#29 – Schutz Ihrer Daten bei Microsoft 365

Hallo und guten Morgen an alle ZuhörerInnen und an dich, Dennis.

Guten Morgen, Philip.

Heute haben wir mal wieder ein Thema mitgebracht, was uns schon einige Folgen lang beschäftigt hat, nämlich geht es heute wieder mal um Microsoft 365. Und wir hatten, glaube ich, schon ein paar Mal erzählt, dass eben viele unserer Kunden eben auch ihre Daten und ihre kompletten Workloads dahin verschoben haben, alles über Microsoft 365 abbilden. Und dann ist natürlich immer wieder das Thema, wie kann ich dann diese Daten schützen? Und zwar soll es heute eben vor allen Dingen um den ungewollten Zugriff durch Externe. Wir wollen ja durch Dritte gehen, sprich wir wollen mal drüber sprechen, wie kann man die Daten davor schützen, dass sie in dritte Hände fallen und damit eben möglicherweise auch Schaden anrichten.

Genau, also wir knüpfen im Prinzip an, wir hatten ja diese Road to Office 365 vor ein paar Folgen, innerhalb von ein paar Folgen und lehnen uns auch so ein bisschen an unseren Blogbeitrag auf unserer Internetseite an, der dann nämlich heißt, die elf wirksamsten Sicherheitsmaßnahmen in Microsoft 365. Das soll einfach mal aufzeigen, wie man in elf recht leicht, im weitesten Sinne unbesetzbaren Schritten dafür sorgen kann, dass das Microsoft 365 Tenant, beziehungsweise die einzelnen Zugänge der User ganz gut gesichert sind.

Genau, eine Maßnahme, die wir ja schon das eine oder andere Mal hier in verschiedenen Situationen angesprochen haben. Und wir werden nicht müde, das immer wieder zu tun. Deswegen ist auch die erste Maßnahme, weil sie eben auch so unfassbar wirksam ist, Multifaktor-Authentifizierung. Also wir haben es oft schon besprochen, einfach nicht nur Benutzername und Passwort für die Anmeldung, sondern eben einen weiteren Verifizierungsfaktor. Das ist in der Regel, wenn man es über die Standardmaßnahmen von Microsoft 365 macht, eine App auf einem Smartphone des Mitarbeiters. Man kann aber auch und... Das ist vielleicht auch für den einen oder anderen interessant. Man kann auch Hardware-Token nehmen. Da gibt es verschiedene Hersteller, die Geräte herstellen, die aussehen wie USB-Sticks einfach. Und die kann ich dann entsprechend mit dem Microsoft-Konto verknüpfen. Und dann wird bei der Anmeldung geprüft, ob dieser USB-Stick eben am Gerät eingesteckt ist. Und gibt es auch mit NFC-Authentifizierung, dann kann ich mich auf das Smartphone auch damit autorisieren. Und das ist vor allen Dingen dann interessant. Wenn... Wenn vielleicht nicht jeder Mitarbeiter ein Firmensmartphone hat und entweder der Mitarbeiter nicht möchte, dass auf seinem privaten Smartphone dann eine App ist, die er für Berufliches braucht. Oder andersrum, man vielleicht auch als Firma sagt, nee, wir wollen nicht, dass solche Apps auf dem privaten Smartphone der Mitarbeiter sind.

Und das ist vor allem, glaube ich, auch ein ganz guter Komfortfaktor. Absolut, ja. So ein Hardware-Token. Also ich muss halt nicht jedes Mal, wenn ich mich einloggen will, vielleicht... Also ich stelle mir das jetzt gerade vor, ich sitze im Homeoffice, habe vielleicht... Ich bin im Büro, im Keller oder auf dem Dachboden. So, ich stelle mich fest, Mist, mein Handy liegt noch auf dem Frühstückstisch. Da muss ich eben nicht nochmal runterrennen, um das zu holen, damit ich den sechsstelligen Token eingeben kann. Korrekt. Ja, dann kommen wir schon zur zweiten Sicherheitsmaßnahme. Verwenden von Session-Timeouts. Bedeutet im weitesten Sinne, man kennt das vielleicht, also ich bin in meiner Microsoft 365-Umgebung eingeloggt, klappe mein Notebook zu, weil ich gerade nichts weiter zu tun habe. Oder klappe es nicht mal zu, sondern verlasse einfach nur meinen Arbeitsplatz. Was kann passieren? Also ein Dritter, um ihn mal Hacker zu nennen an der Stelle, brauche ich ja gar nicht zwingend den Zugriff zu meinem Office-Account, zu meiner Office-Umgebung, sondern ihm würde ja in so einem Fall quasi der Zugriff nur auf mein physisches Gerät reichen, um dann eben, weil ich ja in meiner Microsoft-Umgebung noch eingeloggt bin, Zugriff auf meine Daten zu bekommen. Das heißt, ich sollte auf jeden Fall sicherstellen, dass Mitarbeiter... ...nach einer gewissen Zeit in Aktivität automatisch von ihrer sogenannten Session ausgeloggt werden.

