matrix iQ | Microsoft 365 und Regulatorik

Der Einsatz von Cloud-Technologien wird auch für Banken und Versicherungen immer wichtiger, um für die Mitarbeiter ein zukunftsorientiertes Arbeitsumfeld zu schaffen. In den vergangenen Jahren hat sich Microsoft in diesem Bereich stark positioniert und mit Microsoft 365 eine Palette an Tools erstellt, die einfach und intuitiv zu bedienen sind und miteinander kommunizieren. Im Ergebnis erleichtert der Einsatz von Microsoft 365 nicht nur die unternehmensweite, standortübergreifende Zusammenarbeit, sondern auch den Arbeitsalltag jedes Einzelnen.

Gleichzeitig sehen sich regulierte Unternehmen jedoch vor die Herausforderung gestellt, die regulatorischen Vorgaben der BaFin und anderer Aufsichtsbehörden erfüllen zu müssen. Das führt dazu, dass viele Institute der Finanzbranche den Einsatz von cloudbasierten Tools scheuen, da intern Regulatorik-Know-how, speziell in den Bereichen Datensicherheit, Compliance und IT-Security, fehlt.

Häufig gestellte Fragen sind:

Wie kann ich Microsoft 365 für mein Institut nutzen, sodass der Einsatz einer BaFin-Prüfung standhält?
Welche Basis hinsichtlich Compliance-Vorgaben bringt mein Institut für den Einsatz von Microsoft 365 bereits mit?
Welche technischen Einstellungsmöglichkeiten habe ich, um die eingesetzten Applikationen Regulatorik konform und sicher nutzen zu können?
Wie kann ich ein funktionierendes Identitäts- und Berechtigungsmanagement mit Microsoft 365 sicherstellen?

Genau an diesem Punkt setzt der matrix iQ „Microsoft 365 & Regulatorik“ an.

Leistungsmerkmale

Mittelständischer IT-Dienstleister mit umfassendem Regulatorik Know-how
Betreuung von zahlreichen cloudbasierten Migrationsprojekten
Umfassende Public – sowie Private Cloud Expertise
ISO27001-zertifiziert
Zertifizierter Cloud und On-Premises Microsoft Gold Partner

Leistungsangebot

Im Rahmen eines Ganztagesworkshops, der eine Mischung aus Schulung, Interaktion und Sichtung vorhandener Dokumente ist, vermitteln wir Ihnen Grundlagen zu regulatorischen Aspekten, die für einen sicheren Einsatz von Microsoft 365 notwendig sind. Der Workshop kann sowohl Remote als auch Vor-Ort durchgeführt werden. Zum anderen wird auch ein Blick auf die technischen Möglichkeiten und Einstellungen geworfen, die einen Regulatorik konformen Einsatz der Microsoft-Produkte ermöglichen.

Im Ergebnis erhalten Sie ein Output-Dokument in Form einer Ergebnispräsentation, welches die Erkenntnisse aus dem Workshop noch einmal zusammenfasst.

Workshop-Slot 1: Compliance- Grundlagen

Organisation der Informationssicherheit

ISMS/Informationssicherheitsmanagementsystem
Prozesse der Informationssicherheit
Rollen und Verantwortlichkeiten

Sicherheitsrichtlinien und Arbeitsanweisungen

Schriftlich-fixierte Ordnung/SfO
Ableitung von Konzepten aus Vorgaben

Datenschutzvorgaben und Informationsklassifizierung

Datenerhebung und Klassifizierung/Schutzbedarf
Technisch-organisatorische Maßnahmen/TOMs

Steuerung und Überwachung von Dienstleistern und Lieferanten

Providermanagement
Risikobewertung von Auslagerungen

Workshop-Slot 2: E-Mail und Benutzermanagement

E-Mail und E-Mail Archivierung

Compliance Anforderungen
Technische Anforderungen für Mail-Management

Technische Möglichkeiten zur Datenklassifizierung von Dokumenten

Abbildung in den jeweiligen Microsoft 365 Applikationen sowie technische und organisatorische Umsetzung

