Inhaltsverzeichnis:


Support

Bitte kontaktieren Sie uns per SmartDesk, E-Mail servicedesk@id.ethz.ch oder telefonisch unter +41 44 632 77 77



Generelles zum Datenschutz


Der Einsatz von Microsoft 365 wird in enger Abstimmung mit den Datenschutzverantwortlichen der ETH aufgebaut.

Es ist zu beachten, dass die Vorgaben betreffend Informationssicherheit und Datenschutz auch bei der Verwendung von Cloud Services ihre Gültigkeit behalten.

=> Vertrauliche Daten dürfen in OneDrive, Sharepoint und Teams bearbeitet oder gespeichert werden (Ausnahmebewilligung durch CISO erteilt).

Zuständig für die korrekte Klassifizierung sind gemäss Weisung «Informationssicherheit an der ETH Zürich» die Informationseigner. Alle Nutzenden von Microsoft 365/Teams müssen die Kenntnisnahme dieser Nutzungsbedingungen während der Subskription zwingend bestätigen. 

Verschlüsselung 

Alle durch die User genutzten Daten in der Microsoft Cloud sind sowohl im Transport wie auch in der Speicherung verschlüsselt. Hier finden Sie eine Übersicht der unterschiedlichen Verschlüsselungen pro Dienst. 
  

Dienst

Verschlüsselung Transport

Teams

Server-zu-Server MTLS
Client-zu-Server (Sofort-Nachrichten, Status) TLS
Audio und Videofreigabe TLS/SRTP
Signalisierung TLS

SharePoint Online

Client-zu-Server TLS
Rechenzentrum-zu-Rechenzentrum TLS

OneDrive for Business

Client-zu-Server TLS
Rechenzentrum-zu-Rechenzentrum TLS

Exchange Online

Not applicable - wird in der ETH Zürich zurzeit on-Premise gespeichert

.

Dienst

Verschlüsselung Speicherung (Data @ Rest)

Teams

AES-256 (SharePoint Online)

SharePoint Online

AES-256

Pro Datei und Tenant wird ein individueller Schlüssel (Handling durch SharePoint Online Dienst) erzeugt bevor Dateien in Azure Storage abgelegt werden.

Azure Storage selbst kann Dateien nicht entschlüsseln da Schlüssel nur für SharePoint Online Dienst lesbar ist.

Alle Ver- und Entschlüsselung findet im gleichen Sicherheitskontext wie die Tenant Isolierung statt, welche ebenfalls Azure AD und SharePoint Online von anderen Kundenumgebungen trennt.

OneDrive for Business

AES-256 (SharePoint Online)

Exchange Online

Not applicable - wird in der ETH Zürich zurzeit on-Premise gespeichert

End-to-End-Verschlüsselung für Teams-Anrufe

Wie oben ersichtlich bietet Microsoft Teams eine standardmässige Verschlüsselung (TLS - Transport Layer Security sowie SRTP Secure Real-Time Transport Protocol) für die Kommunikation.

Möchten Sie für besonders sensible Gespräche aber zusätzliche Vorkehrungen treffen, bietet Teams eine End-to-End-Verschlüsselung (E2EE) für Eins-zu-Eins-Anrufe. Bei E2EE werden Anrufinformationen an ihrem Ursprung verschlüsselt und an ihrem vorgesehenen Ziel entschlüsselt, sodass zwischen diesen Punkten keine Informationen entschlüsselt werden können. 

Damit erfahren folgenden Funktionen während eines Eins-zu-Eins-Anrufs diese zusätzliche Verschlüsselung: Audio, Video und Bildschirmfreigabe. Beachten Sie, dass folgende Features während eines E2EE-Anrufs nicht zur Verfügung stehen:
Aufzeichnung, Liveuntertitel und Transkription, Anrufübertragung, Begleiter für Anrufe und Übertragung auf ein anderes Gerät sowie Hinzufügen eines Teilnehmers.


Aktivieren von E2EE

Vor dem Anruf müssen beide Personen Folgendes tun:

Wählen Teams neben Ihrem Profilbild Weitere Optionen aus, und wählen Sie dann Einstellungen.

Wählen Sie auf der linken Seite Datenschutz und dann den Umschalter neben Ende-zu-Ende-verschlüsselte Anrufe aus, um sie zu aktivieren.



Um zu überprüfen, ob die End-to-End-Verschlüsselung aktviert ist, suchen Sie nach dem Schild mit dem Schloss in der oberen linken Ecke des Anruffensters.

