[English]Es ist in meinen Augen ein Meilenstein, den ich schon länger erwartet habe. Die Europäischen Datenschutzbeauftragten (EDSB) haben am heutigen Montag, den 11. März 2024, öffentlich in einem Bericht festgestellt, dass die Europäische Kommission bei der Nutzung von Microsoft 365 nicht mit den eigenen (Datenschutz-)bestimmungen im Einklang ist. Das Gremium der EDSB hat die EU-Kommission angewiesen, ab dem 9. Dezember 2024 keine Daten mehr aus der Nutzung von Microsoft 365 an Microsoft und seine Tochtergesellschaften in Nicht-EU/EWR-Ländern ohne Angemessenheitsbeschluss zu übermitteln.
Anzeige
Das Thema "Ist Microsoft 365 DSGVO-konform" dräut nun ja schon seit Jahren. Ich hatte es 2022 erstmals für Deutschland aufgegriffen, als die Datenschutzkonferenz (DSK) feststellte, dass Microsoft 365 nicht datenschutzkonform sei. Wer das Produkt verwendet, handelt datenschutzwidrig – zumindest, was die von Microsoft vorgegebene Standardkonfiguration betrifft. Trotz Nachbesserungen war es Microsoft bis 2022 nicht gelungen, die DSGVO-Konformität von Microsoft 365 sicherzustellen. So das Fazit der Datenschutzkonferenz (DSK).
Die Datenschutzkonferenz (DSK) ist die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder in Deutschland. Das Gremium befasst sich mit aktuellen Fragen des Datenschutzes in Deutschland und nimmt dazu Stellung.
Nun sind wir im Jahr 2024 und Microsoft posaunt, in allen Produkten Copilot einsetzen zu wollen – ein No-Go für den Datenschutz. Ich warte daher darauf, dass der Europäische Gerichtshof (EuGH) ein weiteres "Schrems III"-Urteil spricht, das den Datentransfer außerhalb der EU für unzulässig erklärt, wenn kein gleichwertiges Datenschutzniveau hergestellt werden kann.
Untersuchung seit 2021
Die Prüfung der Nutzung von Microsoft 365 durch die EU-Kommission begann im Mai 2021, nachdem das Urteil in der Rechtssache Schrems II durch den EuGH gefällt wurde. In seinem Grundsatzurteil konzentrierte sich der Gerichtshofs der Europäischen Union auf die Frage der Rechtmäßigkeit der Übermittlung personenbezogener Daten aus der EU in Drittländer, das sich insbesondere auf die Datenübermittlung in die Vereinigten Staaten und die Angemessenheit der Maßnahmen zum Schutz von Daten und Privatsphäre in diesem Zusammenhang. Der EuGH kam zum Schluss, dass diese Übermittlung nicht mit der DSGVO konform sei.
Anzeige
Ziel der Untersuchung des EDSB ist es, die Einhaltung der Empfehlungen des EDSB zu Produkten und Diensten von Microsoft zu überprüfen. Dies ist Teil des Beitrags der Aufsichtsbehörde zur koordinierten Durchsetzungsmaßnahme 2022 des Europäischen Datenschutzausschusses [(2022 Coordinated Enforcement Action of the European Data Protection Board](EDSB), dem Vertreter der nationalen Datenschutzbehörden sowie der EDSB angehören.
Finale Feststellung vom 11. März 2024
Euroactive berichtet heute im Artikel EU Commission breached data protection rules using Microsoft 365, EU watchdog found, dass die Europäischen Datenschutzbeauftragten (EDSB) zum Schluss gekommen seien, dass die Europäische Kommission bei der Nutzung von Microsoft 365 gegen Datenschutzbestimmungen verstoßen hat. Dies umfasst Verstöße gegen mehrere Teile der EU-Datenschutzverordnung für Institutionen (Verordnung 2018/1725).
Die Verordnung betrifft den Datenschutz in den Organen, Einrichtungen, Ämtern und Agenturen der EU (EUI) und die Verarbeitung personenbezogener Daten durch diese Einrichtungen, um die Einhaltung der Datenschutzgrundsätze zu gewährleisten und das Recht des Einzelnen auf Privatsphäre in den EU-Institutionen zu schützen.