Genau, und das bezieht sich halt auf alle möglichen Geräte. Das geht am PC los, dass ich eben ab einer bestimmten Zeit mich wieder neu anmelden muss. Beim Smartphone kennt man das auch, nach typischerweise 30 Sekunden, einer Minute wird das Gerät gesperrt. Und das kann man auch für die Office 365-Webanwendungen aktivieren. Damit man auch da ist, wenn man vielleicht mal irgendwo an einem Gerät... ...sich anmeldet, was irgendwo nicht das eigene ist, dass man dann eben vergisst, sich abzumelden, nicht dauerhaft dort angemeldet bleibt. Dann haben wir... Punkt 3. Genau, noch eine weitere Maßnahme, die so ein bisschen... ...die zielt nicht so direkt auf Datenverlust ab, sondern vielmehr so auf das Thema Sicherheit im Allgemeinen. Man kann ja Kalender teilen aus Outlook heraus. Und wenn man da nicht aufpasst, kann es eben durchaus passieren, dass man einen Kalender wirklich nicht nur für Kollegen teilt, sondern komplett öffentlich teilt. Und dann könnte es eben passieren, dass einfach Angreifer dadurch zum Beispiel ablesen können, wann jemand im Urlaub ist. Und möglicherweise dadurch dann nicht merkt, wann oder dass Angriffe stattfinden auf sein Konto. Oder ungewöhnliche Kontoaktivitäten stattfinden. Und da eben auch dann ein deutlich erhöhtes Gefährdungspotenzial von ausgeht. Also da einmal darauf achten. Nicht öffnen. Nicht teilen. Sondern nur mit den Kollegen teilen den Kalender. Dann hat man da auch mit einfachen Mitteln nochmal wieder eine Lücke geschlossen. Prima.

Punkt 4.

Einsatz von ATP bedeutet Advanced Threat Protection. Kann man sich vorstellen, ist so ein bisschen die zusätzliche Firewall, beziehungsweise die zusätzliche Antiviren-EDR-Lösung für meine Office 365-Umgebung. Hat den Vorteil, dass es eben durch... Ständig aktualisierte Datenbanken eben auch Phishing-Versuche erkennt, die üblicherweise den herkömmlichen Schutz meiner Mailbox umgehen können. Genau. Ich glaube, dass man das so zusammenfassen kann, ohne jetzt zu sehr in technische Details zu gehen. Grundsätzlich kann man sich dazu vielleicht nochmal unsere EDR oder Firewall-Folge anhören, um so ein bisschen tiefer zu verstehen, was da eigentlich im Hintergrund passiert. Aber letztendlich ist es eben genau das noch einmal zusätzlich für die Microsoft. Ja.

Dann haben wir noch eine Sache zum Thema Benachrichtigung im weitesten Sinne. Da geht es darum, dass ich im Microsoft 365 Admin Center ein sogenanntes Compliance Center habe. Und das unterstützt mich dabei, dass ich eben bestimmte Richtlinien, Sicherheitsrichtlinien und Compliance-Richtlinien, die ich für mein Unternehmen fänden, festlege, dass ich die dann auch durchsetzen kann, kontrollieren kann und mich oder andere darüber benachrichtigen lassen kann, wenn es da zu Verstößen kommt. Und da kann es zum Beispiel Richtlinien geben, in denen ich konfiguriere, wenn bestimmte Dateien oder Teiltypen per Mail versendet werden oder über OneDrive geteilt werden mit externen Kontakten, die nicht Bestandteil des Unternehmens sind, dass der Benutzer eben dann nochmal eine zusätzliche Benachrichtigung bekommt. Die ihnen darauf hinweist, was er hier gerade im Begriff ist zu tun, was das für Folgen haben kann, beziehungsweise ich könnte es darüber eben auch unterbinden, dass das überhaupt kann. Und damit kann ich eben auch verhindern, dass möglicherweise unbeabsichtigt irgendwo Daten das Haus verlassen, die das eigentlich nicht sollten. Sicherheitsmaßnahme 7. Entschuldigung, 6. Verzeihung.

