kreuzberger
Goto Top

MS Intune und die DSGVO

Mahlzeit Liebe IT-Gemeinde,

ich würde gern wissen ob das o. g. Softwareprodukt DSGVO-Konform ist und im deutschen Öffentlichen Dienst bzw. in Privatunternehmen einsetzbar ist, oder die DSGVO dem entgegensteht.

Wo werden also welche Daten überhaupt gespeichert?
Sind die Daten dort vor Zugriff fremder (Geheimdienste, etc.) absolut geschützt?
Ist dieser Schritt, das Product zu nutzen unumkehrbar?
Wie kann man sich vor Totalverlust dort befindlicher Daten schützen?

Grüße

Kreuzberger

https://learn.microsoft.com/de-de/mem/intune/fundamentals/what-is-intune

Content-Key: 8077142361

Url: https://administrator.de/contentid/8077142361

Printed on: March 3, 2024 at 02:03 o'clock

Member: DerMaddin
DerMaddin Aug 08, 2023 updated at 10:21:38 (UTC)
Goto Top
Dir ist schon klar, dass Intune kein eigenständiges Produkt ist in dem irgendwelche Daten gespeichert werden, oder? Wenn du das verinnerlicht hast, dann wirst du feststellen, dass da drumherum noch weitere Applikationen und Dienste von Microsoft benötigt werden. Diese sind, je nach Auffassung, mehr oder weniger DSGVO konform. In gewissen ÖD-Stellen sowie Bund/Länder kann es eine entsprechende Anweisung geben, die den Einsatz verbietet.

Ob der Datenschutz und Sicherheit ausreichend sind, dass muss jede private Firma für sich selbst entscheiden. Es gibt gute Gründe für und dagegen.

Wenn alle deine Daten in der Cloud liegen und man hat kein Offline-Backup, dann ist man selber schuld. Hier und da gibt es sogar entsprechende gesetzliche Vorschriften, die dich dazu anhalten, Daten (digital oder analog) für eine bestimmte Mindestdauer aufzubewahren. Wie du das umsetzt, ist deine Sache.

Wo Microsoft die Daten speichert, nun das wird dir auch kein MS-Tech sagen können. Du wählst als Kunde nur eine Region aus, z.B. Germany North oder Gernamy West Central aus. Die Daten werden dann auf verschiedene RZ verteilt, je nach gewählter Redundanz.

Ein Weg "zurück" onPrem oder zu einem anderen Cloud Anbieter is immer möglich, jedoch kann es mit entsprechend hohen Kosten verbunden sein.
Member: ukulele-7
ukulele-7 Aug 08, 2023 updated at 11:22:26 (UTC)
Goto Top
Das meiste hat der Kollege schon gesagt.

Zitat von @kreuzberger:

ich würde gern wissen ob das o. g. Softwareprodukt DSGVO-Konform ist und im deutschen Öffentlichen Dienst bzw. in Privatunternehmen einsetzbar ist, oder die DSGVO dem entgegensteht.
Allein Intune speichert ja erstmal nur sowas wie Metadaten der Kommunikation mit den Geräten. Das ist meist eher unkritisch aber theoretisch fällt das auch schon unter die DSGVO den das Gerät wird ja von einer Person benutzt und mitgeführt.

Ob man seine der DSGVO unterliegenden Daten Microsoft anvertrauen sollte, darüber kann man vortrefflich streiten. Ich würde sagen prinzipbedingt nein. Juristisch ist das im Moment so eher "wo kein Kläger, da kein Richter".

Sind die Daten dort vor Zugriff fremder (Geheimdienste, etc.) absolut geschützt?
Klar nein, siehe jügste Berichterstattung. Hier mal ein Link zu einer nicht fachlichen Quelle:
https://www.zdf.de/nachrichten/digitales/microsoft-outlook-sicherheitssc ...

PS: Und natürlich sind sie nicht vor den US-Diensten geschützt und vielleicht auch nicht vor den five eyes.

Wie kann man sich vor Totalverlust dort befindlicher Daten schützen?
Im Sinne von "Daten weg", dafür gibt es Datensicherungen. Im Sinne von "Daten hat auch jemand anders", 100% Schutz gibt es nicht, auch nicht in der Cloud.
Member: MysticFoxDE
MysticFoxDE Aug 08, 2023 at 20:30:31 (UTC)
Goto Top
Moin @kreuzberger,

ich würde gern wissen ob das o. g. Softwareprodukt DSGVO-Konform ist und im deutschen Öffentlichen Dienst bzw. in Privatunternehmen einsetzbar ist, oder die DSGVO dem entgegensteht.

schau dir mal den folgenden Artikel an ...

https://www.heise.de/hintergrund/Gestohlener-Master-Key-Der-kleingeredet ...

