ADMIN

2022

10

2022-09-29T12:00:00

Datensicherheit

SCHWERPUNKT

082

Datensicherheit

Sicherheit

Cloud

Dokumente in Microsoft 365 sicher teilen

Eingehegt

von Helmut Semmelmayer

Veröffentlicht in Ausgabe 10/2022 - SCHWERPUNKT

Durch die steigende Nutzung von Microsoft 365 in Unternehmen wandern immer mehr sensible Daten in die Cloud. Das schnelle Teilen von Dokumenten ist für Endanwender ein Segen, macht es für Organisationen jedoch umso schwieriger, die Vertraulichkeit von Informationen sicherzustellen. Oft wissen sie nicht einmal, welche Dateien Mitarbeiter wo und mit wem teilen. Welche Möglichkeiten M365 bietet, um geteilte Dokumente abzusichern, erfahren Sie in diesem Beitrag.

Die Vorteile, die Microsoft 365 für Anwender mit sich bringt, liegen auf der Hand: schnellere und einfachere Kommunikation, der Zugriff auf Daten unabhängig vom Standort sowie die Möglichkeit, Dokumente gemeinsam mit anderen zu nutzen und zu bearbeiten. Auf Ebene des Unternehmens geht mit der Ermächtigung der eigenen User jedoch zwangsläufig auch ein gewisser Grad an Kontrollverlust einher. Daten, die zuvor auf dem File-Server gespeichert und als E-Mail-Anhänge versandt wurden, verteilen sich nun auf zahlreiche verschiedene Dienste, was es schwierig macht, den Zugang zu Dokumenten samt ihren Kopien nachzuvollziehen. Bei der Verwaltung von Cloudberechtigungen und -Mitgliedschaften agieren normale User gewissermaßen als ihre eigenen Admins.
Sicherheitsoptionen in M365
Auch wenn der schnelle Austausch und das bequeme Teilen von Dateien zu den Kernfunktionen von Microsoft 365 zählen, bietet die Plattform selbstverständlich Einstellungen, um diese Möglichkeiten im Sinne der Informationssicherheit und der Kontrolle sensibler Daten einzuschränken. Dass dies nicht immer gelingt, liegt zum einen an der fehlenden Flexibilität der bereitgestellten Optionen und zum anderen an ihrer Auffindbarkeit.
Ähnlich der Fragmentierung geteilter Daten auf Teams, OneDrive, SharePoint, Exchange & Co. verteilen sich die Sicherheitseinstellungen für das File-Sharing in Microsoft 365 auf die unterschiedlichen Admin-Konsolen der einzelnen Dienste. Da sowohl Teams als auch OneDrive auf der SharePoint-Infrastruktur aufbauen, spielt SharePoint bei der Steuerung von Dateifreigaben eine zentrale Rolle. Es lassen sich jedoch abweichende Regeln für einzelne Instanzen von Teams, OneDrive und SharePoint definieren. Die Steuerung der relevanten Identitäten erfolgt wiederum in den Menüs von Azure AD.
Die Vorteile, die Microsoft 365 für Anwender mit sich bringt, liegen auf der Hand: schnellere und einfachere Kommunikation, der Zugriff auf Daten unabhängig vom Standort sowie die Möglichkeit, Dokumente gemeinsam mit anderen zu nutzen und zu bearbeiten. Auf Ebene des Unternehmens geht mit der Ermächtigung der eigenen User jedoch zwangsläufig auch ein gewisser Grad an Kontrollverlust einher. Daten, die zuvor auf dem File-Server gespeichert und als E-Mail-Anhänge versandt wurden, verteilen sich nun auf zahlreiche verschiedene Dienste, was es schwierig macht, den Zugang zu Dokumenten samt ihren Kopien nachzuvollziehen. Bei der Verwaltung von Cloudberechtigungen und -Mitgliedschaften agieren normale User gewissermaßen als ihre eigenen Admins.
Sicherheitsoptionen in M365
Auch wenn der schnelle Austausch und das bequeme Teilen von Dateien zu den Kernfunktionen von Microsoft 365 zählen, bietet die Plattform selbstverständlich Einstellungen, um diese Möglichkeiten im Sinne der Informationssicherheit und der Kontrolle sensibler Daten einzuschränken. Dass dies nicht immer gelingt, liegt zum einen an der fehlenden Flexibilität der bereitgestellten Optionen und zum anderen an ihrer Auffindbarkeit.
