Einleitung
Microsoft Office 365 ist ein beliebter Cloud-Dienst von Microsoft und klarer Markführer vor Google G-Suite, Apple iWork und Zoho Office Suite. Office 365 wird oft als klassisches Beispiel eines Software-as-a-Service Angebots für Unternehmen angeführt. Es handelt sich dabei um eine umfangreiche Suite von Anwendungen, die neben den Klassikern Outlook, Word, Excel und PowerPoint auch den Cloud-Speicher OneDrive for Business und Kollaborations-Tools wie SharePoint und Microsoft Teams bietet.
Im Jahr 2017 hat Microsoft mit O365 erstmals mehr Geld verdient als mit Microsoft Exchange – ein klares Zeichen dafür, wie stark die Nachfrage nach der Cloud geworden ist und wo die Zukunft liegt.
Trotz der ungebrochenen Nachfrage nach Office 365 gibt es gute Gründe sich mit Fragen der Sicherheit und Compliance von Office 365 zu beschäftigen:
- Schlagzeilen über erfolgreiche Cyberangriffe auf Office 365 Accounts nehmen zu (z.B. Ransomware und Phishing-Angriffe)
- Compliance- und Datenschutzanforderungen sind im Wandel (Stichwort: DSGVO) und zugleich werden immer mehr sensible Daten in die Cloud verlagert
- Auf die Daten in Office 365 wird zunehmend mit mobilen Geräten zugegriffen
Im Folgenden möchte ich beleuchten, was Microsoft für die Sicherheit Ihrer Daten in Office 365 tut, welche Sicherheitstools Ihnen bereitgestellt werden und welche Verantwortlichkeiten Sie treffen, um Ihre Daten und Nutzer zu schützen und compliant zu sein.
Sicherheitsmaßnahmen von Microsoft für Office 365
Bei SaaS-Diensten liegen viele Sicherheitsverantwortlichkeiten beim Cloud-Anbieter. Wie genau sich die Sicherheitsverantwortlichkeiten in SaaS-Bereitstellungsmodellen zwischen Cloud Anbieter und Kunde aufteilen, ergibt sich aus dem sogenannten Shared-Responsibility-Model, welches ich bereits in einem früheren Blogartikel vorgestellt habe.
Microsoft beschreibt die eigenen grundlegenden Sicherheitsvorkehrungen auf drei Ebenen wie folgt:
Physische Ebene: Rechenzentrum- und Netzwerksicherheit
- Die Office 365 Rechenzentren haben sehr strikte physische Zugangskontrollen (z.B. biometrische Scanner, 24/7 Sicherheitsdienst und Videoüberwachung)
- Besondere Baumaßnahmen wurden getroffen um Naturkatastrophen, wie z.B. Erdbeben oder Feuer zu überstehen
- Durch kontrollierte Geräte am Netzwerkrand ist der Perimeterschutz sehr hoch
- Die Kommunikation mit den internen Netzwerken auf ist auf ein Minimum reduziert
- Alle nicht notwendigen Ports und Protokolle sind blockiert
- Kritische Back-End Server sind physisch vom Netzwerk getrennt
Logische Ebene – Sicherheit von Host Maschinen und Anwendungen
- Host-Server werden überwiegend automatisiert verwaltet, um menschliche Fehler zu minimieren
- Für Personal mit Zugang zu Host Maschinen werden ausnahmslos Background Checks durchgeführt
- Für Administratoren sind feingliedrige Zugangskontrollen vorhanden
- Arbeiten an Host Maschinen werden lückenlos dokumentiert und auditiert
- Anti-Malware Software wird flächendeckend eingesetzt
- Für alle Änderungen in der Produktionsumgebung gibt es einen strikten Change-Management-Prozess
Daten-Ebene: Sicherheit der Daten in einer Multi-Tenant-Umgebung
- Ihre Organisation ist alleiniger Besitzer einer bestimmten Cloud-Instanz des O365 Cloud-Dienstes (sog. Tenant)
- Tenants sind eigenständige Container, zwischen denen kein Zusammenhang besteht
- Das Azure Active Directory isoliert Kundendaten und Identitätsinformationen vor Vermischung
Sicherheitsfeatures in der Hand des Kunden
Office 365 ist mit einer Vielzahl von Sicherheitsfeatures ausgestattet, mit denen Sie die Sicherheit und Compliance Ihres Office 365 Tenants individuell steuern können. Hier habe ich für Sie die Wichtigsten zusammengefasst:
Datenintegrität und Verschlüsselung in O365
