Partner Login
Tenant Manager Background

Die Sicherheit von Daten in der Cloud

Author: Hornetsecurity / 19.03.2025 / ,
Home » Blog » Die Sicherheit von Daten in der Cloud

Dieser Artikel befasst sich mit der Sicherheit von Unternehmensdaten in der Cloud, mit Schwerpunkt auf dem Microsoft-Cloud-Ökosystem und den Herausforderungen, denen Unternehmen in Bezug auf Sicherheit, Abhängigkeit von Anbietern und der Verwaltung mehrerer Tenants gegenüberstehen.

Er hebt die Bedeutung von Phishing-resistenten MFA-Methoden wie Windows Hello for Business, FIDO2-Hardware-Keys und Passkeys hervor, um raffinierte Angriffe abzuwehren. Zudem wird verdeutlicht, weshalb Unternehmen im Rahmen des Shared Responsibility Models von Microsoft eigene Schutzstrategien umsetzen sollten.

Außerdem gehen wir auf die Herausforderungen bei der Verwaltung mehrerer Microsoft 365-Umgebungen ein und betonen die Notwendigkeit einer angemessenen Verwaltung und Governance, um die Sicherheit von Daten zu garantieren.

Die Sicherheitslandschaft für Cloud-Speicher befindet sich im Wandel

Die „Cloud“ gibt es nun schon seit mehr als zehn Jahren, aber wir erleben gerade erst, dass Unternehmen entweder massenhaft auf Cloud-Dienste umsteigen oder sich als 100%ig in der Cloud gehostete Unternehmen etablieren. Nehmen wir zum Beispiel die Speicherung von Geschäftsdaten.

Vor zehn Jahren hatten die meisten Unternehmen noch eine Art lokalen Dateiserver, auf dem die wichtigen Daten des Unternehmens gespeichert waren. Heute wird dafür immer häufiger auf Cloud-Speicher zurückgegriffen. SharePoint Online und OneDrive for Business werden zunehmend zu dem Ort, an dem Daten gespeichert und mit Diensten wie Microsoft Entra gesichert werden. Daher ist die Sicherheit von Daten in der Cloud nicht nur für die M365-Cloud, sondern für Cloud-Dienste im Allgemeinen zu einem wichtigen Thema geworden.

Während wir uns in diesem Report auf Microsoft 365 und das Microsoft Cloud-Ökosystem konzentrieren, gilt vieles von dem, was hier besprochen wird, auch für andere Cloud-Anbieter.

Cybersecurity Report 2025

Cybersecurity Report 2025

Eine detaillierte Analyse der Microsoft 365-Bedrohungslandschaft basierend auf Erkenntnissen aus 55,6 Milliarden E-Mails.

Jetzt herunterladen

Die grundlegenden Schutzmaßnahmen in der Microsoft Cloud haben sich im Laufe der Jahre verbessert, sind aber noch lange nicht perfekt. Immer mehr Unternehmen nutzen neuere Sicherheitsfunktionen wie die Multi-Faktor-Authentifizierung (MFA) und grundlegende E-Mail-Sicherheit durch Dienste wie Exchange Online Protection, aber das reicht oft noch nicht aus. Angreifer entwickeln sich ständig weiter, was sich deutlich mit den Adversary-in-the-Middle-Angriffen zeigt. 

Passkeys und Adversary in the Middle (AitM) Angriffe 

Wo die Verteidiger hingehen, folgen die Angreifer. Seit mehreren Jahren befürworten wir hier bei Hornetsecurity, wie auch alle anderen sicherheitsbewussten Personen und Unternehmen, MFA als einen sichereren Ersatz für den traditionellen Einsatz von Benutzername und Passwort bei der Anmeldung in Systemen.

Die Akzeptanz verschiedener Formen von MFA, von SMS-Textnachrichten bis hin zu Hardware-Sicherheitsschlüsseln, hat langsam und stetig zugenommen. Es ist jedoch nicht so, dass die Kriminellen die Hände in den Schoß legen und ihr lukratives „Geschäft“ aufgeben würden, sondern sie haben sich angepasst.

Ihr Hauptansatz besteht darin, Reverse-Proxy-Phishing-Kits zu nutzen, sei es in Form von Open-Source- oder „kommerziellen“ Paketen. Diese Kits helfen sowohl beim Erstellen überzeugender E-Mail-Köder, um Benutzer zum Klicken auf einen Link zu bewegen, als auch beim Einrichten von Proxy-Diensten mit täuschend echten Anmeldeseiten.