Nach Ansicht des EDSB hat es die EU-Kommission versäumt, angemessene Garantien für die Übermittlung personenbezogener Daten außerhalb der EU oder des Europäischen Wirtschaftsraums (EWR) zu gewährleisten. In ihrem Vertrag mit Microsoft versäumte es die EU-Kommission als Institution auch, die Arten der erhobenen personenbezogenen Daten und den Zweck der Datenerhebung bei der Nutzung von Microsoft 365 zu spezifizieren. Microsoft 365 umfasst Kollaborations- und Cloud-basierte Dienste, darunter Anwendungen wie Word, Excel, PowerPoint, Outlook und Online-Dienste wie OneDrive, Teams und SharePoint.
Die Verstöße der EU-Kommission als für die Verarbeitung Verantwortlicher erstrecken sich auch auf die Datenverarbeitung und die in ihrem Namen durchgeführten Übermittlungen personenbezogener Daten. Laut EDSB betreffen mehrere Verstöße alle Datentätigkeiten der EU-Kommission, und umfassen auch Tätigkeiten, die in Microsoft 365 durchgeführt werden. Dies betrifft die persönlichen Daten vieler Menschen, so der EDSB.
"Es liegt in der Verantwortung der Organe, Einrichtungen, Ämter und Agenturen der EU (EUI), sicherzustellen, dass jede Verarbeitung personenbezogener Daten außerhalb und innerhalb der EU/des EWR, einschließlich im Zusammenhang mit Cloud-basierten Diensten, mit robusten Datenschutzgarantien und -maßnahmen einhergeht", sagte der Europäische Datenschutzbeauftragte, Wojciech Wiewiórowski. "Dies ist zwingend erforderlich, um sicherzustellen, dass die Daten natürlicher Personen gemäß der Verordnung (EU) 2018/1725 geschützt werden, wenn ihre Daten von einer EUI oder in deren Namen verarbeitet werden." Die Pressemitteilung vom 11. März 2024 lässt sich hier nachlesen.
Anmerkung: Ein Blog-Leser hat mich auf Mastodon darauf hingewiesen, dass es bei obiger Entscheidung nicht Verordnung (EU) 2016/679 geht – das ist die DSGVO. Sondern es geht um die oben erwähnte Verordnung (EU) 2018/1725, die die DSGVO-Entsprechung für die EU-Organe selbst regelt. Und dagegen hat die EU-Kommission wohl verstoßen.
Zeit bis Dezember 2024 zur Korrektur
Der EDSB hat die EU-Kommission angewiesen, ab dem 9. Dezember 2024 keine Daten mehr aus der Nutzung von Microsoft 365 an Microsoft und seine verbundenen Unternehmen in Nicht-EU/EWR-Ländern ohne Angemessenheitsbeschluss zu übermitteln. Die EU-Kommission muss außerdem sicherstellen, dass ihre Microsoft 365-Operationen bis zum gleichen Datum mit der Verordnung 2018/1725 übereinstimmen. Zu diesem Zweck muss die Kommission ein Transfer-Mapping durchführen, um die Übermittlung personenbezogener Daten, die Empfänger, die Zwecke und die Garantien im Detail zu beschreiben.
Außerdem muss die EU-Kommission Übermittlungen in Drittländer auf Aufgaben beschränken, die in die Zuständigkeit des für die Verarbeitung Verantwortlichen fallen. Zudem muss die EU-Kommission vertragliche Bestimmungen und organisatorische Maßnahmen umsetzen. Dazu gehört die Erhebung personenbezogener Daten für eindeutige Zwecke, die Bestimmung der Arten von verarbeiteten Daten und die Sicherstellung der Einhaltung von dokumentierten Anweisungen und rechtlichen Anforderungen.
Nach Ansicht des EDSB sollten personenbezogene Daten nicht über den vorgesehenen Zweck hinaus verwendet werden, es sei denn, dies ist gesetzlich zulässig, und Datenübermittlungen innerhalb der EU oder an Microsoft oder seine Partner halten sich an die EU-Datenschutzvorschriften, und die Offenlegung personenbezogener Daten durch Microsoft oder seine Partner ist eingeschränkt, es sei denn, dies ist nach EU-Recht oder dem Recht eines Drittlandes, das einen gleichwertigen Schutz wie in der EU bietet, erforderlich.
