Microsoft rollt ab Mai ein neues Feature in OneDrive aus, das auf den ersten Blick unscheinbar wirkt, aber für Unternehmen erhebliche Sicherheitsrisiken mit sich bringen kann. Was steckt dahinter? Ganz einfach: Nutzer werden auf ihren Arbeitsgeräten aktiv dazu aufgefordert, ihre persönlichen Microsoft-Konten zu synchronisieren. Microsoft nennt das Feature intern „Microsoft 365 Roadmap ID 490064“.
Das klingt vielleicht erstmal nach mehr Komfort, so nach dem Motto „Hey, möchtest du deine privaten Dateien hier auch gleich griffbereit haben?“. Aber im Unternehmenskontext ist das alles andere als harmlos und kann sich schnell zu einer echten Gefahr entwickeln.
Warum ist das so riskant?
Die Funktion ist standardmäßig aktiviert und kann zu folgenden kritischen Situationen führen:
- 🚨 Datenlecks: Das ist wohl die größte Sorge. Unternehmensdaten können versehentlich oder sogar absichtlich in private OneDrive-Konten verschoben oder kopiert werden. Man stelle sich vor, vertrauliche Dokumente landen plötzlich auf einem privaten Cloud-Speicher, der nicht unter Kontrolle steht!
- 🔍 Fehlende Kontrolle und Überwachung: Hier liegt ein Kernproblem. Persönliche Konten unterliegen nicht den Sicherheitsrichtlinien Ihres Unternehmens. Das bedeutet, man hat keinerlei Möglichkeit, Aktivitäten in diesen Konten zu überwachen oder zu protokollieren. Wer greift wann auf welche Daten zu? Man weiß es nicht.
- 📛 Compliance-Verstöße: Besonders brisant wird es in regulierten Branchen. Wenn sensible Daten unkontrolliert abfließen können, riskiert man schwerwiegende Verstöße gegen Compliance-Vorschriften. Das kann teuer und rufschädigend werden.
Das Problem: Unternehmensdaten verlassen die sichere Umgebung und landen in einem Bereich, über den an keine Hoheit hat.
Wie kann man sich schützen? Deaktivieren der persönlichen OneDrive-Synchronisierung!
Zum Glück bietet Microsoft hier spezifische Gruppenrichtlinien an, um das Feature zu kontrollieren.
Die essenziellste Richtlinie ist DisablePersonalSync. Diese Richtlinie blockiert vollständig die Synchronisierung persönlicher OneDrive-Konten. So stellt man sicher, dass private Accounts gar nicht erst verbunden werden können.
So findet und aktiviert man die Richtlinie per Gruppenrichtlinie:
- Öffnen der Gruppenrichtlinienverwaltung (
gpmc.msc). - Navigieren zu: Benutzerkonfiguration → Richtlinien → Administrative Vorlagen → OneDrive.
- Suchen des Eintrags „Benutzer an der Synchronisierung persönlicher OneDrive-Konten hindern“.
- Richtlinie auf „Aktiviert“ stellen.
- Mit „OK“ bestätigen.
Alternativ kann man die Einstellung auch direkt in der Registry setzen. Der Pfad lautet:
[HKCU\SOFTWARE\Policies\Microsoft\OneDrive] Hier den DWORD-Wert "DisablePersonalSync" auf 00000001 setzen.
⚠️ Wichtiger Hinweis: Bereits synchronisierte Dateien, die vor der Aktivierung der Richtlinie von einem persönlichen Konto auf das Gerät gelangt sind, bleiben auf dem Gerät bestehen. Deshalb gilt: Je früher man diese Richtlinie aktiviert, desto besser!
Es gibt noch eine optionale Richtlinie namens DisableNewAccountDetection. Dieses Setting unterdrückt lediglich den Hinweis, OneDrive mit einem persönlichen Microsoft-Konto zu synchronisieren, wenn ein neues privates Konto erkannt wird. Diese Einstellung blockiert NICHT die Synchronisierung selbst! Sie ist eher ein Workaround, um den Prompt zu vermeiden, ersetzt aber keinesfalls die vollständige Deaktivierung per DisablePersonalSync.
Beide Richtlinien können per Gruppenrichtlinie oder direkt in der Registry konfiguriert werden. Detaillierte Informationen dazu findt man auch in der Microsoft-Dokumentation.
Am besten direkt handeln! Nicht darauf warten, bis das neue Feature auf den Geräten ausgerollt ist und möglicherweise schon erste Daten ungewollt synchronisiert werden. Die Deaktivierung der persönlichen OneDrive-Synchronisierung ist ein entscheidender Schritt, um Unternehmensdaten zu schützen und Compliance-Anforderungen zu erfüllen.
