Sicherheitsrisiken durch neue Microsoft-Funktionen: Was IT-Leiter jetzt wissen müssen
In der sich ständig weiterentwickelnden IT-Landschaft müssen IT-Leiter stets wachsam sein, um die Sicherheit ihrer Systeme und Daten zu gewährleisten. Aktuelle Entwicklungen bei Microsoft werfen neue Herausforderungen auf, die eine umgehende Reaktion erfordern. Nun bringt Microsoft im Mai 2025 eine neue Funktion auf die Geräte seiner Geschäftskunden. Hier heißt es genau hinschauen; andernfalls riskieren Unternehmen gravierende Sicherheitslücken.
OneDrive-Integration auf Geschäftsgeräten: Ein potenzielles Risiko
Eine der neuesten Funktionen von Microsoft, die im Mai 2025 eingeführt wird, betrifft die Erkennung persönlicher OneDrive-Konten auf Geschäftsgeräten. Diese Funktion fordert Benutzer dazu auf, persönliche Dateien zu synchronisieren, was erhebliche Sicherheitslücken schaffen kann. Wenn ein Benutzer diese Aufforderung annimmt, werden seine persönlichen Dateien zusammen mit seinen Arbeitsdateien synchronisiert.
Ohne entsprechende Maßnahmen können Unternehmensdaten demnach unkontrolliert mit persönlichen Konten vermischt werden, was das Risiko der Datenexfiltration erhöht.
Gruppenrichtlinien als Schutzmaßnahme
Um diesem Risiko entgegenzuwirken, sollten IT-Leiter sicherstellen, dass bestimmte Gruppenrichtlinien aktiviert sind:
- DisablePersonalSync: Diese Richtlinie verhindert die Synchronisierung persönlicher OneDrive-Konten auf Unternehmensgeräten.
- DisableNewAccountDetection: Diese Richtlinie verhindert das Popup zur Synchronisierung, bietet jedoch keinen vollständigen Schutz gegen Datenabfluss.
Es ist entscheidend, dass Unternehmen sofort überprüfen, ob diese Richtlinien aktiv sind, um den unbefugten Abfluss sensibler Daten zu verhindern.
Verstoß gegen Privacy/Security by Default
Microsoft liefert diese Funktion standardmäßig aktiviert aus, obwohl dies in vielen Unternehmen ein Compliance-Problem erzeugen kann. Die Verantwortung wird hierbei an die IT-Abteilungen delegiert. Dies ist aus unserer Sicht ein Verstoß gegen die Vorgaben der Datenschutz-Grundverordnung (DSGVO), die in Artikel 25 explizit „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“ fordert. Nicht das erste Mal, wenn wir an die Einführung von Microsoft Recall zurückdenken.
Handlungsempfehlungen für IT-Leiter
Angesichts dieser Entwicklungen sollten IT-Leiter proaktiv handeln:
- Überprüfen und Anpassen von Richtlinien: Stellen Sie sicher, dass alle relevanten Gruppenrichtlinien aktiviert sind, um die Synchronisierung persönlicher Daten zu verhindern.
- Überwachung neuer Funktionen: Beobachten Sie neue Funktionen genau und bewerten Sie deren Einfluss auf die Sicherheit und den Datenschutz in Ihrer Organisation.
- Sensibilisierung der Mitarbeitenden: Schulen Sie Ihre Mitarbeitenden regelmäßig im Umgang mit neuen Technologien und den damit verbundenen Risiken.
- Zusammenarbeit mit Experten: Ziehen Sie bei Bedarf externe Fachleute hinzu, um Ihre Sicherheitsstrategien zu optimieren und an aktuelle Bedrohungen anzupassen.
Mit diesen Maßnahmen können Sie sicherstellen, dass Ihre Organisation auf potenzielle Sicherheits- und Datenschutzrisiken vorbereitet ist und angemessen darauf reagiert.