Generelles zum Datenschutz
Der Einsatz von Microsoft 365 wird in enger Abstimmung mit den Datenschutzverantwortlichen der ETH aufgebaut.
Es ist zu beachten, dass die Vorgaben betreffend Informationssicherheit und Datenschutz auch bei der Verwendung von Cloud Services ihre Gültigkeit behalten.
=> Vertrauliche Daten dürfen in OneDrive, Sharepoint und Teams bearbeitet oder gespeichert werden (Ausnahmebewilligung durch CISO erteilt).
Zuständig für die korrekte Klassifizierung sind gemäss Weisung «Informationssicherheit an der ETH Zürich» die Informationseigner. Alle Nutzenden von Microsoft 365/Teams müssen die Kenntnisnahme dieser Nutzungsbedingungen während der Subskription zwingend bestätigen.
Verschlüsselung
Alle durch die User genutzten Daten in der Microsoft Cloud sind sowohl im Transport wie auch in der Speicherung verschlüsselt. Hier finden Sie eine Übersicht der unterschiedlichen Verschlüsselungen pro Dienst.
Dienst | Verschlüsselung Transport |
Teams | Server-zu-Server MTLS |
SharePoint Online | Client-zu-Server TLS |
OneDrive for Business | Client-zu-Server TLS |
Exchange Online | Not applicable - wird in der ETH Zürich zurzeit on-Premise gespeichert |
.
Dienst | Verschlüsselung Speicherung (Data @ Rest) |
Teams | AES-256 (SharePoint Online) |
SharePoint Online | AES-256 Azure Storage selbst kann Dateien nicht entschlüsseln da Schlüssel nur für SharePoint Online Dienst lesbar ist. Alle Ver- und Entschlüsselung findet im gleichen Sicherheitskontext wie die Tenant Isolierung statt, welche ebenfalls Azure AD und SharePoint Online von anderen Kundenumgebungen trennt. |
OneDrive for Business | AES-256 (SharePoint Online) |
Exchange Online | Not applicable - wird in der ETH Zürich zurzeit on-Premise gespeichert |
.
End-to-End-Verschlüsselung für Teams-Anrufe
Wie oben ersichtlich bietet Microsoft Teams eine standardmässige Verschlüsselung (TLS - Transport Layer Security sowie SRTP Secure Real-Time Transport Protocol) für die Kommunikation.
Möchten Sie für besonders sensible Gespräche aber zusätzliche Vorkehrungen treffen, bietet Teams eine End-to-End-Verschlüsselung (E2EE) für Eins-zu-Eins-Anrufe. Bei E2EE werden Anrufinformationen an ihrem Ursprung verschlüsselt und an ihrem vorgesehenen Ziel entschlüsselt, sodass zwischen diesen Punkten keine Informationen entschlüsselt werden können.
Damit erfahren folgenden Funktionen während eines Eins-zu-Eins-Anrufs diese zusätzliche Verschlüsselung: Audio, Video und Bildschirmfreigabe. Beachten Sie, dass folgende Features während eines E2EE-Anrufs nicht zur Verfügung stehen:
Aufzeichnung, Liveuntertitel und Transkription, Anrufübertragung, Begleiter für Anrufe und Übertragung auf ein anderes Gerät sowie Hinzufügen eines Teilnehmers.
Aktivieren von E2EE
Vor dem Anruf müssen beide Personen Folgendes tun:
Wählen Teams neben Ihrem Profilbild Weitere Optionen aus, und wählen Sie dann Einstellungen.
Wählen Sie auf der linken Seite Datenschutz und dann den Umschalter neben Ende-zu-Ende-verschlüsselte Anrufe aus, um sie zu aktivieren.
Um zu überprüfen, ob die End-to-End-Verschlüsselung aktviert ist, suchen Sie nach dem Schild mit dem Schloss in der oberen linken Ecke des Anruffensters. Dies zeigt Ihnen an, dass E2EE für beide Parteien aktiviert ist. Beachten Sie, dass beide Teilnehmenden die E2EE-Option aktiviert haben müssen, damit die |
.
Datenspeicherung
Die Speicherung der Daten findet in Rechenzentren von Microsoft in der Schweiz oder an Standorten in der Europäischen Union (EU) statt. Sämtliche Anwendungen, bei welchen Microsoft die Datenspeicherung ausserhalb der Schweiz oder der EU vornimmt, wurden durch die ID deaktiviert. Diesbezügliche Ausnahmen müssen durch die Schulleitung genehmigt werden.
Weitere Informationen
Microsoft stellt sicher, dass Daten im Verlustfall für die betroffenen Nutzenden innerhalb einer Frist von bis zu 90 Tagen wiederhergestellt werden können.
Alle Benutzenden von Microsoft 365 werden mit ihren Identitäten aus dem Active Directory (AD) in der Microsoft Cloud angelegt. Für die Anmeldung wird ein Verfahren namens ADFS verwendet. Damit werden die Identitäten in die Microsoft Cloud synchronisiert. Für die Anmeldung wird der ETH Username und das ETH-Passwort benutzt. Office 365 verwendet also kein eigenständiges Passwort und speichert dieses auch nicht in der Cloud.
