In unserer digital vernetzten Welt ist die Sicherung Ihrer «Microsoft 365-Cloud»-Umgebung nicht nur eine Empfehlung, sondern eine Notwendigkeit. Microsoft bietet zwar eine umfassende Top-10-Liste mit Sicherheitsempfehlungen an (Microsoft's 365 Business Security Best Practices), doch die Herausforderungen und Bedrohungen entwickeln sich ständig weiter. Eine individuelle und dynamische Anpassung Ihrer Sicherheitsmassnahmen ist deshalb unerlässlich – insbesondere, weil Microsoft den Ansatz «Usability first» statt «Security first» lebt. In diesem Beitrag beleuchten wir die Top-5-Erkenntnisse, die wir Microsoft 365 als Fehlkonfiguration regelmässig in unseren Microsoft-365-Cloud-Assessments bei Kunden entdecken. Zudem erhalten Sie Tipps, die Ihnen als digitale Aufräumaktion vor einer professionellen Überprüfung dienen.
Sind Sie bereit für die digitale Aufräumaktion Ihrer «Microsoft 365»-Umgebung? Im Folgenden finden Sie fünf praxisnahe Empfehlungen:
1. SharePoint- & OneDrive-Freigabeberechtigungen
Microsoft 365 hat die Art und Weise, wie Unternehmen Dateien teilen, stark vereinfacht. In den Anfängen der «Microsoft 365»-Ära wurden oftmals zu grosszügige Berechtigungen für das Teilen von firmeneigenen Dokumenten vergeben. Selbst wenn Ihr Unternehmen eine offene Kultur fördert und den Austausch mit externen Unternehmen pflegt, sollten Sie die Freigabeeinstellungen auf «authentifizierte Benutzer*innen» beschränken und Ihre Partner als Gäste auf Ihrem «Microsoft 365»-Tenant einladen. Dies minimiert das Risiko, dass Links mit der Einstellung «Jeder» aus Versehen an unbefugte Parteien gelangen oder im Internet zum freien Download erscheinen.
Die Berechtigungen für freigegebene Dateien werden standardmässig mit dem «Edit»-Recht ausgestattet – dies mit der Idee, dass Microsoft 365 mehrheitlich für die Kollaboration mit Externen genutzt wird. Sollte dies nicht Ihren Bedürfnissen entsprechen, passen Sie die Standardeinstellung auf «View» an, um die Dokumente standardmässig mit den tiefst möglichen Berechtigungen zu teilen. Keine Sorge, denn Mitarbeitende können die «Edit»-Berechtigung immer noch aktiv vergeben.
Abbildung 1: Standardeinstellungen für «Files and Folder»-Links
Abbildung 2: «SharePoint Online Admin Center»-Einstellungen
2. Zu komplexe «Conditional Access»-Richtlinien
Die Microsoft Cloud bietet mit Conditional Access ein Werkzeug, um modernste Zero-Trust-Prinzipien mittels einer enormen Granularität zu verwirklichen. Dabei bestimmen Sie, wie Ihre Benutzer*innen basierend auf Signalen wie Client-Apps (z.B. Browser), Geräte-Plattformen, Risiko oder auch Standort auf die Unternehmensressourcen zugreifen können. Dieser Zugriff kann anschliessend mittels Kontrollen wie Multifaktor-Authentifizierung (MFA), Geräte-Konformität, Geräte-Status oder auch weiterführenden «Mobile-Application-Management»-Richtlinien (MAM) gewährt werden.
Der Nachteil der hohen Granularität liegt oft in komplexen Zugriffsrichtlinien, die den angedachten Zweck zwar erfüllen, aber aufgrund mangelnder Überprüfung weiteren, nicht beabsichtigten Zugriff erlauben. Eine einfache Fehlkonfiguration, wie eine ODER-Verknüpfung, die eigentlich eine UND-Verknüpfung sein sollte, kann ein grosses Sicherheitsrisiko darstellen.
