Die Bedeutung von Sicherheit in Office 365

In den Anfängen des Cloud Computing gab es viele Bedenken hinsichtlich der Sicherheit von Daten, die in ein „fremdes Rechenzentrum“ ausgelagert wurden. Ich denke, den meisten CISOs ist heute klar, dass die großen Anbieter eine viel bessere Arbeit in Sachen IT-Security leisten, als die meisten Unternehmen es tun können (oder das Budget dafür haben).

Sie haben auch ein starkes Interesse daran, denn ein großer Sicherheitsvorfall könnte viele tausende von Unternehmen betreffen. Deshalb geben sie viel Geld aus, um sicherzustellen, dass ihre Clouds so sicher wie möglich sind.

Das bedeutet jedoch nicht, dass Sie alles Microsoft überlassen können. Es gibt ein sogenanntes Modell „der geteilten Verantwortung“ – andere Cloud-Anbieter haben ähnliche Ansätze.

Es gibt einige Bereiche, für die Sie nach wie vor verantwortlich sind, z.B. die Endpunkte, die Ihre Benutzer für den Zugriff auf Cloud Services verwenden, jede on-premises Infrastruktur, die in einem Hybridmodus mit O365 betrieben wird, sowie die Bereitstellung und das Entfernen der Benutzer.

Es gibt auch viele Sicherheitsvorgaben in O365, die Sie an Ihr Unternehmen anpassen müssen, wobei Sie und Microsoft die Verantwortung für die Sicherheit gemeinsam tragen. In diesem Artikel befassen wir uns mit diesen Steuerelementen und damit, wo und wie Sie sie konfigurieren.

Die Grundlage für die Denkweise über Sicherheit sollte Zero Trust sein. Anstatt einer Verbindung zu vertrauen, je nachdem, woher sie kommt (“wenn sie aus dem internen LAN kommt, ist sie sicher, von außen ist sie gefährlich”), wird jeder Zugriff anhand Ihrer Regeln für bedingten Zugriff überprüft, was Ihnen eine viel bessere Sicherheitslage bietet.

Und stützen Sie Ihre Security auf die Identität, die die neue Firewall darstellt, und halten Sie mit den neuen Funktionen im Bereich Security Schritt.

Wenn Sie darüber nachdenken, wie Sie Ihre Systeme schützen können, sollten Sie nicht vergessen, dass die Angreifer ebenso von on-premises in die Cloud wechseln, wie wir es beim Solarwinds-Einbruch gesehen haben.

Wenn Sie über eine M365 E5-Lizenz verfügen, können Sie mit Hilfe von Angriffssimulationen Ihre Benutzer mit vorgetäuschten PhishingE-Mails testen und ihnen je nach ihrer Neigung, darauf hereinzufallen, automatisch ein maßgeschneidertes Training anbieten.

Wenn Sie mehr Kontrolle und Optimierung wünschen, sollten Sie den Security Awareness Service von Hornetsecurity ausprobieren, der vollautomatisches Benchmarking, Spear-Phishing-Simulationen und E-Training bietet, um Ihre Mitarbeiter für Cyber-Bedrohungen zu sensibilisieren und zu schützen.

Denken Sie auch an Entra ID Premium P1 & P2, die Sie als Add-Ons zu O365 erwerben können (in M365 enthalten).

Wir haben ihre Security-Features in diesem Artikel behandelt. Man könnte argumentieren, dass es einen Interessenkonflikt darstellt, wenn man sich darauf verlässt, dass Microsoft einerseits die Plattform (Office 365) bereitstellt als auch extra Geld für erweiterte Security-Funktionen aus demselben Haus verlangt.

Schließlich könnte Microsoft mehr Security-Funktionen in die Basisplattform integrieren (z.B. Office 365 E3 und Microsoft 365 E3), anstatt dafür extra bezahlen zu müssen.

Daher entscheiden sich viele Unternehmen für einen Dienst eines Drittanbieters für fortschrittliche Security Services zusätzlich zur Basisplattform, wie z.B. 365 Total Protection von Hornetsecurity.

