Stellen Sie sich vor, Sie besitzen eine Gemäldesammlung, eine Schatulle voller Juwelen und ein Anzahl von Jagdwaffen. Von einer Spezialfirma lassen Sie sich die Super-Sicherheitstür, Model „Fort Knox“ einbauen und fahren über das Wochenende weg. Sonntagabend ist Ihr Haus leergeräumt! Der Verlust von Gemälden und Juwelen ist ärgerlich; wegen der Waffen aber droht Ihnen sogar noch rechtlicher Ärger. Was war passiert? Sie hatten vergessen, die neue Tür abzuschließen, damit Ihren Teil des Sicherheitskonzeptes nicht geleistet und noch geltendes Recht verletzt. So ähnlich verhält es sich mit Daten in der Cloud: Der Hersteller hilft – handeln müssen Sie dennoch selbst. Dieser Blogartikel zeigt auf, wer für was verantwortlich ist, wenn es um Sicherheit in der Microsoft 365-Cloud-Umgebung geht.

Ein kleiner Blick in die Vergangenheit: Als Microsoft das Angebot Office 365, kürzlich in Microsoft 365 umgetauft, erstmals einführte, hatte man in Redmond zwei Ziele formuliert:

1. Verbesserung der Customer Experience
2. Bereitstellung der sichersten Plattform aller Zeiten 
   

Cybergefahren stehen hoch auf der Agenda von CISOs und jedem, der für die IT-Sicherheit digitaler Arbeitsplätze verantwortlich ist. Und da lässt das zweite Ziel natürlich immer noch aufhorchen. Die sicherste Plattform aller Zeiten!

 

Und tatsächlich: Die Sicherheitsfunktionen, die Microsoft in seinem Produkt implementiert, sind geeignet, um selbst ambitionierte Ziele zu unterstützen. Dies half auch jenen Unternehmen, die schon sehr schnell auf die Cloud umgestiegen sind. Darunter Microsoft Kunden wie BP, Lilly, Walmart oder Gap, welche danach dreistellige Wachstumsraten verzeichneten.

 

Datensicherheit und Compliance – geteilte Verantwortlichkeit

Allerdings muss gleich dazu bemerkt werden: Die genannten Unternehmensriesen haben auf diesem Weg gelernt, dass sie – und das gilt ebenso für kleinere Unternehmen – immer noch eine eigene, und gar nicht einmal so kleine Rolle bei der Sicherung ihrer Daten spielen müssen. Denn was Microsoft abdeckt und was der Kunde übernehmen muss, ist nicht immer so klar, wie es sein sollte. 

 

Der Schlüssel zum Problem ist es, zu wissen, was in Microsoft 365 enthalten ist und wo in Punkto Sicherheit nachgelegt werden muss, um Datensicherheit und damit Compliance mit gängigen Regularien (nur ein Stichwort: DSGVO) zu gewährleisten. In diesem Sinne finden Sie hier eine Anregung, wer für was verantwortlich ist, wenn es um Sicherheit in der Microsoft 365 Cloud geht.

In Microsoft 365 sind Sicherheitsfunktionen integriert, die kritische Infrastrukturen abdecken. Die Sicherheits- und Compliance-Center von M365 bieten Plattformen für Transparenz und Kontrolle. Microsoft gewährleistet damit: 

• Physische Sicherheit der Infrastruktur
• Benutzer-/Administrator-Steuerelemente
• Logische Sicherheit
• Sicherheit auf App-Ebene
• Datenschutz, behördliche Kontrollen und Branchenzertifizierungen (wie z. B. HIPPA)

Alles andere aber liegt im Bereich des Kunden. Das heißt, dass Kunden die Verantwortung für alle Angelegenheiten übernehmen müssen, die mit dem Zugriff und der Kontrolle aller ihrer in Office 365 befindlichen Daten im Zusammenhang stehen.

 

Wer das hier beschriebene Modell der geteilten Verantwortung als neu empfindet, ist nicht allein. Tatsächlich haben viele IT-Experten immer noch Schwierigkeiten, die genauen Grenzen zwischen Kunden und Providern zu entschlüsseln, wenn es um die Sicherung einer Cloud-Infrastruktur geht. Kurz gesagt, es ist das Netzwerk eines anderen, aber die Daten und was mit ihnen passiert ist Sache des jeweiligen Unternehmens. 

 

Welche Problemfelder genau müssen Kunden beachten? 

Um ihrem Teil der Verantwortung nachzukommen, müssen Kunden folgende Problemfelder mit einer eigenen Lösung abdecken: 

• Malware, Ransomware, Hacker
• Löschung von wichtigen Daten, ob versehentlich oder böswillig
• Unternehmens- und Branchenvorschriften für Dateneigentümer
• Anforderungen der internen Rechts- und Compliance-Beauftragten
• Schaffung von Sensibilität hinsichtlich Datensicherheit

 

Die in Microsoft 365 integrierten Lösungen zur Wiederherstellung von Datenverlusten unterliegen vielen Einschränkungen. Bei den zunehmend höheren Standards für Datenschutz und Compliance reicht eine „eingeschränkte“ Lösung einfach nicht mehr aus.

 

Das ist eigentlich gleichbedeutend mit der Notwendigkeit, unterstützende Technologien zu implementieren, deren Leistungsumfang weit über den von Microsoft bereit gestellten hinausgeht – z.B. eine Office 365 Backup Lösung.

Die alten Zeiten, in denen Security-Strategien darauf basierten, ein Sicherheits-Perimeter um die eigen Anwendungen zu ziehen, sind längst vorbei. Unternehmen benötigen aktuell eine wesentlich umfassendere Sicherheit, die der Tatsache Rechnung trägt, das Verstößen heutzutage in der Regel eine kriminelle Intention zugrunde liegt. Ein Model, um die bestehend Lücke nachhaltig zu schließen und Ihre IT-Abteilung aktiv zu unterstützen, könnte ein Managed Service sein, der die Microsoft 365-Umgebung umfassend betreut und so Sicherheit, Compliance und Governance verbessert.

 

Managed 365 Security von SoftwareONE unterstützt Sie aktiv bei der Absicherung der Microsoft 365-Umgebung und ermöglicht es Ihnen, Sicherheitsprobleme oder böswillige Aktionen frühzeitig zu erkennen und blitzschnell darauf zu reagieren. Ihre Geschäftsabläufe profitieren damit vom Potenzial, das Microsoft 365 bietet, während alle verbundenen Nutzer, Geräte, Anwendungen und Daten bestens abgesichert sind. Vom Design über die Implementierung bis hin zur kontinuierlichen Überwachung und Verwaltung, deckt Managed 365 Security von SoftwareONE den Schutz der drei wichtigsten sicherheitsrelevanten Bereiche ab: Identitäts- und Zugriffsverwaltung, Absicherung von Endgeräten, Schutz vor Bedrohungen.