IT Governance für Microsoft 365: Wie Sie betriebliche Prozesse für Online-Services gestalten

IT Governance ist kein neues Produkt oder ein Themengebiet, das in Unternehmen nicht bereits seit Jahren berücksichtigt und umgesetzt wird. Prozesse sind definiert, etabliert und diese bilden die Grundlage für einen sicheren und zuverlässigen IT-Betrieb.

Mit der zunehmenden Nutzung von Online-Diensten, z.B. Microsoft Azure und Microsoft 365, ändern und erweitern sich die Anforderungen, Abhängigkeiten und Rahmenparameter für die IT. Dies bedeutet für Unternehmen, dass die vorhandenen Regelwerke für eine IT Governance nun um die veränderten Bedingungen erweitert werden müssen. IT Governance Regelwerke für On-Premises sind in der Regel relativ statisch und  werden erst nach Ende eines Projektes aktualisiert und angepasst, bevor der Übergang in den Betrieb erfolgt.

1. Warum wurde das nicht oder nur in Teilen vor einer Nutzung von Online-Services berücksichtigt? 

Online-Services, egal ob Microsoft Azure oder aus Microsoft 365, sind einfach und sehr schnell bereitgestellt. Für Microsoft 365 als SaaS gilt sogar, dass sich ein Kunde keine Gedanken um Hardware, Sizing, Updates und die gesamte Verfügbarkeit des Service-Gedankens machen muss.

2. Welchen Rahmen bietet IT Governance?

Betrachten wir das am Beispiel eines Online-Services wie OneDrive for Business: Dieser ist im Standard-Applikationsumfang vorhanden und kann vom Anwender von beliebigen Geräten genutzt und ggf. synchronisiert werden. Externe können dort für einen Zugriff berechtigt und ebenso Dokumente ausgetauscht und gemeinsam bearbeitet werden. 

Genau hier setzt IT Governance für Microsoft 365 an. Es gilt zu bewerten, ob das sehr einfach beschriebene Szenario so umgesetzt werden soll bzw. darf. Am Anfang wird ermittelt, ob und wie Zugriffe erfolgen (Interner Anwender, externer Partner, Gastzugriff).  Dann wird festgelegt, wie das in Zukunft geschehen soll. Anschließend wird das Gerät berücksichtigt (Managed Client, mobiles Gerät, unbekanntes Webterminal, UyoD, ByoD etc.). Zusätzlich gilt es auch, festzulegen, wie Identitäten, Geräte, und Daten bestmöglich geschützt werden. 

Zusammengefasst geht es in den Arbeitspaketen um Zugriffsszenarien, Client + Mobile Device Management, Identitätsabsicherung und Datenschutz.

3. Welche Dienste betreffen IT Governance in Office 365 ?

IT Governance für Microsoft 365 berücksichtigt alle angebotenen Dienste (aus Office 365 und der Enterprise Mobility + Security) sowie deren Nutzung.

Als Grundlage für einen kostenoptimierten Betrieb, wird das vorhandene IT-Governance-Konzept für einen Anwender- und Datenlebenszyklus genommen und erweitert. Hieraus können sich wiederum Änderungen in der technischen Umsetzung oder auch im Prozess (Anlage, bzw. Abgang eines Mitarbeiters) ergeben.  Oftmals lizenzieren Unternehmen Mitarbeiter aufgrund von fehlerhaften Prozessen oder alten Wissensständen, obwohl diese schon längere Zeit nicht mehr im Unternehmen beschäftigt sind.

Neben dem „normalen“ Anwender gibt es natürlich auch Mitarbeiter mit umfangreicheren Anforderungen und einem erhöhten Schutzbedarf (z.B. Administratoren, Geschäftsführung, Personalabteilung, Rechtsabteilung, Betriebsräte etc.). Gerade für diese Personenkreise muss ein konsequenter Schutz in Richtung Online-Services berücksichtigt und vor einer Nutzung bereitgestellt werden. Mit welchen Technologien und Rollen der Schutz  in Bezug zu gültigen Regelwerken erfolgen soll, wird ebenfalls in IT Governance für Microsoft 365 definiert.

Mit einer Nutzung von Online-Services stellen sich Unternehmen auch immer die Frage nach Datenschutz, DSGVO und Absicherung von Daten. Im Rahmen von IT Governance für Microsoft 365 ist die Prüfung und Bewertung der vorhandenen On-Premises-Konzepte und Anforderungen ein  ganz wesentlicher Bestandteil, um darauf eine tragfähige, zukunftssichere und flexible Lösung zu schaffen. Dabei werden Technologen wie Microsoft Azure Information Protection, Microsoft Data Loss Prevention sowie auch Backup und Archivierungssysteme anderer Anbieter berücksichtigt.

