Office 365, Teams, SharePoint Online, Planner und mehr. Die Produktivitätswerkzeuge von Microsoft bieten tolle Möglichkeiten die Zusammenarbeit im Unternehmen effizient und modern zu gestalten. Mitarbeiter können von überall auf die Daten zugreifen, in Echtzeit miteinander kommunizieren, Dokumente und Bildschirme teilen.
Klingt vielversprechend, aber ist das auch sicher? Wenn jeder von überall zugreifen kann, dann sind Ihre Daten doch auch überall? Sind die Informationen im eigenen Netzwerk nicht viel besser aufgehoben?
Wir können diese Frage eindeutig mit Nein beantworten – vorausgesetzt, man setzt die richtigen Schutzmaßnahmen ein.
Dieser Beitrag beschäftigt sich heute mit den Security Mechanismen, die Microsoft 365 für Ihr Unternehmen bietet. Es handelt sich dabei nur um eine Auswahl mit Schwerpunkt auf mobile Endgeräte (iOS und Android). Ich möchte Ihnen damit einen Überblick verschaffen, was möglich ist und helfen, die einzelnen Produkte einzuordnen.
Ich gehe dabei ganz bewusst nicht in die Tiefe und versuche, das Thema auch für den technischen Laien verständlich zu beschreiben.
Grundlegende Überlegungen
In vielen Unternehmen und IT Bereichen herrscht noch immer die Meinung vor, Daten können nur innerhalb des eigenen Unternehmensnetzwerks sicher sein. Eine Firewall schützt diese Daten dann vor unbefugtem Zugriff.
Dies steht allerdings in krassem Widerspruch zur heutigen Arbeitswelt. Mobile Vertriebsmitarbeiter, Servicetechniker, Home Office, Smartphones und Tablets: Arbeit findet heute nicht mehr innerhalb des Unternehmensgebäudes statt. Also verlassen auch unsere Daten das Netzwerk. Damit ist es zwingend erforderlich, unsere Schutzmechanismen auch dort zu haben, wo die Daten sind:
Am Speicherort beim Cloudanbieter, beim Transfer auf unsere Endgeräte, insbesondere aber direkt auf den Endgeräten und an den Daten selbst! Wir sprechen davon, die Daten „Ende-zu-Ende“ zu schützen.
Betrachten wir die mit Microsoft 365 verfügbaren Security Maßnahmen daher im Folgenden von Ende-zu-Ende:
- Maßnahmen seitens Microsoft zur Speicherung in den Cloud-Diensten wie SharePoint oder Exchange
- Maßnahmen beim Transport zum Endgerät
- Kontrolle des Zugriffs auf die Daten in Ihren Applikation
- Schutz der Daten auf den Endgeräten
- Schutz der Daten selbst
Maßnahmen bei Microsoft zur Speicherung in den Cloud-Diensten
Grundsätzlich unterscheidet man zwischen Schutz der Daten am Speicherort „data at rest“ und der Daten während der Übertragung „data in transit“. Das Prinzip ist nicht neu: Selbst in der nicht-digitalen Welt bewahren Sie ihre vertraulichen Dokumente im Tresor auf („data at rest“). Beim Versand an einen Geschäftspartner schützen Sie diese mindestens mit einem Umschlag und versenden sie nicht als Postkarte („data in transit“). Betrachten wir zunächst „data at rest“.
Die gute Nachricht vorab: Hier besteht kaum Handlungsbedarf für Ihr Unternehmen. Die Schutzmaßnahmen bei Microsoft sind so umfangreich, dass sie selbst durch große Unternehmen nicht im eigenen Rechenzentrum abbildbar sind. Microsoft investiert jährlich etwas 1 Milliarde USD in Sicherheit. Allein das spricht für sich. Detaillierte Informationen hierzu finden Sie unter https://www.microsoft.com/en-us/security. Hier empfehle ich insbesondere den Artikel, den Sie unter „Operations“ finden.
Maßnahmen beim Transport zum Endgerät
Die Datenübertragung bei Microsoft 365 findet zu jedem Zeitpunkt grundsätzlich verschlüsselt statt. Als Benutzer spüren Sie das z.B. anhand der „https:“-Adressen, die Sie im Browser verwenden. HTTPS ist aber nicht gleich HTTPS – hier werden je nach Serverbetreiber unterschiedliche Verschlüsselungsprotokolle angewendet. Wichtig zu wissen ist, dass Microsoft hier immer nur die aktuellsten Protokolle mit den höchsten Sicherheitsstandards unterstützt.
Transportverschlüsselung findet mit M365 aber nicht nur auf dem letzten Abschnitt zum Benutzer statt. Auch jeder Weg dazwischen wird jederzeit verschlüsselt. Beispiele sind die Datenübertragung von der Datenbank zur Applikation oder zwischen Servern, die miteinander kommunizieren.
