Microsoft Defender ATP schützt Microsoft 365 Benutzer auch vor modernen Bedrohungen. Um dies zu tun, müssen die Daten auf den Endgeräten in Echtzeit erfasst werden. Dies ruft Betriebsrat und Datenschutzbeauftragten auf den Plan. Seien Sie so ehrlich und transparent wie möglich.

Keine Angst vor Microsoft Defender ATP

Die Stärke von Microsoft Defender Advanced Threat Protection (ATP) liegt in der intelligenten Analyse der Daten. Mithilfe komplexer Erkennungs- und Schutztechnologien kann Microsoft Defender ATP bekannte und unbekannte Verhaltensweisen (beispielsweise das Schreiben in die Registry oder der Versuch, auf den LSASS-Prozess zuzugreifen) bestimmten Clients zuordnen und eine Warnung ausgeben, sobald verdächtige Aktivitäten beobachtet werden.

Damit die Daten analysiert werden können, muss Microsoft Defender ATP diese Daten in Echtzeit erfassen. MDATP arbeitet hier ähnlich eines Flugzeugschreibers, der wichtige Flugdaten aufzeichnet, um die Untersuchung von Unfällen und Zwischenfällen zu erleichtern.

Diese Art der Datenerhebung gibt aktuell immer wieder Anlass zur Sorge. Betriebsrat und Datenschutzbeauftragte (DSB) wollen genau wissen, was mit Daten geschieht, die auf dem Computer eines Benutzers gefunden werden. Eines der größten Bedenken ist es, dass Technologien dafür eingesetzt werden, die jeweilige Mitarbeiterleistung zu analysieren.

Umso wichtiger ist es, Betriebsrat und Datenschutzbeauftragten detailliert darzulegen, welche Benutzerdaten gesammelt werden, wie die Benutzerdaten analysiert werden und wie die Daten geschützt werden.

In diesem Artikel beschäftigen wir uns mit folgenden Fragen:

  • Welche Rolle spielt Microsoft Defender ATP für den Schutz von Unternehmen und warum ist es wichtig, MDATP einzusetzen
  • Welche Daten werden überhaupt von MDATP von den Benutzern erfasst

Ziel unseres Artikels ist es, einen Weg aufzuzeigen, sowohl auf die Bedenken von Betriebsrat und DSB einzugehen als auch Unternehmen den Mehrwert zu veranschaulichen, den sie durch den Einsatz von Microsoft Defender ATP erfahren.

Zuallererst: Seien Sie so ehrlich und transparent wie möglich. Dies sollte eine allgemeine Regel für eine vertrauensvolle Zusammenarbeit sein, ist aber in dieser Situation besonders wichtig. Von der Nicht-IT-Seite aus betrachtet, scheinen all diese Lösungen schwarze Löcher zu sein - völlig unbekannt und sehr verdächtig. Zeigen Sie dem Betriebsrat verständlich auf, dass eine moderne Sicherheitsplattform wie Microsoft Defender ATP weder die Produktivität eines Benutzers ermittelt, noch seine Arbeitszeiten trackt oder eine Analyse darüber fährt, wie lange ein Mitarbeiter für seine eigentliche Arbeit benötigt.

Microsoft Defender ATP für den Schutz von Unternehmen

Microsoft Defender ATP bringt zwei wesentliche Neuerungen für die Verbesserung des Unternehmensschutzes.

  1. In der Vergangenheit war Anti-Malware-Software hauptsächlich in der Lage, bekannte Bedrohungen abzuwehren. Wenn ein Stück Malware beispielsweise gegronauso aussah wie etwas, das bereits als bösartig identifiziert und vorher erkannt wurde, war klar: Es handelt sich um Malware. Die Angreifer haben sich im Laufe der Zeit aber weiterentwickelt, und neue Malware erscheint von einem Computer zum anderen völlig unterschiedlich. Für Unternehmen bedeutet das, dass sie neue Lösungen mit neuen Erkennungstechniken benötigen - die sogenannte Verhaltensanalyse. Diese Techniken müssen nicht wissen, wie Malware aussieht, sondern sie analysieren vielmehr das Verhalten. Genau so arbeitet Microsoft Defender ATP, es untersucht das Auftreten und warnt vor verdächtigen Aktivitäten.