Ähnlich der Fragmentierung geteilter Daten auf Teams, OneDrive, SharePoint, Exchange & Co. verteilen sich die Sicherheitseinstellungen für das File-Sharing in Microsoft 365 auf die unterschiedlichen Admin-Konsolen der einzelnen Dienste. Da sowohl Teams als auch OneDrive auf der SharePoint-Infrastruktur aufbauen, spielt SharePoint bei der Steuerung von Dateifreigaben eine zentrale Rolle. Es lassen sich jedoch abweichende Regeln für einzelne Instanzen von Teams, OneDrive und SharePoint definieren. Die Steuerung der relevanten Identitäten erfolgt wiederum in den Menüs von Azure AD.
Im Folgenden sehen wir uns deshalb an
- welche Einstellungen M365 bietet, um Cloudkonten gegen missbräuchliche Zugriffe abzusichern,
- wie sich das Teilen von Clouddateien in unterschiedlichen Diensten einschränken lässt
- und welche Möglichkeiten es außerdem gibt, um Dateifreigaben innerhalb wie außerhalb der eigenen Organisation nachzuvollziehen.
Um eines an dieser Stelle bereits vorwegzunehmen: Leider zählen Transparenz und Überblick zu den größten Schwachpunkten der Microsoft Cloud, weshalb viele Organisationen auf externe Lösungen für die Berechtigungsverwaltung zurückgreifen, um eine bessere Übersicht über geteilte Dokumente zu gewinnen. Microsoft selbst ist sich dieses Problems wohl bewusst und arbeitet unter den neuen Produktbezeichnungen Microsoft Purview und Microsoft Entra am Ausbau der Bereiche Identity und Compliance – worunter auch die Klassifizierung und Kontrolle sensibler Daten fällt.
Da viele Funktionen dieser neuen Plattformen bislang nur als eingeschränkte Preview zur Verfügung stehen, bleibt abzuwarten, welche Verbesserungen die erweiterte Produktpalette im Detail mit sich bringt. Für Organisationen ist die Nutzung der zusätzlichen Features jedenfalls mit höheren Kosten verbunden. In Microsoft Purview erfolgt die Abrechnung nach verbrauchten Operationen. Microsoft Entra, wo künftig auch Azure AD beheimatet ist, erfordert die separate Lizenzierung einzelner Komponenten, wie der neuen Berechtigungsverwaltung und Verified ID.
Sichere Konten, sichere Daten
Um sicherzustellen, dass die in der Microsoft-Cloud gespeicherten Daten nur berechtigten Usern offenstehen, müssen Sie als Erstes gewährleisten, dass der Zugriff tatsächlich durch die vorhergesehene Person erfolgt. Der Einsatz sicherer Authentifizierung mag selbstverständlich klingen, doch leider zeichnet die offizielle Statistik ein anderes Bild: Nach Zahlen von Microsoft war Multifaktor-Authentifizierung zum Stand 2020 nur bei 11 Prozent aller Enterprise-Konten in M365 aktiviert. Und das obwohl Konten ohne MFA 99,9 Prozent aller Fälle von kompromittierten Accounts ausmachen.
Oft scheitert es also schon an den Grundlagen. Deshalb hat sich Microsoft im Mai dieses Jahres dazu entschlossen, die Sicherheitsstandards in Azure AD [1], die seit 2019 bei neu eingerichteten Tenants automatisch aktiv sind, auch auf ältere Instanzen auszurollen, die die entsprechenden Einstellungen niemals angepasst haben. Zu den enthaltenen Maßnahmen der Security Defaults zählt die Aktivierung von MFA für alle Nutzer sowie das Blockieren der Legacy-Authentifizierung durch ältere Office-Versionen und E-Mail-Protokolle.
Bild 1: Im Azure AD Admin Center legen Sie Regeln für den bedingten Zugriff fest.
Bedingter Zugriff
