Wichtige Überlegungen zur Compliance und Sicherheit der Energiebranche

Illustrationsmetapher für eine globale Darstellung verschiedener Branchen, welche die Cloud nutzen.

Einführung

Die Energiewirtschaft versorgt die Gesellschaft mit Treibstoff und kritischer Infrastruktur, auf die sich die Menschen täglich verlassen. Zur Sicherstellung der Zuverlässigkeit von Infrastruktur im Zusammenhang mit Hochleistungs-Energiesystemen erlegen Behörden den Organisationen der Energiebranche strenge Normen auf. Diese regulatorischen Standards beziehen sich nicht nur auf die Erzeugung und Übertragung von Energie, sondern auch auf die Daten und die Kommunikation, die für den täglichen Betrieb von Energieunternehmen unverzichtbar sind.

Unternehmen in der Energiewirtschaft arbeiten mit vielen Arten von Informationen und tauschen diese im Rahmen ihrer regulären Tätigkeit aus. Dazu gehören Kundendaten, Konstruktionsunterlagen, Karten der Ressourcenstandorte, Projektmanagement-Artefakte, Leistungskennzahlen, Außendienstberichte, Umweltdaten und Leistungskennzahlen. Da diese Organisationen ihre Operationen und Kollaborationssysteme in moderne, digitale Plattformen umwandeln möchten, vertrauen sie auf Microsoft als zuverlässigen Cloud Service Provider (CSP) und Microsoft 365 als optimale Plattform für die Zusammenarbeit. Da Microsoft 365 auf der Microsoft Azure-Plattform basiert, sollten Organisationen beide Plattformen prüfen, wenn sie ihre Compliance- und Sicherheitskontrollen beim Umstieg auf die Cloud prüfen.

In Nordamerika, setzt die North America Electric Reliability Corporation (NERC) Zuverlässigkeitsstandards um, die als NERC Critical Infrastructure Protection (CIP)-Standards bekannt sind. NERC unterliegt der Aufsicht der U.S. Federal Energy Regulatory Commission (FERC) und der staatlichen Behörden in Kanada. Alle Eigentümer, Operatoren und Benutzer des Hochleistungsstromnetzes müssen sich bei NERC registrieren und den NERC CIP-Standards entsprechen. Clouddienstanbieter und Drittanbieter wie Microsoft unterliegen nicht den NERC CIP-Standards. Die CIP-Standards beinhalten jedoch Ziele, die berücksichtigt werden sollten, wenn registrierte Unternehmen Anbieter beim Betrieb des Bulk Electric System (BES) einsetzen. Microsoft-Kunden, die Großelektrosysteme betreiben, sind vollständig dafür verantwortlich, die Einhaltung der NERC CIP-Standards sicherzustellen.

Informationen zu Microsoft Cloud Services und NERC finden Sie in den folgenden Ressourcen:

Zu den regulatorischen Standards, die von Energieorganisationen in Erwägung gezogen werden sollten, zählen das FedRAMP-Programm für Risiko- und Autorisierungsmanagement („US Federal Risk and Authorization Management Program“), das auf dem NIST SP 800-53 Rev 4 Standard (Nationales Institut für Normen und Technologie) basiert und diesen ergänzt.

  • Microsoft Office 365 und Office 365 U.S. Government haben jeweils eine FedRAMP ATO (Autorisierung zum Einsatz) für die Stufe „mittelstarke Auswirkungen“ erhalten.
  • Azure und Azure Government wurde jeweils ein FedRAMP High P-ATO (vorläufige Autorisierung zum Einsatz) verliehen, was die höchste Berechtigungsstufe für FedRAMP darstellt.

Informationen zu Microsoft Cloud Services und FedRAMP finden Sie in den folgenden Ressourcen:

Diese Errungenschaften sind für die Energiebranche von Bedeutung, da ein Vergleich zwischen dem „FedRAMP Moderate Control Set“ und „NERC CIP“-Anforderungen zeigt, dass „FedRAMP Moderate Controls“ alle „NERC CIP“-Anforderungen umfassen. Für zusätzliche Informationen hat Microsoft einen Cloud-Implementierungsleitfaden für NERC-Audits entwickelt, der ein Kontroll-Mapping zwischen dem aktuellen Satz von NERC CIP-Standards und dem FedRAMP Moderate-Kontrollsatz enthält, wie in NIST 800-53 Rev. 4 dokumentiert.

Während die Energiebranche ihre Kollaborationsplattformen modernisieren möchten, ist dennoch eine sorgfältige Prüfung der Konfiguration und des Einsatzes von Tools zur Zusammenarbeit und von Sicherheitskontrollen erforderlich, einschließlich:

  • Einschätzung allgemeiner Szenarien für die Zusammenarbeit
  • Zur Produktivität der Mitarbeiter erforderlicher Zugriff auf Daten
  • Gesetzliche Kompatibilitätsanforderungen
  • Damit verbundene Risiken für Daten, Kunden und die Organisation

Microsoft 365 ist eine moderne Cloud-Umgebung für den Arbeitsplatz. Es bietet eine sichere und flexible Zusammenarbeit im gesamten Unternehmen, einschließlich Kontrollen und Richtlinienerzwingung, um den strengsten gesetzlichen Compliance-Rahmen einzuhalten. Anhand der folgenden Themen wird in diesem Dokument untersucht, wie Microsoft 365 die Energiebranche bei der Umstellung auf eine moderne Plattform für die Zusammenarbeit unterstützt und gleichzeitig dazu beiträgt, dass Daten und Systeme sowohl sicher als auch gesetzeskonform sind:

  • Bereitstellen einer umfassenden Plattform für die Zusammenarbeit mit Microsoft Teams
  • Bereitstellen sicherer und gesetzeskonformer Zusammenarbeit in der Energiebranche
  • Identifizierung vertraulicher Daten und Verhinderung von Datenverlusten
  • Steuern von Daten durch effektive Verwaltung von Datensätzen
  • Einhaltung der FERC- und FTC-Bestimmungen für Energiemärkte
  • Schutz vor Datenexfiltration und Insider-Risiken

Als Microsoft-Partner trug Protiviti zu diesem Artikel bei und lieferte materielles Feedback zu diesem Artikel.

Bereitstellen einer umfassenden Plattform für die Zusammenarbeit mit Microsoft Teams

Zusammenarbeit erfordert in der Regel mehrere Formen der Kommunikation, die Fähigkeit, Dokumente zu speichern und auf sie zuzugreifen, sowie die Fähigkeit, andere Anwendungen nach Bedarf zu integrieren. Ganz gleich, ob es sich um globale Konzerne oder lokale Unternehmen handelt – Mitarbeiter im Energiesektor müssen in der Regel mit Mitgliedern anderer Abteilungen oder Teams zusammenarbeiten und kommunizieren. Außerdem müssen Sie häufig mit externen Partnern, Lieferanten oder Kunden kommunizieren. Daher wird die Verwendung von Systemen, die Silos bilden oder den Informationsaustausch erschweren, in der Regel nicht empfohlen. Trotzdem möchten wir sicherstellen, dass die Mitarbeiter Informationen sicher und gemäß Richtlinie teilen.

Wenn Sie Ihren Mitarbeitern eine moderne und cloudbasierte Plattform für die Zusammenarbeit zur Verfügung stellen, die es ihnen ermöglicht, die Tools auszuwählen und zu integrieren, die sie am produktivsten machen, können sie die besten Arbeitsweisen und Wege der Zusammenarbeit finden. Die Verwendung von Microsoft Teams zusammen mit Sicherheitskontrollen und Governance-Richtlinien zum Schutz der Organisation kann Ihre Mitarbeiter bei der einfachen Zusammenarbeit in der Cloud unterstützen.

