren: Rechenzentren, die Daten an mehreren Orten speichern, um die Datensicherheit zu erhöhen.
  • Multi-Faktor-Authentifizierung: Sicherheitsverfahren, bei dem mehrere Nachweise zur Verifizierung der Identität verwendet werden.
  • Cloud-Tenant: Eine Instanz eines Cloud-Dienstes, die einem Kunden zur Verfügung gestellt wird und isoliert von anderen Instanzen läuft.
  • Schatten-IT: IT-Systeme oder -Lösungen, die innerhalb einer Organisation ohne offizielle Genehmigung verwendet werden.
  • Compliance: Einhaltung von gesetzlichen Bestimmungen und Richtlinien.
  • Eine Datenschutz-Folgenabschätzung (DSFA) ist gemäß Artikel 35 der Datenschutz-Grundverordnung (DSGVO) erforderlich, wenn eine Art der Verarbeitung, insbesondere bei Verwendung neuer Technologien, voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat1 .
  • Im Zusammenhang mit Microsoft 365 (M365) kann eine DSFA dazu beitragen, die datenschutzkonforme Nutzung von M365 nachzuweisen. Da M365 in hohem Maße anpassbar ist, kann eine DSFA je nach den Einzelheiten Ihrer Microsoft-Konfiguration erforderlich sein.
  • Es ist wichtig zu beachten, dass Sie als für die Verarbeitung Verantwortlicher die angemessene Nutzung der Daten bestimmen müssen. Die DSFA kann dabei helfen, potenzielle Risiken zu identifizieren und geeignete Maßnahmen zur Minimierung dieser Risiken zu ergreifen. Es wird empfohlen, vor der Nutzung von M365 eine DSFA durchzuführen.
  • Technische und organisatorische Maßnahmen (TOM): Sicherheitsstrategien und -verfahren zum Schutz von Daten.
  • Knowledge Base: Zentrale Ablage von Informationen und Wissen.
  • Dokumentenmanagementsystem (DMS): System zur digitalen Verwaltung von Dokumenten.
  • ChatGPT ist ein Dienst mit künstlicher Intelligenz, der natürliche Sprache versteht und generiert. Er kann mit Menschen über verschiedene Themen chatten oder ihnen bei verschiedenen Aufgaben helfen.
  • OpenAI ist eine gemeinnützige Forschungsorganisation, die künstliche Intelligenz (KI) zum Nutzen der gesamten Menschheit entwickelt, ohne finanzielle Interessen zu verfolgen. OpenAI erforscht generative Modelle und deren Ausrichtung an menschlichen Werten und bietet eine Plattform für KI-Anwendungen wie ChatGPT.
  • Bing ist eine Suchmaschine von Microsoft, die Informationen aus dem Web, Bilder, Videos, Nachrichten und mehr liefert. Bing bietet auch einen KI-gestützten Suchassistenten, der mit Nutzern chatten und ihnen helfen kann, Antworten zu finden, Inhalte zu erstellen und Inspiration zu finden.
  • Bing Chat Enterprise ist eine sichere Version von ChatGPT, die in Microsoft 365 integriert ist und es Nutzern ermöglicht, mit einer künstlichen Intelligenz zu chatten, die natürliche Sprache versteht und generiert, ohne dass ihre Daten nach außen gelangen oder von Microsoft verwendet werden.
(Letzter Stand 26. Oktober 2023, Autor: Tim Haas; Co-Autor und Herausgeber Emmanuel Beule)