Office 365-Sicherheit in Fragen und Antworten
Während Office 365 die Schwelle von 100 Millionen aktiven Benutzern bereits überschritten hat, ist dies noch nicht das Limit. Die letzte Globale SharePoint Umfrage von Hyperfish, Sharegate and Nintex zeigt, dass wenigstens 32% der Organisationen ihre Migration auf Office 365 planen, und 16% sind schon im Prozess. Interessant ist, dass weitere 32% der Befragten bestätigen, dass Office 365-Sicherheitsbedenken der wesentliche Grund sind, warum sie in die Cloud nicht umsteigen.
Mit dem Release von Microsoft 365, das Office 365 umfasst und die Unternehmenssicherheit als Teil des Pakets bietet, haben Unternehmen noch mehr Möglichkeiten, ihre Cloud-Zusammenarbeit zu starten. Deshalb können wir noch mehr Zweifel und Gespräche über die Sicherheit beider Cloud-Suites erwarten.
Gibt es also wahre Gründe für Organisationen, sich Sorgen zu machen, oder sind die sicherheitsbezogenen Ängste unbegründet? In diesem Artikel werden wir uns auf verschiedene Sicherheitsaspekte von Office 365 und Microsoft 365 konzentrieren. Wir beantworten die häufigsten Fragen zur Office 365-Sicherheit, damit Sie sich entscheiden können, ob Sie der Microsoft-Cloud vertrauen können oder lieber bei Ihrem On-Premises-Deployment bleiben.
Office 365-Sicherheit aus organisatorischer Sicht
Organisationen, die sich entschieden, ihre On-Premises-Deployments in die Cloud zu migrieren, können sich unsicher fühlen. Wenn ein Unternehmen sich daran gewöhnt, seine Deployments und Daten vollständig zu steuern, kann sie zögern, sie in die Cloud umzusetzen, die einem Dritten gehört und von ihm verwaltet wird, sogar wenn das ein weltbekannter Softwaregigant ist.
Lassen Sie uns einige Fragen beantworten, die Unternehmen haben können, wenn sie sich dafür entscheiden, mit Office 365 zu beginnen.
Welche Maßnahmen trifft Microsoft zum Schutz unserer Office 365-Daten?
Physisch wird Ihr Deployment in Microsoft-Datenzentren in verschiedenen Teilen der Welt gehostet. Microsoft stellt mehrere Schichten physischer Sicherheit in ihren Datenzentren sicher, um Versuche von physischen Unterbrechungen zu verhindern. Microsoft ist auch dafür verantwortlich, dass Office 365 einsatzbereit ist, und es führt regelmäßig Funktions- und Sicherheitsupdates für die Suite durch.
Microsoft verpflichtet sich, Ihre Daten für Dritte unzugänglich zu halten und sie für Werbe- oder Marketing-Kampagnen nicht zu verwenden. Sie sollten jedoch verstehen, dass Microsoft in bestimmten Extremsituationen Ihre Daten offen legen muss. Das kann bei gesetzlichen Anforderungen der Fall sein. Seien Sie aber sicher, dass Ihre Daten nur dann veröffentlicht werden, wenn Microsoft scheitert, Ihre Organisation mit allen verfügbaren Mitteln zu kontaktieren.
Welche Office 365-Sicherheitsfeatures können wir nutzen?
Microsoft hält sich an das Defense-in-Depth-Prinzip, um einen robusten Schutz seiner Cloud-Dienste zu gewährleisten. Dieses Prinzip setzt mindestens zwei Kategorien von Office 365-Sicherheitsfunktionen voraus:
- Integrierte Sicherheitsfunktionen
- Steuerelemente für Kunden
Microsoft hält sich an seine proprietäre Bedrohungsmanagementstrategie, welche eine Reihe von Bedrohungsschutzmechanismen umfasst, um Organisationen vor Schadsoftware und Viren, Phishing-Kampagnen und Spoofing, DDoS-Angriffen und anderen Typen der Sicherheitsbedrohungen zu schützen.
Es gibt auch mehrere Steuerelemente für jede Organisation, um ihre einzigartige Sicherheit innerhalb der Office 365-Umgebung zu gewährleisten. Diese Sicherheitsschicht deckt solche wichtigen Sicherheitsaspekte ab wie ein sicherer Zugriff auf die Office 365-Dienste, auf welche das Unternehmen abonniert ist, Multi-Faktor-Authentifizierung und rollenbasierte Zugriffskontrolle für Endbenutzer, Data-Loss-Prevention (DLP) Features, Nachrichtenverschlüsselung usw.
Können wir bei Verwendung von Office 365 kompatibel bleiben?
Compliance ist einer der größten Schmerzpunkte für Organisationen, die die Einführung von Office 365 erwägen. In Wirklichkeit ist dieser Aspekt wirklich mehrdeutig.
Momentan erfüllt Office 365 die Anforderungen, die in ISO 27001, Modellklauseln der Europäischen Union, Assoziationsabkommen über Krankenversicherungsportabilität und Accountability-Act- Business (HIPAA BAA), und dem Federal Information Security Management Act (FISMA) bestimmt sind.
