Eine kleine Einführung in Microsoft 365 Security

In einer idealen Welt gäbe es eine Security-Lösung für die Cloud, die, einmal implementiert, alle Verantwortlichen auf ewig aller Sorgen enthebt. Egal was passiert. Die Realität sieht natürlich anders aus!

Viele Unternehmen wenden ein Sammelsurium an Sicherheitsmaßnahmen an, um ihre Daten, Benutzer und Anwendungen zu schützen. Viele IT-Verantwortliche sind immer noch vollauf damit beschäftigt, hinsichtlich der möglichen Kombinationen aus Public- Private- und Hybrid-Cloud ihre persönliche Komfortzone zu finden. Dabei stellen sie in der Regel recht schnell fest, dass die Lernkurve bei einer Cloud-Migration einfach nicht flacher wird. Jetzt sollen sie auch noch herausfinden, welche Rolle genau ihre Cloud Service Provider (CSPs) für die Datensicherheit spielen.

Jeder CSP bietet Sicherheit, aber wie viel? Und wo endet diese? Dieser Blog liefert ein wenig Lernstoff.

Microsoft positioniert sich in Bezug auf die Office 365-Sicherheit recht deutlich. Der Hersteller verwendet ein Shared Responsibility-Modell, in dem die Verantwortungsbereiche klar festgelegt sind. Daraus können IT-Abteilungen, CIOs und CPOs auf Seiten des Kunden, theoretisch zumindest, ableiten, wo ihre Organisation eigene Cloud-Sicherheitsmaßnahmen einleiten muss.

Im Office 365-Paket hat Microsoft folgende Sicherheitsmaßnahmen bereits integriert und aktiviert:

• Physische Sicherheit: Rechenzentren sind durch eine zweistufige Authentifizierung geschützt: Zugriffsausweise und biometrische Zugriffskontrollen. Microsoft führt zudem vierteljährliche Audits des Zugriffs auf Rechenzentren durch, wobei standardmäßig der niedrigst-mögliche Zugangslevel geprüft wird.
• Datenverschlüsselung: Eine Basisverschlüsselung auf Volumen-Ebene wird über BitLocker und Distributed Key Manager (DKM) bereitgestellt.
• Datenschutz gegenüber Dritten: Daten werden weder an Werbetreibende noch an von Werbetreibenden unterstützte Dienste von Microsoft weitergegeben, geschweige denn an Werbetreibende von Drittanbietern.
• Datenschutz bei Microsoft: Microsoft verwendet Kundendaten nicht für eigene Werbung oder Marketing.
• Dateneigentum: Selbst wenn Abonnements enden, sind Kundendaten immer noch Kundendaten. Als Eigentümer ihrer eigenen Daten können Kunden diese Daten wieder mitnehmen, wenn sie die Office 365 Umgebung verlassen.
• Schutz vor Malware und Ransomware: Microsoft scannt die Umgebung und das Dateisystem automatisch, scannt Dateien in Echtzeit, wendet automatische Signaturaktualisierungen von Virendefinitionsseiten an und sendet Warnungen über erkannte / bereinigte Malware. Es ist hier übrigens Sache des Kunden, die Richtlinien für jedes Bedrohungstool zu definieren, das mit dem Office 365-Abonnement geliefert wird.

Der Rest verbleibt bei Kunden. Was genau ist das?

Auf Seiten des Kunden muss nun eine Sicherheitsstrategie erarbeitet werden, die synergetisch mit der Office 365-Umgebung zusammenarbeitet. Dies kann neben anderen Zusatzfunktionen auch die Integration von Enterprise Mobility & Security (EMS) -Lösungen beinhalten. Zumindest aber sollte die Strategie diese drei Risikobereiche abdecken:

• Identitäts- und Zugriffsverwaltung: IT-Administratoren, die eine zentralisierte Richtlinie zur Verwaltung von Identitäten und zur Kontrolle des Zugriffs auf Apps verwenden möchten, müssen diese Funktion selbst entwickeln.
• Mobile Geräteverwaltung: Es ist Sache des Kunden, mobile Geräte zu verwalten, um Unternehmensanwendungen, Daten und Ressourcen zu schützen.
• Zusätzliche Verteidigung: Gegen gezielte Angriffe, Insider-Bedrohungen und Malware.
  Office 365 umfasst zwar den Schutz und die Überwachung von Bedrohungen (einschließlich Antivirenmaßnahmen). Um beispielsweise Schäden durch Zero-Day-Cyber-Angriffe zu minimieren, müssen Kunden jedoch zusätzliche Sicherheitstechnologien implementieren. Sie müssen auch Maßnahmen ergreifen, um sicherzustellen, dass Endbenutzer nicht Opfer von Phishing-Betrug werden.