Die Zeit bis Anfang Dezember 2024 zur Korrektur des bisherigen Zustands berücksichtigt, dass die Datenschützer die die Notwendigkeit der Kommission anerkennt, ihre öffentlichen Aufgaben ohne Unterbrechung zu erfüllen. Jetzt muss die EU-Kommission aber in die Pushen kommen und endlich eine Vereinbarung mit Microsoft bezüglich der DSGVO-konformen Nutzung von Microsoft 365 abschließen. Ob dies am Ende des Tages überhaupt möglich ist und einer Überprüfung durch den EuGH standhält, steht dabei auf einem anderen Blatt.
Ergänzung: Eine nette Zusammenfassung des Sachverhalts gibt es von Seitz & Partner.
Ähnliche Artikel:
DSGVO-Info über Privatsphäreneinstellungen in Office 365 Plus
Datenschutzkonferenz 2022: Microsoft 365 weiterhin nicht datenschutzkonform
Nachbetrachtung zur DSK-Einstufung "Microsoft 365 weiterhin nicht datenschutzkonform"
MS 365 DSGVO-Konformität: Merkwürdiger "Meinungsartikel" bei heise
Microsoft 365 an Schulen: Droht Schadensersatz wegen DSGVO-Verstößen?
Berufsschullehrer-Verband "meint" MS Office ist DSGVO-konform einsetzbar
DSGVO und die "Ohnmacht" der Datenschutzbehörden gegenüber Firmen – Teil 1
DSGVO: Firmen wägen bei Datenschutz Chancen und Risiken ab und begehen Gesetzesverstöße – Teil II
Bundesländer verweigern Einsicht in Rechtsgutachten zur DSGVO-Einstufung von Microsoft 365
Schwedische Datenschutzbehörde verhängt Millionenstrafe wegen Google Analytics-Nutzung; wann kommt Office 365?
EuGH erklärt Facebooks/Metas DSGVO-Regeln für illegal
Safe Harbor: EuGH erklärt Abkommen für ungültig
EuGH kippt EU-US-Datenschutzvereinbarung "Privacy Shield"
Keine Karenzfrist für Unternehmen nach Privacy Shield-EU-Urteil
Datenschützer plant durchgreifen bei Privacy Shield-Verstößen
Vorläufige Einigung zwischen EU und USA im Trans-Atlantic Data Privacy Framework
US-Präsident Biden bringt Datenschutzabkommen "Privacy Shield 2.0" auf den Weg
EU-Kommission fällt vorläufige Angemessenheitsentscheidung zum Trans-Atlantic Data Privacy Framework
Microsoft durch russische Midnight Blizzard gehackt; E-Mails seit Nov. 2023 ausspioniert
Microsoft Cloud: Persönliche Daten lassen sich innerhalb der europäischen Datengrenze halten
Ignite 2023: Microsofts Zukunftsvision: Copilot in allen Produkten
Neue Outlook-App: Microsoft äußert sich zu übertragenen Zugangsdaten
Anzeige
Was jedem Kind klar ist, wird jetzt mit massivem Lobby Einsatz vernebelt, verharmlost, relativiert und schliesslich alternativlos.
Was ich da jetzt lesen und interpretiere, wird eher der Umgang mit M365 angeprangert und nicht das Produkt als solches. Da wurde wohl keine DSFA gemacht und dazu noch noch Adoption & Change Mgmt betrieben, was wie in welcher Form mit was verwendet werden kann/darf wie z.B. die Einhaltung der DSGVO bzw mit Risikoabschätzung.
Gibt es sowas auch für andere "Produkte" die in der EU eingesetzt werden von nicht EU Hersteller? :D
Warum bis Dezember 2024 Zeit für die Korrektur? Klar die bestehenden Installationen müssen umgestellt werden aber für Neuinstallationen müsste ein sofortiger Stopp erfolgen. Und wieso schon wieder mit Microsoft, es dürfte doch nun klar sein dass mit Microsoft ein DSGVO entsprechende Datenverarbeitung nicht möglich ist, da es ein US-Firma ist.