| Rights Management Service (RMS) | RMS erlaubt es Dateien und Emails über mehrere Geräte hinweg, innerhalb und außerhalb Ihres Unternehmens unter Verwendung von Verschlüsselungs-, Identitäts- und Autorisierungsrichtlinien zu schützen. Damit können Sie zahlreiche Business Herausforderungen lösen, z.B. sicherstellen, dass vertrauliche Dokumente wie etwa ein Finanzbericht nur unter Mitgliedern der Finanzabteilung und der Geschäftsführung geteilt werden können. |
| Secure Multipurpose Internet Mail Extension (S/MIME) | S/MIME ermöglicht Benutzern die Public-Key-Verschlüsselung von Emails und Verwendung digitaler Signaturen. |
| Office 365 Message Encryption (OME) | OME verschlüsselt Nachrichten, die an interne oder externe Empfänger gesendet werden. Es ermöglicht Ihren Benutzern, verschlüsselte Nachrichten an eine beliebige E-Mail-Adresse zu senden. |
| Anti-Malware/Anti-Spam-Kontrollen | Office 365 verfügt über einen integrierten Malware- und Spamfilter für alle in Microsoft Exchange gehosteten Postfächer. Administratoren haben Kontrolle über die Filtereinstellungen |
Steuerung des Endbenutzerzugriffs in O365
| Single-Sign-On Sicherheitsvorkehrungen | Azure Active Directory lässt sich mit dem lokalen Active Directory oder anderen Verzeichnisspeichern verbinden, sodass sich Benutzer wie gewohnt authentifizieren können. |
| Multi-Faktor-Authentifizierung (MFA) | Office 365 verfügt über eine eingebaute Multi-Faktor-Authentifizierungslösung mit SMS-Benachrichtigung, Telefonanruf oder Benachrichtigung auf der eigenen App. |
| Mobile Device Management (MDM) | Mit Mobile Device Management für Office 365 können Sie mobile Geräte, die von Ihren Benutzern verwendet werden, sichern und verwalten. Bei Verlust oder Diebstahl können diese per Fernzugriff gelöscht werden. |
Compliancekontrollen in O365
| Data Loss Prevention (DLP) | DLP scannt Ihre Dienste in Office 365 und erkennt sensitive Daten, wie z.B. Kreditkartennummern, um Ihren Benutzern Risiken bewusst zu machen oder gar eine Versendung des Inhaltes zu blockieren |
| Auditing und Aufbewahrungsrichtlinien | Als Teil des Informationsmanagements ermöglichen es Auditierungsrichtlinien einen Einblick über die Nutzung von Informationen im Unternehmen zu erhalten. Mit Tags und Aufbewahrungsrichtlinien können Emails und Dokumente klassifiziert und für festgelegte Zeiträume aufbewahrt werden. |
| eDiscovery | eDiscovery dient zur Beweissicherung im Falle rechtlicher Verfahren. Mit diesem Dienst können Sie Informationen Ihrer Benutzer über verschiedenste O365 Dienste hinweg identifizieren, sichern und exportieren. |
Zusätzliche Sicherheit durch Einsatz eines Cloud Access Security Brokers
Trotz der Vielzahl an Sicherheits- und Compliance-Funktionen von Office 365 empfiehlt sich der Einsatz eines sogenannten Cloud Access Security Brokern (CASBs). Dabei handelt es sich um Software, die zwischen Benutzern und den Office 365 Anwendungen sitzt und Datenströme überwacht, protokolliert und gegebenenfalls steuert. Dies versetzt Sie in die Lage Ihre internen IT-Sicherheitsrichtlinien auf die Benutzung von Office 365 Anwendungen in der Cloud auszuweiten.
Fazit
An cloudbasierter Bürosoftware wie Office 365 führt in der Zukunft kein Weg mehr vorbei. Das ist auch gut so, denn schließlich macht sie Ihr Unternehmen kollaborativer, mobiler und damit produktiver. Wenn Sie sich dazu entscheiden die Office 365 Anwendungen als SaaS-Dienst über das Internet zu konsumieren und damit viele Verantwortlichkeiten an Microsoft auslagern, ist es dennoch zwingend notwendig den eigenen Tenant ordentlich zu verwalten, um Ihre Daten und Nutzer bestmöglich zu schützen. Sie sind gut beraten, wenn Sie sich Experten an Bord holen, die über ein Office 365 Security Konzept verfügen, das sich an internationalen Cloud Security Standards orientiert. Kontaktieren Sie uns gerne falls Sie Unterstützung bei Ihrem Office 365 Implementierungsprojekt benötigen.