Wenn ein Benutzer auf den Link klickt und auf eine gefälschte Anmeldeseite gelangt, auf der er seinen Benutzernamen und sein Kennwort eingeben muss, werden diese Anmeldedaten an die echte Website weitergegeben und vom Angreifer abgefangen. Sobald dann die MFA-Eingabeaufforderung erscheint, ermöglichen es diese Reverse-Proxy-Toolkits dem Endbenutzer, seinen MFA-Code einzugeben oder die Aufforderung wie üblich zu bestätigen, wobei diese Informationen ebenfalls im Hintergrund an die echte Anmeldeseite weitergeleitet werden.

Gleichzeitig stiehlt der Angreifer den Token, den der Ziel-Identitätsdienst generiert hat (z. B. Entra ID), und kann ihn nun verwenden, um sich als Benutzer anzumelden; daher wird diese Methode als Adversary in the Middle (AitM) bezeichnet. 

Um diese raffinierten Angriffe abzuwehren, benötigt man eine phishing-resistente MFA-Methode. Diese neueren Methoden sind in der Wirtschaft (noch) nicht allzu weit verbreitet. Einige Beispiele sind Windows Hello for Business, FIDO2-Hardware-USB-Schlüssel und neuerdings auch Passkeys.

Diese MFA-Methoden binden die Authentifizierung ausschließlich an die legitime URL der Website. Selbst wenn der Benutzer dazu verleitet wird, eine täuschend echte Anmeldeseite zu besuchen, verweigert die Technologie die Funktion, weil sie erkennt, dass die Adresse der Website nicht übereinstimmt.

Das Problem ist, dass Windows Hello for Business spezielle Hardware erfordert (und nur für Windows funktioniert), während FIDO2-Hardwareschlüssel kostspielig sind, weshalb sie nur eingeschränkt angenommen wurden.

Ein Passkey nutzt die gleichen Technologien wie ein FIDO2-Schlüssel, verlässt sich aber auf den Sicherheitschip im iPhone oder Android-Telefon, sodass keine zusätzliche Hardware erforderlich ist. Auch hier hat sich der Schlüssel nur langsam durchgesetzt, aber immer mehr Dienste unterstützen ihn jetzt und wer für die Sicherheit in seinem Unternehmen verantwortlich ist, sollte ihn unbedingt noch heute ausprobieren.

Wir gehen davon aus, dass die Akzeptanz von Passkeys in den nächsten 12 Monaten drastisch zunehmen wird, da nun auch Microsoft Entra ID, Google Workspace und AWS sowie Facebook und viele andere Dienste Passkeys unterstützen.

Übermäßige Abhängigkeit von einzelnen Anbietern vertieft Bedenken hinsichtlich der Sicherheit von Cloud-Daten 

Übermäßige Abhängigkeit von Anbietern bedeutet, viele oder fast alle Kerngeschäftsprozesse und -verfahren in die Hände eines Anbieters zu legen. Das Problem dabei ist, dass das Unternehmen in Schwierigkeiten gerät, wenn der Anbieter in irgendeiner Weise Probleme hat (sei es hinsichtlich Sicherheit oder aus anderen Gründen).  

Wir haben in unseren Monthly Threat Reports und im Podcast The Security Swarm bereits ausführlich über die potenzielle übermäßige Abhängigkeit von Anbietern gesprochen, die einige Unternehmen mit Microsoft haben könnten. Natürlich ist dies ein Problem, das fortbesteht und sich wahrscheinlich noch verschärfen wird, wenn Microsoft seinen Marktanteil in verschiedenen Bereichen weiter ausbaut. 

Hinzukommt, dass im Laufe des letzten Jahres neue Bedenken bekannt wurden, die die Problematik noch einmal unterstreichen. Vor dem Hintergrund der anhaltenden Serie erfolgreicher Sicherheitsverletzungen bei Microsoft erschien im Juni 2024 ein interessanter Artikel

Zusammengefasst: Andrew Harris, der zu dem Zeitpunkt bei Microsoft arbeitete, entdeckte eine schwerwiegende Schwachstelle in Active Directory Federation Services (AD FS) und versuchte verzweifelt, sie zu beheben. Seine Befürchtungen wurden heruntergespielt, und da die US-Bundesregierung im Begriff war, einen milliardenschweren Vertrag mit Microsoft für ihre Cloud-Dienste zu unterzeichnen, wurde das Problem im Wesentlichen unter den Teppich gekehrt.

Nachdem er Microsoft im Jahr 2020 verlassen hatte, wurde der SolarWinds-Angriff, der wahrscheinlich größte Angriff aller Zeiten auf eine Lieferkette, aufgedeckt. Während der Fokus auf SolarWinds und ihr kompromittiertes Orion-Produkt gerichtet war, breiteten sich russische Angreifer über Netzwerke aus, indem sie die ADFS-Schwachstelle ausnutzten.