Dies zeigt Ihnen an, dass E2EE für beide Parteien aktiviert ist. Beachten Sie, dass beide Teilnehmenden die E2EE-Option aktiviert haben müssen, damit die
End-to-End-Verschlüsselung auch tatsächlich aktiv ist. 

.

Datenspeicherung

Die Speicherung der Daten findet in Rechenzentren von Microsoft in der Schweiz oder an Standorten in der Europäischen Union (EU) statt. Sämtliche Anwendungen, bei welchen Microsoft die Datenspeicherung ausserhalb der Schweiz oder der EU vornimmt, wurden durch die ID deaktiviert. Diesbezügliche Ausnahmen müssen durch die Schulleitung genehmigt werden. 



Die folgende Tabelle zeigt auf, wo die Daten für in der Schweiz genutzte Microsoft 365-Dienste gespeichert werden. 

Dienst Standort
OneDrive for BusinessSchweiz
SharePoint OnlineSchweiz
Microsoft TeamsSchweiz
Office Online & MobileSchweiz
PlannerGlobale Region 1 – EMEA
OneNote ServicesSchweiz
StreamGlobale Region 1 – EMEA
WhiteboardGlobale Region 1 – EMEA
FormsGlobale Region 1 – EMEA

Hinweis: Die von Microsoft beschriebene Region «Global Geography 1 - EMEA» umfasst Rechenzentrumsstandorte in Finnland, Österreich, Frankreich, Irland und Niederlande

Unter dem folgenden Link kann die vollständige und aktuelle Liste abgerufen werden, welche Daten für in der Schweiz genutzte Microsoft 365-Dienste wo gespeichert werden: 
https://docs.microsoft.com/de-ch/office365/enterprise/o365-data-locations#switzerland


Einsatz von Online Services
Microsoft nutzt zur Konvertierung von gewissen Formaten sog. Online Dienste.  Zu diesem Zweck werden bestimmte Dateitypen zur Konvertierung an diesen Dienst gesandt. Die konvertierte Datei wird dann sofort auf den Rechner des Benutzers zurückgesendet. Die Übertragung von und zu Microsoft erfolgt in solchen Fällen über eine sichere Verbindung. Der Microsoft Online Dienst speichert keine Daten auf seinen Servern. Weitere Informationen zu diesem Thema: https://support.microsoft.com/en-us/office/why-does-the-microsoft-online-service-need-to-convert-some-office-files-ef8ff042-c40c-4d9f-9d11-0d21f88e4179?ui=en-us&rs=en-us&ad=us 


Weitere Informationen

Microsoft stellt sicher, dass Daten im Verlustfall für die betroffenen Nutzenden innerhalb einer Frist von bis zu 90 Tagen wiederhergestellt werden können. 

Alle Benutzenden von Microsoft 365 werden mit ihren Identitäten aus dem Active Directory (AD) in der Microsoft Cloud angelegt. Für die Anmeldung wird ein Verfahren namens ADFS verwendet. Damit werden die Identitäten in die Microsoft Cloud synchronisiert. Für die Anmeldung wird der ETH Username und das ETH-Passwort benutzt. Office 365 verwendet also kein eigenständiges Passwort und speichert dieses auch nicht in der Cloud.


Protokollierung von Log-Daten in Microsoft 365

Microsoft 365 führt verschiedene Log-Daten, welche im Rahmen der Nutzung von Cloud-Diensten anfallen, in einem zentralen Container unter dem Namen Unified Audit Log (UAL) zusammen. Diese Protokollierung von Log-Daten wird von Microsoft in der Cloud gespeichert und der ETH Zürich temporär zugänglich gemacht. Die Informatikdienste haben in Zusammenarbeit mit dem Chief Security Information Officer eine Logging Policy erstellt. Diese beschreibt den Rahmen sowie die dazugehörigen flankierenden technischen und organisatorischen Schutzmassnahmen, welche die Voraussetzungen für den Betrieb des Unified Audit Log von MS 365 bilden.

=> Link zum Logging Policy Dokument
   

Multifaktor-Authentifikation für den Gäste Zugang zu Teams

Bei der Benutzung von Clouddiensten müssen zusätzliche Sicherheitsmassnahmen getroffen werden, damit Unberechtigte keinen Zugang zu den in der Cloud gespeicherten Daten erhalten. Deshalb ist für alle Gäste die Multifaktor-Authentifikation aktiviert. Dies bedeutet, dass sämtliche Gäste bei der ersten Anmeldung einen zweiten Faktor registrieren müssen, z.B. ein Mobil-Telefon oder eine Authenticator-App.

