Sicherheit in Microsoft 365 – Risiken und Gegenmaßnahmen
In den letzten Jahren ist Microsoft 365 zu einer unverzichtbaren Plattform für viele kleine und mittelständische Unternehmen geworden.
Die Nutzung von Cloud-Diensten bietet zahlreiche Vorteile, bringt jedoch auch neue Herausforderungen und Sicherheitsrisiken mit sich.
Angesichts aktueller Pressemeldungen und aufgetretener Sicherheitsvorfälle ist es wichtig, sich dieser Risiken bewusst zu sein und geeignete Maßnahmen zu ergreifen. In diesem Blogartikel möchten wir die wesentlichen Risiken und entsprechenden Gegenmaßnahmen für Microsoft 365 Umgebungen erläutern. Für Fragen und Unterstützung bei der Umsetzung stehen wir Ihnen selbstverständlich zur Verfügung.
Die folgenden Risiken sind in Microsoft 365 Umgebungen besonders relevant:
- Generierung von Anmeldetoken mit gestohlenen Keys : Angreifer können mit gestohlenen Schlüsseln Anmeldetoken (digitale Schlüssel für den Zugriff auf Dienste) erstellen, wodurch sie Zugriff auf Ihre Cloud-Ressourcen erhalten, ohne die eigentlichen Zugangsdaten zu besitzen.
- MFA-Phishing (MFA: Multi-Faktor-Authentifizierung): Durch MFA-Phishing erhalten Angreifer gültige Anmelde-Sitzungen, ohne dass zusätzliche Anmeldeinformationen erforderlich sind, was eine erhebliche Sicherheitslücke darstellt.
- Hintertüren zur unbeaufsichtigten Datenabfrage: Angreifer können Hintertüren schaffen, die eine unbeaufsichtigte Datenabfrage ermöglichen und zu einem erheblichen Risiko des Datenabflusses führen.
- Verborgener Datenabfluss: Der resultierende Datenabfluss bleibt für Benutzer unsichtbar und ist für Administratoren nur durch direkte Protokollprüfungen erkennbar, was die rechtzeitige Erkennung und Abwehr von Angriffen erschwert.
Sicherheitsrisiken in Microsoft 365
Technische Gegenmaßnahmen für Microsoft 365
Um diese Risiken zu minimieren, empfehlen wir folgende technische Maßnahmen:
- Aktivierung der Audit Logs (Audit Logs: Protokolle, die Aktivitäten aufzeichnen): Um Datenaktivitäten bis zu 180 Tage rückwirkend nachverfolgen zu können, aktivieren Sie die Audit Logs. Diese Funktion könnte jedoch der Zustimmung des Betriebsrats bedürfen.
- Zurücksetzen aller Anmeldeinformationen (Anmeldeinformationen: Zugangsdaten wie Benutzernamen und Passwörter): Setzen Sie sämtliche Anmeldeinformationen zurück, um die Sicherheit Ihrer Konten wiederherzustellen.
- Rotation der Schlüssel in Azure-Applikationen (Schlüsselrotation: regelmäßiger Austausch von Authentifizierungsschlüsseln): Führen Sie eine Rotation der Schlüssel in allen Azure-Applikationen durch, die Schlüsselauthentifizierung verwenden. Diese Maßnahme erfordert keine speziellen Lizenzen, aber Azure AD Premium P1 oder P2 sind für eine erweiterte Verwaltung hilfreich.
- Aktivierung der Multi-Faktor-Authentifizierung (MFA) Aktivieren Sie MFA für alle Benutzerkonten, um den Schutz vor unbefugtem Zugriff zu erhöhen. Minimale Lizenzanforderung: Azure AD Free bietet grundlegende MFA, aber Azure AD Premium P1 oder P2 bieten erweiterte MFA-Funktionen.
- Implementierung von Richtlinien für bedingten Zugriff: Beschränken Sie Zugriffe auf Unternehmensrechner und ‑standorte. Minimale Lizenzanforderung: Azure AD Premium P1.
- Erstellung von Richtlinien zur Geo-Region Beschränkung Beschränken Sie den Dienstzugriff auf relevante Geo-Regionen. Minimale Lizenzanforderung: Azure AD Premium P1.