... damit ist das Thema DSGVO Technisch auch schon durch, sprich, auf keinen Fall!

Gruss Alex
Member: Cloudrakete
Cloudrakete Aug 08, 2023 at 21:53:43 (UTC)
Goto Top
Servus,

ich versuchs mal kurz und bündig:

Zu 1)
Metadaten rund um das Device. Intune selbst hält darüberhinaus die gebauten Software-Pakete vor und rollt diese aus. Insofern welche hinterlegt wurden.

Zu 2)
Sind Daten grundsätzlich nie. Egal wo sie legen, selbst on-prem.

Zu 3)
Natürlich, wie bei jedem anderen Dienst auch. Musst dann halt entsprechende Migrationspfade herstellen.

Zu 4)
Wie oben gesagt: Intune selbst hält bis auf Metadaten und Softwarepakete nichts vor. Die Software-Pakete kannst du theoretisch irgendwo ablegen. Du musst sie ja auch vorher auf einem Client bauen face-smile
Ansonsten besteht Intune im großen und ganzen auch dort gebauten Richtlinienpaketen, die sich so ohne weiteres nicht sichern lassen. Du kannst allerdings mit Projekten wie https://github.com/microsoft/Microsoft365DSC/tree/Dev deine Konfiguration exportieren (in JSON-Format) und diese mit dem selben Tool wieder einspielen, sollte es zu einem Verlust der Richtlinien kommen.

In einem sauber konfigurierten Tenant kann sowas aber nur mit extremer Dummheit, oder einem Totalausfall seitens MS begründet werden.
Member: ukulele-7
ukulele-7 Aug 09, 2023 at 07:00:36 (UTC)
Goto Top
Zitat von @MysticFoxDE:

... damit ist das Thema DSGVO Technisch auch schon durch, sprich, auf keinen Fall!
Eigentlich bin ich da auf der selben Seite allerdings finde ich die Schlussfolgerung nicht richtig. Jede Software / Plattform kann ein Sicherheitsleck haben und damit das Vertrauen seiner Nutzer verlieren oder auch nicht. Die DSGVO regelt in gewisser Weise wie damit umzugehen ist und das es abgestellt werden muss aber sie verbietet nicht genrell den Einsatz weil es einen Sicherheitsvorfall gab.

Kein System ist perfekt und absolut sicher. Ob eine US oder China Cloud DSGVO konform ist oder überhaupt sein kann hängt aber eher an unvereinbaren Gesetzen und staatlichem Einfluss, nicht an der technischen Sicherheit.
Member: MysticFoxDE
MysticFoxDE Aug 09, 2023 at 07:02:35 (UTC)
Goto Top
Moin Cloudrakete,

Metadaten rund um das Device. Intune selbst hält darüberhinaus die gebauten Software-Pakete vor und rollt diese aus. Insofern welche hinterlegt wurden.

mal abgesehen von den Daten die Microsoft auch über Intune sammelt und die die nichts angehen, kannst man mit einem gekaperten Intune aber auch 1A fremde Softwarepakete, sprich auch Schädlinge gut verteilen. 😉

In einem sauber konfigurierten Tenant kann sowas aber nur mit extremer Dummheit, oder einem Totalausfall seitens MS begründet werden.

Für das erstere benötigt man aber auch die entsprechende Kompetenz und das letztere, sprich ein katastrophaler Ausfall/Versagen seitens MS, ist gerade voll im Gange. 😔
(Siehe meinen letzten Post.)

Gruss Alex
Member: MysticFoxDE
MysticFoxDE Aug 09, 2023 at 07:25:08 (UTC)
Goto Top
Moin @ukulele-7,

Eigentlich bin ich da auf der selben Seite allerdings finde ich die Schlussfolgerung nicht richtig. Jede Software / Plattform kann ein Sicherheitsleck haben und damit das Vertrauen seiner Nutzer verlieren oder auch nicht. Die DSGVO regelt in gewisser Weise wie damit umzugehen ist und das es abgestellt werden muss aber sie verbietet nicht genrell den Einsatz weil es einen Sicherheitsvorfall gab.

selbstverständlich kann jede Software auch Fehler haben, wird ja auch von uns Menschen geschrieben. 🤪
Aber, es geht mir bei meiner Aussage eher darum wie man mit solchen Problemen als Hersteller umgeht und was den Punkt angeht, musste ich mit MS die letzten Zeit leider nur negative Erfahrungen machen.