HINTERGRUNDINFORMATIONEN:
Kontrolle des Zugriffs auf Ihre Daten: Wer darf unter welchen Voraussetzungen darauf zugreifen?
Kommen wir nun zu den Bereichen, in denen Sie selbst aktiv und Microsoft 365 für Ihren Anwendungszweck gestalten können.
Eine der Fragen, die wir uns stellen müssen ist: Wer darf unter welchen Bedingungen auf unsere Anwendungen zugreifen?
Wollen wir den Zugriff von allen Geräten zulassen? Soll der Zugriff eventuell nur auf die vom Unternehmen verwalteten und bekannten Geräte eingeschränkt werden? Darf der Zugriff von Überall aus erfolgen, oder nur aus dem Unternehmensnetz heraus?
Wie auch immer Sie diese Fragen für sich und Ihr Unternehmen beantworten: Microsoft 365 bietet mit dem „Conditional Access“ („Bedingter Zugriff“) die technische Lösung dafür.
Mit dem Conditional Access können Sie ein Regelwerk für den Zugriff auf Ihre Applikationen definieren, z.B. für SharePoint, Teams, Outlook, aber auch jede andere Anwendung, die Sie ggf. selbst entwickelt haben.
Jede Regel enthält Eingangsbedingungen (Conditions), die den Zugriff analysieren:
- Wer greift zu? (Benutzer und Benutzergruppen)
- Worauf greift jemand zu? (Unsere Applikationen und Dienste)
- Von welchem Gerätettyp erfolgt der Zugriff (Windows PC, MAC, iOS, Android, …)
- Von wo aus erfolgt der Zugriff? (Netzwerke, Länder)
- Welche Client Applikation wird verwendet? (Browser, Desktop Clients, …)
- Erfolgt der Zugriff von einem Gerät des eigenen Unternehmens oder von einem Gerät, dass aufgrund seiner Einstellungen als sicher anerkannt wird?
- Mit welchem Risiko ist der Zugriff verbunden? Hier greifen Intelligenzen seitens Microsoft, die das Benutzerkonto auf Gefährdungen untersuchen. Wenn der Verdacht besteht, das Konto sei kompromittiert, kann der Zugriff z.B. unterbunden werden.
Je nach Eingangsbedingung, können Sie in einer Regel nun definieren, ob und wie der Benutzer auf Ihre Applikation zugreifen kann. Entweder Sie unterbinden den Zugriff, oder sie erlauben ihn mit bestimmten Nebenbedingungen, unter anderem:
- Sie fordern zusätzlich zum Passwort noch einen sog. Zweiten Faktor an.
- Sie erlauben den Zugriff nur für als „Compliant“ markierte Geräte, die Ihre Mindestanforderungen an Sicherheitseinstellungen aufweisen
- Sie erlauben nur die Unternehmenseigenen Geräte
- Sie erlauben nur bestimmte Apps, in denen Sie die Datenschutzeinstellungen kontrollieren.
- Sie verbieten den Download von Informationen und erlauben nur die Anzeige im Browser.
- Sie erlauben den Zugriff nur nach expliziter Bestätigung von Nutzungsbedingungen.
Da das alles recht abstrakt ist, hier zwei beispielhafte Anwendungsfälle, die wir für Kunden implementiert haben:
- Zugriff auf Office 365 ist nur von unternehmenseigenen Geräten uneingeschränkt erlaubt. Erfolgt der Zugriff von einem unbekannten Gerät, dann wird der Download unterbunden. So wird sichergestellt, dass zwar einzelne Dokumente auf fremden Geräten angezeigt werden können. Das Risiko des massenhaften Downloads und der Weitergabe an Unbefugte wird aber minimiert.
- Der Zugriff auf mobilen Endgeräten ist nur von Apps aus möglich, die mit Policies geschützt werden. Damit wird z.B. die Möglichkeit unterbunden, Informationen per WhatsApp weiterzugeben oder Dokumente in die private Dropbox der Benutzer zu kopieren.
Schutz der Daten auf den Endgeräten und der Endgeräte selbst
Wir haben im vorangegangenen Abschnitt schon darüber gesprochen, dass der Zugriff auf bestimmte Endgeräte oder Apps eingeschränkt werden kann. Aber warum?
Schutz der Geräte
Microsoft Intune bietet Ihnen die volle Kontrolle über alle Ihre Geräte, egal ob Windows PC, Mac oder mobile Geräte mit iOS und Android. Wir sprechen hier von „Device Management“.
Mit Intune legen Sie u.a. fest, dass auf allen Windows-Geräten Ihres Unternehmens die Festplatte mit BitLocker verschlüsselt ist, immer die aktuellsten Security Patches installiert sind und ein Viren/Malware Schutz aktiviert ist. Ähnliche Vorgaben können Sie für Ihre mobilen Geräte einstellen.
Selbst Geräte, die nicht zu Ihrem Unternehmen gehören (Bring your own device), können Sie mindestens auf diese Einstellungen überprüfen.