- Einsatz von Zugriffsrichtlinien zur Sitzungseinschränkung
Setzen Sie Zugriffsrichtlinien ein, die Sitzungen einschränken, wenn bestimmte Bedingungen nicht erfüllt sind. Minimale Lizenzanforderung: Azure AD Premium P1 oder P2. - Beschränkung der Registrierung von Anwendungen: Beschränken Sie die Registrierung von Anwendungen durch Benutzer auf von Microsoft zertifizierte Apps und Anbieter. Minimale Lizenzanforderung: Azure AD Premium P1 ermöglicht die Konfiguration solcher Einschränkungen.
Neben den technischen Maßnahmen sind auch organisatorische Schritte unerlässlich:
- Schulung und Sensibilisierung der Benutzer Schulen Sie Ihre Mitarbeiter regelmäßig in Bezug auf Sicherheitsbewusstsein und die Erkennung von Phishing-Angriffen. Informierte Benutzer sind eine wichtige Verteidigungslinie gegenüber jeglichen Cyberangriffen.
- Regelmäßige Software- und Systemaktualisierungen Halten Sie alle Systeme und Softwarelösungen auf dem neuesten Stand, um bekannte Sicherheitslücken zu schließen. Das erschwert es Angreifern deutlich, in Systeme einzudringen.
- Überwachung und Erkennung von Anomalien Implementieren Sie Verfahren zur Erkennung ungewöhnlicher Aktivitäten und Anomalien im Benutzerverhalten. Diese Verfahren können sowohl technischer als auch organisatorischer Natur sein.
Organisatorische Maßnahmen zur Erhöhung der Sicherheit
Nachsatz: Verantwortlicher Umgang mit Cloud-Diensten
Beim Umgang mit Cloud-Lösungen darf man sich nicht darauf verlassen, dass die Anbieter allein für die Sicherheit sorgen. Cloud-Anbieter können jederzeit Funktionsänderungen aktivieren, anpassen oder entfernen. Daher ist es wichtiger denn je, regelmäßig die Änderungen und Ankündigungen der Anbieter zu verfolgen und deren Auswirkungen auf die eigene Umgebung zu prüfen.
Wir bieten den Service, die Ankündigungen von Microsoft proaktiv zu prüfen und auf Änderungsbedarf hinzuweisen, abgestimmt auf die Umgebung unserer Kunden.
Sie interessieren sich dafür, Microsoft 365 abzusichern? Nehmen Sie Kontakt mit uns auf. Marc Wilhelmi, Tel. 030.467 83 97–0
Glossar wichtiger Begriffe im Artikel:
Anmeldetoken:
Digitale Schlüssel, die für den Zugriff auf Dienste genutzt werden. Sie dienen als Authentifizierungsnachweis.
MFA (Multi-Faktor-Authentifizierung):
Eine Sicherheitsmaßnahme, die mehrere Authentifizierungsfaktoren (z. B. Passwort und Fingerabdruck) verlangt, um den Zugriff zu gewähren.
Hintertüren:
Verborgene Zugänge, die Angreifern unautorisierten Zugriff auf ein System ermöglichen.
Datenabfluss:
Unautorisierte Übertragung von Daten aus einem System, was zu Informationsverlust führen kann.
Audit Logs:
Protokolle, die alle Aktivitäten und Zugriffe auf ein System aufzeichnen. Sie dienen zur Nachverfolgung und Überprüfung von Sicherheitsvorfällen.
Anmeldeinformationen:
Zugangsdaten wie Benutzernamen und Passwörter, die für den Zugriff auf ein System erforderlich sind.
Schlüsselrotation:
Regelmäßiger Austausch von Authentifizierungsschlüsseln, um die Sicherheit eines Systems zu erhöhen.
Bedingter Zugriff:
Zugriffsrechte, die basierend auf bestimmten Bedingungen (z. B. Standort oder Gerätezustand) gewährt werden.
Zertifizierte Apps:
Von Microsoft geprüfte und zugelassene Anwendungen, die bestimmten Sicherheitsstandards entsprechen.
Azure AD (Azure Active Directory):
Ein Cloud-basierter Identitäts- und Zugriffsverwaltungsdienst von Microsoft, der Benutzer und Gruppen verwaltet und den Zugriff auf Anwendungen steuert.
TLS (Transport Layer Security):
Ein Protokoll zur Sicherung von Datenübertragungen im Internet, das Verschlüsselung und Datenintegrität bietet. Versionen wie TLS 1.1 und TLS 1.2 bezeichnen unterschiedliche Generationen des Protokolls.
Phishing:
Eine Betrugsmethode, bei der Angreifer versuchen, über gefälschte E‑Mails oder Webseiten an vertrauliche Informationen wie Passwörter zu gelangen.