Neben dem obligatorischen Kennwort muss sich der Gast dann je nach gewählter Methode über einen auf ein Smartphone zugesandten SMS-Code oder per spezifischer Authentisierung App identifizieren. Durch die Kombination mehrerer Authentifizierungsfaktoren steigt die Gewissheit, dass der Benutzer, der gerade versucht sich zu authentifizieren, tatsächlich der ist, den er vorgibt zu sein.


Einrichten der Multifaktor-Authentifikation  

Schritt 1: Klicken Sie auf den Link im Einladungsmail "Microsoft Teams öffen" (bzw. "Open Microsoft Teams"). Falls die E-Mail-Adresse, auf welche Sie die Einladung erhalten haben, noch nicht mit einem Microsoft Konto verknüpft ist, müssen Sie erst ein Konto erstellen.

  

Schritt 2: Sie werden auf den Schirm "Berechtigungen überprüfen" geführt. Klicken Sie auf "Akzeptieren"


Danach wird Ihnen der Schirm "Weitere Informationen erforderlich" angezeigt Klicken Sie auf "Weiter"


Schritt 3: Wählen Sie aus, anhand welcher Methode Sie sich authentifizieren möchten. 

Folgende Optionen stehen Ihnen zur Verfügung: 

  • Mobiles Telefon (SMS oder Rückruf) 
  • Authentisierungs-App 
  • Telefon geschäftlich (Diese Option ist aktuell nicht aktiviert)


Option 1: Sie können sich über das mobile Telefon einen SMS-Code zuschicken lassen.


Option 2: Sie nutzen die Microsoft Authenticator-App, dafür  wählen Sie bitte  "Mobile App" aus. 


Option 3: Die Option Geschäftsnummer ist aktuell nicht freigeschaltet. 



Bei Verwendung der Authenticator-App von Microsoft (Link zum Download
https://www.microsoft.com/de-de/account/authenticator) darf diese nach erfolgter Anmeldung nicht gelöscht werden. Ebenso muss die Authenticator-App nach einem Gerätewechsel neu konfiguriert werden.

Ein Erklärungsvideo zum Einrichten der Microsoft Authenticator-App ist unter folgendem Link abrufbar: https://www.microsoft.com/de-de/videoplayer/embed/RE2Pbu3?pid=ocpVideo0-innerdiv-oneplayer&postJsllMsg=true&maskLevel=20&market=de-de


Die Multifaktor-Authentifikation muss regelmässig bestätigt werden. Immer wenn Sie sich neu, oder nach längerer Inaktivität auf einem Gerät mit Ihrem Microsoft 365 Konto anmelden, müssen Sie die Anmeldung über einen weiteren Faktor bestätigen. Dieses Verfahren ist ein zuverlässiger Schutz vor Phishing bzw. dem unberechtigten Anmelden mit Ihren Micrososft365 Konto und Passwort.


Die MFA-Einstellungen kann jeder User auch direkt über folgenden Link prüfen bzw. verwalten. https://mysignins.microsoft.com/

Hier können Sie auch auf eine andere Anmeldemethode wechseln, zusätzliche Anmeldemethoden hinterlegen und die Standardanmeldemethode festlegen. Es wird empfohlen mindestens eine zusätzliche Anmeldemethode zu hinterlegen für den Fall, dass der bevorzugte Weg nicht zur Verfügung steht, zum Beispiel bei einem Defekt / Ersatz Ihres Mobiltelefons.


Informationsarchitektur

Microsoft Teams bildet das zentrale Element der Microsoft-365 Landschaft, hat selbst aber keine Datenspeicherung. Teams teilt die Daten, welche in einem Team anfallen, auf verschiedene Anwendungen auf:

  •  Gruppenunterhaltungen sowie der Gruppenkalender werden in Exchange gespeichert
  •  Auch die Meetings, die erstellt werden, landen in Exchange.
  •  Team-Chats werden ebenfalls in Exchange gespeichert.
  •  Meetingaufzeichnungen landen in Stream; dies bedeutet, dass sie somit in Azure gespeichert werden.
  •  Alle weiteren Dokumente, das OneNote-Notizbuch und das SharePoint Wiki landen in der Websitesammlung in SharePoint.
  •  Auch Dateianhänge in einem Chat sowie Anhänge an Aufgaben aus Planner landen in SharePoint.

Basierend auf dem aktuell gewählten Exchange-Hybrid Modus können bei der ETH gewisse Abweichungen aus der oben aufgezeigten Darstellung entstehen. So ist Voice-Mail deaktiviert und Chats werden aufgrund des Hybrid-Exchange Modus nicht in Exchange aufgezeichnet.



  • No labels