Microsoft Teams bietet einen Knotenpunkt für die Zusammenarbeit in Ihrem Unternehmen, der Menschen zusammenbringt, um an gemeinsamen Initiativen oder Projekten zu arbeiten und zusammenzuarbeiten. Teammitglieder können darin Unterhaltungen führen, zusammenarbeiten und Dokumente gemeinsam erstellen. Es ermöglicht Personen, Dateien mit Teammitgliedern oder außerhalb des Teams zu speichern und freizugeben. Zudem ist es möglich, Live-Besprechungen mit integriertem Enterprise-VoIP und Video abzuhalten. Microsoft Teams kann durch einfachen Zugriff auf Microsoft-Apps wie Planner, Dynamics 365, PowerApps, Power BI und andere Branchenanwendungen von Drittanbietern angepasst werden. Teams vereinfacht den Zugriff auf Office 365-Dienste und Apps von Drittanbietern, um die Zusammenarbeit und Kommunikationsbedürfnisse für die Organisation zu zentralisieren.

Jedes Microsoft-Team wird von einer Office 365-Gruppe unterstützt. Eine Office 365-Gruppe gilt als Mitgliedschaftsanbieter für Office 365-Dienste, einschließlich Microsoft Teams. Office 365-Gruppen werden verwendet, um sicher zu steuern, welche Benutzer als Mitglieder und welche als Eigentümer der Gruppe gelten. Dies ermöglicht es uns, auf einfache Weise zu steuern, welche Benutzer auf die unterschiedlichen Funktionen innerhalb von Teams zugreifen können. Folglich dürfen Teammitglieder und Besitzer nur auf die Funktionen zugreifen, die Ihnen jeweils gestattet sind.

Ein gängiges Szenario, in dem Microsoft Teams Organisationen der Energiebranche unterstützen kann, ist die Zusammenarbeit mit Vertragsnehmern oder externen Unternehmen im Rahmen von Außendienstprogrammen wie dem Vegetationsmanagement. In der Regel werden Auftragnehmer mit der Pflege der Vegetation oder der Entfernung von Bäumen im Umfeld von Stromanlagen beauftragt. Sie müssen oft Arbeitsanweisungen erhalten, mit Disponenten und anderen Außendienstmitarbeitern kommunizieren, Bilder von der Umgebung machen und weitergeben, die Arbeit abzeichnen und Daten an die Zentrale weitergeben. Traditionell wurden diese Abläufe per Telefon, SMS, Arbeitsaufträgen auf Papier oder über benutzerdefinierte Anwendungen kommuniziert. Dies kann viele Herausforderungen mit sich bringen, darunter:

  • Prozesse sind manuell oder analog, wodurch Metriken schwierig nachzuverfolgen sind
  • Die Kommunikation wird nicht an einer zentralen Stelle erfasst
  • Daten werden in Silos aufbewahrt und nicht notwendigerweise mit allen Mitarbeitern geteilt, die sie benötigen
  • Arbeiten werden möglicherweise nicht konsistent oder effizient ausgeführt
  • Benutzerdefinierte Anwendungen sind nicht in Tools für die Zusammenarbeit integriert, wodurch es schwierig wird, Daten zu extrahieren und freizugeben oder die Leistung zu messen

Microsoft Teams kann einen benutzerfreundlichen Ort zur Zusammenarbeit bieten, um Informationen sicher zu teilen und Unterhaltungen zwischen Teammitgliedern und externen Außendienst-Vertragsnehmern durchzuführen. Teams kann genutzt werden, um Besprechungen durchzuführen, Sprachanrufe zu tätigen, Arbeitsaufträge zentral zu speichern und gemeinsam zu nutzen, Außendienstdaten zu erfassen, Fotos hochzuladen, Geschäftsprozesslösungen zu integrieren (die mit Power Apps und Power Automate erstellt wurden) und Branchenanwendungen zu integrieren. Diese Art von Felddienstdaten mag als geringwertig angesehen werden. Allerdings kann die Effizienz durch die Zentralisierung der Kommunikation und den gemeinsamen Zugriff auf Daten durch Mitarbeiter und Außendienstpersonal in diesen Szenarien gesteigert werden.

Ein weiteres Beispiel für einen Fall, in dem Microsoft Teams der Energiebranche Vorteile bescheren kann, zeigt sich, wenn Mitarbeiter des Außendienstes während eines Ausfalls die Stromversorgung wiederherstellen müssen. Außendienstmitarbeiter benötigen oft schnellen Zugriff auf schematische Daten für Umspannwerke, Kraftwerke oder Blaupausen für Anlagen vor Ort. Diese Daten werden als Daten mit wesentlichen Auswirkungen betrachtet und müssen gemäß den NERC-CIP-Vorschriften geschützt werden. Die Außendienstarbeit während eines Ausfalls erfordert die Kommunikation zwischen den Außendienstmitarbeitern und den Innendienstmitarbeitern des Unternehmens sowie auch mit Endkunden. Die zentralisierte Kommunikation und Datenfreigabe in Microsoft Teams bietet den Mitarbeitern des Außendienstes eine einfache Methode, um auf wichtige Daten zuzugreifen und Informationen oder Status wieder an die Zentrale zurück zu melden. So können beispielsweise Mitarbeiter des Außendienstes mit Microsoft Teams an Konferenzgesprächen teilnehmen, während sie sich auf dem Weg zu einem Ausfall befinden. Außendienstmitarbeiter können auch Fotos oder Videos ihrer Umgebung aufnehmen und diese mit dem Hauptsitz teilen. Dies ist besonders wichtig, wenn Geräte im Außenbereich nicht mit schematischen Darstellungen oder Plänen übereinstimmen. Daten und Status, die im Feld gesammelt wurden, können über die Datenvisualisierungstools wie Power BI an Büromitarbeiter und Führungspersonal ausgegeben werden. Letztendlich kann Microsoft Teams in diesen kritischen Situationen den Außendienst effizienter und produktiver machen.

Teams: Verbessern Sie die Zusammenarbeit und reduzieren Sie das Risiko bei der Einhaltung von Vorschriften

Microsoft 365 bietet durch die Nutzung von Office 365-Gruppen als zugrundeliegendem Mitgliedschaftsanbieter gemeinsame Richtlinienfunktionen für Microsoft Teams. Diese Richtlinien können dazu beitragen, die Zusammenarbeit zu verbessern und dabei helfen, die Anforderungen der Compliance zu erfüllen.

Office 365-Gruppenbenennungsrichtlinien stellen sicher, dass Office 365-Gruppen und somit Microsoft Teams entsprechend der Unternehmensrichtlinie benannt werden. Der Name eines Teams kann eine Herausforderung darstellen, wenn er nicht angemessen ist. So wissen die Mitarbeiter beispielsweise nicht, in welchen Teams sie arbeiten oder Informationen austauschen sollen, wenn diese falsch benannt sind. Gruppenbenennungsrichtlinien tragen zur Durchsetzung einer guten Hygiene bei und können auch die Verwendung bestimmter Wörter, wie z. B. reservierte Wörter oder unangemessene Terminologie, verhindern.