Siehe z.B. auch ...

Massiver Beschuss von Exchange Online

Es hat damals !!! Wochen !!! gedauert, bis MS die definitiv kompromittierten Systeme in den Griff bekommen hat. 🙈

Kein System ist perfekt und absolut sicher. Ob eine US oder China Cloud DSGVO konform ist oder überhaupt sein kann hängt aber eher an unvereinbaren Gesetzen und staatlichem Einfluss, nicht an der technischen Sicherheit.

Ja und so lange das so ist, kann man der Technik dahinter auch nicht so einfach und vor allem blind, vertrauen.

Gruss Alex
Member: ukulele-7
ukulele-7 Aug 09, 2023 at 08:01:19 (UTC)
Goto Top
Ja da bin ich ganz bei dir. Leugnen bis es nicht zu leugnen ist, dann Salami-Taktik mit Informationen. Microsofts Umgang mit den Problemen ist für alle schlecht, vor allem für die Admins die sich dann selbst in die Materie einarbeiten müssen und selbst nach Angriffen in Logs suchen müssen und selbst Maßnahmen ergreifen sollen. Zu allem Überfluss gibt es dann aber natürlich auch noch Updates die mal eben was zerschießen oder verändern, da muss dann auch wieder drauf reagiert werden.
Member: MysticFoxDE
MysticFoxDE Aug 09, 2023 at 08:36:57 (UTC)
Goto Top
Moin @ukulele-7,

Ja da bin ich ganz bei dir. Leugnen bis es nicht zu leugnen ist, dann Salami-Taktik mit Informationen. Microsofts Umgang mit den Problemen ist für alle schlecht.

Und genau wegen diesem Verhalten ist der Einsatz der Cloud-Infrastruktur von Microsoft auch nicht DSGVO konform. Denn im Art. 33 & 34 der DSGVO steht klipp und klar das folgende ...

Art. 34
https://dsgvo-gesetz.de/art-34-dsgvo/

"1. Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigt der Verantwortliche die betroffene Person unverzüglich von der Verletzung."

"2. Die in Absatz 1 genannte Benachrichtigung der betroffenen Person beschreibt in klarer und einfacher Sprache die Art der Verletzung des Schutzes personenbezogener Daten und enthält zumindest die in Artikel 33 Absatz 3 Buchstaben b, c und d genannten Informationen und Maßnahmen."

Art. 33
https://dsgvo-gesetz.de/art-33-dsgvo/

"3. Die Meldung gemäß Absatz 1 enthält zumindest folgende Informationen:

b) den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;

c) eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;

d) eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen."

Und da sich Microsoft nicht daran hält, ist deren Cloud-Umgebung auch nicht DSGVO konform.

Weis jemand, ob unser Bundesdatenschutzbeauftragter von dem aktuellen MS-Desaster schon etwas mitbekommen hat?

Vor allem für die Admins die sich dann selbst in die Materie einarbeiten müssen und selbst nach Angriffen in Logs suchen müssen und selbst Maßnahmen ergreifen sollen. Zu allem Überfluss gibt es dann aber natürlich auch noch Updates die mal eben was zerschießen oder verändern, da muss dann auch wieder drauf reagiert werden.

Ja, das Leben als ITler wird von Tag zu Tag immer abenteuerlicher und das leider nicht im positivem Sinne. 😔

Gruss Alex
Member: kreuzberger
kreuzberger Aug 09, 2023 at 09:22:56 (UTC)
Goto Top
Moin Jungs,

also das der „Schlüsselklau“ da auch noch eine Rolle spielt hatte ich erst gar nicht bedacht. Damit ist es also möglich, dass unbekannte die Konfiguration eines Intune-Nutzers beeinflussen können und somit Schindluder betreiben können auf dessen Systemen?

Mir ging es grundsätzlich erst einmal darum, ob das Intune System an sich DSGVO-Konform betretbar ist, zumal ja wesentliche Daten der Netz- und Systemkonfiguration in einer Cloud irgendwo in der Welt bei MS auf Servern liegen. Ich kann also nicht mal wissen, ob da jemand Fremdes Zugriff hat oder hatte.
Intune scheint einen nette, bequeme Sache zu sein, seine Technik zu verwalten. Doch es insgesamt aus der Hand zu geben schein mir ein hohes Risiko zu sein. Nicht nur weil Fremde unbemerkt in System eindringen könnten, sondern auch wie die neue Abhängigkeit nur schwer wieder zurück geht.