4. Wie stellen Unternehmen ihren IT-Betrieb in der Praxis auf Online-Dienste um?

Unternehmen und deren IT-Abteilungen stehen oft vor der Herausforderung, sowohl die Anforderungen ihres Geschäfts als auch die der Anwender nach einem „modernen Arbeitsplatz“, „einfacher und effizienter Kollaboration“ und „flexibler Kommunikation“ aufgreifen und bereitstellen zu müssen. Dies wird auch durch die Investition in Online-Lizenzen und die damit verbundenen Kosten getrieben.

Die Anforderung selbst ist mit Online-Services einfach und schnell umsetzbar, doch gleichzeitig führt diese Schnelligkeit zu liefern dazu, dass in Umsetzungs- und Rollout-Projekten von Office 365 nur ein Minimum dieser wichtigen Voraussetzungen (Governance für Microsoft 365) berücksichtigt werden. Intervenieren dann die Abteilungen wie beispielsweise, IT-Sicherheit, Datenschutz, Betriebsrat und Netzwerker, werden diese Projekte oftmals als Pilot oder PoC umgesetzt. Somit fehlt das „Fundament“ für den IT-Betrieb und im Rückschluss auch  „IT Governance für Microsoft 365“.

5. Gibt es einen Kompromiss zwischen dringenden Anforderungen und der raschen Umsetzung und einer mittelfristigen Projektplanung?

Es ist immer abzuwägen, wie viel und welche Bereiche einer vollständigen IT Governance für Microsoft 365 umgesetzt werden müssen, bevor mit einer Nutzung begonnen werden kann. Ein Kompromiss ist dann z.B. eine Lösung, falls Unternehmensteile bereits eine andere Cloud oder Online-Services nutzen, die nicht durch die IT bereitgestellt und verwaltet werden. Oftmals fehlen interne Mitarbeiter als wichtige Ressource im Projekt, was zu erheblichen Verzögerungen führt. Das Unternehmen kann aber nicht zu lange warten und darum wird nur ein Service (wie beispielsweise Microsoft Teams) flächendeckend zur Nutzung bereitgestellt. 

6. Wo liegt das Risiko bei der Implementierung von Online-Services ohne IT Governance?

Werden Online-Services wie Microsoft Office 365 ohne zusätzliche Security Features (Enterprise Mobility + Security) im Unternehmen genutzt, dann ist der Zugriff meist nur mit Benutzername und Passwort geschützt. Neben einem unerwünschten Datenabfluss oder Datenverlust ist auch die Identität des Anwenders im Fokus von Angreifern. 

Ohne eine IT Governance für Microsoft 365 werden Angriffe und Datenmissbrauch nicht erkannt, da kein Reporting oder ein SIEM-System konfiguriert, angebunden oder überhaupt vorhanden ist. Jegliche Vorfälle bleiben ebenfalls unerkannt, wenn keine verantwortliche Person benannt wurde und kein Prozess vorhanden ist, der Maßnahmen in Bezug auf sicherheitsgefährdende Ereignisse definiert.

Neben den genannten Risiken wird der Anwender leider oft vergessen. Arbeitet dieser in einer relativ offenen Umgebung, so sind z.B. Zugriffe (ByoD) möglich. Mit der vollständigen Umsetzung einer IT Governance für Microsoft 365 verändern sich Zugriffsszenarien und der ungehinderte Zugriff wird ggf. abgeschaltet. Frustration und mangelnde Akzeptanz der Online-Services sind die Folge. Diese Ablehnung manifestiert sich beim Anwender zusätzlich, wenn die interne Kommunikation, zielgerichtete Schulungen oder ein Multiplikatoren-Netzwerk fehlen.

Hinweis: Die bisher aufgezeigten Tätigkeiten und Arbeitspakete beschreiben nur einen Teil. Es liegt immer am jeweiligen Unternehmen und den vorhandenen Regelwerken und Prozessen, wie umfangreich eine IT Governance für Microsoft 365 werden kann.

Online-Services hingegen entwickeln und erweitern die Funktionalitäten in einem sehr hohen Tempo. Auf die Geschwindigkeit des Unternehmens inklusive IT-Betrieb, Projektplanung oder die Unternehmensentwicklung wird vom Online-Service-Anbieter hingegen keine Rücksicht genommen. Mit einer Nutzung von Online-Services gibt es kein definiertes Projektende mehr. Somit muss sich ein Unternehmen an der Roadmap des Anbieters orientieren.

In einer IT Governance für Online-Services ist daher zwingend zu berücksichtigen, die fortwährenden Veränderungen in einem Regelprozess als Grundlage zu überführen. Damit wird sichergestellt, dass Veränderungen den IT-Betrieb nicht überrollen, der Anwender ein Maximum an Produktivität und Flexibilität nutzen kann und gleichzeitig nicht gegen gültige Sicherheitsanforderungen, Datenschutz, DSGVO und andere Rahmenparameter verstoßen wird. Je nach Unternehmensgröße und Struktur kann dies sogar einen Umbau der IT-Abteilungen, der Service-Verantwortungsbereiche oder die Etablierung einer Rolle des Service-Managements für Online-Services bedeuten.