365 Total Protection ist eine Cloud-basierte Sicherheitslösung, die alle wesentlichen Aspekte des Microsoft 365 Security Managements und des Datenschutzes eines Unternehmens abdeckt: E-Mail-Sicherheit, Backup und Wiederherstellung, Compliance, Rechteverwaltung und Security Awareness.

Die Lösung wurde speziell für Microsoft 365 entwickelt und erfordert keine Hardware, Software oder Wartung. Gleichzeitig bietet sie die dringend benötigten zusätzlichen Sicherheits- und Datenschutzschichten gegen Spam, Malware und fortschrittliche Bedrohungen.

365 Total Protection von Hornetsecurity ist in vier verschiedenen Plänen erhältlich:

• Plan 1: 365 Total Protection Business bietet Ihnen erstklassige E-Mail Security, Schutz vor Spam und Malware, Signaturen und verschlüsselte E-Mails.
• Plan 2: 365 Total Protection Enterprise bietet zusätzlich E-Mail-Archivierung, 10-jährige Aufbewahrung, eDiscovery, Advanced Threat Protection (ATP) samt Sandboxing verdächtiger E-Mails, URL-Scanning, QR Code Analyzer.
• Plan 3: 365 Total Protection Enterprise Backup fügt ein automatisches Backup von Postfächern, Teams, OneDrive und SharePoint hinzu und bietet eine einfache Wiederherstellung. Zusätzlich ermöglicht die Lösung die Sicherung und Wiederherstellung von Windows-Endpunkten.
• Plan 4: 365 Total Protection Compliance & Awareness erweitert das Angebot um Permission Manager, Security Awareness Service und AI Recipient Validation.

Diese breite Palette an Microsoft 365 Sicherheitsund Compliance-Funktionen ist in einem Paket und in einer Lizenz erhältlich.

Eine der drei Säulen von Zero Trust, nämlich die Anwendung des Zugriffs mit den geringsten Rechten (englisch: least-privilege access), ist im großen Maßstab bemerkenswert schwer zu erreichen.

Besonders deutlich wird dies bei SharePoint und OneDrive, wo Sie nicht nur eine komplexe Reihe von sich überschneidenden Berechtigungsoptionen haben, sondern auch die gemeinsame Nutzung von Dateien und Sites mit externen Benutzern, entweder über SharePoint, OneDrive und jetzt auch häufig über Teams.

Die Inventarisierung all dieser erteilten Berechtigungen und die Erstellung von Berichten darüber erfordert das Durchsuchen mehrerer Seiten oder die Ausführung von PowerShell-Skripten.

Es gibt auch keine einfache Möglichkeit, Zugriffsrechte zu beschränken, wenn sie zu weit gefasst sind, und es gibt auch keine schnelle Möglichkeit, Zugriffsrechte schnell für alle Sites zu entziehen, wenn z.B. festgestellt wird, dass ein Benutzerkonto kompromittiert worden ist.

Der 365 Permission Manager, ein einzigartiges Produkt von Hornetsecurity, beseitigt all diese Probleme und noch mehr. Ein zentrales Dashboard zeigt Ihnen alle Ihre Sites und deren Übereinstimmung mit Ihren Freigabe-Richtlinien. Um Berechtigungen anzupassen, verwenden Sie die einfache Schaltfläche Korrigieren, oder im Falle einer echten Geschäftsanforderung für eine Ausnahme von der Richtlinie, genehmigen Sie einen Sonderfall.

Integrierte oder benutzerdefinierte Richtlinien, die die externe oder interne Freigabe und die damit verbundenen Einstellungen steuern, können auf einzelne SharePoint Sites oder OneDrive-Speicherorte angewendet werden, was die Governance und das Risikomanagement erheblich verbessert.

Sie können auch die Berechtigungen in SharePoint, OneDrive und Teams für einen ausgewählten Benutzer einsehen, was sehr nützlich ist, wenn Sie eine Kontokompromittierung vermuten, oder vielleicht im Falle einer Untersuchung von Insiderrisiken.

Eine weitere sehr nützliche Funktion sind Quick Actions, mit denen Sie Massenoperationen durchführen können, um Berechtigungen zu verwalten und eine konforme SharePoint-, Teams- und OneDrive-Infrastruktur zu erhalten.

