Immer öfter kommt Microsoft 365 auch in öffentlichen Einrichtungen und systemrelevanten Unternehmen zum Einsatz. Damit die in Mails oder dem Kalender verarbeiteten Informationen stets höchsten Sicherheitsanforderungen und KRITIS-Richtlinien entsprechen, sollten diese Daten unbedingt verschlüsselt werden. Wichtig ist jedoch, dass den Anwendern ihre gewohnte Arbeitseffizienz und Applikationsfunktionen erhalten bleiben.
Die Datensicherheit in Verwaltungen erfordert eine Datenverschlüsselung.
(Bild: Ирина Батюк – stock.adobe.com)
Für Einrichtungen des öffentlichen Sektors und systemrelevante Versorgungsunternehmen, die unter KRITIS-Richtlinien fallen, sind die Regeln für die Datensicherheit noch einmal höher als in anderen Wirtschaftsbereichen. Gleichzeitig besteht größtes Interesse daran, die Digitalisierung voranzutreiben. Aus diesem Grund wurde das Gesetz zur Verbesserung des Onlinezugangs zu Verwaltungsleistungen (Onlinezugangsgesetz – OZG) ins Leben gerufen; es gilt seit 2017. Auch wenn das OZG bisher nicht den gewünschten Erfolg gebracht hat – lediglich 105 von 575 Verwaltungsdienstleistungen sind laut deutschem Institut für Wirtschaft online verfügbar – nimmt die interne Nutzung von Cloudlösungen, etwa Microsoft 365 zu. Das wiederum führt sukzessiv zu einem veränderten Umgang mit den digitalen Möglichkeiten. Man kann sagen, dass die Einführung des Anwendungscockpits von Microsoft der Anfang eines tiefgreifenden Wandels ist, denn Microsoft 365 bedeutet für die öffentlichen Organisationen weit mehr als nur eine technische Umstellung.
Derzeit findet ein Paradigmenwechsel statt, bei dem vor lauter Enthusiasmus aber nicht die Datensicherheit aus den Augen verloren werden darf. Umso wichtiger ist es, dass die Einrichtungen der öffentlichen Hand Möglichkeiten finden, wie sie einerseits die Sicherheitsanforderungen erfüllen und andererseits ihren Mitarbeitenden und beitragenden Externen eine moderne Arbeitsumgebung bieten. Vor allem wenn es um die digitale Zusammenarbeit in Form eines unabhängigen Datenzugriffs oder um Collaboration-Features geht.
Leuchtturmprojekte machen Mut
Um diese Herausforderung zu meistern, hat beispielsweise eine staatliche Anstalt der betrieblichen Altersvorsorge einen neuen Weg eingeschlagen. Sie setzt auf Microsoft 365, verschlüsselt aber gleichzeitig die hierin bearbeiteten und gespeicherten Daten mit einer modernen Verschlüsselungslösung. So schlägt die Anstalt zwei Fliegen mit einer Klappe: Zum einen sind die Mitarbeiter mit einer etablierten Cloudlösung für den Office-Alltag ausgestattet und zum anderen ist gewährleistet, dass die Daten nicht im Klartext in der Cloud gespeichert werden. Das Besondere an dieser Art von Verschlüsselung: Obwohl die Daten verschlüsselt werden, ist die Performance und Funktionalität des Anwendungscockpits in keiner Weise eingeschränkt. Sämtliche Operationen, wie beispielsweise das Suchen oder Sortieren von Daten, sind verfügbar und auch alle Microsoft-Schnittstellen (MAPI, ActiveSync, EWS, OWA, etc.) können genutzt werden.
Eine Technologie, wie beispielsweise in diesem Fall von eperi, ermöglicht es, pseudonymisierte Daten außerhalb der Grenzen der Datenresidenz zu verarbeiten. Denn sensible PII-Daten werden selektiv verschlüsselt, noch bevor sie in der Cloud gespeichert werden. So hat die Rentenanstalt nicht nur jederzeit ihre Daten unter Kontrolle, sondern kann sich dank der Krypto-Agilität auf die Sicherheit für ihre Clouddaten verlassen.
Bei einer Verschlüsselungslösung ist es prinzipiell wichtig, dass diese flexibel in der Konfiguration und Bereitstellung ist und an die individuellen Anforderungen angepasst werden kann. Damit können nicht nur Bereiche, Abteilungen und Arbeitsplätze schrittweise in das Verschlüsselungskonzept überführt werden, sondern auch die verschiedenen Funktionen.
Für welche Bereiche ist eine Verschlüsselung sinnvoll?