Ebenfalls können zu offen gehaltene Ausnahmen in der Konfiguration der Richtlinien klaffende Lücken in ein sonst solides Regelwerk aufwerfen. Prüfen Sie Ihre Richtlinien regelmässig und richten Sie ein Audit-Log ein, um eine Nachverfolgbarkeit der Änderungen zu gewährleisten.
Gratis-Tipp: Überwachen Sie Ihre Sign-In-Logs mit einer Regel (bsp. Log Analytics von Microsoft) auf das Aufkommen von Single Factor Authentication Events. So kontrollieren Sie, ob ungewollte Lücken in Ihren MFA- und CA-Richtlinien vorhanden sind und sich einzelne Benutzer*innen unerlaubterweise ohne MFA anmelden – ein einfaches und dennoch sehr wirksames Mittel in Ihrem Sicherheitsdispositiv.
| Überprüfung der Änderungen an den «Conditional Access»-Richtlinien: |
Microsoft Entra admin center > Protection > Conditional Access > Audit logs (Under ‘Monitoring’ tab) |
| Prüfung, welche «Conditional Access»-Richtlinien aktiv sind und wie diese genutzt werden: | Microsoft Entra admin center > Protection > Conditional Access > Insights and reporting. |
| Prüfung der «Conditional Access»-Richtlinien mittels What-If-Tool: | Microsoft Entra admin center > Protection > Conditional Access > Policies > What-If |
Tabelle 1: Konfigurationskontrolle von MFA- und CA-Richtlinien
3. Access Reviews für Gäste und privilegierte Konten
Die Implementierung regelmässiger Überprüfungen für Gästezugänge sowie intern hochprivilegierte Konten ist entscheidend. Diese Praxis stellt sicher, dass nur berechtigte Personen Zugriff auf sensible Unternehmensdaten haben. Mittels regelmässiger Access Reviews stellen Sie sicher, dass Zugriffsrechte aktuell und angemessen sind.
Wenn Sie über Business Premium oder E3-Lizenzen ohne P2-Addon und/oder ID Governance verfügen, führen Sie den Prozess manuell durch. Erstellen Sie sich eine Terminserie im Kalender und prüfen Sie sporadisch privilegierte Benutzer*innen und externe Gäste.
Sollten Sie über eine P2- bzw. eine E5-Lizenz verfügen, nutzen Sie die integrierte Funktion des Access Reviews seitens Microsoft und lassen Sie sich bei diesem Prozess technologisch unterstützen.
4. Nutzung des Microsoft Secure Score Dashboards
Das Microsoft Security Dashboard bietet Ihnen als Kunde eine Übersicht über Ihren eigenen Secure Score. Diese integrierte Sicherheitsbewertung Ihrer Umgebung zur eigenen Überprüfung und zum Tracking der umgesetzten Massnahmen ist ein wertvolles Hilfsmittel.
Der Secure Score hilft Ihnen, «low-hanging fruits» in Ihrer Umgebung schnell zu identifizieren und abzufangen, was die Sicherheit Ihrer Systeme und Cloud-Umgebung insgesamt verbessert. Diese Übersicht ist ein oft übersehener, jedoch äusserst wertvoller Ausgangspunkt für die Optimierung Ihrer Cybersicherheit.
Ihr firmeneigenes Secure Score Dashboard macht Sie auf Themen wie ungepatchte Schwachstellen, fehlerhafte Konfigurationen oder schlecht abgesicherte Managementports aufmerksam. Über den Service des «Defender for Cloud» von Microsoft können Sie solche Prüfungen auf Ihre gesamte Cloud-Umgebung, inkl. Microsoft Azure, Google Cloud und Amazon Web Services erweitern.