Sichern Sie Ihren mobilen Zugang. Also wir kennen das alle. Wir hatten in der Mobile. Ich weiß, wir haben mit Folge darüber gesprochen. Jeder hat, also nahezu jeder hat irgendwie sowas wie ein Tablet oder ein Firmen-Smartphone und nutzt eben auch da seine klassische Microsoft 365 Umgebung. Und da geht es eben auch zu schauen, das Ganze so zu gestalten, dass wirklich einsehbar und kontrollierbar ist, was angeguckt wird, was abfließen darf und was nicht. Es gibt da externe Funktionen, die das Ganze ermöglichen. Es gibt aber auch die Möglichkeit in Microsoft 365. Als solches mobile Geräte zu verwalten.

Dann haben wir noch einen Punkt, der wahrscheinlich vielen nicht so richtig geläufig ist. Es gibt verschiedene Möglichkeiten der Anmeldung an Microsoft 365-Konten. Es hat sich im Laufe der Zeit einfach weiterentwickelt. Neue Methoden sind dazugekommen. Und diese alten Anmeldemethoden werden zusammengefasst unter der sogenannten Legacy-Authentifizierung. Und häufig ist die noch aktiviert. Die Anmeldetaten-Konten. Wird aber genauso häufig auch gar nicht mehr benötigt. Es gibt so ein paar Systeme, die brauchen das. Teilweise sind es zum Beispiel Multifunktionsgeräte wie Scanner, die dann ihre gescannten Dokumente automatisch per E-Mail versenden können oder dort hochladen können. Das sollte man mal prüfen, denn die älteren Anmeldeprotokolle sind da eben auch unsicherer. Und dann, wenn man sie nicht benötigt, sollte man sie auch deaktivieren.

Genau, das Weitere.

In anderen sollte man unter Punkt 8 unserer Liste darauf achten, dass man eine rollenbasierte Zugriffskontrolle integriert. Das kann man sich im weitesten Sinne so vorstellen. Man hat vielleicht auch mal bei so einem herkömmlichen Windows-PC zu bleiben. Es gibt klassische Benutzergruppen zum Beispiel, die in Abteilungen zum Beispiel gegliedert sein können. Das heißt, ich habe meine Office-Abteilung, ich habe vielleicht noch eine Developer-Abteilung und ich habe meine administrative Abteilung, die Geschäftsführung. Und ich kann so eben reglementieren, welche dieser Abteilungen bzw. welche dieser Rollen auf welche Daten von welchen Mitarbeitern zugreifen können. Und kann so schon mal grundsätzlich verhindern, dass zu sensible Daten überhaupt von zu vielen Leuten gelesen, bearbeitet und im Zweifel eben auch geteilt oder abgezogen werden können. Und auch ich als einzelner Mitarbeiter sollte eben schauen, mit wem teile ich eigentlich meine Daten. Und sollte das vielleicht auch immer nur projektgebunden machen und vielleicht auch nicht immer mit der ganzen Firma teilen.

Genau. Dann haben wir nochmal das Thema Protokollierung. Es gibt ein Gesamtprotokoll im Microsoft 365, das sogenannte Unified Audit Log. Das ist letztlich ein Protokoll, in dem alle Dienste gemeinsam ihre Ereignisse reinschreiben. Also da kommt... Da kommen Ereignisse von Exchange rein, von Teams, OneDrive, SharePoint, Azure AD. Also eine zentrale Stelle, an der ich Protokolle abrufen kann. Und da kann ich zum einen natürlich händisch reinschauen. Das ist sehr mühsam, denn man kann sich vorstellen, wenn alle Dienste gemeinsam dort ihre Ereignisse reinschreiben, dann ist dieses Protokoll sehr, sehr umfangreich. Aber ich kann zum Beispiel dort auch eine sogenannte SIEM-Lösung anbinden. Also eine Software, die es mir ermöglicht, Aktivitäten zu erkennen, die aus dem normalen Nutzungsraster fallen. Und damit verliest man typischerweise solche Protokolle. Und diese SIEM-Lösungen können dann eben auch dafür eingesetzt werden, Verhalten zu erkennen. Als Beispiel, da meldet sich plötzlich ein Benutzer nicht mehr aus Deutschland an, sondern plötzlich passiert ein Kontozugriff von den Bahamas. Dann kann es natürlich sein, dass der Mitarbeiter gerade Urlaub auf den Bahamas macht. Kann aber auch genauso gut sein, dass seine Zugangsdaten irgendwo kompromittiert wurden und dann ein unbekannter Dritter darauf zugreift. Das kann man mit solchen Lösungen erkennen und dafür nutzt man dieses Unified Audit Log.