Ablaufrichtlinien für Office 365-Gruppen tragen dazu bei, dass Office 365-Gruppen und damit Microsoft Teams nicht länger beibehalten werden, als dies von der Organisation benötigt wird. Diese Fähigkeit trägt dazu bei, zwei wichtige Probleme beim Informationsmanagement zu vermeiden:

  • Die Verbreitung von Microsoft Teams, die nicht erforderlich sind oder nicht verwendet werden
  • Die verlängerte Speicherung von Daten, die von der Organisation nicht länger benötigt werden

Administratoren können einen Ablaufzeitraum in Tagen für Office 365-Gruppen angeben (z. B. 90, 180 oder 365 Tage). Wenn ein Dienst, der von einer Office 365-Gruppe unterstützt wird, während des Ablaufdatums inaktiv ist, werden die Gruppenbesitzer benachrichtigt. Wenn keine Aktion ausgeführt wird, werden die Office 365-Gruppe und alle zugehörigen Dienste einschließlich Microsoft Teams gelöscht.

Die übermäßige Aufbewahrung von Daten in einem Microsoft-Team kann für Unternehmen ein Prozessrisiko darstellen. Die Verwendung von Ablaufrichtlinien ist eine empfohlene Methode zum Schutz der Organisation. In Kombination mit integrierten Aufbewahrungskennzeichen und -richtlinien trägt Microsoft 365 dazu bei, dass Unternehmen nur die Daten aufbewahren, die zur Einhaltung von gesetzlichen Bestimmungen erforderlich sind.

Teams: Integrieren Sie einfach benutzerdefinierte Anforderungen

Microsoft Teams ermöglicht standardmäßig die Erstellung von Teams in Selbstbedienung. Viele regulierte Organisationen möchten jedoch steuern und verstehen, welche Bereiche für die Zusammenarbeit derzeit von Mitarbeitern verwendet werden, welche Bereiche vertrauliche Daten enthalten und wer die Besitzer von Räumen in ihrer gesamten Organisation sind. Um diese Steuerung zu vereinfachen, ermöglicht Microsoft 365 Organisationen die Deaktivierung der Selbsterstellung von Teams. Mit den in Microsoft 365 integrierten Tools zur Automatisierung von Geschäftsprozessen, wie z.B. Power Apps und Power Automate, können Unternehmen außerdem einfache Prozesse zur Beantragung eines neuen Teams erstellen. Durch das Ausfüllen eines einfach zu verwendenden Formblatts kann automatisch eine Genehmigung bei einem Vorgesetzten angefordert werden. Nach der Genehmigung kann das Team automatisch bereitgestellt und ein Link zum neuen Team an den Anforderer gesendet werden. Durch den Aufbau solcher Prozesse können Organisationen auch benutzerdefinierte Anforderungen integrieren, um andere Geschäftsprozesse zu erleichtern.

Bereitstellen sicherer und gesetzeskonformer Zusammenarbeit in der Energiebranche

Wie bereits erwähnt, haben Microsoft Office 365 und Office 365 U.S. Government jeweils die FedRAMP ATO auf dem Moderate Impact Level erreicht. Azure und Azure Government haben eine FedRAMP High P-ATO erreicht, welche die höchste FedRAMP-Autorisierungsstufe darstellt. Darüber hinaus umfasst das FedRAMP-Moderate Control Set alle NERC-CIP-Anforderungen und ermöglicht es Organisationen der Energiebranche („registrierten Entitäten“), vorhandene FedRAMP-Berechtigungen als skalierbaren und effizienten Ansatz zur Erfüllung von NERC-Überwachungsanforderungen zu nutzen. Es ist jedoch wichtig zu wissen, dass es sich bei FedRAMP nicht um eine punktuelle Zertifizierung handelt, sondern um ein Bewertungs- und Autorisierungsprogramm, das Bestimmungen für eine kontinuierliche Überwachung enthält. Obwohl diese Bestimmung in erster Linie für den CSP gilt, sind die Microsoft-Kunden, die Stromversorgungssysteme betreiben, selbst für die Einhaltung der NERC CIP-Standards verantwortlich. Es wird allgemein empfohlen, die Einhaltung der Vorschriften im Unternehmen kontinuierlich zu überwachen, um die kontinuierliche Einhaltung der Vorschriften zu gewährleisten.

Microsoft bietet ein wichtiges Tool zur Unterstützung bei der Überwachung der Compliance gesetzlicher Vorschriften über einen Zeitraum:

  • Microsoft Purview Compliance Manager hilft der Organisation, ihren aktuellen Compliancestatus und die Maßnahmen zu verstehen, die sie ergreifen kann, um diesen Status zu verbessern. Der Compliance-Manager berechnet eine risikobasierte Bewertung, die den Fortschritt bei der Durchführung von Maßnahmen misst, welche dazu beitragen, die Risiken im Zusammenhang mit Datenschutz und gesetzlichen Vorschriften zu verringern. Der Compliance-Manager bietet eine erste Bewertung basierend auf der Microsoft 365-Datenschutz-Baseline. Bei dieser Baseline handelt es sich um eine Reihe von Kontrollen, die allgemeine Branchenvorschriften und -standards enthalten. Obwohl diese Bewertung ein guter Ausgangspunkt ist, wird Compliance-Manager leistungsfähiger, sobald ein Unternehmen Bewertungen hinzufügt, die für ihre Branche relevanter sind. Compliance-Manager unterstützt eine Reihe von gesetzlichen Vorschriften, die für NERC-CIP-Complianceverpflichtungen relevant sind, einschließlich des FedRAMP Moderate Control Sets, NIST 800-53 Rev. 4und AICPA SOC 2. Organisationen der Energiebranche können bei Bedarf auch eigene Kontrollgruppen erstellen oder importieren.

Die in Compliance Manager integrierten Workflow-Funktionen ermöglichen es Energieunternehmen, ihre Prozesse zur Einhaltung gesetzlicher Vorschriften umzugestalten und zu digitalisieren. Traditionell stehen Complianceteams in der Energiebranche vor den folgenden Herausforderungen:

  • Inkonsistente Berichterstellung oder Nachverfolgung des Fortschritts bei Korrekturmaßnahmen
  • Ineffiziente oder ineffektive Prozesse
  • Unzureichende Ressourcen oder mangelnde Eigenverantwortung
  • Mangel an Echtzeitinformationen und menschliche Fehler

Durch die Automatisierung von Aspekten der Einhaltung gesetzlicher Compliance-Prozesse durch den Einsatz von Compliance-Manager können Unternehmen den Verwaltungsaufwand für Rechts- und Compliance-Funktionen verringern. Dieses Tool kann dazu beitragen, diese Herausforderungen zu bewältigen, indem es aktuellere Informationen über Abhilfemaßnahmen, eine konsistentere Berichterstattung und dokumentierte Besitzrechte für die Maßnahmen (in Verbindung mit der Umsetzung der Maßnahmen) bietet. Organisationen können Korrekturmaßnahmen über einen gewissen Zeitraum automatisch nachverfolgen und insgesamt Effizienzgewinne verbuchen. Auf diese Weise können sich die Mitarbeiter besser auf die Gewinnung von Erkenntnissen und die Entwicklung von Strategien konzentrieren, um die Risiken besser zu steuern.

Compliance-Manager bietet keine absolute Maßnahme zur Einhaltung einer bestimmten Norm oder Verordnung. Sie drückt aus, inwieweit Sie Kontrollmechanismen eingeführt haben, welche die Risiken für personenbezogene Daten und die Privatsphäre des Einzelnen verringern können. Empfehlungen des Compliance-Managers sollten nicht als eine Garantie für Compliance interpretiert werden. Die im Compliance-Manager bereitgestellten Kundenaktionen sind Empfehlungen. Es liegt an jeder Organisation, die Effektivität dieser Empfehlungen zu bewerten, um ihre gesetzlichen Verpflichtungen vor der Implementierung zu erfüllen. Empfehlungen aus dem Compliance-Manager sollten nicht als eine Garantie für Compliance interpretiert werden.

