Strategie

Die Microsoft 365 Sicherheitsgrundlagen – unbedingt beachten!

Veröffentlicht am

Unter Microsoft 365 wird nicht nur eine nächste Version des “Office Pakets” verstanden, sondern es bündelt unterschiedliche Anwendungen und Dienste des Softwarekonzerns um ein digitalisiertes Büro abzubilden. In absehbarer Zeit wird die Software von Office 365 in Microsoft 365 umbenannt. Zentrale Businessfunktionen sind dabei Microsoft Teams, SharePoint und Exchange.

Teams ist ein Chatprogramm, Sharepoint dient der Verwaltung von Wisssen innerhalb eines Unternehmens und Exchange ist die zentrale Verwaltungseinheit, insbesondere für E-Mails. All diese Dienste werden als Cloud Dienste angeboten und ständig weiterentwickelt.

Ist Microsoft 365 komplett in der Cloud?

Microsoft 365 sollte nicht alleine im Unternehmen betrieben werden, sondern mit lokalen Komponenten, zu sogenannten Hybriden Umgebungen, zusammengesetzt werden. Insbesondere das Active Directory wird häufig als Azure Active Directory (AAD) betrieben. So können Nutzerkonten zentral verwaltet werden und es werden Dienste wie beispielsweise die Zwei-Faktor-Authentifizierung leichter bereitgestellt.

Früher befanden sich die schützenswerten Objekte und Geräte innerhalb eines geschlossenen Netzwerks. Der Wandel der Digitalisierung beschleunigt jedoch auch die Tatsache, dass heutzutage  Nutzer Geräte mit nach Hause nehmen und private Geräte mit in die Firma genommen werden. Auch die Cloud sorgt dafür, dass eine einfache Firewall heutzutage nicht mehr ausreicht.

Geschäftliche Daten können mit Hilfe von Microsoft 365 auf der ganzen Welt verfügbar gemacht werden, was ein großer Vor- und Nachteil sein kann. Diese hybriden Settings bereiten Administratoren auf der ganzen Welt Kopfzerbrechen, da Fragestellungen oft unter verschiedensten Gesichtspunkten beantwortet werden müssen. Das AAD in Kombination mit einem lokalen AD kann dabei helfen. es muss allerdings fehlerfrei integriert sein um z.B. doppelte Nutzeraccounts zu vermeiden.

Sicherheit in der Cloud

Identitäten über das AAD & AD abzusichern ist ein komplexer Prozess und erfordert Fachkenntnisse um eine sichere Authentifizierung zu gewährleisten. Es gibt für Angreifer aber immer mehrere Wege ein Unternehmen zu kompromittieren. Daher ist es wichtig verdächtiges oder ungewöhnliches Verhalten zu beobachten. Dabei hilft Ihnen Die Microsoft 365 Cloud App Security (CAS). Eine separate Lizenz ist nötig.

Hier können Sie verdächtiges Verhalten automatisiert unterbinden. Dazu zählt z.B. wenn ein Nutzer plötzlich ungewöhnlich viele Daten an externe Dienste versendet oder aber auch Logdaten hochlädt. Sie können mit Hilfe von CAS auch potentielle Ransomware-Aktivität blockieren oder den Login von risikobehafteten IP Adressen verhindern.

Als Admin können Sie zwischen “Benachrichtigung” und “Intervention” wählen. Wenn Sie intervenieren wird der Nutzer von dem die Aktion ausgeht sofort abgemeldet und gesperrt. Die Benachrichtigung ist weniger konsequent. Sie erhalten über einen vorher definierten Kanal eine Benachrichtigung. Für größere Microsoft Infrastrukturen gibt es zudem noch die Microsoft Cloud App Security (MCAS), welche deutlich mächtiger und automatisierter ist.

Die Verschlüsselung von Microsoft 365

Ihre Kundendaten werden bei Microsoft 365 an unterschiedlichen Punkten verschlüsselt. Bei der Übertragung zwischen den Rechnern auf denen Microsoft 365 läuft und den Servern werden ausschließlich TLS Verbindungen aufgebaut. Dies sorgt für eine Verschlüsselung der Daten auf der gesamten Transportstrecke. Dies gilt auch bei der Übertragung zwischen Servern. Hier wird ebenfalls auf TLS gesetzt, um Daten zwischen Servern zu versenden. Die Daten liegen in den einzelnen Diensten dann ebenfalls verschlüsselt vor mit Hilfe von Bitlocker und dem verteilten Schlüsselmanager(DKM). Folgende Dienste verschlüsseln Ihre Daten “at rest”:

  • SharePoint Online-, OneDrive für Unternehmen-und Microsoft Teams-Dateien.
  • In OneDrive für Unternehmen hochgeladene Dateien.
  • Exchange Online Postfachinhalte einschließlich Inhalt von e-Mail-Text, Kalendereinträgen und Inhalt in e-Mail-Anlagen.
  • Text Unterhaltungen aus Skype for Business.

Die erforderlichen Schlüssel generiert Microsoft oder bietet den Kunden auch an einen eigenen Masterkey mitzubringen (BYOK). Details zur Verschlüsselung können Sie der Dokumentation entnehmen. Wenn Sie selbst verschlüsselte Dateien in Microsoft 365 einbringen, haben Sie mit unterschiedlichen Nachteilen zu kämpfen. So funktioniert die Inhaltsbasierte Suche z.B. nicht. Auch die Anzeige im Browser und das kollaborative Arbeiten sind betroffen.

Wir helfen Ihnen gerne bei der korrekten Konfiguration Ihrer Microsoft 365 Umgebung oder auch komplexeren Architekturen. Gerne testen wir auch die von Ihnen eingesetzten Maßnahmen auf Ihre Wirksamkeit im Rahmen eines Penetrationstests oder schulen Ihre Anwender beim sicherheitsbewussten Umgang mit modernen IT Lösungen.

Foto des Autors

Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin geschäftsführender Gesellschafter der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.