Was ich an der Stelle, also da vielleicht nochmal ganz kurz einhaken, was ich da auch ganz gut finde oder ganz spannend finde, ist, dass man eben auch dafür sorgen kann, dass so Dinge erkannt werden. Wie beispielsweise, dass Mitarbeiter... ...in einem ungewöhnlich kurzen Zeitraum ungewöhnlich viele Daten bzw. Dateien vielleicht aus dem Sharepoint runterladen. Also das sind alles so Indizien, die das ganze System dann misstrauisch werden lassen. Das ist an der Stelle, glaube ich, ganz cool. Genau. So, jetzt Punkt 10. E-Mails verschlüsseln. Da ist gar nicht so lange her, da haben wir darüber gesprochen. Ich glaube, da muss am Ende des Tages jeder für sich entscheiden. Möchte ich meine E-Mails verschlüsselt versenden? Möchte ich verschlüsselte E-Mails empfangen?

Ja, auch abhängig vom Schutzbedarf im Wesentlichen. Also je nachdem, was ich auch für Daten versende. Ich sage mal, sicherlich hat ein Rechtsanwalt und ein Steuerberater sensiblere Daten, die er versendet, als jemand, der, weiß ich nicht, irgendwo im Einzelhandel Lollis verkauft. Stimmt, ja.

Also ich glaube, ohne da jetzt auch zu sehr... Ja, abzudriften in vielleicht technische Details. Dazu gerne nochmal eine von den gar nicht so weit entfernt zurückliegenden Folgen anhören. Da geht es nämlich genau um das Thema, wie kann ich E-Mails verschlüsseln? Warum sollte ich E-Mails verschlüsseln? Und was muss ich beachten, wenn ich verschlüsselten E-Mail-Verkehr auf mich nehmen möchte?

Genau, ist eigentlich gar nicht so kompliziert, wenn man sich einmal damit beschäftigt hat, was es da für Möglichkeiten gibt. Der Einstieg... Der Einstieg ist ein bisschen schwierig. Danach wird es dann deutlich leichter. Und genau, wir haben das in Folge 15 im Detail behandelt. Perfekt. Genau. Und dann haben wir einen Punkt zu guter Letzt. Ja, das ist so der Klassiker, den wir auch schon häufiger angesprochen haben. Das Thema Schulung der Mitarbeiter. Hilft alles nichts, wenn ich noch so gute Schutzmaßnahmen habe. Wenn... Ja. Wenn die Mitarbeiter eben möglicherweise die Schutzmaßnahmen wissentlich oder unwissentlich umgehen. Oder eben auf bestimmte Dinge einfach gar nicht achten. Haben wir auch schon ein paar Mal besprochen, auch im Zusammenhang mit dem Thema Phishing. Dass eben vor allen Dingen die Mitarbeiter darauf achten müssen, ist an dieser E-Mail irgendetwas auffällig? Passt das zum Kontext? Oder kommt da irgendetwas, kommt mir irgendwas merkwürdig vor? Ich würde im Zweifel lieber einmal mehr überprüfen lassen, als... Ja, einmal... Einfach mal klicken und dann ist man irgendwo auf einer Seite gelandet, wo man lieber nicht hin sollte. Und darum geht's. Also Schulung der Mitarbeiter immer wieder wichtiges Thema. Deswegen hier auch letzter Punkt an der Stelle zum Abschluss nochmal. Alle Maßnahmen, die wir davor gesagt haben, sind gut, aber ergänzt werden müssen sie durch eine vernünftige Mitarbeiterschulung.

Ja, der Mensch bleibt leider, das gilt für uns, für alle anderen immer das schwächste Glied der Kette. Ja. Das muss man sagen. Und vielleicht nochmal Schulung, Ausbildung ihrer Mitarbeiter, das mag immer so ein bisschen trocken klingen, aber ich glaube, dass wir in einem Zeitalter leben, wo es da sehr, sehr smarte Lösungen gibt, die das glaube ich mit wenig zeitlichem Aufwand jedem Mitarbeiter sehr gut nahelegen können, auf was er da achten sollte und warum das für ihn und für seine Daten vor allem wichtig ist. Genau.

Wie immer am Ende jeder Folge, wer jetzt mehr wissen möchte, wer... Ja. ... das Gefühl hat, er kann den Schutz seiner Microsoft 365 Daten noch weiter ausbauen, der kann sich gerne melden unter www.hagel-it.de slash Termin und genau, einfach ein kurzes unverbindliches Gespräch buchen bei Dennis, bei mir oder einem unserer Kollegen und dann können wir uns anschauen, wie wir die Sicherheit der Daten verbessern können.

Wir würden uns freuen. Bis dann.