Phishing ist das Stichwort für ein typisches Bedrohungsszenario und mögliche Abwehrmaßnahmen. Punkt drei dieser “Must-have-Liste” soll deshalb nachfolgend etwas näher betrachtet werden.

Office 365-Kunden sollten sich darüber klar sein, dass mit der zunehmende Beliebtheit von Office 365 auch dessen Log-In-Seite Anmeldeseite zu einem immer attraktiveren Ziel für Kriminelle wird. Ein guter Grund, den Schutz an dieser Stelle – über den von Microsoft angebotenen Spamfilter hinaus – zu erweitern. Welche Gefahren drohen?

Phisher etwa sind Kriminelle, die ständig neue Möglichkeiten entwickeln, um Schwachstellen in Unternehmens-E-Mail-Systemen auszunutzen. Leider mit Erfolg: 44% aller Unternehmen wurden im vergangenen Jahr Opfer von Phishing. Diese erschreckende Zahl führt die Notwendigkeit der Abwehr in diesem Bereich drastisch vor Augen. Was bedeutet dies im Zusammenhang mit den oben genannten Punkten?

Die oben aufgeführten, in Office 365 integrierten Sicherheitsmaßnahmen sind auf der Infrastrukturebene angesiedelt. Der Schutz vor Benutzerfehlern – also das arglose Öffnen einer verdächtigen Mail - fällt als Element der Endpunktsicherheit jedoch direkt in die Zuständigkeit des Kunden. Diese müssen sich auch weiterhin darum kümmern, ihre Mitarbeiter über externe Bedrohungen wie Phishing-Angriffe zu informieren.

Durch immer ausgefeiltere Phishing-Strategien werden auch die „Köder“, also die an Mitarbeiter in den Unternehmen versandten, gefährlichen E-Mails, immer überzeugender. Schon lange fallen nicht mehr nur diejenigen Kolleginnen und Kollegen darauf herein, denen niemand eine sonderlich große Affinität zu IT-Themen bescheinigen würde. Nein, auch in den Chefetagen lässt man sich in die Irre führen und gibt durch Klicks auf täuschend echt aussehende Nachrichten 365-Anmeldedaten preis.

Zur Abwehr bräuchten Unternehmen so etwas wie ein „allsehendes Auge“ – also eine Kontrolle, die alle, wirklich alle eingehenden Mails unter bestimmten Kriterien betrachtet: 

• Wer ist der Absender? 
• Ist eine anklickbare URL ist in der E-Mail enthalten? 
• Handelt es sich um eine vertrauenswürdige Seite? 

Es gibt solche Lösungen. Sie basieren auf Künstlicher Intelligenz; das heißt, sie verarbeiten jede Erfahrung zu Handlungsleitfäden für den nächsten Fall und lernen so unaufhörlich. Allerdings ist der Einsatz nur möglich, wenn in den Unternehmen intern auch die entsprechenden Ressourcen bereitstehen. Ist dies überhaupt der Fall? Und Phishing ist nur ein Bedrohungsszenario, dem begegnet werden muss. 

Unternehmen sollten daher prüfen, ob Cloud Security nicht vielleicht ein Thema für einen Managed Service sind? So wie Managed 365 Security von SoftwareONE.

Managed 365 Security von SoftwareONE unterstützt Sie aktiv bei der Absicherung der Microsoft 365 Umgebung und ermöglicht es Ihnen, Sicherheitsprobleme oder böswillige Aktionen frühzeitig zu erkennen und blitzschnell darauf zu reagieren. Ihre Geschäftsabläufe profitieren damit vom Potenzial, das Microsoft 365 bietet, während alle verbundenen Nutzer, Geräte, Anwendungen und Daten bestens abgesichert sind. Vom Design über die Implementierung bis hin zur kontinuierlichen Überwachung und Verwaltung, deckt Managed 365 Security von SoftwareONE den Schutz der drei wichtigsten sicherheitsrelevanten Bereiche ab: Identitäts- und Zugriffsverwaltung, Absicherung von Endgeräten, Schutz vor Bedrohungen.

Mehr Informationen zum Managed 365 Security von SoftwareONE erhalten Sie hier.