Die Frage ist in der Tat, ob DSGVO hier wirklich zieht, wenn da nur Konfigurationsdaten in der Cloud liegen, und keine klassischen personenbezogenen Daten. Wer seine PCs im Netz nach Klarnamen der Benutzer benennt tut eh nichts schlaues. Ist das dann aber der Fall liegen personenbezogene Daten in dieser Cloud.
Natürlich müssen irgendwo auch Zugangsdaten für die Administratoren hinterlegt sein. Das wären ggf. ebenfalls personenbezogenen Daten.

Ihr merkt, ich bin kein Fan dieser Softwarelösung. Wenn man das gleiche auch „zuhause“ machen kann, sollte man auf diese Cloudlösung dringend verzichten.

Kreuzberger
Member: MysticFoxDE
MysticFoxDE Aug 09, 2023 at 09:32:20 (UTC)
Goto Top
Moin @kreuzberger,

also das der „Schlüsselklau“ da auch noch eine Rolle spielt hatte ich erst gar nicht bedacht. Damit ist es also möglich, dass unbekannte die Konfiguration eines Intune-Nutzers beeinflussen können und somit Schindluder betreiben können auf dessen Systemen?

wenn das was die Heise und auch andere Nachrichtenportale schreiben auch nur ansatzweise stimmt, dann konnten die Angreifer nicht nur auf Intune, sondern auf ALLE in der MS-Cloud liegenden Daten zugreifen. 😱😭

Sprich, das gesamte bisherige Sicherheitskonzept von Microsoft war bisher für den Hintern und so sieht das auch die Heise.

https://www.heise.de/hintergrund/Gestohlener-Master-Key-Der-kleingeredet ...

"Trotzdem ist die Gefahr noch nicht ganz gebannt. Denn die Angreifer hatten mehrere Wochen weitgehend Carte Blanche für große Teile der Microsoft-Cloud. Sie hätten während dieser Zeit dort fast nach Belieben Hintertüren platzieren können. Ob das passiert ist beziehungsweise wie man sein eigenes Konto jetzt sinnvoll auf solche Hintertüren prüfen kann, kann letztlich nur Microsoft beantworten. Doch die sagen im Wesentlichen nur: "Vertrau uns, wir haben das im Griff."

Es ist kein Wunder, dass Microsoft sich mit konkreten Details so zurückhält. Die Überprüfung von Zugangsberechtigungen ist das zentrale Element von Azure AD und überhaupt der Sicherheit von Microsofts Cloud. Wenn da tatsächlich, wie es sich andeutet, nicht nur ein fast allmächtiger Master-Schlüssel gestohlen wurde, sondern auch noch die Schlösser Schrott waren (das "Validation Issue"), dann ist das eine Bankrotterklärung für die so vollmundig angepriesene Sicherheit der Microsoft-Cloud."


Gruss Alex
Member: MysticFoxDE
MysticFoxDE Aug 09, 2023 at 09:42:14 (UTC)
Goto Top
Moin @kreuzberger,

schau dir auch mal das folgende an ...

https://www.heise.de/news/Microsoft-Cloud-Weitere-kritische-Luecke-schar ...

😔

Sprich, wer jetzt noch freiwillig zum händeln von kritischen Daten/Anwendungen irgend eine Azure Komponente benutzen möchte, hat meiner Ansicht nach entweder von den aktuellen Geschehnissen nichts mitbekommen oder das Problem dahinter nicht wirklich verstanden.
Ja OK, ein Hang zu Masochismus könnte den Einsatz auch noch erklären. 🤪

Gruss Alex
Member: ukulele-7
ukulele-7 Aug 09, 2023 updated at 09:52:02 (UTC)
Goto Top
Zitat von @kreuzberger:

Die Frage ist in der Tat, ob DSGVO hier wirklich zieht, wenn da nur Konfigurationsdaten in der Cloud liegen, und keine klassischen personenbezogenen Daten. Wer seine PCs im Netz nach Klarnamen der Benutzer benennt tut eh nichts schlaues. Ist das dann aber der Fall liegen personenbezogene Daten in dieser Cloud.
Jaein. Auch eine IP Adresse kann personenbeziehbar sein, sie muss nur mit einer Person in zusammenhang gebracht werden können. Ich stimme dir zu, die Metadaten an Intune ansich sind - vorsichtig ausgedrückt - überschaubar spannend. Ich weiß mit Big Data hier und da könnte man... aber ganz ehrlich ist mir das auch egal. Ich nutze ja selber das Internet.

