Microsoft 365: Tipps für die systematische Absicherung

Setzen Sie eine Task Force ein, die sich einzig allein um die Absicherung von Microsoft 365 kümmert und um nichts anderes.

Vielerorts sind noch Bedenken rund um die Cloud und Microsoft 365 anzutreffen. Diese Hindernisse müssen zunächst aus dem Weg geräumt werden. Wir empfehlen allen interessierten Unternehmen daher als erste und wichtigste Maßnahme, ein dediziertes Cybersecurity-Team für Microsoft 365 zu bilden. Dieses Team sollte sich um die folgenden Aufgaben kümmern:

• Die Mitarbeiter müssen sich laufend über neue Probleme mit der Plattform informieren;
• zudem sollten sie Empfehlungen zu Sicherheitsmaßnahmen und erprobten Methoden formulieren;
• außerdem sollten sie einen Plan zur Absicherung von Microsoft 365 entwickeln; er wird untere anderem für die eigentliche Migration der Dienste in die Cloud benötigt;
• zu ihren Zuständigkeiten sollte auch die Zusammenarbeit mit allen beteiligten Drittanbietern gehören, um sicherzustellen, dass die Migration und Umsetzung mit den festgelegten Best Practices übereinstimmt; und
• sie sollten direkt mit den Experten von Microsoft zusammenarbeiten, sobald Probleme auftreten.

Nutzen Sie die von Microsoft bereitgestellte Dokumentationen.

Microsoft hat mittlerweile eine umfangreiche Wissensdatenbank und Dokumentation zusammengestellt, die nicht nur viele bereits bekannte Sicherheitsprobleme beschreibt, sondern auch täglich erweitert wird. Besonders hilfreich sind zum Beispiel Beiträge, die sich mit Fehlern bei der Konfiguration beschäftigen.

Die Mitarbeiter der Microsoft 365 Task Force in ihrem Unternehmen sollten diese Dokumentationen so oft wie möglich zurate ziehen. Beispielsweise hat Microsoft Anfang des 2020 eine Empfehlung für eine Technik namens Domain-based Message Authentication, Reporting and Conformance (DMARC) veröffentlicht, mit der sich die Systeme der Kunden weiter absichern lassen.

DMARC dient dazu, intern genutzte Mail-Server zu validieren und zu authentifizieren. Damit kann etwa sichergestellt werden, dass fremde Mail-Server die von dem Unternehmen versendeten Nachrichten nicht blockieren, sondern als vertrauenswürdig einstufen.

Der Einsatz von DMARC zusammen mit dem Sender Policy Framework (SPF) und DomainKeys Identified Mail (DKIM) sorgt für einen zusätzlichen Schutz vor Spoofing und Phishing-Mails. Die Wissensdatenbank von Microsoft enthält hunderte vergleichbare Empfehlungen. Aus diesem Grund sollte sich Ihre Task Force ausführlich mit der Dokumentation beschäftigen und nicht nur in Notfällen darauf zugreifen.

Aktivieren Sie DMARC, SPF und DKIM.

Wenn sie zusammen eingesetzt werden, dann sorgen diese drei Techniken dafür, dass das Risiko von Spoofing- und Phishing-Angriffen erheblich reduziert werden kann. Setzen Sie für diese Konfiguration auf Microsoft Exchange als E-Mail-Service.

Aktivieren Sie zumindest für Ihre Administratoren eine moderne Multifaktor-Authentifizierung (MFA).

Im Idealfall natürlich auch für alle anderen im Unternehmen genutzten Accounts, aber die Admin-Accounts gehen vor. Im Mai 2019 hat die amerikanische Cybersecurity and Infrastructure Security Agency (CISA) darauf hingewiesen, dass MFA (Multifaktor-Authentifizierung) für die meisten Admin-Konten nicht standardmäßig aktiviert ist. Jeder Azure Active Directory Global Admin hat jedoch bereits auch nur als Mandant in einer Umgebung mit Microsoft 365 sehr hohe administrative Privilegien. Das Aktivieren von MFA für alle Administratoren ist deshalb ein essentieller Schritt, um die Sicherheit von Microsoft 365 zu erhöhen.

Aktivieren Sie das standardmäßige Auditing der Mailboxen.

Der erwähnte CISA-Bericht legte ebenfalls offen, dass bis zum Januar 2019 das Auditing der in Microsoft 365 genutzten Mailboxen nicht standardmäßig eingeschaltet war. Die Microsoft 365 Task Force in Ihrem Unternehmen sollte deshalb sicherstellen, dass diese Funktion aktiviert ist.

Prüfen Sie, ob Passwort-Sync benötigt wird

In der Standardeinstellung sorgt Azure AD Connect bei der Migration zu Microsoft 365 dafür, dass lokale Umgebungen mit Azure AD synchronisiert werden. Dabei überschreibt das lokale Passwort das in Azure AD hinterlegte Kennwort.

Falls sich ein Angreifer einen Zugriff auf ein lokales Passwort verschafft, kann er dieses anschließend auch in der Cloud einsetzen – sofern eine Synchronisation durchgeführt wurde. Passwort-Sync wird aber nicht in jeder Situation wirklich benötigt. Falls das auf Ihr Unternehmen zutrifft, sollte die Task Force die Auswirkungen solcher lokalen Angriffe auf die Cloud-Umgebung – und natürlich auch umgekehrt – gründlich evaluieren.

