Der Einsatz von MS365 beim hohen Schutzbedarf muss anders betrachtet werden als bei normalen Schutzbedarf.

Doch erstmal was bedeutet "hoher Schutzbedarf"?

Hoher Schutzbedarf

Zuerst ist dies ein Begriff den es auch in der IT-Sicherheit gibt. In der IT-Grundschutz-Methodik werden system in drei Schutzniveaus eingeteilt. Normal,Hoch und sehr Hoch.

Diese sind wie folgt definiert.

Level	Definition
Sehr Hoch	Die Schadensauswirkungen können ein existenziell bedrohliches, katastrophales
Ausmaß erreichen.
Hoch	Die Schadensauswirkungen können beträchtlich sein.
Normal	Die Schadensauswirkungen sind begrenzt und überschaubar.

Wichtig ist dabei auch die Auswirkung dabei. Die Level Vererben sich nämlich. Sollte ein System etwas verarbeiten was aus einem System mit einem höheren Schutzbedarf stammt, so wird automatisch der Schutzbedarf hochgestuft.

Das heißt, wenn ich z.B. Daten in einem System mit hohen Schutzbedarf sammel, und diese danach in meinem lokalen Excel analysieren möchte, wird automatisch der Laptop den ich dafür benutze auch in den hohen Schutzbedarf fallen. Das ist das Vererbungsprinzip. Dies ist besonders wichtig, da die Behörden oft Daten aus verschiedenen Schutzklassen bearbeiten.

Deswegen muss für Behörden, die mit Systemen interagieren die einen hohen Schutzbedarf bedürfen automatisch der hohe Schutzbedarf vorausgesetzt werden.

Hoher Schutzbedarf im Datenschutz

Im Datenschutz gibt es diesen Begriff nicht. Wir können aber etwas ähnliches definieren. Im Datenschutz gibt es den unterschied zu besondere Kategorien von Daten. In Art. 9 werden diese für Daten aus dem Gesundheitsbereich und in Art. 10 für Daten aus dem Vollzug beschrieben. In Deutschland gibt es noch die Besonderheit des Datenschutzes aus dem Sozialgesetzbuch.

Was heißt das nun im Kontext?

Mit "hoher Schutzbedarf" muss deswegen ein eigens erstellter Begriff in der Stadt Hamburg definiert sein. Es geht hier also um Daten, die teilweise beide Kategorien erfüllen. Diese einstufung ist auch außerhalb, der Geheimhaltungseinstufung. Diese hat eine feste definition und auch wie Daten aus diesem Bereich abgesichert werden.

Wie machen es andere Länder z.B. die U.S.A? Haben die auch ihre Daten einfach in MS365? Nein, dort wurde für die Behörden eine eigene Kopie vom normalen Microsft-Netzwerk erstellt. Diese ist die sogenannte Government umgebung. Und Daten dürfen diesen Bereich nicht verlassen. Die Regierung hat sich dafür auch erweiterete Überwachungsrechte geben lassen. So wird dieses Netzwerk nicht ausschließlich vom Microsoft SOC überwacht, welches für diese Umgebung nur extra geprüftes Personal benutzt, sondern auch von den dafür vorgesehenen Geheimdiensten siehe hierzu auch die beschreibung zu US GOV 365.

Also selbst die U.S.A wollen nicht das Standard MS365 nutzen. Dies ist auch eine Entwicklung aus den Sicherheitslücken die 2023 und 2024 aufgedeckt wurden, als die Chinesische Hackinggruppe Storm-0558 sich mehrfach zutritt zu der gesamten Cloudumgebung verschafft hatte¹.

Welche Daten konkret?

Darüber lässt sich nur spekulieren. Aber anhand der Kategorien wären dies.

• Email der jeweiligen Behörden und damit auch Anhänge
• Vermerke
• Notizen

Fallakten, sollen eigentlich nur in dem jeweiligen E-Aktensystem behandelt werden. Doch jede Person die mit diesem System schon mal gearbeitet hat, weiß, dass teile von Akten immer noch runter geladen werden müssen, um diese zu bearbeiten.

Dies sind die Daten aus wahrscheinlich den Behörden Justiz und Polizei, Sozialbehörde, Datenschutz, Finanz und Schulen. Auch teile der Bezirksämter dürfte dies betreffen.