Alle Funktionen für Governance, Data Loss Prevention (DLP) und den Schutz von Informationen in M365 werden unter dem Dach von Purview zusammengefasst. Das Portal befindet sich unter compliance.microsoft.com.

Durch die Verwendung von Vertraulichkeitsbezeichnungen (Labels) zur Klassifizierung von Daten entweder manuell oder automatisch durch das Crawlen von Dokumenten oder E-Mails, können Sie beginnen, Ihre Geschäftsinformationen zu kontrollieren und zu überwachen.

Sobald ein Dokument gelabelt wurde, können Sie es mit MIP oder OME schützen (siehe unten) oder den Zugriff auf Windows-Endpunkte über Richtlinien kontrollieren sowie den Zugriff in Office für Mac, Windows, iOS und Android verwalten.

Eine der leistungsstärksten und am wenigsten genutzten Funktionen ist die Möglichkeit, Dokumente zu schützen, unabhängig davon, wo sie sich befinden. Bei der herkömmlichen Datei- bzw. SharePoint-Dokumentenfreigabe wird der Zugriff auf Serverebene streng kontrolliert. Sobald ein Dokument jedoch an eine andere Person gemailt oder auf einem USB-Laufwerk gespeichert wird, geht diese Kontrolle verloren.

Mit Microsoft Information Protection (MIP) können Sie Kennzeichnungen und Regeln einrichten, die Dokumente verschlüsseln und deren Benutzerzugriff mit sich führen, so dass unabhängig von der Art der Weitergabe nur die richtigen Personen Zugriff haben.

Wenn Sie mit MIP beginnen, werden Sie den integrierten Client in den Office-Apps auf Windows, Mac, iOS und Android verwenden. Es ist wichtig, Superuser-Konten zu konfigurieren, damit Sie auf Dokumente zugreifen können, wenn ein Benutzer das Unternehmen verlässt.

Die Liste der sensiblen Informationstypen (SITs) wird immer länger und es ist jetzt möglich, die Vertraulichkeitsstufen der Regeln anzupassen, die eingebauten Regeln zu kopieren und anzupassen und größere Stichwortwörterbücher zu erstellen (jede Erwähnung eines Mitarbeiterausweises oder einer Patientenaktennummer zu erfassen).

Es ist möglich, geschützte Dokumente in Echtzeit gemeinsam zu bearbeiten (mit AutoSave-Unterstützung!) und in größeren Implementierungen können Sie Variablen in MIP-Regeln verwenden, um die Markierung von Inhalten pro Anwendung zu erleichtern.

Sie können Dokumente, SharePoint Online Sites, on-premises SharePoint und Dateifreigaben mit Kennzeichnungen (und optional mit Dokumentenverschlüsselung) versehen. Sie können auch Bilder mit OCR (Optical Character Recognition) scannen, um sensible Informationen in Screenshots und ähnlichem zu erfassen.

Vertraulichkeitskennzeichnungen sind jetzt auch für SharePoint Sites, M365-Gruppen und Teams verfügbar.

Dies gilt nicht für die dort gespeicherten Inhalte, sondern verwaltet die Privatsphäre des Containers, den Zugriff externer Benutzer und kann auch in Richtlinien für bedingten Zugriff integriert werden, um z.B. den Zugriff von nicht verwalteten Geräten zu blockieren.

Sie können jedoch eine Standard-Vertraulichkeitskennzeichnung für eine SharePoint Site konfigurieren.

Ähnlich wie Sie mit MIP geschützte Dokumente mit jedermann teilen können, können Sie mit O365 Nachrichtenverschlüsselung E-Mails an jedermann senden und wissen, dass nur diese Person auf die E-Mail zugreifen kann.

Wie bei MIP können Sie auch hier Regeln einrichten, damit E-Mails mit bestimmten Informationen (Kreditkartennummern, Sozialversicherungsnummern) automatisch verschlüsselt werden.

Das Ziel von Data Loss Prevention (DLP) ist es, Benutzern zu helfen, das Richtige zu tun, indem sie gewarnt werden, wenn sie im Begriff sind, sensible Daten über E-Mail, SharePoint Online, OD4B oder Teams weiterzugeben.