Verzichten Sie auf veraltete Legacy-Protokolle.

Viele in Unternehmen bis heute genutzte Protokolle wie POP3 (Post Office Protocol) und IMAP4 (Internet Mail Access Protocol) unterstützen keine moderne Authentifizierung per MFA. Die CISA empfiehlt deswegen, künftig auf diese Protokolle zu verzichten.

Aktualisieren Sie Anwendungen und Betriebssysteme, bevor Sie Ihre Migration durchführen.

Frühere Versionen von Microsoft-Software wie ältere Office-Varianten enthalten mehrere bekannte Sicherheitslücken und bieten insgesamt nur einen vergleichsweise geringen Schutz vor Angreifern. Aktualisieren Sie daher die gesamte relevante Software, bevor Sie die eigentliche Migration zu Microsoft 365 durchführen.

Testen Sie Anwendungen von Drittanbietern, bevor Sie sie in Microsoft 365 integrieren.

Wenn Sie Microsoft 365 zusammen mit Anwendungen von Dritten einsetzen wollen, egal ob sie intern oder extern entwickelt wurden, sollte Sie vorher umfangreiche Sicherheitstests durchführen, bevor Sie sie gemeinsam nutzen.

Entwickeln Sie Pläne für Backups und Business Continuity und setzen Sie diese in die Praxis um.

Viele Unternehmen gehen fälschlicherweise davon aus, dass der Anbieter automatisch Datensicherungen ausführt, weil Microsoft 365 ein Cloud-basierter Dienst ist. Das ist jedoch nicht der Fall. Microsoft nutzt nur eine Replikation der Daten und keinen traditionellen Backup-Dienst.

Aus diesem Grund kann das Unternehmen nicht garantieren, dass Dateien auch wirklich wiederhergestellt werden können, nachdem zum Beispiel eine Ransomware zugeschlagen hat oder Daten versehentlich gelöscht wurden.

Sorgen Sie für ein Cloud-basiertes Single Sign-on (SSO).

Es ist bekannt, dass es Schwachstellen in der Umsetzung von Microsoft 365 gibt, wenn eine Authentifizierung über mehrere Domains benötigt wird. Aus diesem Grund wurden Federated Domains entwickelt. Bei einer solchen Domäne wird die Authentifizierungsanfrage eines Nutzers an den zentralen ADFS-Server weitergeleitet. Das sorgt für eine einzige Stelle, an der die Authentifizierungen durchgeführt werden. IAM-Spezialisten (Identity and Access Management) wie beispielsweise Okta oder Ping Identity bieten Single Sign-On als Dienstleistung an, um diese Schwachstelle ebenfalls zu schließen.

Prüfen Sie Ihren Microsoft Secure Score sowie den Compliance Score

Microsoft hat mit diesen zwei Bewertungen spezielle Formate (siehe auch Secure Score: Office-Sicherheit optimieren) entwickelt, um die Arbeit der Kunden zu erleichtern. Sie enthalten hunderte von empfehlenswerten Schritten, mit denen der jeweilige Score verbessert werden kann. Beispielsweise ist es relevant, ob eine Maßnahme bereits umgesetzt wurde oder dies noch nicht erfolgt ist und ob das damit einhergehende Risiko durch das Unternehmen akzeptiert wird.

Secure Score beschäftigt sich vor allem mit traditionellen Sicherheitsmaßnahmen und -fragen wie „Haben Sie MFA bereits aktiviert?“, während der Compliance Score eher eine generelle Einschätzung der Gesamtsituation liefert. Er geht dabei auch auf die Vorgaben durch zum Beispiel die Datenschutz-Grundverordnung (DSGVO) in der Europäischen Union oder dem amerikanischen California Consumer Privacy Act ein.

Echte Sicherheit für Microsoft 365 richtig umsetzen

Microsoft 365 kann in Sachen Sicherheit durchaus eine Herausforderung sein. Die Ursachen liegen in der zugrundeliegenden Architektur, im Design der gesamten Plattform, aber auch in ihren Konfigurationsmöglichkeiten. Die in diesem Artikel vorgestellten Best Practices sind daher nur ein erster Schritt. Weitere Bemühungen müssen folgen. Ebenso wichtig wie die Umsetzung der beschriebenen Maßnahmen ist, dass die IT-Spezialisten im Unternehmen die Absicherung von Microsoft 365 niemals aus dem Fokus verlieren, sondern fortwährend an dieser Aufgabe arbeiten.

Viele Unternehmen sehen sich derzeit einem hohen Druck ausgesetzt, zu Microsoft 365 zu migrieren. Nemertes ist jedoch überzeugt, dass die Sicherheitsrisiken in der Plattform gelöst werden können, wenn ein Unternehmen nur bereit ist, auch wirklich den dafür erforderlichen Aufwand zu betreiben.

Zu den wichtigsten Maßnahmen gehört die beschriebene Einrichtung einer Task Force. Sie muss sich intensiv mit der gesamten Thematik auseinandersetzen und dafür auch die benötigten Ressourcen erhalten. Diese Maßnahme ist keine optionale Komponente. Im Gegenteil ist die Einrichtung einer Task Force aus unserer Ansicht absolut unverzichtbar, wenn es ein Unternehmen ernst meint mit der Absicherung von Microsoft 365.