Viele Firmen fühlen sich verunsichert mit den Möglichkeiten von Microsoft 365 und der Arbeit aus der Cloud. Login von jedem Netzwerkfähigen Gerät, von überall auf der Welt, potenziell durch jeden Hacker angreifbar und völlig schutzlos, wenn der Login einmal überwunden wurde. Doch ist das so? Eine Einschätzung und die Best Practices unserer Experten.

Situation, Bedenken und Folgen

Das moderne Arbeiten lässt sich in vielen Situationen nicht mit der klassischen Welt vergleichen. Noch vor wenigen Jahren war das Arbeiten von Unterwegs nur mit einem VPN und einem Security-Dongle möglich. Die Verbindung war häufig nicht stabil und primär für das Empfangen von E-Mails ausgelegt. Der Zugriff auf das Filelaufwerk war bereits ein Glücksspiel. Da wir zu dieser Zeit aber auch Bandbreiten hatten, die den Download zur Qual gemacht haben, ist das häufig gänzlich uninteressant gewesen. Der Zugriff auf das Netzwerk erfolgte primär am Bürostandort. Der Rest war ein Bonus für Außendienstler und Geschäftsführer.

Schwachpunkt VPN

In den letzten Jahren hat sich diese Situation geändert. Der Zugriff auch auf größere Datenmengen ist inzwischen möglich. So kann man vielerorts in den Zug steigen und arbeitet während der Fahrt einfach weiter. Das WLAN der Bahn ist stellenweise so gut, dass sogar Videotelefonie möglich wird. Ansonsten ist das 3G, 4G und vereinzelt sogar 5G Netz so gut ausgebaut, dass diese Übertragungen flüssig laufen. Nun ist das VPN der limitierende Faktor geworden.

Bereits bei einigen unserer Kunden haben wir erlebt, dass der gesamte Telefon- Video und Dateiverkehr von Microsoft Teams über das VPN geschleust wird. Obwohl es dafür eigentlich gar keine Notwendigkeit mehr gibt. Doch die Sicherheitsbedenken machen dies in vielen Firmen noch immer notwendig. Zu groß die Angst, dass der Datenverkehr unkontrolliert durch das Netz geistert.

Nicht ganz zu unrecht, bedenkt man, dass die Ende zu Ende Verschlüsselung in Teams noch immer nicht final eingeführt wurde. Also opfern an dieser Stelle viele Firmen die Stabilität und Zuverlässigkeit von Teams zugunsten einer höheren Sicherheit. Leider haben wir oft erlebt, dass durch kleinere und größere Änderungen in Teams oder der eigenen IT-Infrastruktur dieser Kunden es immer wieder zu Ausfällen und Latenzen in der Kommunikation kommt. Ein Gefühl des Vertrauens und der Stabilität stellt sich so leider nicht ein.

Feigenblatt Regionssperre im Coniditonal Access

So haben wir auch in Beratungs- und Systemhäusern schon die Angst vorgefunden, dass Angreifer aus Russland, China oder einem anderen Land in das eigene Netzwerk eindringen könnten. Diese Bedenken führen schließlich dazu, dass die Administratoren des Systems den Conditional Access nutzen, um einzelne Regionen komplett auszusperren. In der Spitze ging das schon so weit, dass lediglich Deutschland als sicheres Herkunftsland zugelassen wurde. Schwierig, in einer Zeit der Globalisierung, in welcher Kunden häufig weltweit agieren. So kommt man als Berater schon einmal in die Bedrängnis nicht arbeitsfähig zu sein, weil das deutsche Kunden-WLAN mit einer Adresse aus den USA läuft.

Und hier merken wir direkt auch das Problem dieses Schutzmechanismus. Denn VPNs gibt es weltweit und es gibt zahlreiche öffentliche VPNs, mit denen man sich einfach eine IP-Adresse der entsprechenden Region vorgaukeln kann. Schon ist der Angreifer aus Russland vermeintlich in Frankfurt unterwegs und kommt problemlos an den M365 Tenant.

Schwierig wird diese Vorgehensweise vor allem, wenn die Administratoren damit die Geschäftsleitung in falscher Sicherheit wiegen und dadurch effektive Schutzmechanismen gar nicht erst eingeführt werden.