Dies geschah natürlich lange vor dem weiter unten erwähnten Bericht des Cyber Safety Review Board (CSRB) und lange bevor die Secure Future Initiative (SFI) bei Microsoft ernsthaft in Angriff genommen wurde, aber die Zeit wird zeigen, ob das „neue“ Microsoft tatsächlich Sicherheit über neue Funktionen stellt, was für jedes kommerzielle Unternehmen eine Herausforderung darstellt.

Jedes Unternehmen muss selbst entscheiden, inwieweit es sich von einzelnen Anbietern wie Microsoft abhängig machen möchte. Angesichts der über Jahre hinweg aufgetretenen Sicherheitsbedenken und der klar begrenzten Verantwortung Microsofts für die Daten seiner Kunden sollte diese Entscheidung jedoch eindeutig ausfallen.

Wofür ist Microsoft verantwortlich? 

Viele fragen sich: „Wenn Microsoft sich nicht um meine Daten und meine Sicherheit kümmert, wofür sind sie dann wirklich verantwortlich?“ Die aktuelle Haltung von Microsoft zu dieser Frage hat sich auch 2024 nicht geändert. Um dies zu verstehen, muss man mit dem Modell der geteilten Verantwortung von Microsoft vertraut sein. 

Das Modell der geteilten Verantwortung besagt, dass die „Verantwortung immer beim Kunden liegt“: 

  • Informationen und Daten 
  • Geräte (Handys und PC) 
  • Konten and Identitäten 

Im Wesentlichen ist der Kunde für die Sicherung und den Schutz seiner Informationen und Daten verantwortlich. Microsoft ist es nicht. Wenn Unternehmen in die Cloud wechseln, müssen sie dies bei der Implementierung von Schutzstrategien berücksichtigen. 

Ein weiterer erwähnenswerter Punkt ist einer, den wir bereits im letzten Jahr in diesen Bericht aufgenommen hatten. Für viele bestehende M365-Kunden ist dies immer noch eine Überraschung, sodass es auch in diesem Jahresbericht Erwähnung finden sollte. Microsoft hat seine langjährige Haltung zur Verwendung von Backup-Anwendungen mit M365 im Jahr 2023 geändert. Auf einer Microsoft-Konferenz im vergangenen Jahr kündigte Microsoft das Microsoft 365 Backup an.

Es wurde ein Dienst vorgestellt, der grundlegende Backup-Funktionen für M365 bereitstellt. Der wichtige Teil dieser Ankündigung ist nicht der Dienst selbst, sondern die Änderung von Microsofts langjähriger Haltung „Sie brauchen keine Daten in M365 zu sichern“. Viele in der Branche sind der Meinung, dass dies auf zwei Faktoren zurückzuführen ist:

  • Microsoft hat endlich kapituliert und stimmt nun zu, dass ein Fokus auf die Datenspeicherung allein in M365 NICHT ausreichend ist 
  • Microsoft möchte einfach ein Stück vom M365-Backup-Markt abhaben, nachdem sie gesehen haben, dass es einen großen Markt für einen solchen Dienst gibt 

Beide Optionen scheinen wahrscheinlich, wobei Option 2 durch die Tatsache gestärkt wird, dass Microsoft auch eine Backup-API auf den Markt gebracht hat, die Anbieter gegen eine Gebühr nutzen können. Unabhängig davon ist die Botschaft klarer denn je. Unternehmen SIND für den Schutz der Daten verantwortlich, die sie in Microsoft Cloud-Diensten speichern. 

Die Schwierigkeiten, die durch mehrere Tenants in der Microsoft Cloud auftreten 

Da die zentralen Cloud-Dienste von Microsoft seit mehr als einem Jahrzehnt auf dem Markt sind, befinden sich viele Unternehmen in einer Situation, in der sie mehrere Microsoft 365-Umgebungen verwalten und pflegen müssen. Dabei kann es sich um ein Unternehmen handeln, das mehrere Fusionen und Übernahmen durchgeführt hat oder vielleicht handelt es sich um einen Managed Services Provider (MSP), der IT-Dienste für mehrere Kunden anbietet.

In beiden Fällen erkennen viele dieser Unternehmen die Schwierigkeiten bei der Verwaltung mehrerer M365-Tenants.

Wenn wir über den personellen Mehraufwand sprechen, der mit diesem erhöhten Verwaltungsaufwand verbunden ist, kann dies direkte Auswirkungen auf die Sicherheit der Daten in der Cloud haben. In einem Unternehmen wurden höchstwahrscheinlich Standards für bewährte Sicherheitsverfahren und die Aktivierung von Funktionen in den verwalteten M365-Umgebungen definiert.