Eine Verschlüsselung von Daten in der Cloud ist immer dann sinnvoll, wenn es die gesetzlichen Vorgaben erfordern oder wenn eine Organisation aus eigener Weitsicht den Datenschutz und damit die Interessen der Bürger und Bürgerinnen ernst nimmt. Unter dem Einsatz von Microsoft 365 im öffentlichen Sektor sind im Prinzip beide Anforderungen erfüllt. Denn die Daten und Informationen, die in den unterschiedlichen Applikationen von Microsoft 365 verarbeitet oder gespeichert werden, sind unweigerlich auch in der Cloud. Selbst wenn eine Organisation als Verarbeitungs- und Speicherort eine sogenannte Souveräne Cloud wählt, ist der Datenschutz noch nicht ausschließlich unter der alleinigen Hoheit der Kommunen, Landes- oder Staatseinrichtungen. Darum sollten sich Organisationen Fragen im Zusammenhang mit dem Einsatz der Microsoft 365 Applikationen und den Datenspeicherorten stellen. Drei typische, beispielhafte Fragen in diesem Zusammenhang sind:
Nutzen wir Outlook Mail? Wenn ja, sollte eine Verschlüsselung der Betreffzeilen, Text und Anhänge unter Beibehaltung der Such- und Sortier-Funktionen stattfinden.
Nutzen wir Outlook Kalender? Wenn ja, ist eine Verschlüsselung von Termin-Titeln und deren Beschreibungen unter Beibehaltung der Suchfunktion empfehlenswert.
Nutzen wir OneDrive? OneDrive kann sowohl als klassischer Datenablageort als auch als Backup-Speicher genutzt werden. In beiden Fällen sollte eine Verschlüsselung von Dateien oder Dokumente erfolgen.
Zwei entscheidende Aspekte sind bei der Wahl einer Verschlüsselungslösung wichtig:
Hat jemand außerhalb meiner Organisation den Schlüssel für die Ver- und Entschlüsselung der Daten? Sollte diese Frage mit „ja“ beantwortet werden können, ist der Datenschutz höchst fragil. Denn er taugt im Grunde nicht viel mehr als eine abgeschlossene Haustüre mit einem Ersatzschlüssel bei einem Nachbarn, den ich nicht wirklich gut kenne. Dies ist genau dann der Fall, wenn die Schlüssel der Datenverschlüsselung auch beim Cloud-Provider oder beim Betreiber einer (souveränen) Cloud vorliegen. Diese Schlüssel gehören alleinig in die Hände der Organisation. Erst dann ist der Datenschutz gewährleistet.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Die zweite Frage, die sich Organisationen bei der Wahl einer Verschlüsselungslösung unbedingt stellen sollten, ist die der Funktionalität. Zum Beispiel müssen Volltext-Suchen in verschlüsselten Dokumenten oder in Office Online Apps trotz einer sicheren Datenverschlüsselung funktionieren. Eine vorherige Entschlüsselung der Daten, um mit diesen arbeiten zu können, wäre umständlich, komplex und vor allem ein Bruch im Datenschutzkonzept. Daher sollte die Verschlüsselungslösung unbedingt eine funktionserhaltende Technologie aufweisen, die für den Anwender, aber auch für den Administrator völlig transparent und unauffällig im Hintergrund läuft.
Mit der Einführung einer funktionserhaltenden Verschlüsselungslösung haben Organisationen funktionierende Workflows und Prozesse, die wie gewohnt fortgesetzt werden und gleichzeitig die notwendige Sicherheit in hohem Maße sicherstellen.
Der Autor
Andreas Steffen ist CEO bei Eperi Group.
Aktuell verantwortlich für ein internationales Software Business mit Fokus auf IT-Security und Datenverschlüsselung für Cloud-Anwendungen, bringt er auch über 20 Jahre Management-Erfahrung mit Schwerpunkt auf solution sales und IT sales mit. Seine aktuelle Position hat er seit Juli 2023 inne. Zuvor war Andreas Steffen, Chief Operating Officer bei der Scope Solutions AG – ein Anbieter für Softwarelösungen im Archivumfeld.