Unsere Vorgehensweise

Was wäre dann also die bessere Alternative für den sicheren Umgang mit Microsoft 365? Hierfür bietet Microsoft verschiedene Mechanismen, die fein aufeinander abgestimmt werden und dadurch einen guten Schutz bieten können.

MFA und Biometrie

Die mächtigste Schutzfunktion ist zugleich auch die bekannteste. Die Multifaktor-Authentifizierung zwingt den Nutzer dazu sich mit mindestens einem zweiten Faktor anzumelden. Der erste Faktor ist üblicherweise der Login am eigenen Client, welcher mit dem Microsoft 365-Konto verbunden ist. Hier gibt der Nutzer meistens sein Passwort ein.

Der zweite Faktor wird dann in der Regel über das Smartphone abgebildet. Beispielsweise über den Microsoft Authenticator oder eine ähnliche App. Somit ist sichergestellt, dass neben dem Laptop auch das Smartphone in der eigenen Verfügung steht. Ein Angreifer aus dem Ausland kommt somit nicht auf den Cloud-Account, da ihm der zweite Faktor fehlt.

Effektiver wird dieser Login noch, wenn man mit biometrischen Merkmalen arbeitet. So bieten die meisten Smartphones und Laptops inzwischen einen Fingerabdrucksensor oder den Login über die Kamera an. Loggt man sich an seinem PC über das Passwort ein, und nutzt dann am Authenticator den Fingerabdruck, haben die meisten Angriffe bereits keine Chance mehr.

Neuerdings bietet Microsoft auch das passwortlose Login am Client an. Hierzu muss der Nutzer sich einmalig mit seinem Initialpasswort anmelden und kann anschließend den Authenticator am Smartphone, einen Fingerabdruck, die 3D-Gesichtserkennung oder ein anderes Merkmal nutzen. Somit ist auch dem Angriff über schwache Passwörter ein Riegel vorgeschoben.

Conitional Access – Aber richtig

Um die Multifaktor-Authentifizierung nicht zum Ärgernis werden zu lassen, kann man diese über Conditional Access feingranular steuern. So kann der Administrator festlegen, dass im Firmen-WLAN und dem vom Anwender festgelegten Home-WLAN keine Multifaktor-Authentifizierung notwendig ist. Lediglich beim Zugriff außerhalb dieser üblichen Standorte, beispielsweise im Zug oder beim Kunden vor Ort, ist der zweite Faktor notwendig.

Damit auch das nicht zu umständlich wird, vermeiden wir beim zweiten Faktor die Eingabe eines Passworts. Einfach den Finger auf den Fingerabdrucksensor legen und zack, der Login ist erfolgt.

Wenn der Geschäftsführer angst hat, dass das Smartphone gehackt und dann missbraucht wird, haben wir noch weitere, optionale Möglichkeiten. Beispielsweise kann man über Conditional Access auch festlegen, dass sich das Smartphone am gleichen Ort befinden muss, wie auch das Gerät, mit dem ich mich letztlich einloggen will. Somit wird auch Missbrauch der Accountinformationen vorgebeugt.

Rechte einschränken

Neben diesen Funktionen lassen sich beispielsweise auch die Rechte einschränken. So ist es üblich, dass der eigene Windows-User lediglich als Benutzer eingerichtet wird und auch auf dem M365 Tenant nur reduzierte Rechte besitzt. Jeder Zugriff mit erhöhten Rechten wird dann über einen separaten Administrator-Account gesteuert, für den ein eigener Login notwendig ist. Der Admin Account seinerseits kann jedoch nicht für das tägliche Arbeiten verwendet werden, da der direkte Login am Windows-Client verboten ist.

Was bringt das? Nun, zum einen machen wir damit Angreifern das Leben schwer. Selbst wenn ein Virus in unser System eindringen kann, zum Beispiel über einen USB Stick, kann sich dieser Schadcode nicht dauerhaft auf unserem PC einnisten. Ohne Administratorrechte kann er außerdem nichts verändern, was sich außerhalb des Nutzerkontext befindet. Damit kann er dann natürlich auch keinen größeren Schaden im M365 Tenant anrichten. Selbst, wenn es sich bei dem angegriffenen Account um die Geschäftsleitung handelt.