  2. Einer der größten Einstiegspunkte für Malware in unsere Computer sind immer noch Schwachstellen auf nicht gepatchten Systemen. Jeder hört immer wieder: “Patchen Sie Ihre Systeme und Sie sind sicher!”. Das Problem dabei ist, dass die meisten Unternehmen nicht wissen, welche Software auf den Clients installiert ist und welche Schwachstellen diese Software hat. Microsoft Defender ATP berichtet darüber und sagt Ihnen genau, wie anfällig die Rechner in Ihrem Unternehmen sind und was Sie wo patchen sollten.

Welche Daten werden gesammelt

  • Registry Events
  • File Creation Events
  • Network Events
  • Logon Events
  • Installed Application Information
  • Machine Information
  • Kernel Events
  • Memory Events
  • Hardware Changes
  • System API Calls

Weitere Informationen zur Compliance finden Sie hier.

Maßnahmen, die ergriffen werden können

Um tiefer in ein Sicherheitsproblem einzutauchen oder darauf zu reagieren, können ausgewiesene Security-Analysten / Mitglieder von Security Operations / Administratoren (abhängig von Ihrer Berechtigung) folgende Aktionen auf Computern durchführen:

  • Rechner isolieren (Benutzer wird benachrichtigt - keine Verbindung zum Internet und zum lokalen Netzwerk möglich)
  • Ausführung von Apps einschränken (nur zertifizierte Apps können danach ausgeführt werden)
  • Auslösen einer Antiviren-Prüfung
  • Zusammenstellung eines Recherchepakets (Sammlung weiterer Daten vom Client, wie z.B. eine Liste aller laufenden Prozesse, Security Event Log usw.)
  • Initiieren einer Live-Response Session (Remote Command Shell)

Wichtig: Jede Maßnahme wird protokolliert und im Action Center überprüft.

Aufbewahrung und Speicherung von Daten

Microsoft Defender ATP-Daten werden maximal 180 Tage lang gespeichert und können in den Vereinigten Staaten, in Großbritannien oder in Europa gespeichert werden. Der Kunde definiert die Dauer der Datenspeicherung und den Datenort während der Ersteinrichtung. Stimmen Sie sich mit Ihrem CISO ab - in der Regel möchte er die Daten so lange wie möglich aufbewahren.

Datenzugang

Stellen Sie sicher, dass nur eine kleine qualifizierte Gruppe des Security IT-Teams Zugang zu diesen Daten hat. Diese Gruppe kann auch gebeten werden, eine Erklärung zu unterzeichnen, dass sie die Daten nur zur Bedrohungsjagd und nicht zur “Überwachung der Mitarbeiterleistung” verwenden.

Transparenz und gute Zusammenarbeit aufrechterhalten

Eine gute Möglichkeit, die Transparenz zu gewährleisten, besteht darin, die Kommunikation und Zusammenarbeit mit dem Betriebsrat und den Datenschutzbeauftragten unmittelbar nach der Einführung von Microsoft Defender ATP weiterzuführen. Berichten Sie kontinuierlich über Sicherheitsvorfälle und die Reaktion auf diese Vorfälle. Lassen Sie Ihr Gegenüber nicht wieder in das schwarze Loch fallen, das man anfangs befürchtet hatte. Beziehen Sie alle Beteiligten aktiv ein, um Ihr Vertrauen zu erhalten.

Es gibt auch andere Abteilungen in ihrem Unternehmen, die die gleichen Interessen haben wie Sie - je nachdem, welche Rolle Sie spielen - arbeiten Sie mit allen zusammen! Schließen Sie IT-Sicherheit und Informationssicherheit (oder die CISO) mit ein und bitten Sie sie, sich an Meetings zu diesen Thema zu beteiligen, um eine lebhafte Diskussion zu führen, in der alle Interessen des Unternehmens angesprochen werden.

Wir freuen uns über Feedback zu diesem Artikel. Lassen Sie uns wissen, wir Ihre Erfahrungen mit Ihrem Datenschutzbeauftragten oder dem Betriebsrat sind, und teilen Sie uns Ihre Empfehlung mit, um die regulatorischen Bedenken zu überwinden.