:quality(80)/p7i.vogel.de/wcms/27/12/2712be28ea8f67a75e32f57d7c19462d/0129145815v2.jpeg "Der Sovereign Cloud Stack übersetzt Anforderungen aus DSGVO und NIS-2 in klar definierte, auditierbare Kontrollen für einen sicheren und hochverfügbaren Cloud-Betrieb. (Bild: © Catsby_Art - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/43/b3/43b33e50faf1938562316b4f4bebf829/0129178528v2.jpeg "Am 29. Januar 2026 befasste sich der Deutsche Bundestag in zweiter und dritter Lesung mit dem KRITIS-Dachgesetz. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1f/28/1f2891478d7d50c2f8b65e9e9bb6f27f/0129164635v1.jpeg "Im Open-Code-Repository der deutschen Verwaltung gehört GA-Lotse zu den Top-20-Projekten. (Bild: © Gesundheitsamt FFM)")
:quality(80)/p7i.vogel.de/wcms/eb/02/eb02d55fe7a871827bdaff0371dc08bd/0129090301v3.jpeg "Dr. Daniela Dylakiewicz, Amtschefin der Sächsischen Staatskanzlei und Beauftragte für Informationstechnologie des Freistaates Sachsen. (Bild: Pawel Sosnowski)")
:quality(80)/p7i.vogel.de/wcms/62/07/6207b653b3428c529c9bc6004701b14e/0129185059v2.jpeg "Schweden zieht nach: In den Grundschulen sollen Handys aus dem Schulalltag verschwinden. (Bild: © JackF – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/32/0c/320c26b32364c01042fa00b6e8ac07cb/0129180588v2.jpeg "Die Staatlichen Kunstsammlungen Dresden sind ein Verbund von 15 Museen. Nach einem Cyberangriff am 21. Januar 2026 ist der Ticketverkauf eingeschränkt. (Bild: © tichr - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/30/5d/305d4b954505630521c0c617eea3ebe9/0129121214v2.jpeg "Wenn Register-Informationen digital abrufbar, aktuell und konsistent vorliegen, können Prüf- und Freigabeentscheidungen schneller getroffen werden, weil Nachforderungen, Nachreichungen und erneute Prüfschleifen deutlich seltener werden. (Bild: © Andrew505 – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/80/5b/805b612af7de02ab07b2a1a397440f3b/0128166269v2.jpeg "In der digitalisierten Welt wird ständig neues Wissen generiert, nur sind die Wirkungszusammenhänge häufig allzu intransparent. (Bild: © greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5f/8f/5f8faad4afec8fe9e707f4dcf66f2241/0128310661v2.jpeg "Die Verwaltungstransformation braucht klare Strukturen und Verantwortlichkeiten, um den gemeinsamen Weg erfolgreich zu beschreiten. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/26/4e/264eb24d3d8fb6970634864f5caa0c9a/0128145508v2.jpeg "Viele KRITIS-Betreiber haben sich noch nicht abendfüllend mit den Möglichkeiten Künstlicher Intelligenz beschäftigt, dabei besitzt KI auch hier großes Potenzial. (Bild: © kosssmosss - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/08/f7086bdbf995dd01a59ee4c05c98c18e/0128147516v2.jpeg "Mitmachen statt zuschauen:
Die Angst, bei KI den Anschluss zu verlieren, kann zu vorschnellen Entscheidungen führen. (Bild: © MotionIsland – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3f/d6/3fd65ee8c363863ad83fb6f06d6c4673/0128557921v2.jpeg "Die jährlich stattfindende Didacta ist die größte Bildungsmesse in Europa und die wichtigste Weiterbildungsveranstaltung für Lehrkräfte. (Bild: © Koelnmesse GmbH / didacta / Alita Holzhauer)")
:quality(80)/p7i.vogel.de/wcms/7c/f1/7cf1421ed7c704eddc6167553c39d438/0129022115v1.jpeg "Die sovero GmbH ist Softwareanbieter für ECM- und Workflowlösungen und durchführender Partner für Aktendigitalisierungsprojekte in Kommunalverwaltungen. (Bild: sovero)")
:quality(80)/p7i.vogel.de/wcms/7e/01/7e01f9af699f512a4ee3bbb345c9ddb9/0128945446v2.jpeg "Mit dem Deutschland-Stack soll eine souveräne, europäisch anschlussfähige und interoperable digitale Infrastruktur für Bund, Länder und Kommunen geschaffen werden. (CanvaKI-generiert)")
:quality(80)/p7i.vogel.de/wcms/92/0d/920d464a10fdaabbed2a225131b40428/0128865118v2.jpeg "Ein Deep Dive in digitiale Bildung – und das vom heimischen Rechner aus: Das ist die LEARNTEC xChange. (Bild: Messe Karlsruhe / Jannik Hammes)")
:quality(80)/p7i.vogel.de/wcms/18/96/1896e3a6ff5662cb8cc3916e70eaaca1/0128771682v1.jpeg "(Bild: © Ferrari electronic)")