Viele Cybersicherheitskontrollen sind imFedRAMP Moderate Control Set und NERC CIP Standardsenthalten. Wichtige Steuerelemente im Zusammenhang mit der Microsoft 365-Plattform umfassen jedoch Sicherheitsverwaltungssteuerelemente (CIP-003-6), Konto-und Zugriffsverwaltung/Zugriffsentzug (CIP-004-6), elektronischer Sicherheitsperimeter (CIP-005-5), Überwachung von Sicherheitsereignissen und die Reaktion auf Vorfälle (CIP-008-5). Die folgenden grundlegenden Funktionen von Microsoft 365 helfen bei der Bekämpfung der Risiken und Erfüllung der Anforderungen, die in diesen Themen enthalten sind.

Benutzeridentitäten sichern und Zugriff steuern

Der Schutz des Zugriffs auf Dokumente und Anwendungen beginnt mit dem starken Schutz von Benutzeridentitäten. Als Grundlage erfordert dies die Bereitstellung einer sicheren Plattform auf der das Unternehmen Identitäten speichern und verwalten kann und die ein vertrauenswürdiges Mittel der Authentifizierung bietet. Außerdem ist eine dynamische Steuerung des Zugriffs auf diese Anwendungen erforderlich. Während der Arbeit können die Mitarbeiter von Anwendung zu Anwendung oder sich über verschiedenen Standorte und Geräte bewegen. Der Zugriff auf Daten muss während jedem Schritt authentifiziert bleiben. Darüber hinaus muss der Authentifizierungsprozess ein starkes Protokoll und mehrere Authentifizierungsfaktoren (einmaliger SMS-Passcode, Authentifizierungs-App, Zertifikat usw.) unterstützen, um sicherzustellen, dass die Identitäten nicht kompromittiert wurden. Schließlich ist die Durchsetzung risikobasierter Zugriffsrichtlinien eine wichtige Empfehlung zum Schutz von Daten und Anwendungen vor Insider-Bedrohungen, unbeabsichtigten Datenlecks und Datenexfiltration.

Microsoft 365 bietet mit Azure Active Directory (Azure AD) eine sichere Identitätsplattform, auf der Identitäten zentral gespeichert und sicher verwaltet werden. Azure Active Directory bildet, zusammen mit einer Vielzahl verwandter Sicherheitsdienste von Microsoft 365, die Grundlage, um den Mitarbeitern den Zugang zu ermöglichen, den sie für ein sicheres Arbeiten benötigen, und gleichzeitig das Unternehmen vor Bedrohungen zu schützen.

Azure AD Multi-Factor Authentication (MFA) ist in die Plattform integriert und bietet eine zusätzliche Schutzschicht, um sicherzustellen, dass Benutzer diejenigen Personen sind, die sie vorgeben zu sein, wenn sie auf vertrauliche Daten und Anwendungen zugreifen. Azure MFA erfordert mindestens zwei Formen der Authentifizierung, z. B. ein Kennwort und zusätzlich ein bekanntes Mobilgerät. Es unterstützt mehrere Optionen für die zweite Stufe der Authentifizierung, darunter: die Microsoft Authenticator-APP, ein Einmalkennwort, das per SMS übermittelt wird, den Erhalt eines Telefonanrufs, bei dem der Nutzer eine PIN-Nummer eingeben muss und Smart Cards oder die zertifikatbasierte Authentifizierung. Für den Fall, dass das Kennwort kompromittiert wird, würde ein potenzieller Hacker immer noch das Telefon des Benutzers benötigen, um Zugriff auf Unternehmensdaten zu erhalten. Darüber hinaus verwendet Microsoft 365 Modern Authentification als Schlüsselprotokoll, das die starke Authentifizierungserfahrung, die aus Webbrowsern bekannt ist, auf Kollaborationstools anwendbar macht, darunter Microsoft Outlook und die Microsoft Office Apps.

Azure AD Conditional Access bietet eine robuste Lösung zur Automatisierung von Zugriffskontrollentscheidungen und zur Durchsetzung von Richtlinien zum Schutz von Unternehmenswerten. Ein gängiges Beispiel ist, wenn ein Mitarbeiter versucht, auf eine Anwendung zuzugreifen, die vertrauliche Kundendaten enthält, und er automatisch eine mehrstufige Authentifizierung durchführen muss. Azure Conditional Access führt Signale aus der Zugriffsanfrage eines Benutzers zusammen (z. B. Eigenschaften des Benutzers, seines Geräts, seines Standorts, seines Netzwerks und der App oder des Repository, auf die er zuzugreifen versucht). Jeder Versuch, auf die Anwendung zuzugreifen, wird anhand der von Ihnen konfigurierten Richtlinien dynamisch ausgewertet. Wenn das Benutzer- oder Geräterisiko erhöht ist oder andere Bedingungen nicht erfüllt sind, erzwingt Azure AD automatisch die Richtlinie (z. B. dynamisches Anfordern von MFA, Einschränken oder sogar Blockieren des Zugriffs). Dadurch wird sichergestellt, dass vertrauliche Daten in sich dynamisch verändernden Umgebungen geschützt bleiben.

Microsoft Defender für Office 365 bietet einen integrierten Dienst, der Unternehmen vor bösartigen Links und Schadsoftware schützt, die über E-Mails zugestellt werden. Einer der häufigsten Angriffsvektoren, dem Benutzer heutzutage ausgesetzt sind, sind E-Mail-Phishing-Angriffe. Diese Angriffe lassen sich sorgfältig auf bestimmte hochrangige Mitarbeiter abzielen und können sehr überzeugend gestaltet werden. Sie enthalten in der Regel einen Handlungsaufruf, um den Benutzer dazu zu bringen, auf einen bösartigen Link zu klicken oder einen Anhang mit Malware zu öffnen. Nach der Infektion kann ein Angreifer die Anmeldeinformationen eines Benutzers stehlen und sich damit horizontal durch die Organisation bewegen. Sie können auch E-Mails und Daten abschöpfen und darin nach vertraulichen Informationen suchen. Microsoft Defender für Office 365 überprüft Links beim Anklicken auf potenziell bösartige Websites und blockiert diese. E-Mail-Anhänge werden in einer geschützten Sandbox geöffnet, bevor sie in das Postfach des Benutzers übermittelt werden.

Microsoft Defender for Cloud Apps bietet Organisationen die Möglichkeit, Richtlinien präzise durchzusetzen. Dies schließt die Erkennung von Verhaltensanomalien basierend auf einzelnen Benutzerprofilen ein, die automatisch mit Machine Learning definiert werden. Defender for Cloud Apps baut auf den Azure-Richtlinien für bedingten Zugriff auf, indem es zusätzliche Signale in Bezug auf das Benutzerverhalten und die Eigenschaften der Dokumente, auf die zugegriffen wird, auswertet. Im Laufe der Zeit erlernt Defender for Cloud Apps das typische Verhalten für jeden Mitarbeiter (die Daten, auf die er zugreift, und die Anwendungen, die er verwendet). Basierend auf erlernten Verhaltensmustern können Richtlinien automatisch Sicherheitskontrollen durchsetzen, wenn ein Mitarbeiter außerhalb seines Verhaltensprofils handelt. Wenn ein Angestellter zum Beispiel typischerweise ab 9:00 Uhr morgens auf eine Buchhaltungs-App zugreift und dies bis 17:00 Uhr, Montag bis Freitag, tut, aber derselbe Benutzer beginnt an einem Sonntagabend intensiv auf diese Anwendung zuzugreifen, kann Defender for Cloud Apps dynamisch Richtlinien durchsetzen, die den Benutzer zur erneuten Authentifizierung auffordern. Dadurch wird sichergestellt, dass die Anmeldedaten nicht kompromittiert worden sind. Darüber hinaus kann Defender for Cloud-Apps dabei helfen, Schatten-IT in der Organisation zu ermitteln und zu identifizieren. Dadurch können InfoSec-Teams sicherstellen, dass Mitarbeiter sanktionierte Tools verwenden, wenn sie mit vertraulichen Daten arbeiten. Schließlich kann Defender für Cloud-Apps vertrauliche Daten überall in der Cloud schützen, auch außerhalb der Microsoft 365 Plattform. Sie ermöglicht Organisationen, bestimmte externe Cloud-Apps zu sanktionieren (oder nicht zu sanktionieren), den Zugriff zu kontrollieren und zu überwachen, wann die Benutzer in diesen Anwendungen arbeiten.