Darüber hinaus bietet Microsoft eine Vielzahl von Zertifizierungen und Bescheinigungen an, mit denen Unternehmen ihre nationalen, regionalen und branchenspezifischen Anforderungen erfüllen können. Sie können eine umfassende Liste der Zertifikate im Office 365 Trust Center finden.
Der schnellste Weg, um zu sehen, welche Office 365-Dienste und -Apps die höchste Stufe der Compliance erfüllen, finden Sie im Microsoft Compliance Framework. Daher werden Sie sehen, dass SharePoint Online eine höhere Kompabilitätskategorie als zum Beispiel Microsoft Teams oder Planner hat, was bedeutet, dass der letzte noch immer Lücken in seiner Kompabilität hat. Was Microsoft Stream betrifft, ist dieser neue Office 365-Dienst mit den Compliance-Funktionen überhaupt nicht abgedeckt und sich derzeit nur in einer Überprüfungsphase befindet.
Alles in allem, lohnt es sich, an Kompabilitätsproblemen direkt mit Microsoft oder mit Ihrer Office 365-Beratungsagentur zusammenzuarbeiten. Genau das hat Henkel bei der Implementierung von Office 365-Lösungen gemäß der Datenschutz-Grundverordnung (DSGVO) getan.
Office 365-Sicherheit aus der Sicht des Endbenutzers
Office 365 bietet eine große Social Collaboration Flexibilität, sodass Mitarbeiter die Suite auf verschiedenen Geräten und von beliebigen Standorten aus verwenden können. Diese Freiheit sollte jedoch mit dem Vertrauen einhergehen, dass Mitarbeiter in einer geschützten Umgebung arbeiten, insbesondere wenn sie mit sensiblen Daten zu tun haben.
Kann jemand auf den Inhalt zugreifen, an dem ich in Office 365 arbeite?
Office 365 ermöglicht die Verschlüsselung der Daten sowohl auf Speichersystemen als auch während der Übertragung, was bedeutet, dass Ihr Inhalt verschlüsselt ist und nicht gelesen werden kann, außer wenn ein böswilliger Benutzer eine Entschlüsselungscode hat. Office 365 verwendet erweiterte Verschlüsselungsprotokolle und -technologien, einschließlich TLS/SSL-Protokolle, Internet Protocol Security (IPSec) und Advanced Encryption Standard (AES).
Wir müssen hervorheben, dass die Verschlüsselung der Daten auf Speichersystemen Enterprise-Apps und Leistungen betrifft. So schützt OneDrive for Business zum Beispiel alle darin gespeicherten Dateien, während OneDrive für Nicht-Geschäftsanwender keine Inhaltsverschlüsselung sicherstellt. Vermeiden Sie daher die Verwendung Ihres persönlichen Speichers anstelle von Unternehmensspeichern.
Kann ich Office 365 auf Mobilgeräten sicher verwenden?
Die mobile Sicherheit von Office 365-Abonnenten wird über zwei Hauptgruppen von Tools bereitgestellt: integrierte Mobile Device Management (MDM) Features und Microsoft Intune.
Mit MDM für Office 365 können Sie dedizierte Mobilrichtlinien erstellen, um den Zugriff auf organisatorische E-Mails und Dokumente für unterstützte mobile Geräte und Apps zu steuern. Wenn Sie also Ihr Gerät verlieren, können die Administratoren von Office 365 entfernt auf das Gerät zugreifen und vertrauliche Daten entfernen, sofern vorhanden.
Organisationen mit komplexen mobilen Umgebungen können Microsoft Intune verwenden. Office 365-Benutzer können über ein separates Abonnement darauf zugreifen, während Microsoft 365 es gebrauchsfertig (Out-of-the-Box) bereitstellt. Der Dienst ermöglicht die Verwaltung von Sammlungen der Mobilgeräte und die Steuerung des mobilen Zugriffs auf Office 365-Dienste sowie die Verwaltung mobiler Anwendungen.
Wie kann ich Kontrolle über die geteilten Daten behalten?
Data Leak Prevention Richtlinien helfen dabei, diese Office 365 Sicherheitsherausforderung zu beheben. Wenn Office 365-Administratoren DLP-Richtlinien festlegen, werden automatische Benachrichtigungen jedes Mal ausgelöst, wenn Sie versuchen, E-Mails zu senden oder Dokumente mit vertraulichen Informationen zu teilen, sei es Finanzdaten oder personenbezogene Daten (PII): Kreditkartennummern, Sozialversicherungsnummern und Gesundheitsakten. Während Sie die Kontrolle über die von Ihnen freigegebenen Daten immer behalten können, können Administratoren sensible Datenflüsse jederzeit überwachen und blockieren.
