Ameer - stock.adobe.com
Die unsichtbare Bedrohung: Microsoft-365-Konfiguration
Anders als die Daten werden die Konfigurationen von Microsoft 365 häufig nicht gesichert. Das kann bei einem Vorfall zu einem ernsten Problem in Sachen Resilienz werden.
Microsoft 365 wird von Millionen Unternehmen weltweit für Kommunikation, Zusammenarbeit und Sicherheit eingesetzt. Allerdings gibt es eine Wahrnehmungslücke, die die meisten übersehen: Während Daten-Backups längst üblich sind, werden Microsoft-365-Tenant-Konfigurationen nicht nativ geschützt. Der Verlust dieser Einstellungen kann zu Ausfallzeiten, Compliance-Verstößen und kostspieligen Sicherheitsvorfällen führen.
Das Modell der geteilten Verantwortlichkeit vermittelt zahlreichen Microsoft-365-Benutzern ein falsches Gefühl der Sicherheit. Microsoft ist zwar für die Verfügbarkeit des Dienstes verantwortlich, jedoch nicht für die Sicherung der Daten innerhalb dieses Dienstes. So verfügt Microsoft über native Schutzmaßnahmen gegen versehentliches Löschen oder Hardwareausfälle, aber nicht gegen Cyberbedrohungen wie Ransomware oder Insider-Bedrohungen. Deshalb sind sowohl die Daten als auch die Tenants, in denen sie sich befinden, grundsätzlich anfällig.
Sicherung der Einstellungen werden vernachlässigt
Man kann sich diese Trennung der Zuständigkeiten vielleicht so vorstellen: Man versichert jeden Gegenstand in seinem Haus, vergisst aber, dieses selbst zu versichern. Wenn das Haus nun zerstört wird, kann man zwar alles ersetzen, hat aber keinen Platz mehr, es unterzubringen. Genauso verhält es sich mit Daten und Einstellungen: Die meisten Unternehmen sichern ihre Daten gewissenhaft, vernachlässigen jedoch ihre zahlreichen Konfigurationen, wie etwa:
- Entra ID (ehemals Azure AD): Benutzerkonten, Gruppen, Rollen, Anwendungsberechtigungen
- Intune: Geräteverwaltung und Compliance-Richtlinien
- Defender: Sicherheitsüberwachung und Reaktionsregeln
- Purview: Einstellungen für Datenverwaltung und -aufbewahrung
- Exchange, SharePoint, Teams: E-Mail-Transportregeln, externe Freigaben, Gastzugriffskontrollen
Warum Daten-Backups nicht ausreichen
Die Fehlannahme, dass Microsoft die Tenant-Konfigurationen nativ schützt, ist weit verbreitet. So glaubt, einem aktuellen Report zufolge, rund die Hälfte der IT-Verantwortlichen fälschlicherweise, dass Microsoft die Tenant-Einstellungen nach einem Vorfall wiederherstellt.
Es ist deshalb von größter Bedeutung zu erkennen, dass Daten und Konfigurationen zwei verschiedene Dinge sind – und, dass Konfigurationen erforderlich sind, um Daten Bedeutung und Kontext zu verleihen. Ein tiefgründiger Plan zur Cyberresilienz muss diesen Kontext schützen, also die Struktur und die Einstellungen des Microsoft-365-Tenant und nicht nur die Dateien. Fehlt dieser Kontext, sind die wiederhergestellten Daten unbrauchbar, zumindest ohne aufwendige Wiederherstellung der Konfigurationen. Und dies ist kein Kinderspiel: Die Einstellungen wurden in aller Regel über Jahre hinweg sorgfältig aufgebaut, wodurch die Rekonstruktion häufig mehrere Wochen benötigt.
Microsoft stellt zwar einige Tools zur Verfügung, die dabei helfen, diese Lücken zu schließen. Jedoch lassen sich die meisten Konfigurationskomponenten nicht einfach oder vollständig mit nativen Tools wiederherstellen. Das (zeitweise) Fehlen der richtigen Konfigurationen führt nicht nur zu erheblichen Betriebsstörungen und kostspieligen Ausfallzeiten, vielmehr gefährdet es die komplette Sicherheitslage des Unternehmens. Die Konfigurationen sind eine der wichtigsten Schutzmaßnahmen, die zwischen Angreifern und dem Zugriff auf Systeme und Daten stehen. Ohne Konfigurationen bricht die Zero-Trust-Architektur zusammen.
„Die Fehlannahme, dass Microsoft automatisch Backups der M365-Tenant-Konfigurationen erstellt, ist die größte unsichtbare Bedrohung für die Cyberresilienz. Ohne die effektive Sicherung der Einstellungen sind Unternehmen nur einen menschlichen Fehler, einen Angriff oder eine nicht erkannte Konfigurationsänderung vor einer verheerenden Cyberattacke entfernt.“
Lukas Haas, CoreView
Worauf es der Sicherung der Konfiguration ankommt
Betrachtet man die zentrale Bedeutung der Tenant-Konfigurationen für den Betrieb und die Sicherheit von Unternehmen, muss ihr Backup Teil der Cybersecurity-Strategie werden. Eine spezielle Lösung hierfür sollte folgende Eigenschaften aufweisen:
- Umfassende Backups: Abdeckung aller Regeln, Richtlinien und Einstellungen in Anwendungen wie Entra, Exchange, Teams, SharePoint und Intune.
- Automatisierte Snapshots: Kontinuierliche automatische Backups mit granularen und vollständigen Wiederherstellungsfunktionen.
- Erkennung von Konfigurationsänderungen: Echtzeitüberwachung auf Konfigurationsabweichungen oder Manipulationen inklusive Warnmeldungen an die Sicherheitsverantwortlichen.
- Vollständige Wiederherstellungsfunktion: Automatische Wiederherstellung eines vertrauenswürdigen Zustands, von einer einzelnen Richtlinie bis hin zum gesamten Tenant.
- Compliance und Audits: Unveränderlicher, wiederherstellbarer Nachweis von Konfigurationen zur Einhaltung der Anforderungen von Auditoren und Aufsichtsbehörden.
Das gesamte Haus und nicht nur die Möbel schützen
Daten-Backups sind mittlerweile Standard. Bei der Sicherung der Tenant-Konfigurationen ist jedoch noch ein weiter Weg zu gehen. IT-Verantwortliche müssen die enorme Bedrohung erkennen, die durch den Verlust des Hauses entsteht, in dem die Daten liegen: der Microsoft-365-Tenant. Die Fehlannahme, dass Microsoft automatisch Backups der M365-Tenant-Konfigurationen erstellt, ist die größte unsichtbare Bedrohung für die Cyberresilienz. Ohne die effektive Sicherung der Einstellungen sind Unternehmen nur einen menschlichen Fehler, einen Angriff oder eine nicht erkannte Konfigurationsänderung vor einer verheerenden Cyberattacke entfernt.
Über den Autor:
Lukas Haas ist Solutions Specialist bei CoreView,
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