Warum nicht wieder mit Microsoft? Es gibt kein Gesetz oder Vorschrift, welche Microsoft verbietet. Es muss am Ende Datenschutzkonform sein, mit welchem Produkt versucht wird, dies zu erreichen ist egal.
Wenn es mit Microsoft Produkten nicht möglich ist, datenschutzkonform zu arbeiten, schließt sich das Produkt am Ende automatisch selber aus. Aber explizit Microsoft zu untersagen ist rechtlich vermutlich auch gar nicht möglich.
Das ist jetzt der Lackmus-Test für das Data Privacy Framework.
Wenn der Lackmusstreifen mal nicht unterwegs verloren geht …
Microsoft ist aber nach dem EU-US Privacy Framework zertifiziert und dafür gibt auch einen entsprechenden Angemessenheitsbeschluss. Also gibt es gar nichts mehr zu tun.
Alles klar – vielleicht hättest Du den Job des Europäischen Datenschutzbeauftragten und der Kommission erledigen sollen – Kopfschütteln.
Ich habe auch erst den Kopf geschüttelt oder galt das Kopfschütteln mir? Ich gehe davon aus das es sich hier um eine Zeitüberschneidung handelt. Der Angemessenheitsbeschluß für das Framework gilt seit July 2023 das Verfahren ist ja aber älter.
Ich gehe nicht davon aus, dass die Datenschützer den von der EU-Kommission einseitig verkündeten Angemessenheitsbeschluss ignoriert haben – der ist ja nicht aus der Luft gefallen und seit 8 Monaten verkündet. Es gibt massive Zweifel der Datenschützer, dass dieser Angemessenheitsbeschluss vor dem EuGH hält. Und ich lese zwischen den Zeilen heraus, dass die EU-Kommission keinerlei Vereinbarung mit Microsoft über die zu erfassenden Daten und deren Verarbeitung getroffen hat – sprich: "Die arbeiten bei MS365 im Blindflug".
Mein Kopfschütteln bezog sich ganz klar auf deine Aussage "Microsoft ist aber nach dem EU-US Privacy Framework zertifiziert und dafür gibt auch einen entsprechenden Angemessenheitsbeschluss. Also gibt es gar nichts mehr zu tun." So frei Schnauze als Außenstehender in den Raum gestellt und damit konträr zu einer seit 2021 laufenden Untersuchung der EU-Datenschützer.
Zu: Also gibt es gar nichts mehr zu tun." So frei Schnauze als Außenstehender in den Raum gestellt und damit konträr zu einer seit 2021 laufenden Untersuchung der EU-Datenschützer.
So ganz frei Schnauze war das nicht. Im Augenblick sieht es nicht so aus als würde das EU-US Data Privacy Framework so schnell gekippt werden, das ist unter Juristen und Datenschützern gerade Common Sense. Was ich davon halte steht auf einem anderen Blatt. Ich frage mich sogar eher ob der Angemessenheitsbeschluss für das Data Privacy Framework der EU-Kommision nicht sogar einen Zusammenhang mit diesem Verfahren haben könnte.
Der Kommentar von 1ST1 spielt ja auch schon in eine ähnliche Richtung. Ich finde deine Meinung zu Datenschutzthemen oft erstaunlich richtig aber in diesem Fall bist du Meiner Meinung nach ziemlich auf dem Holzweg. So oder so hätte deine Antwort hätte meiner Meinung nach weniger abwertend ausfallen dürfen. Ein sachlicherer Kommentar hätte es auch getan.
Ob O365 wegen des US Data Privacy Frameworks verwendet werden kann(!), ist ja nur die eine Hälfte.
Selbst wenn, muss man noch sicherstellen, dass Microsoft die dann legal übermittelten Daten nur rechtmäßig nutzt. Microsoft muss seine Datenverarbeitungen erklären und ggf. einschränken. Das ist unabhängig davon, ob die Daten überhaupt legal in die USA transferiert werden dürfen.