Benutzermanagement

Technisches Benutzermanagement in einer hybriden Umgebung
Anbindung an interne Berechtigungssysteme
Neue Rollen und Rechte für die Verwaltung der Cloud-Umgebung

Workshop-Slot 3: Technische Abbildung von Prozessen und Workflows mit Microsoft 365

Prozesse

Abbildung von vorgegebenen Prozessen im Ökosystem Microsoft 365 wie zum Beispiel Genehmigungsprozesse, Backup und Archivierung

Use Cases 

Identifikation von zwingend notwendigen Use Cases zur Regulatorik konformen Umsetzung
Identifikation von Microsoft 365 Business Use Cases und Verbindung dieser mit der On-Premises Welt:

Workflows

Abbildung von Workflows innerhalb des Microsoft 365 Ökosystems
Auswirkungen auf umgesetzte Workflows und Umsetzung von regulatorischen Anforderungen

Workshop-Slot 4: Compliance – Technische und organisatorische Maßnahmen

Identitäts- und Berechtigungsmanagement

Rollen und Rechte
Need-To-Know-Prinzip
Minimalprinzip
Logging und Auswertung

Kommunikationssicherheit: Anbindung, Kryptografie

Firewalls/IDS/IPS
Verschlüsselung

Business-Continuity-Management, Aufbewahrung und Backup

Business Impact Analyse/BIA
Notfall- und Wiederanlaufpläne
Notfallübungen

matrix iQ "Microsoft 365 und Regulatorik" Preis-Dauer

Preview - das erwartet Sie im Workshop

Themenblock Identitäts- und Berechtigungsmanagement

Vorgestellt werden die Anforderungen der Regulatorik, im wesentlichen Minimalprinzip, Need-to-know, Personalisierung, Nachvollziehbarkeit, Funktionstrennung, temporäre Vergabe von hochprivilegierten Rechten und regelmäßige Überprüfungen.

In vielen Unternehmen wird man einen geringen Reifegrad antreffen, der sich durch eine hohe Anzahl von Administratoren auszeichnet, die immer hochprivilegierten Zugriff auf eine große Anzahl von Systemen haben. Rezertifiziert werden diese Rechte nie. Dieses Betriebsmodell war früher überall üblich im IT-Betrieb, ist es doch bequem und einfach, zudem bei den Administratoren beliebt. Da diese Methodik erhebliche Sicherheitsrisiken mit sich bringt, besteht bei einem solchen Unternehmen erheblicher Handlungsbedarf: das Berechtigungsmanagement muss verändert oder neu aufgebaut werden.

Ist das Berechtigungsmanagement eines Unternehmens nach den o.g. regulatorischen Anforderungen aufgebaut und sind die vergebenen Rechte dokumentiert, transparent und prüfbar, muss das vorhandene AD nur in O365 oder Azure oder eine andere Cloudlösung gemappt werden, der Transformationsaufwand ist also gering. In der Regel wird man ein solches Berechtigungsmanagement überall dort antreffen, wo mindestens eine ISO27001-Zertifizierung vorhanden ist.

Der ordnungsmäßige Einsatz von Office 365 im regulierten Umfeld ist genauso wie der Einsatz anderer Cloud-Lösungen machbar und möglich. Allerdings ist Cloud-Computing weit mehr als neue Hardware, und der wertschöpfende Einsatz wird für nahezu jedes Unternehmen mit einem Transformationsprozess verbunden sein. Je reifer die vorhandene IT-Organisation in Sachen Strategie, Prozesse, Sicherheit und Skills bereits ist, desto geringer wird der Transformationsaufwand sein. Und auf jeden Fall ist Cloud-Computing ein guter Anlass, endlich die Dinge umzusetzen, die schon lange auf der Agenda jedes CIOs stehen.

Jürgen Brombacher

Head of Cloud Consulting bei der matrix technology AG

Die matrix im Microsoft Partnernetzwerk

Sowohl im Beratungs- als auch im Betriebsumfeld konnte die matrix in den vergangenen Jahren zahlreiche Projekte im Microsoft-Umfeld erfolgreich durchführen. Dies spiegelt sich auch im Microsoft Partner Status der matrix wider: die matrix technology AG ist seit vielen Jahren Microsoft Gold Partner und konnte die Partnerkompetenzen kontinuierlich ausbauen und erweitern. Das gibt uns die Möglichkeit, Ihr Institut noch effektiver dabei zu unterstützen, sich effektiv und wettbewerbsfähig in der Cloud zu entwickeln.