Protokollierung von Log-Daten in Microsoft 365
Microsoft 365 führt verschiedene Log-Daten, welche im Rahmen der Nutzung von Cloud-Diensten anfallen, in einem zentralen Container unter dem Namen Unified Audit Log (UAL) zusammen. Diese Protokollierung von Log-Daten wird von Microsoft in der Cloud gespeichert und der ETH Zürich temporär zugänglich gemacht. Die Informatikdienste haben in Zusammenarbeit mit dem Chief Security Information Officer eine Logging Policy erstellt. Diese beschreibt den Rahmen sowie die dazugehörigen flankierenden technischen und organisatorischen Schutzmassnahmen, welche die Voraussetzungen für den Betrieb des Unified Audit Log von MS 365 bilden.
Multifaktor-Authentifikation für den Gäste Zugang zu Teams
Bei der Benutzung von Clouddiensten müssen zusätzliche Sicherheitsmassnahmen getroffen werden, damit Unberechtigte keinen Zugang zu den in der Cloud gespeicherten Daten erhalten. Deshalb ist für alle Gäste die Multifaktor-Authentifikation aktiviert. Dies bedeutet, dass sämtliche Gäste bei der ersten Anmeldung einen zweiten Faktor registrieren müssen, z.B. ein Mobil-Telefon oder eine Authenticator-App.
Neben dem obligatorischen Kennwort muss sich der Gast dann je nach gewählter Methode über einen auf ein Smartphone zugesandten SMS-Code oder per spezifischer Authentisierung App identifizieren. Durch die Kombination mehrerer Authentifizierungsfaktoren steigt die Gewissheit, dass der Benutzer, der gerade versucht sich zu authentifizieren, tatsächlich der ist, den er vorgibt zu sein.
Einrichten der Multifaktor-Authentifikation
Schritt 1: Klicken Sie auf den Link im Einladungsmail "Microsoft Teams öffen" (bzw. "Open Microsoft Teams"). Falls die E-Mail-Adresse, auf welche Sie die Einladung erhalten haben, noch nicht mit einem Microsoft Konto verknüpft ist, müssen Sie erst ein Konto erstellen.
Schritt 2: Sie werden auf den Schirm "Berechtigungen überprüfen" geführt. Klicken Sie auf "Akzeptieren"
Danach wird Ihnen der Schirm "Weitere Informationen erforderlich" angezeigt Klicken Sie auf "Weiter"
Schritt 3: Wählen Sie aus, anhand welcher Methode Sie sich authentifizieren möchten.
Folgende Optionen stehen Ihnen zur Verfügung:
- Mobiles Telefon (SMS oder Rückruf)
- Authentisierungs-App
- Telefon geschäftlich (Diese Option ist aktuell nicht aktiviert)
Option 1: Sie können sich über das mobile Telefon einen SMS-Code zuschicken lassen.
Option 2: Sie nutzen die Microsoft Authenticator-App, dafür wählen Sie bitte "Mobile App" aus.
Option 3: Die Option Geschäftsnummer ist aktuell nicht freigeschaltet.
Bei Verwendung der Authenticator-App von Microsoft (Link zum Download https://www.microsoft.com/de-de/account/authenticator) darf diese nach erfolgter Anmeldung nicht gelöscht werden. Ebenso muss die Authenticator-App nach einem Gerätewechsel neu konfiguriert werden.
Ein Erklärungsvideo zum Einrichten der Microsoft Authenticator-App ist unter folgendem Link abrufbar: https://www.microsoft.com/de-de/videoplayer/embed/RE2Pbu3?pid=ocpVideo0-innerdiv-oneplayer&postJsllMsg=true&maskLevel=20&market=de-de
Die Multifaktor-Authentifikation muss regelmässig bestätigt werden. Immer wenn Sie sich neu, oder nach längerer Inaktivität auf einem Gerät mit Ihrem Microsoft 365 Konto anmelden, müssen Sie die Anmeldung über einen weiteren Faktor bestätigen. Dieses Verfahren ist ein zuverlässiger Schutz vor Phishing bzw. dem unberechtigten Anmelden mit Ihren Micrososft365 Konto und Passwort.
Die MFA-Einstellungen kann jeder User auch direkt über folgenden Link prüfen bzw. verwalten. https://mysignins.microsoft.com/
Hier können Sie auch auf eine andere Anmeldemethode wechseln, zusätzliche Anmeldemethoden hinterlegen und die Standardanmeldemethode festlegen. Es wird empfohlen mindestens eine zusätzliche Anmeldemethode zu hinterlegen für den Fall, dass der bevorzugte Weg nicht zur Verfügung steht, zum Beispiel bei einem Defekt / Ersatz Ihres Mobiltelefons.
Informationsarchitektur
Microsoft Teams bildet das zentrale Element der Microsoft-365 Landschaft, hat selbst aber keine Datenspeicherung. Teams teilt die Daten, welche in einem Team anfallen, auf verschiedene Anwendungen auf:
- Gruppenunterhaltungen sowie der Gruppenkalender werden in Exchange gespeichert
- Auch die Meetings, die erstellt werden, landen in Exchange.
- Team-Chats werden ebenfalls in Exchange gespeichert.
- Meetingaufzeichnungen landen in Stream; dies bedeutet, dass sie somit in Azure gespeichert werden.
- Alle weiteren Dokumente, das OneNote-Notizbuch und das SharePoint Wiki landen in der Websitesammlung in SharePoint.
- Auch Dateianhänge in einem Chat sowie Anhänge an Aufgaben aus Planner landen in SharePoint.
Basierend auf dem aktuell gewählten Exchange-Hybrid Modus können bei der ETH gewisse Abweichungen aus der oben aufgezeigten Darstellung entstehen. So ist Voice-Mail deaktiviert und Chats werden aufgrund des Hybrid-Exchange Modus nicht in Exchange aufgezeichnet.