Das genau tun sie doch, das ist durch das Framework ja genau festgelegt. Darauf bezieht sich ja meine Bezeichnung "Lackmustest" weiter oben. Wenn diese EDSB mit ihrem neuen Vorstoß jetzt scheitern, dann ist das Ding wasserdicht. Wollen die EDSB erfolgreich sein, dann müssen sie MS tatsächlich einen Datenmissbrauch nachweisen. Das ist meines Wissens bisher noch nie gelungen. Von daher, zurücklehnen, lächeln und beobachten.
Denkfehler. Niemand muss Microsoft irgendeinen Datenmissbrauch nachweisen.
Die Kommission (die verantwortliche Stelle) muss beweisen, dass Microsoft das nicht tut. Und das kann sie nicht solange Microsoft sich weigert das offenzulegen oder gar einstellbar zu machen.
Dann ist die Lösung rechtswidrig und darf so nicht genutzt werden.
eine Korrektur wird nicht möglich sein. Nur mit losgelösten Tenants wie für US Gov oder China z.B.
Das hatten wir hier auch schon mal, aber das Angebot wurde nicht angenommen, da zu teuer und zu viele Funktionseinschränkungen.
Die Systeme sind so gestrickt, dass die Mutter im Zweifel alles weiß, sie muss und will es auch wissen, denn das ist das ist der für die Kunden unangenehme Teil des Geschäftsmodells.
Die Mutter sitzt in den USA
Sie unterliegt auch dort den gesetzlichen Aufsichten, was Datenzugriffe und Auskunftspflichten betrifft. Aber das ist nur ein Nebenschauplatz.
Irgendwie ist der Teaser hier aus dem Ruder gelaufen.
Die EU Kommission, der EU Rat oder das EU Parlament oder sonstwer verstsösst hier erstmal gegen garnix.
Schön das das endlich mal "offiziell" festgestellt wurde.
Eigentlich müsste die EU die Frage aufstellen, ob nicht bei allen IT-Produkten Out-Of-Box DSGVO-Konform ausgeliefert werden müssten.
Es müsste die Frage aufgestellt werden, ob nicht ein einfacher Button zur DSGVO-Herstellung der Produkte vorgeschrieben sein müsste – analog eines Webseiten-Impressums. Es müsste geklärt werden in welchem Rahmen abweichende DSGVO-Konformität überhaupt erlaubt sein darf.
Dann würde sich endlich die Situation für Anwender fundamental verbessern.
Dann würden Microsoft/Google etc. plötzlich auch ganz schnell handeln können.
Bis dahin geht das unendliche Geschacher weiter … und Lehrer erklären uns weiter regelmäßig warum ausgerechnet sie ohne Whatsapp und Microsoft-Office keinen Unterricht mehr leisten können.
Festgestellt wurde garnichts, es wird weiterhin nur behauptet ohne einen Nachweis zu bringen!
Sehe ich anders. Soweit ich die DSGVO verstanden habe, muss der Betreiber eines Systems erklären können, welche persönlichen Daten zu welchen Zwecken erfasst und wohin weiter gegeben werden. Und wenn ich es weiterhin richtig verstanden habe, monierte die Datenschutzkonferenz (DSK) bereits 2022, dass man das nicht könne, weil Microsoft auch nach zahlreichen Nachfragen keine Offenlegung vornahm, welche Daten erfasst und weitergegeben werden. Also abseits des Angemessenheitsbeschlusses "ein schwarzes Loch". Ich hoffe, dass der Schuss vor dem Bug schlicht dazu führt, dass das transparent wird. Einen Raum mit 450 Millionen Einwohnern als Kunde zu verlieren, wird sich Microsoft wohl nochmals überlegen.
Welche Daten erfasst werden, weiß doch jeder, der mit einem MS-Account schonmal gearbeitet hat. Natürlich die Accountdaten, Daten mit denen man in der Cloud und evtl. auch lokal gearbeitet hat, Kontakte im Account, Exchnage-Online-Kommunikation und natürlich auch der zeitliche Ablauf, wann was gemacht wurde. Wahrscheinlich auch noch eine ermittelte IP, wobei die in einem privaten oder Firmennetz wegen NAT nicht unbedingt eindeutig ist und daraus resultierend möglicherweise auch noch ein Standort und wer dann noch mit Edge unterwegs ist auch noch dessen Browswerhistorie. Ziemlich gläsern. Aber solange MS im Rahmen der DSGVO und dem Framework versichern dass sie damit nichts illegales machen, muss es doch mal gut sein?!?
Wo erklärt Microsoft denn, dass sie die Daten nicht zu eigenen Zwecken (und damit aus Gesamtsystemsicht illegal) verwenden?
Das Gegenteil ist der Fall. Also darf die Kommission das System nicht verwenden. Ganz einfach.
Das ist schon wieder der Denkfehler. Formal ist das Problem nicht Microsoft sondern die Kommission, die einen für den Zweck untauglichen Dienstleister verwendet.
Microsoft könnte die Verwendung zu eigenen Zwecken ausschließen und sich so akzeptabel machen. Das ist Vertragsrecht hat hat nur sekundär mit der DSGVO zu tun.
Nur mal so – das Thema hatte ich im Blog – ist mir heute aber auf Twitter untergekommen.
Wer setzt denn die Outlook-App in Unternehmen ein ?
[X] Niemand
[X] Selber schuld!
Ps.: Warum verlinken Sie eigentlich immer auf Twitter (Raider heißt jetzt Twix, ich weiß), und nicht auf den eigenen Blog?
Weil X die bunteren Fähnchen hat ;-)
Und Du glaubst das?
Durch die Verwendung von Copilot könnte Microsoft alles verwenden, was du tust. Alle Inhalte. Alle Interaktionen. Entweder Microsoft muss beweisen, dass das nicht der Fall ist, oder die EU-Kommission muss regeln, dass es in Ordnung ist, auch die sensitivsten Daten aus ihren Dokumenten an Microsoft zu schicken.
Letzteres ist hoffentlich unmöglich. Ersteres ist wahrscheinlich unmöglich.
Und selbst wenn die gegen ihre eigenen Gesetze verstoßen, dann erlassen sie halt Ausnahmen für sich, wie BRD für sich bei der NIS2.
Oder erlassen ein Gesetz das sie von allen Pflichten befreit. Dazwischen gibt es noch Beratungen, Fachgremien, Urteile und wieder Berufungen…dann ist 2030 und keiner weiss mehr worum es ging.
Ist auch egal. Gibt eh nur noch MS Cloud in der alle sind.
Na so eine Überraschung. Jetzt erst Recht alles in die Klaud hochladen. Den IT-Terminatoren ist das sicherlich in Gänze Banane.
Schon erschreckend, was überwiegend für Pfeifen in dem KMUs strategisch falsche Klaud-Entscheidungen treffen.
ABER: Es bleibt lustig und unterhaltsam :-)
Hier wird immer gewettert und geschimpft gegen M365.
War einer von euch schon mal in der freien Wirtschaft unterwegs?
Kaum ein Unternehmen ob KMU oder wirkliche Industriegrößen setzen nicht auf M365.
Ich bin jetzt auch nicht unbedingt ein verfechter oder positiv Sprecher aber es führt derzeit einfach kaum ein Weg an M365 vorbei.
Ich als Dienstleister hab das auch zu akzeptieren – auch wenn nicht immer meine Meinung.
ja, jetzt wo die Umsätze zurückgehen, beginnt auch das große Stöhnen über die hohen laufenden Kosten. Rechnet man auf 6J und mehr hoch, sind Onlineprodukte durchaus 4x so teuer und mehr im Vergleich zur früheren Kaufoption, trotz Implementierungskosten. Zudem reift die Erkenntnis, dass keine Skaleneffekte eintreten und man sogar das interne Personal aufstocken muss, denn nun müssen zwei sich fremdelnde Systeme aufwändig verwaltet werden, denn Hybrid bedeutet das Schlechteste aus zwei Welten. Die Aufwände steigen, auch bei der Sicherheit und beim Endusersupport. Weitere dazu gebuchte Produkte aus der Cloud sind auch erheblich teurer als die lokalen Varianten, denn auch diese Hersteller müssen die höheren Kosten durch die MS Online Plattform weitergeben.