Office 365-Sicherheit aus der Sicht des IT-Administrators
Schließlich kommen wir zu IT-Spezialisten, die für die gesamte Unternehmenssicherheit verantwortlich sind. Um die geschützte Arbeit der Mitarbeiter in der Suite zu gewährleisten, können IT-Experten eine Vielzahl von Sicherheitsmethoden und Tools in Office 365 anwenden.
Wie können Administratoren die Sicherheit von Office 365-Deployment überwachen?
Die Administratoren von Office 365-Geschäftsplänen erhalten den Zugriff auf das Office 365 Admin Center. Mithilfe der nativen Funktionen vom Admin Center können IT-Spezialisten eine Vielzahl von Sicherheitsparametern in ihren Office 365-Lösungen verwalten, darunter:
- Benutzerberechtigungen
- Sicherheitseinstellung in Office 365-Gruppen
- Sicherheitsupdates
- Zugriffsrechte für externe Benutzer
- Sicherheitsrichtlinien
- Sicherheitsberichte zum Sicherheitsstatus über Office 365-Apps und -Dienste usw.
Darüber hinaus können Office 365-Administratoren auf separate Admin Center für wichtige Office 365-Apps und -Dienste wie Exchange Online, SharePoint Online, Skype for Business und Yammer zugreifen. Dadurch können Administratoren granuläre Sicherheitssteuerelemente in jeder der Office 365-Komponenten einrichten und eine detaillierte Ansicht der einzelnen Komponenten haben.
Wie können Administratoren Office 365-Sicherheitsschwachstellen entdecken?
Um den Überblick über die Office 365-Sicherheit zu behalten, können IT-Administratoren ein spezialisiertes analytisches Tool Office 365 Secure Score verwenden. Bei der Analyse der Office 365-Umgebung ermöglicht Secure Score es den Office 365-Administratoren das folgende:
- Den aktuellen Sicherheitsstatus der Bereitstellung einzuschätzen und es mit den etablierten Grundlinien zu vergleichen.
- Sicherheitsprobleme zu entdecken, die die Aufmerksamkeit des Administrators erfordern, um einen möglichen Sicherheitsverstoß in Office 365 zu verhindern.
- Empfehlungen zu erhalten, wie die erkannten Probleme behoben und die allgemeine Sicherheitsbewertung verbessert werden können.
Abgesehen davon bietet Secure Score eine umfassende Risikobewertung und zeigt das Risiko, welchem das Unternehmen begegnet, wenn es keine Maßnahmen ergreift.
Welche Maßnahmen sollten Administratoren ergreifen, um das Risiko von Cyberattacken zu minimieren?
Wir leben in einer cyber-unsicheren Welt, wo eine große Anzahl von Verletzungen jeden Tag passiert, so wäre es naiv zu erwarten, dass Office 365 keine Angreifer anziehen wird.
Gegenwärtig sind Brute-Force-Angriffe und E-Mail-bezogene Angriffe, die auf das Exchange Online Service abzielen, offensichtlich vorherrschend. Im Jahr 2016 fand ein massiver Ransomware-Angriff auf Millionen von Office 365-Benutzern statt. Seit Mai 2017 berichten Organisationen auf der ganzen Welt gezielte "KnockKnock"-Angriffe auf ihre Exchange Online-Konten.
Unter berücksichtigung der Tendenz sollten IT-Administratoren besonders auf Kennwortrichtlinien achten und die Office 365-E-Mail-Sicherheit aktivieren und kontinuierlich überwachen. Es kann auch sinnvoll sein, Penetrationstests mindestens einmal pro Jahr durchzuführen, um die Sicherheit der Office 365-Umgebung zu überprüfen.
Seien Sie proaktiv in Ihrer Office 365-Sicherheit
Obwohl Office 365 eine Cloud-Plattform von Microsoft ist, sollten Sie nicht glauben, dass Microsoft für die Sicherheit Ihrer Lösung allein verantwortlich ist. Ja, die Korporation bemüht sich sehr, um unterschiedliche Sicherheitsfunktionen zu implementieren, die ihre Kunden nutzen können. Der gesamte Cloud-Schutz kann kaum in Frage gestellt werden.
Gleichzeitig gehört Ihre Office 365-Lösung Ihnen. Nur Sie können also die gesamte Kontrolle Ihrer Office 365-Umgebung und der Benutzer übernehmen. Die Sicherheit ist einer der Aspekte, bei denen es wichtig ist, proaktiv zu sein. Warten Sie nicht auf einen echten Angriff, welcher Ihr Office 365- Deployment kippt, sondern ergreifen Sie vorbeugende Maßnahmen. Wenn Sie über keine internen Ressourcen verfügen, um Sicherheitsherausforderungen zu bewältigen, können Sie sich immer an ein Office 365- Beratungsteam wenden, das Ihnen bei der Erstellung einer robusten, auf Ihre Organisation abgestimmten Sicherheit hilft.
Was sind Ihre Office 365-Sicherheitsbedenken? Welche Tools verwenden Sie und welche Technologien erweisen sich für Ihre Office 365-Bereitstellung als effektivere? Sie können gerne Ihre Erfahrungen in den Kommentaren unten teilen.