Zum Profil der matrix im Microsoft Partnernetzwerk

Cloud Readiness

Der Weg in die Cloud kann als weitere Iterationsstufe des IT-Outsourcings angesehen werden. Damit dieser jedoch erfolgreich beschritten werden kann, muss – wie auch beim klassischen IT-Outsourcing – die Basis stimmen. Deshalb kommt der Cloud Readiness eine sehr große Bedeutung auf dem Weg in die Cloud zu. Denn nur, wenn die bestehende Infrastruktur für den Weg in die Cloud vorbereitet ist, sind Vorteile des Cloud Computings wie Kostensenkung und Effizienzsteigerung auch wirklich spürbar.

Microsoft 365 und Exchange

Mit Microsoft 365 und Exchange hat Microsoft eine Produktpalette am Markt platziert, die Unternehmen aller Branchen zahlreiche Digitalisierungs- und Collaboration-Möglichkeiten bietet. Einmal Einsatz, wollen die Nutzer die Vorzüge der Tools und Applikationen nicht mehr missen. Von den klassischen Office-Anwendungen wie Word, Excel und PowerPoint über SharePoint und Microsoft Teams bis hin zu den Microsoft Power-Tools Power Automate, Power BI oder Power Apps: einer digitalisierten und vernetzten Zusammenarbeit steht mit dem Einsatz von Microsoft 365 und Exchange nichts mehr im Wege.

Mehr zum Thema Microsoft 365 und Exchange

Whitepaper

Basiswissen Cloud Computing

Cloud-Modelle – Anbieter – Use Cases
Das Whitepaper hilft Ihnen, ein Verständnis für den schwer greifbaren und inflationär verwendeten Begriff „Cloud Computing“ aufzubauen und Chancen und Risiken zu evaluieren. Außerdem lernen Sie die verschiedenen Cloud-Modelle und Anbieter kennen. Die enthaltenen Use Cases zeigen Ihnen zudem, wie andere Finanz- und Versicherungsunternehmen die Cloud-Theorie in die Praxis umgesetzt haben.

Der Weg in Cloud – von der Idee zur Strategie

Anforderungen – Cloud-Strategie – Datensicherheit
Viele regulierte Unternehmen stehen vor der Frage, welche Anforderungen bereits im Vorfeld umgesetzt werden müssen, um einen aufsichtskonformen Cloud-Einsatz zu ermöglichen. Das Whitepaper unterstützt Sie bei der Herstellung der Cloud Readiness und zeigt Ihnen schrittweise auf, wie Sie zu einer umfassenden Cloud-Strategie gelangen. Zudem erfahren Sie, was Sie nach der Inbetriebnahme berücksichtigen sollten, um die Sicherheit Ihrer Daten zu gewährleisten.

Checklisten

Checkliste: Public Cloud im BaFin-regulierten Umfeld

In dieser Checkliste haben wir Ihnen die wichtigsten regulatorischen Anforderungen für eine aufsichtskonforme Cloud Nutzung zusammengefasst. Sie enthält die Empfehlungen der BaFin und die Anforderungen, die in den BAITs bzw. VAITs sowie dem C5-Katalog des BSI niedergeschrieben sind. So haben Sie alle Anforderungen im Blick und können einfach abhacken, welche Sie bereits erfüllen sowie feststellen, wo gegebenenfalls Handlungsbedarf besteht.

Checkliste: Identitäts- und Berechtigungsmanagement

Das Identitäts- und Berechtigungsmanagement ist eine sehr wichtige Grundlagen Ihres aufsichtskonformen Cloud-Einsatzes, der auch im C5-Anforderungskatalog vom BSI eine besonders hohe Bedeutung zukommt. Die Checkliste zeigt Ihnen die wichtigsten Aspekte, um unberechtigte Zugriffe zu verhindern und gibt Ihnen Tipps, wie Sie diese Vorgaben in Microsoft 365 erfüllen können.