Sobald ein Gerät nicht Ihren Mindeststandards entspricht, können Sie entsprechend darauf reagieren, z.B.
- Verbieten Sie den Zugriff auf Unternehmensdaten mit Conditional Access
- Verbieten Sie den Download von Daten auf diese Geräte
Wenn ein durch Intune verwaltetes Geräte gestohlen oder verloren wird, können Sie remote alle Daten des Gerätes löschen.
Schutz mobiler Apps
Gerade bei mobilen Zugriffen werden häufig private Geräte verwendet, da Mitarbeiter ohnehin ein Smartphone haben. Selbst wenn solche Geräte auf Ihre Unternehmensdaten zugreifen, die Sie evtl. nicht mit Intune kontrollieren wollen, können Sie aber die Apps steuern, mit denen der Zugriff erfolgt.
Legen Sie z.B. fest, dass alle Apps, die auf Ihre Daten zugreifen mit einer PIN geschützt und die Daten in der App verschlüsselt sein müssen. Verbieten Sie das Teilen von Daten mit anderen Apps, um den Informationsabfluss nach WhatsApp oder Dropbox zu unterbinden. Löschen Sie die Unternehmensdaten in den Apps, wenn ein Benutzer zu oft die falsche PIN eingibt.
Zusammengefasst bieten die Intune App Protection Policies die Möglichkeit, selbst auf unbekannten Geräten einen geschützten Container mit Unternehmensdaten aufzubauen, der von den privaten Daten isoliert ist.
Schutz der Daten selbst: Azure Information Protection
Der Teil „Information Protection“ befasst sich mit der kleinsten Einheit in unserer Sicherheitskette -mit der Information an sich.
Azure Information Protection bietet einen Rundumschutz für Ihre Informationen in Dokumenten.
Klassifizieren
Unter „Klassifizieren“ verstehen wir die Einteilung Ihrer Informationen in Kategorien, je nachdem welche Daten sie enthalten. Bekannte Klassifikationen sind z.B. Geheim, Vertraulich, Intern, Öffentlich.
Mit Azure Information Protection können Sie Ihre Dokumente komfortabel direkt in Microsoft Office oder Windows 10 klassifizieren. Sie können ebenso Regeln definieren, um Dokumente automatisch anhand Ihres Inhalts zu klassifizieren. Kommt im Dokument z.B. eine Kreditkartennummer oder von Ihnen definierte Schlüsselbegriffe, erfolgt die Klassifizierung automatisch.
Schützen
Auf Basis der gewählten Klassifizierung werden die Informationen anhand Ihrer Vorgaben geschützt. Als Vertraulich oder Geheim klassifizierte Dokumente werden verschlüsselt und können nur von einem vorher definierten Benutzerkreis geöffnet werden.
Über die reine Verschlüsselung hinaus legen Sie auch fest, wer mit den Dokumenten welche Aktionen ausführen kann. Möchten Sie z.B. unterbinden, dass einige Benutzer die schützenswerten Dokumente drucken, bearbeiten oder Informationen heraus kopieren können?
Der Schutz durch AIP umfasst auch Ihre E-Mails, die bei Bedarf verschlüsselt werden. Möchten Sie bestimmte Mails kontrollieren, so dass sie nicht weitergeleitet werden können? Kein Problem mit Microsoft Information Protection!
Im Gegensatz zu klassischen Verschlüsselungsverfahren prüft Information Protection bei jedem Öffnen, ob ein Benutzer dazu berechtigt ist. Wenn also einer Ihrer Mitarbeiter das Unternehmen verlässt, sind auch die Daten wertlos, die er ggf. vorher auf einem USB Stick mitgenommen hat.
Mit Hilfe von Microsoft Cloud App Security sind Sie neben der Verschlüsselung auch in der Lage, den Schutz Ihrer Informationen so zu erweitern, dass Sie den Download verbieten. Es ist nur eine Online-Anzeige im Browser möglich!
Überwachen
Jeder Zugriff auf die von Ihnen geschützten Dokumente wird protokolliert. Microsoft bietet Ihnen umfangreiche forensische Analysemöglichkeiten, so dass Sie im Verdachtsfall die notwendigen Grundlagen haben.
Mit AIP geschützte Dokumente können Sie zurückziehen und das Öffnen für alle Anwender verbieten, selbst wenn die Dateien das Unternehmen bereits verlassen haben.
Fazit
Zusammengefasst bietet Microsoft mit der M365 Suite einen umfangreichen und vollständigen Schutz Ihrer Informationen und versetzt Sie in die Lage, diese zu kontrollieren. Einer der großen Vorteile ist die Integration aller Bestandteile des Lösungskonzeptes in einer einzigen Suite. Es ist nicht notwendig, einzelne Produkte anderer Hersteller selbst mühsam zu integrieren oder Add-Ins für Outlook und Office zur Verfügung zu stellen. Solche Einzellösungen sind in der Summe meist auch noch deutlich teurer.