Azure Active Directory und die zugehörigen Microsoft 365-Sicherheitsdienste bilden die Grundlage, auf der eine moderne Plattform für die Zusammenarbeit in der Cloud für Organisationen der Energiebranche bereitgestellt werden kann. Azure Active Directory enthält Steuerelemente zum Schutz des Zugriffs auf Daten und Anwendungen. Diese Kontrollen bieten nicht nur ein hohes Maß an Sicherheit, sondern helfen Unternehmen auch bei der Einhaltung gesetzlicher Vorschriften.

Azure Active Directory und Microsoft 365-Dienste sind tief integriert und bieten die folgenden wichtigen Funktionen:

  • Zentrale Speicherung und sichere Verwaltung von Benutzeridentitäten
  • Verwenden Sie ein sicheres Authentifizierungsprotokoll, einschließlich der mehrstufigen Authentifizierung, um Benutzer bei Zugriffsanforderungen zu authentifizieren.
  • Bereitstellen einer konsistenten und stabilen Authentifizierungsoberfläche für alle Anwendungen
  • Dynamisches Überprüfen von Richtlinien für alle Zugriffsanforderungen, Integration mehrerer Signale in den Richtlinienentscheidungsprozess (einschließlich Identität, Benutzer-/Gruppenmitgliedschaft, Anwendung, Gerät, Netzwerk, Standort und Echtzeitrisikobewertung)
  • Validieren Sie genaue Richtlinien auf der Grundlage des Benutzerverhaltens und der Dateieigenschaften und setzen Sie bei Bedarf dynamisch zusätzliche Sicherheitsmaßnahmen durch
  • Identifizieren Sie „Schatten-IT“ in der Organisation und erlauben Sie den InfoSec-Teams, Cloud-Anwendungen zu sanktionieren oder zu blockieren
  • Überwachen und kontrollieren Sie den Zugriff auf Microsoft- und Nicht-Microsoft-Cloud-Anwendungen
  • Proaktiver Schutz vor E-Mail-Phishing und Ransomware-Angriffen

Identifizierung vertraulicher Daten und Verhinderung von Datenverlusten

Die FedRAMP Moderate Control Set- und NERC CIP-Normen umfassen als Schlüsselanforderung auch den Datenschutz (CIP-011-2). Diese Anforderungen beziehen sich insbesondere auf die Notwendigkeit, Informationen im Zusammenhang mit BES (Bulk Electric System)-Cybersysteminformationen und den Schutz und sicheren Umgang mit diesen Informationen (einschließlich Speicherung, Übertragung und Verwendung) zu identifizieren. Spezifische Beispiele für BES-Cyber-System-Informationen können Sicherheitsverfahren oder Sicherheitsinformationen über Systeme sein, die für den Betrieb des Stromversorgungsnetzes von grundlegender Bedeutung sind (BES-Cyber-Systeme, physische Zugangskontrollsysteme und elektronische Zugangskontroll- oder Überwachungssysteme), die nicht öffentlich zugänglich sind und dazu verwendet werden könnten, unbefugten Zugang oder unbefugte Verbreitung zu ermöglichen. Es besteht jedoch die gleiche Notwendigkeit, Kundeninformationen zu identifizieren und zu schützen, die für den täglichen Betrieb von Energieorganisationen wichtig sind.

Microsoft 365 ermöglicht die Identifizierung und den Schutz vertraulicher Daten durch eine Kombination leistungsstarker Funktionen, einschließlich:

  • Microsoft Purview Information Protection sowohl für die benutzerbasierte Klassifizierung als auch für die automatische Klassifizierung vertraulicher Daten.

  • Microsoft Purview Data Loss Prevention (DLP) zur automatisierten Identifizierung sensibler Daten unter Verwendung sensibler Datentypen (d. h. reguläre Ausdrücke) und Schlüsselwörter und zur Durchsetzung von Richtlinien

Microsoft Purview Information Protection ermöglicht es Mitarbeitern, Dokumente und E-Mails durch die Verwendung von Vertraulichkeitskennzeichnungen zu klassifizieren. Vertraulichkeitskennzeichnungen können von Benutzern manuell auf Dokumente in Microsoft Office-Apps und auf E-Mails in Microsoft Outlook angewendet werden. Sensibilitätskennzeichnungen können automatisch Dokumentmarkierungen und Schutz durch Verschlüsselung anwenden und die Rechteverwaltung durchsetzen. Vertraulichkeitsbezeichnungen können auch automatisch angewendet werden, indem Richtlinien konfiguriert werden, die Schlüsselwörter und vertrauliche Datentypen (Kreditkartennummern, Sozialversicherungsnummern, Identitätsnummern usw.) verwenden.

Microsoft bietet auch trainierbare Klassifikatoren an. Diese verwenden Modelle des maschinellen Lernens, um sensible Daten auf der Grundlage des Inhalts zu identifizieren, und nicht einfach durch Mustervergleich oder anhand der Elemente innerhalb des Inhalts. Ein Klassifikator lernt, eine Art von Inhalt zu identifizieren, indem er sich viele Beispiele des zu klassifizierenden Inhalts ansieht. Das Trainieren eines Klassifizierers beginnt damit, dass man ihm Beispiele für Inhalte in einer bestimmten Kategorie zur Verfügung stellt. Sobald er die Beispiele verarbeitet hat, wird das Modell getestet, indem ihm eine Mischung aus passenden und nicht passenden Beispielen vorgelegt wird. Der Klassifizierer prognostiziert dann, ob ein bestimmtes Beispiel in die Kategorie fällt oder nicht. Eine Person bestätigt dann die Ergebnisse und sortiert die Positiven, Negativen, Falsch-Positiven und Falsch-Negativen, um die Genauigkeit der Vorhersagen des Klassifikators zu erhöhen. Wenn der trainierte Klassifikator veröffentlicht wird, verarbeitet und klassifiziert er automatisch Inhalte in SharePoint Online, Exchange Online und OneDrive for Business.

Beim Anwenden von Vertraulichkeitsbezeichnungen auf Dokumente und E-Mails werden Metadaten in das Objekt eingebettet, wodurch die ausgewählte Vertraulichkeit identifiziert wird, sodass die Vertraulichkeit mit den Daten übertragen werden kann. Das Ergebnis ist: selbst wenn ein gekennzeichnetes Dokument auf dem Desktop eines Benutzers oder in einem lokalen System gespeichert wird, ist es immer noch geschützt. Dadurch können andere Microsoft 365-Lösungen, z. B. Microsoft Defender for Cloud Apps oder Netzwerk-Edgegeräte, vertrauliche Daten identifizieren und automatisch Sicherheitskontrollen erzwingen. Vertraulichkeitsbezeichnungen haben den zusätzlichen Vorteil, dass sie Mitarbeiter aufklären, welche Daten innerhalb einer Organisation als vertraulich betrachtet werden und wie diese Daten zu behandeln sind.

