Microsoft 365 App Compliance Zertifizierung

Das Aushängeschild in Sachen Datenschutz für alle Anwendungen in Microsoft App Stores​

Da ist sie nun, die Microsoft 365 App Compliance Zertifizierung für unseren kleinen Coach, der CAI Adoption Bot. Das war ein harter Weg, aber es hat sich gelohnt. Aus unserer Sicht ist es absolut richtig und wichtig, dass die unabhängigen Prüfer in Sachen Datenschutz und -sicherheit genauer hinsehen. Denn davon profitieren ISV’s und Unternehmen gleichermaßen. Hier möchten wir Ihnen beschreiben,

1. Was diese Zertifizierung für uns und Unternehmen bedeutet

2. Warum wir uns dafür entschieden haben

3. Wie wir sie erreicht haben und

4. Was bei uns nun alles “compliant” ist.

Wir analysieren Daten, ja. Während das in Deutschland leider noch ein stiefmütterliches behandeltes Thema ist, so erarbeiten sich stattdessen weltweit bereits Unternehmen einen Wettbewerbsvorteil, indem sie mit Datenanalysen ihre Kundenbedürfnisse besser verstehen, neue Innovationen und Prozesse fördern und Mitarbeiter empathischer unterstützen.

 

Vor dem Hintergrund beider Sichtweisen ist es eindeutig, dass Daten im digitalen Zeitalter ein schützenswertes Gut sind. Daher ist es wichtig, dass strenge Regularien eingehalten werden – besonders wenn mit Nutzungs- und potentiell personenbezogenen Daten gearbeitet wird.

1. Was bedeutet diese Zertifizierung?

Vor dem Hintergrund der schützenwerten Daten sollten Unternehmen genauer hinschauen, welche Daten wo verarbeitet werden und welche Sicherheitsstandard dabei vorherrschen. Allerdings kosten Verfahren viel Zeit und Geld, um zu verstehen und zu dokumentieren, welche Art von Daten existieren, wie und zu welchem Zweck sie verarbeitet und gespeichert werden, ob sie verschlüsselt sind und letztendlich auch, ob die Mitarbeitenden, die damit arbeiten, ausreichend für eine sichere Datenverwendung geschult sind. Das gilt schon für das eigene Unternehmen. Wenn nun noch Datenströme zu und von anderen Applikationen und Unternehmen dzau kommen, wird es noch komplizierter.

Zur Sicherheit werden daher neue Applikationen lieber erst einmal abgelehnt, um die kostspieligen Datensicherheitsprüfungen zu umgehen. Aber je öfter die IT “NEIN” sagt, desto unsicherer ist eigentlich Ihre digitale Umgebung. Schatten-IT wird stillschweigend eingeführt, weil die Benutzer immer einen Weg finden werden, ihre Arbeit einfach zu erledigen.

Um dieses Szenario der Schatten-IT zu vermeiden, gibt es viele Microsoft 365-Apps, die spezifische Benutzerszenarien lösen und Kunden helfen, digital noch effektiver die Arbeit zu erledigen. Diese Apps stammen meist von ISVs (Independent Software Vendors), was – leider wieder – zu dem oben genannten Dilemma führt.

Microsoft löst dieses Dilemma mit dem Microsoft 365 App Compliance Programm. Es prüft die Datensicherheit der zertifizierten Apps der ISV’s und ermöglicht es Unternehmen, zusätzliche Apps sicher einzusetzen OHNE Abstriche bei der Datensicherheit zu machen und OHNE eigene kosten- und zeitintensiven Prozesse zu durchlaufen. Wir sprechen im Prinzip von einer Win-Win-Win Situation.

2. Warum wir uns für die Microsoft 365 Zertifizierung entschieden haben

Weil uns bewusst ist, dass das Thema Datenanalyse in Deutschland ein schwieriges Thema ist, wollten wir einen Schritt vorweg gehen und zeigen: “Wir sind die Guten”. Wir legten ohnehin schon immer ein hohes Maß an unsere Datensicherheit an und wollten dies auch unter Beweis stellen. Die Compliance Zertifizierung passte perfekt dafür, um zu demonstrieren, dass wir mit unseren Kundendaten nach höchsten Datenschutzkriterien arbeiten.

