SKRIPT ZUR POSITIONIERUNG DER SUBPANELS DER NAVIGATION - BITTE NICHT LÖSCHEN!
23. Mai 2024 
Marc Wilhelmi 

Sicher­heit in Micro­soft 365 – Risiken und Gegenmaßnahmen

In den letzten Jahren ist Micro­soft 365 zu einer unver­zicht­baren Platt­form für viele kleine und mittel­stän­di­sche Unter­nehmen geworden.

Die Nutzung von Cloud-Diensten bietet zahl­reiche Vorteile, bringt jedoch auch neue Heraus­for­de­rungen und Sicher­heits­ri­siken mit sich.

Ange­sichts aktu­eller Pres­se­mel­dungen und aufge­tre­tener Sicher­heits­vor­fälle ist es wichtig, sich dieser Risiken bewusst zu sein und geeig­nete Maßnahmen zu ergreifen. In diesem Blog­ar­tikel möchten wir die wesent­li­chen Risiken und entspre­chenden Gegen­maß­nahmen für Micro­soft 365 Umge­bungen erläu­tern. Für Fragen und Unter­stüt­zung bei der Umset­zung stehen wir Ihnen selbst­ver­ständ­lich zur Verfügung.

Die folgenden Risiken sind in Micro­soft 365 Umge­bungen beson­ders relevant:

  1.     Gene­rie­rung von Anmel­de­token mit gestoh­lenen Keys : Angreifer können mit gestoh­lenen Schlüs­seln Anmel­de­token (digi­tale Schlüssel für den Zugriff auf Dienste) erstellen, wodurch sie Zugriff auf Ihre Cloud-Ressourcen erhalten, ohne die eigent­li­chen Zugangs­daten zu besitzen.
  2.     MFA-Phis­hing (MFA: Multi-Faktor-Authen­ti­fi­zie­rung): Durch MFA-Phis­hing erhalten Angreifer gültige Anmelde-Sitzungen, ohne dass zusätz­liche Anmel­de­infor­ma­tionen erfor­der­lich sind, was eine erheb­liche Sicher­heits­lücke darstellt.
  3.     Hinter­türen zur unbe­auf­sich­tigten Daten­ab­frage: Angreifer können Hinter­türen schaffen, die eine unbe­auf­sich­tigte Daten­ab­frage ermög­li­chen und zu einem erheb­li­chen Risiko des Daten­ab­flusses führen.
  4.     Verbor­gener Daten­ab­fluss: Der resul­tie­rende Daten­ab­fluss bleibt für Benutzer unsichtbar und ist für Admi­nis­tra­toren nur durch direkte Proto­koll­prü­fungen erkennbar, was die recht­zei­tige Erken­nung und Abwehr von Angriffen erschwert.

Sicher­heits­ri­siken in Micro­soft 365 

Tech­ni­sche Gegen­maß­nahmen für Micro­soft 365 

Um diese Risiken zu mini­mieren, empfehlen wir folgende tech­ni­sche Maßnahmen:

  1.     Akti­vie­rung der Audit Logs (Audit Logs: Proto­kolle, die Akti­vi­täten aufzeichnen): Um Daten­ak­ti­vi­täten bis zu 180 Tage rück­wir­kend nach­ver­folgen zu können, akti­vieren Sie die Audit Logs. Diese Funk­tion könnte jedoch der Zustim­mung des Betriebs­rats bedürfen.
  2.     Zurück­setzen aller Anmel­de­infor­ma­tionen (Anmel­de­infor­ma­tionen: Zugangs­daten wie Benut­zer­namen und Pass­wörter): Setzen Sie sämt­liche Anmel­de­infor­ma­tionen zurück, um die Sicher­heit Ihrer Konten wiederherzustellen.
  3.     Rota­tion der Schlüssel in Azure-Appli­ka­tionen (Schlüs­sel­ro­ta­tion: regel­mä­ßiger Austausch von Authen­ti­fi­zie­rungs­schlüs­seln): Führen Sie eine Rota­tion der Schlüssel in allen Azure-Appli­ka­tionen durch, die Schlüs­sel­au­then­ti­fi­zie­rung verwenden. Diese Maßnahme erfor­dert keine spezi­ellen Lizenzen, aber Azure AD Premium P1 oder P2 sind für eine erwei­terte Verwal­tung hilfreich.
  4.     Akti­vie­rung der Multi-Faktor-Authen­ti­fi­zie­rung (MFA) Akti­vieren Sie MFA für alle Benut­zer­konten, um den Schutz vor unbe­fugtem Zugriff zu erhöhen. Mini­male Lizenz­an­for­de­rung: Azure AD Free bietet grund­le­gende MFA, aber Azure AD Premium P1 oder P2 bieten erwei­terte MFA-Funktionen.
  5.     Imple­men­tie­rung von Richt­li­nien für bedingten Zugriff: Beschränken Sie Zugriffe auf Unter­neh­mens­rechner und ‑stand­orte. Mini­male Lizenz­an­for­de­rung: Azure AD Premium P1.
  6.     Erstel­lung von Richt­li­nien zur Geo-Region Beschrän­kung Beschränken Sie den Dienst­zu­griff auf rele­vante Geo-Regionen. Mini­male Lizenz­an­for­de­rung: Azure AD Premium P1.
  7.     Einsatz von Zugriffs­richt­li­nien zur Sitzungs­ein­schrän­kung
    Setzen Sie Zugriffs­richt­li­nien ein, die Sitzungen einschränken, wenn bestimmte Bedin­gungen nicht erfüllt sind. Mini­male Lizenz­an­for­de­rung: Azure AD Premium P1 oder P2.
  8. Beschrän­kung der Regis­trie­rung von Anwen­dungen: Beschränken Sie die Regis­trie­rung von Anwen­dungen durch Benutzer auf von Micro­soft zerti­fi­zierte Apps und Anbieter. Mini­male Lizenz­an­for­de­rung: Azure AD Premium P1 ermög­licht die Konfi­gu­ra­tion solcher Einschränkungen.