Microsoft Purview Data Loss Prevention (DLP) identifiziert automatisch Dokumente, E-Mails und Unterhaltungen, die vertrauliche Daten enthalten. Hierzu werden diese auf vertrauliche Datentypen überprüft und dann die Richtlinie für diese Objekte erzwungen. Die Richtlinien werden für Dokumente innerhalb von SharePoint und OneDrive for Business durchgesetzt. Richtlinien werden auch erzwungen, wenn Benutzer E-Mails und in Microsoft Teams innerhalb von Chat- und Kanalunterhaltungen senden. Richtlinien können so konfiguriert werden, dass sie nach Schlüsselwörtern, vertraulichen Datentypen, Aufbewahrungsbezeichnungen und danach suchen, ob Daten innerhalb der Organisation oder extern freigegeben werden. Es werden Kontrollen zur Verfügung gestellt, um Organisationen bei der Feinabstimmung der DLP-Richtlinien zu helfen, um falsch positive Ergebnisse besser zu verhindern. Wenn sensible Daten gefunden werden, können den Benutzern in Microsoft 365-Anwendungen anpassbare Richtlinienhinweise angezeigt werden. Richtlinientipps informieren Benutzer darüber, dass ihre Inhalte vertrauliche Daten enthalten, und können Korrekturmaßnahmen vorschlagen. Richtlinien können auch verhindern, dass Benutzer auf Dokumente zugreifen, Dokumente gemeinsam nutzen oder E-Mails versenden, die bestimmte Arten von vertraulichen Daten enthalten. Microsoft 365 unterstützt über 100 integrierte vertrauliche Datentypen. Organisationen können benutzerdefinierte vertrauliche Datentypen konfigurieren, um ihre Richtlinien zu erfüllen.

Die Einführung von Microsoft Purview Information Protection- und DLP-Richtlinien für Organisationen erfordert eine sorgfältige Planung. Außerdem ist eine Benutzerschulung erforderlich, damit Mitarbeiter das Datenklassifizierungsschema der Organisation verstehen und welche Arten von Daten vertraulich sind. Die Bereitstellung von Tools und Schulungsprogrammen, die den Mitarbeitern helfen, vertrauliche Daten zu identifizieren und ihnen dabei helfen, zu verstehen, wie man damit umgeht, macht sie zu einem Teil der Lösung zur Minderung von Informationssicherheitsrisiken.

Steuern von Daten durch effektive Verwaltung von Datensätzen

Vorschriften zwingen viele Organisationen dazu, die Aufbewahrung wichtiger Organisationsdokumente gemäß einem verwalteten, unternehmensweiten Aufbewahrungszeitplan zu verwalten. Unternehmen sind mit den Risiken der behördlichen Compliance konfrontiert, wenn die Daten nicht lange genug aufbewahrt (zu früh gelöscht) werden oder wenn Daten übermäßig lange gespeichert (zu lange aufbewahrt) werden. Effektive Strategien zur Datensatzverwaltung tragen dazu bei, dass Organisationsdokumente gemäß vordefinierten Aufbewahrungszeiträumen aufbewahrt werden, die darauf ausgelegt sind, das Risiko für die Organisation zu minimieren. Aufbewahrungsdauern werden in einem zentral verwalteten Aufbewahrungszeitplan für Organisationsdatensätze vorgeschrieben. Aufbewahrungsdauern basieren auf der Art der einzelnen Dokumenttypen, den gesetzlichen Complianceanforderungen für die Aufbewahrung bestimmter Datentypen und den definierten Richtlinien der Organisation.

Die genaue Zuordnung der Aufbewahrungszeiträume zu organisatorischen Dokumenten erfordert möglicherweise einen feingliedrigen Prozess, der einzelnen Dokumenten Aufbewahrungszeiträume eindeutig zuweist. Zu diesen Gründen gehören die große Anzahl von Dokumenten in Organisationen der Energiebranche sowie die Tatsache, dass Aufbewahrungsdauern in vielen Fällen durch organisatorische Ereignisse ausgelöst werden können (z. B. ablaufende Verträge oder ein Mitarbeiter, der die Organisation verlässt).

Microsoft 365 bietet Funktionen, um Aufbewahrungsbezeichnungen und -richtlinien zu definieren, mit denen die Anforderungen für die Datensatzverwaltung einfach implementiert werden. Ein Datensatzverwalter bestimmt eine Aufbewahrungsbezeichnung, die in einem traditionellen Aufbewahrungszeitplan für einen Datensatztyp steht. Die Aufbewahrungsbezeichnung enthält Einstellungen, die folgendes definieren:

  • Wie lange ein Datensatz aufbewahrt wird
  • Die Eintrittsbedingungen oder was geschieht, wenn der Aufbewahrungszeitraum abläuft (Löschen des Dokuments, Starten einer Anordnungsüberprüfung oder keine Aktion)
  • Was bewirkt, dass der Aufbewahrungszeitraum beginnt (Erstellungsdatum, Datum der letzten Änderung, Datum der Einklassifizierung oder ein bestimmtes Ereignis), und
  • Falls es sich bei dem Dokument oder der E-Mail um eine Datensatz handelt (es also nicht bearbeitet oder gelöscht werden kann).

Aufbewahrungsbezeichnungen werden dann auf SharePoint- oder OneDrive-Websites, Exchange-Postfächern und Office 365-Gruppen veröffentlicht. Benutzer können Aufbewahrungsbezeichnungen dann manuell auf Dokumente und E-Mails anwenden. Datensatz-Manager können auch Regeln verwenden, um Aufbewahrungsbezeichnungen automatisch anzuwenden. Regeln für die automatische Anwendung können auf Schlüsselwörtern oder vertraulichen Daten basieren, die in Dokumenten oder E-Mails enthalten sind, z. B. Kreditkartennummern, Sozialversicherungsnummern oder andere personenbezogene Informationen (PII). Regeln für die automatische Anwendung können auch auf SharePoint-Metadaten basieren.

Die FedRAMP Moderate Control Set- und NERC CIP-Normen umfassen als Schlüsselanforderung auch die Wiederverwendung und Entsorgung von Ressourcen (CIP-011-2). Diese Voraussetzungen befassen sich erneut gezielt mit BES-Cybersystem-Informationen. Andere gesetzliche Bestimmungen verlangen jedoch von Unternehmen der Energiebranche, dass sie ihre Unterlagen für viele Arten von Informationen effektiv verwalten und entsorgen. Zu diesen Informationen gehören Jahresabschlüsse, Informationen über Kapitalprojekte, Budgets, Kundendaten usw. In allen Fällen sind Energieunternehmen verpflichtet, robuste Programme zur Verwaltung von Unterlagen und Nachweisen für die vertretbare Entsorgung von Unternehmensunterlagen zu führen.

Für jede Aufbewahrungsbezeichnung erlaubt Microsoft 365, dass Datensatzverwalter bestimmen, ob eine Dispositionsüberprüfung erforderlich ist. Wenn diese Datensatztypen nach Ablauf des Aufbewahrungszeitraums zur Disposition stehen, muss eine Überprüfung durch die vorher bestimmten Dispositionsprüfer durchgeführt werden, bevor Inhalte gelöscht werden. Sobald die Entsorgungsprüfung genehmigt ist, wird die Löschung der Inhalte durchgeführt. Der Nachweis des Löschvorgangs (der Benutzer, der den Löschvorgang durchgeführt hat, und Datum/Uhrzeit des Löschvorgangs) wird jedoch weiterhin für mehrere Jahre als Zertifikat der Zerstörung aufbewahrt. Wenn Organisationen eine längere oder dauerhafte Aufbewahrung von Zertifikaten zur Zerstörung benötigen, kann Microsoft Sentinel für die langfristige cloudbasierte Speicherung von Protokoll- und Überwachungsdaten verwendet werden. Microsoft Sentinel gibt Unternehmen die volle Kontrolle über die langfristige Speicherung und Aufbewahrung von Aktivitätsdaten, Protokolldaten und Aufbewahrungs-/Verfügungsdaten.