Am Ende des Tages macht man den gleich Kram wie früher auch: startet den Desktop, Office und Unternehmensanwendungen, nur das es heute langsamer und teurer geworden ist. Und einige die Kontrolle verloren haben, über ihre IT und aus dem Ruder laufende Kosten
Naja nehmen wir z.B. einen Fliesenleger mit 6 Mitarbeitern.
3 x Exchange Online Postfach steht dort gegenüber:
Exchange & User Lizenzen, SpamFilter, nahezu 3 monatliche Wartung wegen CU/SU Updates.
Hier ist der Exchange Online sicher die günstigere Wahl.
solange er keine AD hat ja. Hat er eine AD, braucht er einen lokalen Exchangeserver mit eben all den Abhängigkeiten inkl. regelmäßiger Updates, ansonsten ist dies eine nicht unterstützte Konfiguration.
Das ist der Punkt: die meisten benötigen eine lokale AD, da auch 6 Einzelschicksale keiner haben will, sondern man möchte die lokalen Rechner und Benutzer im Verzeichnisdienst haben, auch der Druckserver kann sonst nicht sinnvoll verwendet werden, es sei denn man neigt zu ausgeprägten Bastellösungen, derenVerwaltung auf Dauer aber Murks ist.
Daher hat man im Hybridmode erhöhte Aufwände.
Und hier zeigt sich das Versprechen der MS Vertriebis von Cloudlösungen: die Mär von alles einfacher und Kostenersparnis ist eine Lüge.
UND 50% der Einbrüche finden über die Klaud statt – auch über die MS Klaud. Um das ganze undurchsichtige www-web-klick-bunti Gedöns abzusichern und dauer-zu-überprüfen kann man gleich noch paar Klaud-Admins einstellen.
Letztlich ist es ein gutes Geschäftsmodell: Man verschenkt seine Kronjuwelen und bezahlt dann noch dafür. Herrlich.
Und nein Generation Z – E-Mail ist nicht gleich Exchange.
Hast du einen Nachweis für diese 50% ? Aber wo ein Glas halbvoll ist, ist es gleichzeitig auch halb leer. Das heißt, mindestens (mehr als!) 50% der Einbrüche finden immer noch über Emails mit Phishing oder schädlichen Anhängen statt. Wenn ein Einbruch über m365 erfolgte, dann ging dem zuvor eine Phishingattacke per Email vorraus, bei dem eine Microsoft- oder gar Unternehmens-Anmeldeseite nachgebaut wurde, um Zugangsdaten abzufischen.
leider nehmen die Phishinangriffe spürbar zu, sobald Du in Exchange Online direkt empfängst.
Teilweise auch vorher schon, sobald der Hybrid Connect steht
Warum soll das zunehmen? Die Mailadressen bleiben doch gleich und werden dadurch nicht öffentlicher?
Ja, Phsihing nimmt zu. Aber nicht deswegen weil man in die Cloud gewechselt ist, sondern weil es für die Betrüger und Angreifer ein lohnenswertes Geschäftsmodell ist, und sicher auch ein Kriegsziel. Wir sind OnPrem und wir sehen die auch immer mehr.
Hallo,
dachte auch erst, der Wert sei zu hoch:
https://www.borncity.com/blog/2023/12/10/studie-ursprung-von-50-aller-cyberangriffe-ist-die-cloud/
Wohl weil "die Cloud" sehr schwierig ist, abzusichern; es in Teilen nicht mal dem Hersteller selbst gelingt.
Zum Glück bin ich bei dieser ganzen Diskussion um MS365 raus. Bei uns ist die Verwendung von Office/Microsoft 365 untersagt. Wer es privat nutzen will, kann das tun. Ich als Admin darf es aber hier nicht installieren. Und will ich auch nicht. Auch nicht privat. Aber da spielt M$ eh keine Rolle.
Geht mir privat genau so. Und seit ich kein Admin mehr bin sondern nur noch einfacher Benutzer hebt mich das auch nicht mehr an.