Nur die DSGVO unterscheidet hier nicht, wäre jetzt auch nicht sehr einfach, ein Ausnahmenkatalog würde die ganze "schlichte Eleganz" die ich der DSGVO zuschreibe zerstören. Also gilt auch hier die Frage ist die US Cloud DSGVO konform und dazu gibt es keine einheitliche juristische Meinung.

Technisch sind diese Daten überschaubar sensibel. Das sollte man aber immer wieder selbst in Frage stellen, man verliert sonst schnell den überblick,
Member: MysticFoxDE
MysticFoxDE Aug 09, 2023 at 15:33:13 (UTC)
Goto Top
Moin @kreuzberger,

schau dir mal an was du für Intune an der FW alles freigeben musst ...

https://learn.microsoft.com/en-us/mem/intune/fundamentals/intune-endpoin ...

... 😱

Bei einer internen Softwareverteilung alla Baramundi & Co, muss man für die Clients hingegen meistens nur einen internen Server freigeben. 😁

Gruss Alex
Member: Cloudrakete
Cloudrakete Aug 09, 2023 at 18:27:31 (UTC)
Goto Top
Abschließend noch mal zu dem "Super-GAU" Thema.
Toll fand die Art und Weise der Kommunikation bestimmt niemand, auch ich nicht. Leider stürzen sich alle wie Aasgeier auf die Story und schlachten das Ding aus bis zum geht nicht mehr.

Es gibt hier aber auch einen anderen Blickwinkel, und zwar:

Wenn ich merke, dass ein aktiver Angriff gegen meine Plattform läuft und der Angreifer bisher "nur" auf dem einen oder anderen Exchange mithört, sollte ich dann diesem Angreifer via der Presse noch mitteilen, dass er theoretisch in der Lage ist, praktisch jeden Mist, in jedem Tenant anzustellen?

Solange ich nicht weiß, was der Angreifer weiß, würde ich auch erst mal die Füße stillhalten. Böswillig forumuliert könnte man den diversen News-Seiten sogar eine Mitschuld geben, sollte der Angriff noch größer als bisher angenommen sein.
Member: MysticFoxDE
MysticFoxDE Aug 10, 2023 at 07:14:13 (UTC)
Goto Top
Moin Cloudrakete,

Abschließend noch mal zu dem "Super-GAU" Thema.
Toll fand die Art und Weise der Kommunikation bestimmt niemand, auch ich nicht. Leider stürzen sich alle wie Aasgeier auf die Story und schlachten das Ding aus bis zum geht nicht mehr.

daran ist Microsoft einzig und alleine selber schuld, weil sie von selbst wahrscheinlich überhaupt nichts kommuniziert hätten, wie das in der Vergangenheit leider schon sehr oft der Fall gewesen ist.

Wenn ich merke, dass ein aktiver Angriff gegen meine Plattform läuft und der Angreifer bisher "nur" auf dem einen oder anderen Exchange mithört, sollte ich dann diesem Angreifer via der Presse noch mitteilen, dass er theoretisch in der Lage ist, praktisch jeden Mist, in jedem Tenant anzustellen?

Ich denke die Angreifer wussten sehr genau was die da in den Händen haben und was sie damit auch alles anstellen könnten.

Solange ich nicht weiß, was der Angreifer weiß, würde ich auch erst mal die Füße stillhalten. Böswillig forumuliert könnte man den diversen News-Seiten sogar eine Mitschuld geben, sollte der Angriff noch größer als bisher angenommen sein.

In meinen Augen ist es eher absolut grob fahrlässig eine mehr als nur offensichtlich kompromittierte Umgebung nicht augenblicklich zu isolieren, bis der Schaden anständig analysiert und beseitigt ist. Ferner MÜSSEN parallel auch potenziell Geschädigten informiert werden, damit diese auch noch rechtzeitig handeln können!

Stattdessen hüllt sich MS weiterhin in Schweigen und verharmlost die Sache auch noch.😡
Das Schlimmste dabei ist jedoch, dass sie mit diesem Verhalten nicht nur massiv sich selbst schaden, sondern auch allen weissen und somit anständigen Schafen dieser Cloud-Herde. 😔
Und nein, MS ist in meinen Augen ganz sicher kein weisses Schaaf, eher dunkelgrau + schmutzig.
(Eventuell hat sich bei diesem, sogar der Wolf unter dem Pelz versteckt. 🤪)

Gruss Alex