Einhaltung der FERC- und FTC-Bestimmungen für Energiemärkte

Die U.S. Federal Energy Regulatory Commission (FERC) beaufsichtigt Vorschriften, die sich auf die Energiemärkte und den Handel der Elektrizitäts- und Erdgasmärkte beziehen. Die U.S. Federal Trade Commission (FTC) beaufsichtigt ähnliche Bestimmungen im Mineralölmarkt. In beiden Fällen legen diese Regulierungsbehörden Regeln und Anleitungen fest, um die Manipulation von Energiemärkten zu verhindern. FERC empfiehlt Organisationen der Energiebranche beispielsweise, in Technologieressourcen zu investieren, um den Handel, die Händler-Kommunikation und die Einhaltung interner Kontrollen zu überwachen. Regulierungsbehörden empfehlen außerdem, dass Energieorganisationen regelmäßig die fortlaufende Effektivität des Complianceprogramms der Organisation bewerten.

In der Regel sind Kommunikationsüberwachungslösungen teuer und können komplex zu konfigurieren und zu verwalten sein. Auch die Überwachung der vielen, unterschiedlichen Kommunikationskanäle, die den Mitarbeitern zur Verfügung stehen, kann für Unternehmen eine Herausforderung sein. Microsoft 365 bietet mehrere integrierte, robuste Funktionen für die Überwachung der Mitarbeiterkommunikation, Überwachung der Mitarbeiteraktivitäten und zur Einhaltung der FERC-Vorschriften für Energiemärkte.

Implementierung der Aufsichtskontrolle

Mit Microsoft 365 können Organisationen Aufsichtsrichtlinien konfigurieren, die die Kommunikation zwischen Mitarbeitern (basierend auf konfigurierten Bedingungen) erfassen und zulassen, dass diese von den zuständigen Aufsichtsbehörden überprüft werden. Überwachungsrichtlinien können interne/externe E-Mails und Anhänge, Microsoft Teams Chat- und Channel-Kommunikation, Skype for Business Online Chat-Kommunikation und Anhänge sowie Kommunikation über Dienste von Drittanbietern (wie Facebook oder Dropbox) erfassen.

Die umfassende Art der Kommunikation, die innerhalb eines Unternehmens erfasst und überprüft werden kann, und die umfangreichen Bedingungen, mit denen Richtlinien konfiguriert werden können, ermöglichen es Microsoft 365 Supervision Policies, Unternehmen bei der Einhaltung der FERC-Energiemarktvorschriften zu unterstützen. Aufsichtsrichtlinien können so konfiguriert werden, dass die Kommunikation für Einzelpersonen oder Gruppen überprüft wird. Darüber hinaus können Vorgesetzte als Einzelpersonen oder Gruppen konfiguriert werden. Umfassende Bedingungen können konfiguriert werden, um Kommunikationen basierend auf eingehenden oder ausgehenden Nachrichten, Domänen, Aufbewahrungskennzeichnungen, Schlüsselwörtern oder -phrasen, Schlüsselwort-Wörterbüchern, sensiblen Datentypen, Anhängen, Nachrichten- oder Anhangsgröße zu erfassen. Den Prüfern wird ein Dashboard zur Verfügung gestellt, wo sie auffällige Kommunikationen überprüfen, auf Mitteilungen reagieren, die möglicherweise gegen die Richtlinien verstoßen, oder markierte Punkte als gelöst markieren können. Sie können auch die Ergebnisse früherer Überprüfungen und bereits gelöste Probleme überprüfen.

Microsoft 365 bietet Berichte, die es ermöglichen, die Aktivitäten zur Überprüfung der Aufsichtsrichtlinie auf der Grundlage der Richtlinie und des Gutachters zu prüfen. Die verfügbaren Berichte können verwendet werden, um zu überprüfen, ob Aufsichtsrichtlinien so funktionieren, wie es in den schriftlichen Überwachungsrichtlinien der Organisation festgelegt ist. Die Berichte können auch dazu verwendet werden, Mitteilungen zu identifizieren, die einer Überprüfung bedürfen, einschließlich solcher, die nicht mit den Unternehmensrichtlinien übereinstimmen. Schließlich werden alle Aktivitäten im Zusammenhang mit der Konfiguration von Aufsichtsrichtlinien und der Überprüfung der Kommunikation im einheitlichen Überwachungsprotokoll von Office 365 geprüft.

Die Microsoft 365-Aufsichtsrichtlinien ermöglichen es Organisationen, Mitteilungen auf Einhaltung der Unternehmensrichtlinien zu überwachen, wie z.B. Verstöße gegen Anti-Mobbing-Richtlinien der Personalabteilung und anstößige Sprache in Unternehmenskommunikation. Sie ermöglichen es Organisationen auch, Risiken zu reduzieren, indem sie die Kommunikation bei sensiblen Veränderungen der Organisation, wie Fusionen und Übernahmen oder Führungswechsel, überwachen.

Kommunikationscompliance

Da Mitarbeitern viele Kommunikationskanäle zur Verfügung stehen, benötigen Organisationen zunehmend effektive Lösungen für die Überwachung der Kommunikation in regulierten Branchen wie den Energiehandelsmärkten. Die kürzlich eingeführte Communication Compliance-Lösung, die in Microsoft 365 integriert ist, hilft Organisationen dabei, häufige Herausforderungen zu bewältigen. Zu diesen Herausforderungen gehören die steigende Anzahl von Kommunikationskanälen und das wachsende Nachrichtenvolumen sowie das Risiko möglicher Geldstrafen für Richtlinienverstöße.

Die Kommunikationscompliance kann mehrere Kommunikationskanäle überwachen und nutzt Machine-Learning-Modelle zur Ermittlung potenzieller Verstöße gegen die Richtlinien, einschließlich Office 365-E-Mails, Microsoft Teams, Skype for Business Online, Facebook, Twitter und Bloomberg-Chatnachrichten. Kommunikationscompliance hilft Complianceteams dabei, Nachrichten effektiv und effizient auf potenzielle Verstöße gegen Folgendes zu überprüfen:

  • Unternehmensrichtlinien, z.B. zulässige Nutzung, ethische Standards und unternehmensspezifische Richtlinien
  • Offenlegung vertraulicher Informationen oder Geschäftsgeheimnisse, z. B. nicht autorisierte Kommunikation zu vertraulichen Projekten wie anstehenden Akquisitionen, Fusionen, Ertragsangaben, Reorganisationen oder Änderungen am Leadership-Team
  • Vorschriften zur Einhaltung gesetzlicher Bestimmungen, z.B. Mitarbeiterkommunikation hinsichtlich der Arten von Unternehmen oder Transaktionen, in denen eine Organisation tätig ist, in Übereinstimmung mit FERC-Vorschriften für Energiemärkte

Die Kommunikationscompliance bietet integrierte Klassifizierer für Bedrohungen, Belästigungen und Schimpfwörter, um dazu beizutragen, falsch-positive Ergebnisse bei der Überprüfung der Kommunikation zu reduzieren. Dadurch sparen Prüfer während des Untersuchungs- und Abhilfeverfahrens Zeit. Sie hilft Prüfern dabei, sich auf spezielle Nachrichten innerhalb langer Threads zu konzentrieren, die durch die Richtlinien-Benachrichtigungen hervorgehoben werden. Auf diese Weise können Compliance-Teams Risiken schneller erkennen und beheben. Sie bietet Compliance-Teams die Möglichkeit, Richtlinien auf einfache Weise zu konfigurieren und zu optimieren, die Lösung für die spezifischen Anforderungen des Unternehmens anzupassen und falsch-positive Ergebnisse zu verringern. Kommunikationscompliance kann auch das Benutzerverhalten über einen gewissen Zeitraum nachverfolgen und potenzielle Muster riskanter Verhaltensweisen oder Richtlinienverstöße hervorheben. Schließlich bietet es flexible integrierte Lösungs-Workflows. Diese Workflows helfen den Prüfern, schnell Maßnahmen zu ergreifen, um sie gemäß den definierten Unternehmensprozessen an die Rechtsabteilung oder die Personalabteilung weiterzugeben.

Schutz vor Datenexfiltration und Insider-Risiken

Eine häufige Bedrohung für Unternehmen ist die Datenexfiltration oder der Akt des Extrahierens von Daten aus einer Organisation. Dies kann für Energieunternehmen ein erhebliches Problem darstellen, da es sich um sensible Informationen handelt, auf die Mitarbeiter oder Außendienstmitarbeiter tagtäglich zugreifen können. Diese Daten umfassen sowohl BES-Cybersysteminformationen (Bulk Electric System) als auch unternehmensbezogene Informationen und Kundendaten. Angesichts der zunehmenden Zahl von Kommunikationsmethoden und der vielen Tools für die Datenübertragung sind in der Regel fortschrittliche Tools erforderlich, um die Risiken von Datenlecks, Richtlinienverstößen und Insider-Risiken zu minimieren.

Insider-Risikomanagement

Die Befähigung von Mitarbeitern mit Online-Tools für die Zusammenarbeit, auf die von überall her zugegriffen werden kann, birgt Risiken für die Organisation. Mitarbeiter können versehentlich oder in bösartiger Absicht Daten an Angreifer oder an Konkurrenten durchsickern lassen. Alternativ können sie Daten für den persönlichen Gebrauch exfiltrieren oder Daten an einen zukünftigen Arbeitgeber mitnehmen. Diese Szenarien stellen aus Sicherheits- und Compliancesicht schwerwiegende Risiken für Organisationen dar. Um diese Risiken zu erkennen, wenn sie auftreten, und sie schnell zu entschärfen, sind sowohl intelligente Tools für die Datensammlung als auch die abteilungsübergreifende Zusammenarbeit in Bereichen wie Recht, Personalwesen und Informationssicherheit erforderlich.

Microsoft 365 hat vor kurzem die Insider-Risikomanagementkonsole eingeführt, die Signale aus allen Diensten von Microsoft 365 sowie Machine-Learning-Modelle nutzt, um das Benutzerverhalten auf Anzeichen von Insider-Risiken zu überwachen. Dieses Tool stellt Ermittlern Daten bereit, sodass sie riskante Verhaltensmuster leicht erkennen und Fälle basierend auf vordefinierten Workflows nach oben weitergeben können.

So kann Insider Risk Management beispielsweise Signale vom Windows 10-Desktop eines Benutzers (wie das Kopieren von Dateien auf ein USB-Laufwerk oder das Versenden von E-Mails an ein persönliches E-Mail-Konto) mit Aktivitäten von Online-Diensten (wie Office 365 E-Mail, SharePoint Online, Microsoft Teams, OneDrive for Business) korrelieren, um Muster der Datenexfiltration zu erkennen. Es kann diese Aktivitäten auch mit Mitarbeitern korrelieren, die eine Organisation verlassen, was ein übliches Verhaltensmuster im Zusammenhang mit Datenexfiltration ist. Es kann mehrere Aktivitäten und Verhaltensweisen im Laufe der Zeit überwachen. Wenn sich gemeinsame Muster herauskristallisieren, kann es Warnungen auslösen und den Ermittlern helfen, sich auf die wichtigsten Aktivitäten zu konzentrieren, um einen Richtlinienverstoß mit einem hohen Maß an Vertrauen zu überprüfen. Insider Risk Management kann auch Daten vor Ermittlern verschleiern, um Datenschutzbestimmungen einzuhalten und gleichzeitig wichtige Aktivitäten aufzudecken, die ihnen helfen, Ermittlungen effizient durchzuführen. Wenn es soweit ist, ermöglicht es den Ermittlern, wichtige Aktivitätsdaten zu verpacken und sicher an die Personal- und Rechtsabteilungen zu senden, indem sie allgemeine Weiterleitungs-Workflows befolgen, um Fälle für Korrekturmaßnahmen zu melden.

Insider Risk Management ist eine erhebliche Erweiterung der Funktionen in Microsoft 365 zur Überwachung und Untersuchung von Insider-Risiken. Gleichzeitig können Unternehmen die Datenschutzbestimmungen einhalten und etablierte Eskalationspfade einhalten, wenn Fälle auf höherer Ebene Maßnahmen erfordern.

Schlussbemerkung

Microsoft 365 bietet eine integrierte und umfassende Lösung, die eine benutzerfreundliche, Cloud-basierte Zusammenarbeit im ganzen Unternehmen mit Microsoft Teams ermöglicht. Microsoft Teams ermöglicht zudem eine bessere Kommunikation und Zusammenarbeit mit Außendienstmitarbeitern, wodurch Organisationen der Energiebranche effizienter und effektiver werden. Eine bessere Zusammenarbeit im ganzen Unternehmen und mit Außendienstmitarbeitern kann letztlich dazu beitragen, dass Organisationen der Energiebranche Kunden besser bedienen können.

Organisationen der Energiewirtschaft müssen strenge Bestimmungen einhalten, die sich auf die Speicherung, Sicherung, Verwaltung und Aufbewahrung von Informationen im Zusammenhang mit ihren Operationen und Kunden beziehen. Sie müssen zudem Vorschriften einhalten, die sich auf die Überwachung und Verhütung der Manipulation von Energiemärkten beziehen. Microsoft 365 bietet zuverlässige Sicherheitssteuerelemente für den Schutz von Daten, Identitäten, Geräten und Anwendungen vor Risiken und zur Einhaltung strikter Vorschriften für die Energiebranche. Es werden integrierte Tools bereitgestellt, die Organisationen der Energiebranche dabei helfen sollen, ihre Compliance zu bewerten sowie Maßnahmen zu ergreifen und Abhilfeaktivitäten über einen Zeitraum nachzuverfolgen. Diese Tools bieten zudem einfach zu verwendende Methoden zum Überwachen der Kommunikation. Die Microsoft 365-Plattform basiert auf grundlegenden Komponenten wie Microsoft Azure und Azure Active Directory, was dazu beiträgt, die gesamte Plattform zu sichern und der Organisation zu helfen, die Compliance-Anforderungen für FedRAMP Moderate und High Control-Sets zu erfüllen. Dies wiederum trägt dazu bei, dass Organisationen der Energiebranche den NERC-CIP-Standards entsprechen können.

Insgesamt hilft Microsoft 365 Organisationen der Energiebranche dabei, das Unternehmen besser zu schützen, robustere Compliance-Programme zu nutzen und die Mitarbeiter in die Lage zu versetzen, sich auf bessere Einblicke und Implementierungsstrategien zur Reduzierung von Risiken zu konzentrieren.