Es kann auch in MIP integriert werden, da Microsoft die Vereinheitlichung der Kennzeichnung und des Schutzes in M365 weiter vorantreibt. Der DLP-Schutz wurde auf Windows 10 und 11 mit Endpoint-DLP ausgeweitet, das den Upload von Dokumenten mit sensiblen Inhalten in Cloud-Speicher, das Kopieren sensibler Informationen in die Zwischenablage, USB-Speicher, Netzwerkfreigaben oder das Drucken blockieren kann.

Es gibt auch eine Erweiterung für Google Chrome, die den DLP-Schutz auf Browseraufgaben ausdehnt. DLP wurde auch auf on-premises ausgeweitet, indem der MIP-Scanner zum Auffinden sensibler Dokumente eingesetzt wird. Auch das Management von Warnungen für DLP-Verstöße wurde erheblich verbessert.

Exchange Online Protection (EOP) ist die E-MailHygienelösung für Office 365 und kann auch Ihre on-premises Exchange-Postfächer schützen, wenn Sie sich in einer hybriden Bereitstellung befinden (Exchange Online Artikel).

Es gibt einige Einstellungen, die Sie für EOP steuern können, sowie einige zusätzliche Konfigurationen, die Sie für einen vollständigen Spamschutz in Betracht ziehen sollten, wie z.B. Sender Policy Framework (SPF), Domain-based Message Authentication, Reporting, and Conformance (DMARC) und Domain Keys Identified Mail (DKIM).

Wenn Sie feststellen, dass EOP nicht genug bösartige E-Mails abfängt, sollten Sie Services von Drittanbietern in Betracht ziehen. Hornetsecurity bietet ein kostenloses Tool namens Threat Monitor (das keine Änderungen an Ihren MX-Records erfordert), das Werbe-E-Mails (Spam), Bedrohungen und E-Mails mit fortschrittlichen Bedrohungen identifiziert und Sie diese aus den Postfächern der Benutzer löschen lässt.

Threat Monitor liefert Ihrem Tenant wertvolle E-Mail-Statistiken darüber, was EOP fehlt, und erleichtert so die Entscheidung für ein Upgrade der E-Mail-Hygiene-Services.

Die Defender for O365-Schutzfunktionen (verfügbar in O365 E5 oder als eigenständiges Add-Ons) baut auf EOP auf und bietet Ihnen Sichere Anlagen, bei denen Anhänge in eingehenden E-Mails, die möglicherweise schadhaft sind, innerhalb einer VM geöffnet und überprüft werden, bevor sie an die Benutzer weitergeleitet werden.

Sichere Links prüft, ob Links in E-Mails und Office-Dateien zu dem Zeitpunkt, an dem der Benutzer auf diese Links klickt, möglicherweise schadhaft sind. Anti-Phishing erkennt Versuche, sich für einen bestimmten Benutzer auszugeben. Diese Schutzmaßnahmen gelten auch für SharePoint, OD4B und Teams.

Wenn Ihnen der Defender for Office 365 zu teuer ist (er ist in M365 E5, E5 Security oder als separates Add-On enthalten), sollten Sie sich Hornetsecurity‘s 365 Total Protection ansehen, das es in einer Business- und einer Enterprise-Version gibt.

Business bietet Ihnen eine detaillierte Kontrolle über E-MailKategorien und -Inhalte, so dass Sie unerwünschte E-Mails blockieren können.

Sie können E-MailSignaturen mit Haftungsausschlüssen (Disclaimer) des Unternehmens festlegen und entweder PGP oder S/MIME für die E-Mail-Verschlüsselung verwenden, wobei die Handhabung von Zertifikaten integriert ist.

Die Enterprise-Version bietet zusätzlich E-Mail-Archivierung/Journaling mit einer Aufbewahrungsfrist von bis zu 10 Jahren, eDiscovery und Sandbox-Analyse von Anhängen, URLRewriting und Scanning (sowohl in E-Mails als auch in Anhängen) und Contingency-Notfallabsicherung durch eine E-Mail-Failover-Umgebung, falls der Dienst von Microsoft 365 nicht verfügbar ist.

Eine der großartigen Funktionen der einheitlichen Plattform von O365 ist die Möglichkeit zur Überwachung der Aktionen von Benutzern und Administratoren auf der gesamten Plattform.