Neben den tech­ni­schen Maßnahmen sind auch orga­ni­sa­to­ri­sche Schritte unerlässlich:

  1.     Schu­lung und Sensi­bi­li­sie­rung der Benutzer Schulen Sie Ihre Mitar­beiter regel­mäßig in Bezug auf Sicher­heits­be­wusst­sein und die Erken­nung von Phis­hing-Angriffen. Infor­mierte Benutzer sind eine wich­tige Vertei­di­gungs­linie gegen­über jegli­chen Cyberangriffen.
  2.     Regel­mä­ßige Soft­ware- und System­ak­tua­li­sie­rungen Halten Sie alle Systeme und Soft­ware­lö­sungen auf dem neuesten Stand, um bekannte Sicher­heits­lü­cken zu schließen. Das erschwert es Angrei­fern deut­lich, in Systeme einzudringen.
  3. Über­wa­chung und Erken­nung von Anoma­lien Imple­men­tieren Sie Verfahren zur Erken­nung unge­wöhn­li­cher Akti­vi­täten und Anoma­lien im Benut­zer­ver­halten. Diese Verfahren können sowohl tech­ni­scher als auch orga­ni­sa­to­ri­scher Natur sein.

Orga­ni­sa­to­ri­sche Maßnahmen zur Erhö­hung der Sicherheit

Nach­satz: Verant­wort­li­cher Umgang mit Cloud-Diensten

Beim Umgang mit Cloud-Lösungen darf man sich nicht darauf verlassen, dass die Anbieter allein für die Sicher­heit sorgen. Cloud-Anbieter können jeder­zeit Funk­ti­ons­än­de­rungen akti­vieren, anpassen oder entfernen. Daher ist es wich­tiger denn je, regel­mäßig die Ände­rungen und Ankün­di­gungen der Anbieter zu verfolgen und deren Auswir­kungen auf die eigene Umge­bung zu prüfen.


Wir bieten den Service, die Ankün­di­gungen von Micro­soft proaktiv zu prüfen und auf Ände­rungs­be­darf hinzu­weisen, abge­stimmt auf die Umge­bung unserer Kunden.

Sie inter­es­sieren sich dafür, Micro­soft 365 abzu­si­chern? Nehmen Sie Kontakt mit uns auf. Marc Wilhelmi, Tel. 030.467 83 97–0

Glossar wich­tiger Begriffe im Artikel:

Anmel­de­token:

Digi­tale Schlüssel, die für den Zugriff auf Dienste genutzt werden. Sie dienen als Authentifizierungsnachweis.

 

MFA (Multi-Faktor-Authen­ti­fi­zie­rung):

Eine Sicher­heits­maß­nahme, die mehrere Authen­ti­fi­zie­rungs­fak­toren (z. B. Pass­wort und Finger­ab­druck) verlangt, um den Zugriff zu gewähren.

 

Hinter­türen:

Verbor­gene Zugänge, die Angrei­fern unau­to­ri­sierten Zugriff auf ein System ermöglichen.

 

Daten­ab­fluss:

Unau­to­ri­sierte Über­tra­gung von Daten aus einem System, was zu Infor­ma­ti­ons­ver­lust führen kann.

 

Audit Logs:

Proto­kolle, die alle Akti­vi­täten und Zugriffe auf ein System aufzeichnen. Sie dienen zur Nach­ver­fol­gung und Über­prü­fung von Sicherheitsvorfällen.

 

Anmel­de­infor­ma­tionen:

Zugangs­daten wie Benut­zer­namen und Pass­wörter, die für den Zugriff auf ein System erfor­der­lich sind.

 

Schlüs­sel­ro­ta­tion:

Regel­mä­ßiger Austausch von Authen­ti­fi­zie­rungs­schlüs­seln, um die Sicher­heit eines Systems zu erhöhen.

 

Bedingter Zugriff:

Zugriffs­rechte, die basie­rend auf bestimmten Bedin­gungen (z. B. Standort oder Gerä­te­zu­stand) gewährt werden.

 

Zerti­fi­zierte Apps:

Von Micro­soft geprüfte und zuge­las­sene Anwen­dungen, die bestimmten Sicher­heits­stan­dards entsprechen.

 

Azure AD (Azure Active Directory):

Ein Cloud-basierter Iden­ti­täts- und Zugriffs­ver­wal­tungs­dienst von Micro­soft, der Benutzer und Gruppen verwaltet und den Zugriff auf Anwen­dungen steuert.

 

TLS (Trans­port Layer Security):

Ein Proto­koll zur Siche­rung von Daten­über­tra­gungen im Internet, das Verschlüs­se­lung und Daten­in­te­grität bietet. Versionen wie TLS 1.1 und TLS 1.2 bezeichnen unter­schied­liche Gene­ra­tionen des Protokolls.

 

Phis­hing:

Eine Betrugs­me­thode, bei der Angreifer versu­chen, über gefälschte E‑Mails oder Webseiten an vertrau­liche Infor­ma­tionen wie Pass­wörter zu gelangen.