:quality(80)/p7i.vogel.de/wcms/4d/e4/4de4451360df23707ec5a930ce162b95/0128444441v6.jpeg "(Bild: Voigtmann GmbH)")
:quality(80)/p7i.vogel.de/wcms/a2/1c/a21c5cbcfc2114968d324ef51f71a997/0128496655v2.jpeg "(Illustration: Landkreis Regensburg)")
:quality(80)/p7i.vogel.de/wcms/55/49/5549944daffc8a848b82db8f3abcee30/0127845342v1.jpeg "Der Autor, Matthias J. Szymansky, ist Leiter Competence Center Analytics & AI, Materna. (Bild: Materna )")
:quality(80)/p7i.vogel.de/wcms/9a/dd/9adda3170a0349cdecf8355ecb1b5f3d/0124723437v3.jpeg "Podiumsdiskussion „Neustaat digital: souverän, resilient, bürgernah\" beim 18. eGovernment Summit. (©Manuel Emme Fotografie)")
:quality(80)/p7i.vogel.de/wcms/a5/77/a57764d9ab42cddc9ce74c79f8afbff5/0124379835v2.jpeg "Dr. Markus Richter, Staatssekretär im BMI und Beauftragter der Bundesregierung für Informationstechnik, ist Schirmherr des eGovernment Summit 2025. (© Henning Schacht)")
:quality(80)/p7i.vogel.de/wcms/82/1f/821f31598dfc3f1aca3ead28fcf3529b/0123901076v2.jpeg "Rauchende Köpfe und zündende Ideen: Auf dem eGovernment Summit diskutieren Expertinnen und Experten über die Zukunft der Verwaltungsdigitalisierung. (© Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/d2/38/d238b9e6c5bec4995cff976c5a00870e/0127069863v2.jpeg "Glitter and glamour: Wir präsentieren die Gewinnerinnen und Gewinner der eGovernment Readers' Choice Awards 2025. (Bild: © Offenblende/Christoph Wehrer )")
:quality(80)/p7i.vogel.de/wcms/f4/28/f42807d575943540de71f909fa871105/0125662510v1.jpeg "(Bild: Sophos via shutterstock.com)")
:quality(80)/p7i.vogel.de/wcms/71/80/7180526003a0e18ec27f4ea35b590a74/0125015548v1.jpeg "Stimmen Sie für Ceyoniq in der Kategorie „eAkte“ ab. (Bild: Ceyoniq)")
:quality(80)/p7i.vogel.de/wcms/0a/4a/0a4a09b1d8a5e718a0f9357810b613ee/0125273923v2.jpeg "Mit der digitalen Dachmarke will der IT-Planungsrat für wiedererkennbare und vertrauenswürdige Online-Angebote in der öffentlichen Verwaltung sorgen. (Bild: scyther5, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/11/a4/11a4262cb4795d3c5c4f8b494db16798/0125243090v2.jpeg "Der IT-Planungsrat dient als zentrales politisches Gremium dazu, die föderale IT-Strategie von Bund und Ländern zu koordinieren. (Bild: scyther5, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/b6/69/b669d70fd07e52da911b10385ef06f11/0122476909v1.jpeg "Alle notwendigen Schritte während der elektronischen Wohnsitzanmeldung lassen sich über das Internet durchführen. (© scyther5, Getty Images via Canva.com)")
:fill(fff,0)/p7i.vogel.de/companies/68/fb/68fb93af0a60e/logo-square.jpeg "logo-square (meinvideotermin.de)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/66/f3/66f3bc1423b16/syseleven-l-logo-hoch-cmyk.svg "syseleven-l-logo-hoch-cmyk (SysEleven GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/5f/ca/5fca223f78cb5/xsuite-logo-rgb.jpg "XSUITE_LOGO_RGB.jpg (xSuite)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/85/14/851428ea80048cf8d22ed2ebb3bfda3b/0115377499.jpeg "Die Delos Cloud GmbH wurde erst im vergangenen Jahr gegründet. Sie soll eine souveräne Cloud-Plattform für den öffentlichen Dienst entwickeln – basierend auf Azure von Microsoft. (Bild: frei lizenziert, Coernl / Pixabay)")
:quality(80)/p7i.vogel.de/wcms/d7/18/d718143fdbe44d30e87cff1557a22609/0109733443.jpeg "„Es geht auch ohne Microsoft 365“, meint unser Gastkommentator Tobias Gerlinger (© onwCloud)")
:quality(80)/p7i.vogel.de/wcms/9c/07/9c078a098905eeaa83637cd5b8232321/0114012075.jpeg "0114012075 (Bild: Aliaksandr Marko – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c9/16/c91674303616176135e538697327f979/0125184063v1.jpeg "Ähnlich wie der Generalschlüssel für TSA-Koffer ermöglicht SSL/TLS-Terminierung einen Zugang zu sensiblen Inhalten. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ad/66/ad66adc34ffe8b848846bafbcd98f6ff/0124016015v2.jpeg "Ein unkontrollierter Einsatz von KI-Technologien kann zum Abfluss sensibler Daten führen. (Bild: Mustafa - stock.adobe.com)")