dzianominator - stock.adobe.com
Microsoft 365: Typische Fehler in Sachen Sicherheit
Microsoft 365 zählt zweifelsohne zu den beliebtesten Cloud-Diensten. Dabei kommt es wiederholt zu fehlerhaften Konfigurationen in Sachen Sicherheit, die vermieden werden können.
Das Migrieren und Nutzen von Microsoft 365 (vormals Office 365) kann durchaus auf eine sichere Art erfolgen – allerdings nur dann, wenn sich die IT-Spezialisten in den Unternehmen intensiv mit dem Thema beschäftigen.
Auf keinen Fall sollten sie davon ausgehen, dass Microsoft bereits ausreichend effektive Sicherheitsmaßnahmen in seine Suite aus Cloud-Diensten integriert hat. Erschwerend kommt hinzu, dass Drittanbieter und Hosting-Provider die bestehenden Sicherheitsrisiken weiter erhöhen, da sie teilweise selbst einige Fehler bei der praktischen Umsetzung machen.
Laut der von dem Marktforschungsunternehmen Nemertes Research 2019 und 2020 durchgeführten Untersuchung „Cloud and Cybersecurity Research Study“ hat sich die mittlere Zeit beziehungsweise die Mean Total Time to Contain (MTTC) verdoppelt, die zur Eindämmung eines IT-Security-Vorfalls benötigt wurde, wenn sich ein Unternehmen auf Microsoft als strategischen Cybersecurity-Partner verlassen hat.
Die Berechnung dieser Zeit ist das wichtigste von Nemertes verwendete Maß für die Einschätzung der operativen Sicherheit in Unternehmen. Für die Studie wurden 390 Firmen und Organisationen in elf Ländern befragt, die von großen Konzernen, gemeinnützigen Vereinen bis zu kleineren und mittleren Unternehmen reichte, die in zahlreichen Branchen tätig sind.
IT-Abteilungen sollten daher sehr sorgfältig bei der Absicherung der Microsoft-365-Plattform vorgehen. Ein nicht umfassend durchdachtes Vertrauen auf die von Microsoft durchgeführten Sicherheitsinitiativen ist kein effektiver Ansatz für IT-Profis in Unternehmen.
Sicherheitsprobleme bei der Migration zu Microsoft 365
Im Mai 2019 hat die amerikanische Cybersecurity and Infrastructure Security Agency (CISA) den Report AR19-133A veröffentlicht. Er enthält praktische Empfehlungen, wie Unternehmen die Risiken und Schwachstellen reduzieren können, wenn sie ihre E-Mail-Services zu Microsoft 365 migrieren.
Der Bericht wurde erstellt, nachdem die CISA bemerkt hatte, dass viele Unternehmen gleich mehrere Fehlkonfigurationen bei der Nutzung von Microsoft 365 hatten. Beispielsweise wurden Standardeinstellungen immer wieder so verändert, dass daraus neue Probleme für die IT-Sicherheit entstanden.
Ein paar Beispiele der gefundenen Fehlkonfigurationen:
- Das Abschalten der Funktion zum Mailbox-Auditing (vor dem Januar 2019 war dies allerdings standardmäßig ebenfalls deaktiviert). Dadurch wird es schwierig oder sogar unmöglich, die tatsächlichen Ursachen von IT-Sicherheitsvorfällen zu ermitteln, die mit dem Mail-System zusammenhängen;
- das Abschalten des einheitlichen Audit-Logs. Das Problem damit ist dasselbe wie beim Mailbox-Auditing. Es wird erschwert oder gar unmöglich, gründliche Analysen von sicherheitsrelevanten Vorfällen durchzuführen;
- kein Einsatz einer modernen Multifaktor-Authentifizierung, nicht einmal für Admin-Accounts. Hackern fällt es dadurch leichter, sich einen Zugriff zu Accounts mit erweiterten Rechten zu verschaffen;
- der Einsatz von mittlerweile veralteten E-Mail-Protokollen, die keine Unterstützung für Multifaktor-Authentifizierungen bieten und
- das Aktivieren der Synchronisierung von Passwörtern. Damit wird es Angreifern erleichtert, sich als Administrator auszugeben und sich so erweiterte Zugriffsrechte zu verschaffen.
Die Bedenken der CISA betreffen nicht nur die Unternehmen selbst. Auch von ihnen beauftragte Drittanbieter können Fehlkonfigurationen und unsichere Vorgehensweisen verwenden.
Nicht zuletzt muss auch damit gerechnet werden, dass die Nutzung von Microsoft 365 ein Unternehmen besonders empfindlich gegenüber Phishing-Angriffen macht, da die Plattform sehr weit verbreitet ist. So berichtete etwa Barracuda Networks, dass Microsoft-365-Accounts oft im Visier von gezielten Angriffen stehen, mit denen sie übernommen werden sollen.
Cyberkriminelle nutzen erfolgreich gehackte Accounts dann später für eine Vielzahl übler Machenschaften wie Spear Phishing oder Malvertising-Kampagnen. Das bedeutet, dass Unternehmen, die auf Microsoft 365 setzen, ihre Maßnahmen gegen Phishing verstärken sollten. Diese Empfehlung gilt sowohl für erweiterte technische Kontrollen als auch für zusätzliche Schulungen der Mitarbeiter.