Trotzdem haben die Nutzer die Möglichkeit alle Änderungen bewusst vorzunehmen, indem sie sich mit ihrem Admin-Account an dem jeweiligen Prozess anmelden.

Auch hier greifen wieder die bekannten Sicherheitsmechanismen wie MFA. Und natürlich kann nur der Benutzer „Smith“ sich mit dem „Admin_Smith“ anmelden. Versucht er den „Admin_Mueller“ wird dieser Zugriff verweigert und eine entsprechende Warnmeldung in der IT ausgelöst.

Automatisierte Sicherheit

Neben diesen aktiven Sicherheitsmaßnahmen bietet die Microsoft 365 Umgebung noch zahlreiche automatisierte Schutzmechanismen. So haben wir beispielsweise bereits im Beitrag Wie „Microsoft Defender for Endpoint Plan 1“ Deine IT-Sicherheit verbessert. – Improve IT (improve-it.gmbh) erläutert, welche Möglichkeiten der Plan EP 1 bietet. Der Microsoft E5 Plan bietet hier sogar noch erheblich mehr Schutzmöglichkeiten.

Diese Mechanismen verhindern vor allem, dass Schadsoftware und Angreifer den PC ihres Opfers verlassen können und Schaden im Gesamtnetzwerk oder M365 Tenant anrichten. Außerdem erkennen sie frühzeitig einen Angriff auf dem eigenen Client und sperren diesen Angreifer aktiv aus. Beispielsweise wenn auf einmal eine massenhafte Verschlüsselung auf der Festplatte stattfindet. Der Nutzer muss hierzu keinen aktiven Beitrag leisten. Auch das Melden solcher Angriffe erfolgt automatisch aus dem M365 System heraus.

Fazit

Microsoft 365 gehört inzwischen zu den sichersten Systemen in der gesamten IT-Landschaft. Damit diese Sicherheit jedoch auch richtig eingesetzt werden kann, muss initial eine saubere Ersteinrichtung stattfinden. Der Administrator muss sich in Abstimmung mit der Geschäftsleitung über das Schutzniveau klar werden, welches für die jeweiligen Aufgaben benötigt wird. Oft gilt hier, so viel wie nötig, so wenig wie möglich.

Biometrische Merkmale erhöhen die Sicherheit im eigenen Unternehmen massiv und reduzieren zugleich den Stress für den Nutzer, da er sich hier keine Passwörter merken muss und den „Zugangsschlüssel“ immer dabei hat. Außerdem verfügen diese Merkmale über eine höhere Verschlüsselungsstärke als die sichersten Passwörter. Ein Angriff über Bruce-Force wird hier defacto ausgeschlossen.

Es ist wichtig an dieser Stelle den Nutzen der Sicherheit gegen den Frust der Benutzer abzuwägen. Denn es war in der IT schon immer so, dass es nichts bringt eine Umgebung zu sicher zu machen. In diesem Fall würden die Nutzer nur auf ein weniger gut gesichertes System ausweichen und die gesamte Sicherheit umgehen.

So kenne ich beispielsweise ein Szenario, bei dem ein Administrator das Teilen von Daten im OneDrive für externe Benutzer unterbunden hat. Hierfür hätte der Berater einen entsprechenden Service-Request bei der IT-Abteilung stellen müssen, die dann die Datei entsprechend gesichert freigeben. Mit der Folge, dass der betroffene Berater diese Datei stattdessen über einen GMail-Account geteilt hat und die Kontrolle über die Datei für die IT-Abteilung komplett verloren ging. Statt die Datei im Missbrauchsfall sperren zu können, wusste die interne Technik hier nicht einmal, dass ein Datenverlust stattgefunden hat.

Natürlich sind solche Abwägungen mit bedacht zu treffen. Wenn ihr euch gerade in dieser Situation befindet, oder Du aktiv darüber nachdenkst, wie Du die Sicherheit in Deinem Tenant verbessern kannst, melde Dich gerne bei uns zu einem ersten, kostenfreien Beratungstermin. Unsere Kontaktdaten findest Du auf der Startseite. Wir freuen uns auf den Kontakt.

Kategorien: Security

0 Kommentare

Schreibe einen Kommentar

Avatar-Platzhalter

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert