Umstellung des IT-Service E-Mail

Im Vorfeld der Anbieterauswahl wurden mögliche Alternativen zur Nutzung von Exchange Online systematisch durch die DVZ und unter Einbindung einer externen Kanzlei geprüft. Die Bewertung erfolgte anhand einheitlicher Kriterien, insbesondere im Hinblick auf Datenschutz und -sicherheit, Funktionsumfang, Skalierbarkeit und Leistungsfähigkeit sowie Integrationsfähigkeit in die bestehende IT-Landschaft. Im Ergebnis hat sich gezeigt, dass derzeit keine alternative Softwarelösung verfügbar ist, die diese Anforderungen in vergleichbarer Weise erfüllt. In Abstimmung mit dem Präsidium und in Zusammenarbeit mit den Beauftragten und Gremien der Hochschule ist Exchange Online aktuell die beste Lösung, um den IT-Service E-Mail eigenständig und in gewohnter Qualität an der Hochschule zu erbringen. Dies schließt keineswegs aus, dass künftig Alternativen als bessere Lösungen erkannt werden. 

Für die tägliche Nutzung von Outlook ergeben sich keine Änderungen, die gewohnten Funktionen und Inhalte bleiben erhalten. Das heißt, im Postfach vorliegende E-Mails und entsprechende Anhänge werden vollständig synchronisiert, ebenso bestehende Kontakte, Kalendereinträge und Ordnerstrukturen im Postfach. Bestimmte Einstellungen müssen nach der Migration jedoch neu vorgenommen werden. Dies betrifft Abwesenheitsnotizen, Signaturen, E-Mail-Regeln und Weiterleitungen an andere Postfächer. Auch Funktionspostfächer müssen nach der Umstellung erneut eingebunden werden.

Für die Einrichtung finden sich in den FAQ der DVZ im Bereich E-Mail die jeweiligen Anleitungen dazu: www.hsbi.de/dvz/faq/cat/69.

Im Rahmen einer Datenschutz-Folgenabschätzung (DSFA) gemäß Art. 35 DSGVO erfolgte eine sorgfältige Bewertung möglicher (Rest-) Risiken durch die DVZ und eine entsprechende Umsetzung geeigneter technischer und organisatorischer Maßnahmen zum Schutz vertraulicher Daten. Der Einsatz von Exchange Online erfolgt somit unter der Einhaltung der datenschutzrechtlichen Vorgaben nach der DSGVO. 

Zu den organisatorischen Maßnahmen zählt u.a. die Einführung von Vertraulichkeitsklassen, auf Basis derer E-Mails künftig ihrem Schutzbedarf entsprechend eingestuft werden müssen. Nähere Informationen zum Umgang mit Vertraulichkeitsklassen (Kennzeichnung, Übermittlung, Speicherung etc.) folgen in Kürze.

Für den Betrieb von Exchange Online sind umfangreiche Schutzmaßnahmen in der DVZ umgesetzt, um die Verfügbarkeit und Wiederherstellbarkeit der Daten gemäß IT-Grundschutz sicherzustellen. Die Administration der digitalen Identitäten und zugehörigen Einstellungen in den Benutzerkonten erfolgt zentral über das Identitätsmanagement (IDM) der Hochschule. Für die Sicherung der E-Mail-Postfächer nutzt die DVZ die Backup-Lösung über DASI.nrw, einem gemeinsamen Speicherdienst der Hochschulen in NRW. Die im Rahmen dieses Backupdienstes gesicherten Postfachinhalte werden in Hochschulrechenzentren innerhalb Deutschlands gespeichert und können unabhängig von der Exchange Online Cloud gesichert und im Bedarfsfall wiederhergestellt werden. Mit der Nutzung des zentralen Identitätsmanagements und der Datensicherung über DASI.nrw ist gewährleistet, dass der IT-Service E-Mail auch bei einem Totalausfall der Microsoftdienste wiederhergestellt werden kann.

Die DVZ bietet mit der Migration auf Exchange Online zusätzliche Unterstützungsangebote auf den HSBI-Portalen an. Auf ILIAS stehen in Kürze E-Learningkurse zu M365 mit Videos in deutscher und englischer Sprache zur Verfügung. Die Lerneinheiten decken grundlegende Themen wie allgemeine Outlook-Einstellungen und Office-Desktopanwendungen ab, inbesondere bietet das E-Learning aber auch spezifische Kurse für den Bereich E-Mail (Versenden/Empfangen, Strukturieren/Verwalten). Weitere Themenbereiche umfassen u.a. Inhalte zur Verwaltung von Kontakten und Kalenderterminen. Ergänzend werden auf dem Medienportal kurze Erklärvideos zum Umgang mit vertraulichen Informationen bei der Nutzung des E-Mailservice bereitgestellt. Das Angebot umfasst einen Einstieg in die Datenklassifizierung nach Vertraulichkeitsklassen sowie die Veranschaulichung von Regelungen zur Kennzeichnung von E-Mails vor dem Versand. Bei künftigen Änderungen wird die DVZ zudem gezielte Schulungs- und Informationsangebote bereitstellen. Diese greifen insbesondere Themen wie den sicheren Versand von E-Mails (z.B. Verschlüsselung) und die Anwendung von Vertraulichkeitsklassen im Arbeitsalltag auf.

Für Beschäftigte ist eine Teilnahme nicht als Fortbildungsmaßnahme anmeldepflichtig, dienstliche Belange dürfen einer Teilnahme jedoch nicht entgegenstehen. Im Zweifelsfall gilt es dies mit dem/der Vorgesetzten abzustimmen.

Nach der Umstellung auf Exchange Online ist der Zugriff auf das E-Mail-Postfach weiterhin über den Webmail-Browser möglich und erfolgt über die Domain hsbi.de/webmail. Die Anmeldung am Postfach erfolgt wie gewohnt mit der HSBI-Kennung, zusätzlich ist die Zwei-Faktor-Authentifizierung der HSBI auch bei Webmail erforderlich.

Neben Outlook können auch andere E-Mail-Clients genutzt werden, die DVZ empfiehlt jedoch die Nutzung von Outlook, da dieser E-Mail-Client vollständig von den gängigen Betriebsystemen für die Desktopgeräte (Windows, macOS) und Mobilgeräte (iOS, Android) unterstützt wird. Alternativ bieten sich auch E-Maildienste wie Thunderbird oder Apple Mail an, vorausgesetzt, dass eine moderne Authentifizierung für E-Mailprotokolle zum Einsatz kommt. Ältere E-Mail-Programme mit Passwortanmeldung über IMAP/POP ohne zusätzliche Absicherung werden mit der Umstellung auf Exchange Online nicht mehr unterstützt.

Zur Gewährleistung eines sicheren und datenschutzkonformen Betriebs von Exchange Online setzt die DVZ auf ein umfassendes und aufeinander abgestimmtes Konzept aus prozessualen Kontrollmechanismen und technischen sowie organisatorischen Schutzmaßnahmen. Relevante organisatorische Maßnahmen sind insbesondere M365-Schulungen der Nutzenden und Administratoren, verbindliche Vorgaben für die Nutzung (u.a. Umgang mit vertraulichen Informationen, Passwortrichtlinie), eine regelmäßige Überwachung und Überprüfung der Konfiguration mittels Desired State Configuration (DSC) sowie die Einführung eines Evergreen-Managements zur Bewertung von Änderungen in der Entra ID und Exchange Online. Diese Maßnahmen sind insbesondere für die Minimierung von Drittlandszugriffsrisiken zentral, da unsichere Standardkonfigurationen, zu weit gefasste Berechtigungen, unkontrollierte externe Freigaben und auch Fehlbedienungen häufig wesentliche Schwachstellen darstellen. Technisch stehen datensparsame und IT-sicherheitsrelevante Konfigurationen im Fokus, die die Identitäts-und Zugriffssteuerung über Entra ID und Einstellungen zur Protokollierung und Überwachung im System betreffen. Auf Benutzerebene sind insbesondere die verpflichtende Multi-Faktor-Authentifzierung, eingeschränkte App-Registrierungen und Gastzugriffe relevant wie auch die Umsetzung von Conditional-Access-Policies und einer Datenregionalisierung über die EU Data Boundary für Clouddatenflüsse, die festlegt, dass personenbezogene Daten innerhalb der EU verarbeitet und gespeichert werden. Diese Maßnahmen zielen darauf ab, unbefugte Zugriffe und Datenabflüsse praktisch zu verhindern bzw. frühzeitig zu erkennen und nachweisbar zu unterbinden.

Da Exchange Online als Teil von M365 fortlaufend weiterentwickelt wird und technischen Änderungen unterliegt, überprüft die DVZ kontinuierlich die Rahmenbedingungen für einen geschützten und DSGVO-konformen Einsatz an der Hochschule.