3. Wie haben wir die M365 App Zertifizierung erreicht

Auch wenn wir bereits viel richtig gemacht haben, so war vieles noch nicht schriftlich in Richtlinien festgehalten. Manche “Zuruf-Prozesse” mussten auch geändert werden, um nachweisen zu können, das Änderungen an Berechtigungen oder in der Programmierung nachvollziehbar und umkehrbar sind. Das waren große Vorgaben, besonders für ein kleines IT-Team.

 

Zunächst musste besprochen werden, wie streng unsere eigenen Prozesse sein sollten und sein müssen. Entsprechende Änderungen mussten umgesetzt und bei technischen Verfahren auch im Code und Konfigurationen getestet werden. Das war schon eine spannende Zeit, als nach Änderungen plötzlich die Dev-Umgebung für mehrere Tage nicht mehr erreichbar war. Es hat sich jedoch gelohnt, denn auch die vielen Penetration-Tests gegen unsere Software-Infrastruktur, konnten keine Schwachstellen erkennen. Ein großer Dank geht auch hier an die Microsoft Azure Plattform, weil darin bereits vieles nach dem “Security by Design and by Default” – Prinzip abgesichert ist.

 

Ein Ansprechpartner einer unabhängigen Audit-Firma, stand uns glücklicherweise jederzeit zur Seite. Manchmal war es frustrierend, wenn alle Anpassungen dennoch nicht ausreichten und erneut nachgearbeitet werden musste. Das Verständnis für den Zertifizierungsprozess war allerdings glücklicherweise auf beiden Seiten sehr hoch.

4. Was bei uns nun alles “compliant” ist

Nach erfolgreichem Abschluss des Programms können wir nun mit Stolz sagen, dass wir die erste (und aktuell einzige) deutsche Firma sind, deren App mit der M365 App Compliance Zertifizierung ausgezeichnet wurde. Bei mehr als 1.500 Apps im Microsoft Teams Store ist das schon eine herausragende Leistung. Aber in welchen Bereichen wurden nun ganz auf vorhandene Daten-Compliance Prozesse und Richtlinien geachtet?

In diesen Kategorien haben wir datensichere Prozesse, Standards und Richtlinien nachgewiesen:

  •  ✓ Malware Schutz
  •  ✓ Patch Management – Risk Ranking
  •  ✓ Patch Management – Patching Prozess
  •  ✓ Vulnerability Scanning
  •  ✓ Firewall Regeln
  •  ✓ Änderungskontrolle
  •  ✓ Secure Software Development
  •  ✓ Account Management
  •  ✓ Security Event Logging
  •  ✓ Log data Reviewing 
  •  ✓ Security Event Alerting
  •  ✓ Information Security and Risk Management
  •  ✓ Incident Response Prozesse
  •  ✓ Sicherheit für Data in Transit
  •  ✓ Sicherheit für Data at Rest
  •  ✓ Data Retention and Disposal
  •  ✓ Data Access Management
  •  ✓ GDPR

(Aufgrund der Englischen Fachbegriffe ist diese Aufzählung sehr “Denglisch” geraten)

Insgesamt sind über 100 Nachweise zu erbringen.

Unser Fazit:

So anstrengend der Prozess auch war, wir sind stolz und glücklich, dass wir diesen Weg gegangen sind. Das schönste Lob hat uns dazu ein Kunden, ein großer Elektrokonzern, gemacht: Nachdem wir die Zertifizierung und unsere Datensicherheitsdokumente vorgelegt haben, kam nach einer Woche die Aussage: “Unsere Datenschutzabteilung hat sich Ihre Informationen angeschaut und es gab direkt eine Genehmigung ohne weitere Änderungswünsche. Das hatten wir so auch noch nie erlebt…”

Mit diesen Worten möchten wir zum Ende kommen und Ihnen zeigen, welche Vorteile die Zertifizierung mit sich bringt, und wie schlussendlich ISV’s und Unternehmen gleichermaßen von diesem Programm profitieren.

Für weitere Fragen wenden Sie sich gern an uns. Wir freuen uns in einen datensicheren Austausch mit Ihnen zu treten.