Sie sollten zumindest die Aktivitätswarnungen für Entra ID konfigurieren. Gehen Sie zum CompliancePortal – Suche – Audit Log (Überwachungsprotokollierung) Suche und sehen Sie sich all die verschiedenen Aktivitäten an, die Sie überwachen und über die Sie Berichte erhalten können, sowie Warnrichtlinien erstellen können.

Standardmäßig werden Office 365 Audit-Logs 180 Tage lang aufbewahrt (Entra ID-Logs 30 Tage lang), was für Ihr Unternehmen oder die von Ihnen einzuhaltenden Vorschriften möglicherweise nicht ausreicht.

Sie haben zwei Möglichkeiten: Nutzen Sie einen Service eines Drittanbieters, um die Protokolle kontinuierlich zu exportieren und für den von Ihnen gewünschten Zeitraum zu archivieren, oder weisen Sie den Benutzern, deren Protokolle Sie länger aufbewahren möchten, M365 E5 (oder M365 E5 Compliance / Discovery & Audit) Lizenzen zu. Damit können Sie die Protokolle für 1 oder 10 Jahre aufbewahren.

Die beste Art, Kennwörter zu verwalten, ist, erst gar keine zu verwenden oder im Verzeichnis zu speichern – das nennt man „kennwortlos“. Es gibt viele Wege zu diesem Ziel.

Heute können Sie die Authenticator App verwenden, um sich bei einem Azure AD-Konto anzumelden (nicht als zweiter Faktor, sondern als einziger Faktor), oder Windows Hello for Business oder einen FIDO 2 Hardware-USB/NFC-Schlüssel.

Bis dahin können Sie den Kennwortschutz aktivieren, um häufig verwendete Kennwörter zu unterbinden (2000 in einer von Microsoft gepflegten Liste plus bis zu 1000 benutzerdefinierte Wörter, die in Ihrem Unternehmen/Ihrer Stadt/Ihrem Lieblings-Sportverein üblich sind).

Dies funktioniert nahtlos für reine Cloud-Konten und kann leicht auf on-premises AD ausgeweitet werden. Wenn Sie von Ihren Benutzern verlangen, dass sie sich für MFA registrieren, werden sie auch gleichzeitig für den Self-Service zur Kennwortrücksetzung registriert.

Wenn Sie vermuten oder feststellen, dass ein Benutzer-Konto kompromittiert wurde, sollte der erste Schritt darin bestehen, die Anmeldung für das Konto im Admin Center zu deaktivieren.

Sie sollten sich jedoch darüber im Klaren sein, dass der Benutzer (oder ein Angreifer) nicht sofort von den Diensten abgemeldet wird, auf die er zugreift, und dass es aufgrund der Lebensdauer von Aktualisierungs-Tokens bis zu einer Stunde dauern kann, bis die Sperre wirksam wird.

Die Lösung für dieses Problem ist die fortlaufende Zugriffsevaluierung, die derzeit nur für Exchange, Teams und SharePoint Online-Konnektivität gilt und den Zugriff nahezu in Echtzeit sperrt (gelegentlich mit einer Latenz von bis zu 15 Minuten aufgrund der Ereignisübermittlung).

Um Ihre Microsoft 365-Umgebung richtig zu schützen, nutzen Sie die einzigartigen Dienste von Hornetsecurity:

• 365 Total Protection
• 365 Total Backup
• 365 Permission Manager
• 365 Total Protection Compliance & Awareness
• 365 Total Protection Enterprise Backup

Besuchen Sie jetzt unseren Hornetsecurity-Blog, um über die neuesten M365 Artikel und Praktiken auf dem Laufenden zu bleiben.

Abschließend lässt sich sagen, dass die Bedeutung der Sicherheit in Office 365 nicht zu unterschätzen ist. Während anfängliche Bedenken bezüglich der Datensicherheit in der Cloud größtenteils verschwunden sind, ist es wichtig, das Modell der gemeinsamen Verantwortung anzuerkennen.

Während große Anbieter stark in die Sicherung ihrer Plattformen investieren, müssen Organisationen dennoch proaktive Maßnahmen ergreifen, um ihre Daten und Infrastruktur zu schützen.