Viele Administratoren stellen fest, dass die Durchsetzung von Standards und die Begrenzung von Konfigurationsabweichungen bzw. -fehlern innerhalb mehrerer unterschiedlicher M365-Tenants äußerst schwierig ist. Bei Cloud-Diensten kann eine einzige Fehlkonfiguration den Unterschied zwischen einem sicheren Unternehmen und einer schwerwiegenden Datenpanne ausmachen

Die Tenant-Verwaltung wird für Unternehmen, die ihre M365-Daten schützen wollen, immer wichtiger. Microsoft bietet zwar ein Dienstprogramm namens Lighthouse an, aber es hat einige Einschränkungen und viele MSPs sind der Meinung, dass es an Funktionen und Umfang mangelt. Einige Softwareanbieter haben Lösungen entwickelt, um diesen Verwaltungsbedarf für MSPs zu decken, wie z. B. der 365 Multi-Tenant Manager für MSPs von Hornetsecurity.

Eine ordnungsgemäße Verwaltung wird in der heutigen Cloud-first-Welt immer wichtiger und die Führungsteams müssen sich der Gefahren bewusst sein, die diese Herausforderungen für die Sicherheit der Daten in der Cloud mit sich bringen.

Warum 365 Multi-Tenant Manager für MSPs? 

  • Enorme Zeitersparnis: Durch Automatisierung wird der manuelle Aufwand erheblich reduziert, was zu einer jährlichen Einsparung von über 2.800 Stunden führt – das entspricht 1,47 Vollzeitmitarbeitern.
  • Verbesserte Compliance: Automatisierte Scans und Echtzeitbehebungen gewährleisten Sicherheit und Konformität aller Tenants.
  • Maßgeschneiderte Lösungen: Die flexible Erstellung und Implementierung individueller Richtlinien unterstützt dabei, dass die spezifischen Anforderungen jedes Kunden einwandfrei erfüllt werden.

Gestalten Sie die Zukunft des Tenants-Managements mit. Fordern Sie noch heute eine Demo an und entdecken Sie, wie der 365 Multi-Tenant Manager für MSPs Ihre Abläufe optimieren, Zeit sparen und die Sicherheit Ihrer Kunden verbessern kann. 

365 Multi Tenant Manager icon

Hauptfunktionen des 365 Multi-Tenant Managers für MSPs 

  • Mühelose Onboarding-Prozesse: Vereinfachen Sie das Hinzufügen neuer Tenants  durch automatische Erkennung und Onboarding mittels Microsoft Partner Center-Verbindung.
  • Umfassende Governance: Überwachen und verwalten Sie alle Microsoft 365-Tenants mit einem detaillierten Dashboard, regelmäßigen Compliance-Scans und automatischer Behebung von Verstößen.
  • Benutzerfreundliche Automatisierung: Nutzen Sie geführte Assistenten, die Service-Provider durch Onboarding, Konfiguration und Überwachung begleiten, um Zeit zu sparen und Fehler zu minimieren.
  • Standardisiertes Management: Implementieren Sie bewährte M365-Konfigurationen schnell mit vorgefertigten Templates oder passen Sie Richtlinien individuell an.
  • Gesteigerte Effizienz: Sparen Sie wertvolle Zeit und Ressourcen, damit Ihr Team sich auf Entwicklung, Optimierung und Vertrieb konzentrieren kann, statt auf manuelle Konfigurationen.

Fazit 

Die Sicherheit von Daten in der Cloud bleibt ein zentrales Thema, da immer mehr Unternehmen auf Cloud-Dienste umsteigen. Während die Grundsicherung in der Microsoft Cloud verbessert wurde, bietet sie keinen vollständigen Schutz, insbesondere gegen neue Bedrohungen wie Adversary-in-the-Middle (AitM)-Angriffe. Die Implementierung von phishing-resistenten MFA-Methoden wie Passkeys ist entscheidend, um die Sicherheit zu stärken. 

Mit dem wachsenden Cloud-Einsatz steigt jedoch auch die Herausforderung der Verwaltung mehrerer Tenants, insbesondere für Unternehmen nach Fusionen oder für Managed Service Provider (MSPs). Eine ordnungsgemäße Verwaltung und Governance dieser Umgebungen ist essenziell, um Fehlkonfigurationen zu vermeiden, die zu Datenlecks führen können. 

Der 365 Multi-Tenant Manager für MSPs von Hornetsecurity bietet eine leistungsstarke Lösung, um die Verwaltung mehrerer Microsoft 365-Tenants zu optimieren und zu vereinheitlichen. Er gewährleistet Konsistenz, reduziert das Risiko von Konfigurationsfehlern und sorgt für eine effiziente Verwaltung. 

Dies könnte Sie auch interessieren

Thumbnail Blog Post- Backup

Was ist Proxmox?

Backup
04.06.2025

In diesem Artikel erhalten Sie eine Einführung in Proxmox als leistungsstarke Open-Source-Virtualisierungsplattform. Sie erfahren, wie…

Mehr lesen