Abbildung 3: Prüfung auf ungepatchte Schwachstellen und Empfehlungen zur sicheren Konfiguration
5. MFA – immer noch ein kritischer Punkt
Trotz der ständigen Empfehlungen und Warnungen ist die vollständige Implementierung von Multi-Faktor-Authentifizierung (MFA) in vielen Unternehmen noch immer nicht erreicht. Das Fehlen von MFA auf allen Nutzerkonten macht Organisationen besonders anfällig für Angriffe. Unser Incident Response Team und unsere Security Consultants haben zahlreiche Vorfälle erlebt, bei denen das Fehlen von MFA den Angreifern den Einstieg erleichtert hat.
Es ist daher essenziell, MFA auf allen extern exponierten Diensten zu implementieren und regelmässig zu prüfen, ob alle Nutzerkonten geschützt sind. Ebenfalls sollte die MFA-Registration mittels Standort und/oder Geräte-Konformität zusätzlich eingeschränkt werden. Erwägen Sie die Integration eines Identity Providers Ihrer Wahl, um eine zentrale Benutzerverwaltung und Authentifizierung zu ermöglichen. Dies bietet nicht nur einen höheren Sicherheitsgewinn, sondern optimiert auch betriebliche Abläufe.
Eine noch sicherere Lösung ist eine direkte Einführung von Phishing-resistenten Authentisierungsmethoden – beispielsweise FIDO2-Schlüssel oder TPM-basierte Authentisierungsmechanismen wie Windows Hello. Die Zukunft ist 'passwordless', was deutlich sicherer und auch für Geschäftsanwendungen geeigneter ist, da diese starke Anmeldeoption aufgrund ihrer Benutzerfreundlichkeit im Betrieb eine hohe Akzeptanz findet. Gerne besprechen wir mit Ihnen die Möglichkeiten zur Absicherung Ihrer Identitäten.
Unser Fazit – für Ihre bestmögliche «Microsoft 365-Cloud»-Sicherheit
Dieser kompakte Leitfaden soll Ihnen helfen, die Cybersicherheitsmassnahmen Ihres Unternehmens zu stärken und eine robuste Verteidigung gegen Online-Bedrohungen aufzubauen. Indem Sie proaktiv handeln und unsere Empfehlungen umsetzen, können Sie die Sicherheit Ihrer digitalen Assets wirkungsvoll verbessern und Ihre Organisation vor potenziellen Cyberangriffen schützen.
Regelmässige Überprüfungen und die Anpassung von Sicherheitsstrategien sind dennoch unerlässlich, um Ihre «Microsoft 365»-Umgebung sicher zu halten. Nutzen Sie die verfügbaren Ressourcen von Microsoft und ziehen Sie externe Expertenbewertungen heran, um Ihre Cyberresilienz zu stärken. Für eine tiefergehende Analyse und massgeschneiderte Sicherheitsstrategien steht Ihnen unser Team für ein Microsoft-365-Cloud-Assessment zur Seite.
Als von Microsoft zertifizierter «Solution Partner for Security» unterstützen wir Sie gerne mit einer unabhängigen Überprüfung oder führen eine sicherheitstechnische Optimierung Ihrer Cloud-Umgebung nach den Best Practices von Microsoft durch, verbunden mit den Erfahrungen unseres Incident Response Teams.
Möchten Sie mehr über «Microsoft 365-Cloud»-Sicherheit erfahren?
In einem nächsten Blogartikel zum Thema Microsoft-365-Cloud-Sicherheit erfahren Sie, welche fünf Erkenntnisse wir aus den Microsoft-365-Cloud-Advanced-Assessments gewonnen haben. Bleiben Sie dran, abonnieren Sie unsere Blog-Updates und wir senden Ihnen unsere Blogartikel direkt in Ihr Postfach.
Verkürzen Sie sich die Wartezeit mit der Lektüre dieser Artikel zur «Microsoft 365-Cloud»:
• Wie Sie Office 365 in hybriden Umgebungen sicher nutzen
• Was Sie bei einer Cyberattacke auf Ihren Identity Provider tun sollten
Wir wünschen Ihnen eine inspirierende Lektüre.