Selbst wenn Microsoft nun aktiver eingreift, um Cloudkonten zu schützen, sollten Unternehmen ihre Sicherheitseinstellungen natürlich weiterhin aktiv steuern und über dieses Mindestmaß hinaus verschärfen. Ein wichtiger Einstiegspunkt für die Cloudsicherheit ist das Festlegen von Richtlinien für bedingten Zugriff in der Admin-Konsole von Azure AD. Neben dem universellen Einsatz von MFA empfiehlt es sich etwa, Logins für privilegierte Konten nur auf konformen, mit Intune verwalteten Geräten zuzulassen und durch das Sperren von Ländern und Regionen unerlaubte Anmeldeversuche von vornherein auszuschließen.
Wie sich eine neue Richtlinie auswirkt, lässt sich mit dem "What If?"-Werkzeug im Detail durchspielen, bevor diese aktiviert wird. Um die Sicherheitseinstellungen auch bei Störungen, Angriffen oder dem Ausfall einzelner Dienste anpassen zu können, sollten Sie mindestens zwei Konten für den Notfallzugriff [2] anlegen, die andere Anmeldeverfahren verwenden – zum Beispiel FIDO2-Sicherheitsschlüssel.
Lizenzanforderungen für Sicherheitsfeatures
Sicherheitsfeature
Benötigte Lizenz
Multifaktor-Authentifizierung
Alle Lizenzen
Session Timeouts
Alle Lizenzen (nicht in Deutschland verfügbar)
Bedingter Zugriff
Microsoft 365 E3/Azure AD Premium P1
Bedingter Zugriff (risikobasierte Regeln)
Microsoft 365 E5/Azure AD Premium P2
SharePoint Audit Basic
Microsoft 365 Business Basic/E3
SharePoint Audit Premium
Microsoft 365 E5
Intune Geräteverwaltung
Microsoft 365 E3
Session Timeouts
Als weiteren Schutz für die Vertraulichkeit von Clouddaten können Sie in der Admin-Konsole von Microsoft 365 einen Ablauf für Leerlaufsitzungen festlegen, also eine Zeitlimit, nach dem inaktive User automatisch aus den Office-Web-Apps abgemeldet werden. Dieses Timeout erschwert die Übernahme aktiver Sessions durch andere Personen, egal ob es sich dabei um Hacker oder neugierige Kollegen handelt. Leider ist dieses Feature zwar in Europa, aber nicht in Microsoft 365 Deutschland verfügbar. Für den Schutz sensibler Daten innerhalb des Unternehmens empfiehlt sich neben Session
Timeouts das Einrichten von Bildschirmsperren und Clean-Desk-Policies.
Die Kombination von MFA, bedingtem Zugriff und Timeouts hilft dabei, eine Vielzahl an identitätsbasierten Angriffen zu verhindern und den sicheren Betrieb von M365 zu gewährleisten. Das Problem an der Sache: Werden Daten im Arbeitsalltag nicht nur innerhalb der eigenen Organisation, sondern auch mit externen Nutzern geteilt, greifen diese Sicherheitseinstellungen nicht oder nur bedingt. Es ist daher trotzdem notwendig, den Zugang zu Dokumenten aktiv zu steuern.
Einschränkungen für File-Sharing
Unter "Richtlinien / Teilen" im SharePoint Admin Center blockieren Sie das externe Teilen von Daten vollständig, schränken es auf vorhandene beziehungsweise neue Gäste ein oder erlauben es ohne Restriktionen. Diese vier Sicherheitsstufen lassen sich abweichend für jede SharePoint-Site und jedes OneDrive festlegen, dürfen dabei jedoch nicht weniger restriktiv ausfallen als die globalen Einstellungen. Zur weiteren Begrenzung externer Freigaben ist es zudem möglich, das Teilen nur für bestimmte Sicherheitsgruppen zu ermöglichen oder einzelne Domains als Empfänger von Links auszuschließen [3].
Diese Einschränkungen widersprechen zu einem gewissen Grad dem eigentlichen Zweck von Microsoft 365 als Plattform für den schnellen, unkomplizierten Austausch. Beim Festlegen der Rahmenbedingungen für das File-Sharing gilt es daher, Aspekte der Datensicherheit und der Benutzbarkeit gegeneinander abzuwiegen. Ein generelles Verbot erweist sich in der Praxis meist nicht als zielführend, da User bei zu großen Hürden von den offiziellen Kanälen auf alternative Kommunikationswege ausweichen und sich dadurch völlig der Kontrolle durch das Unternehmen entziehen – Stichwort Schatten-IT.
Bild 2: Das Timeout von Leerlaufsitzungen führt zur automatischen Abmeldung aus M365-Web-Apps.
Kontrolle geteilter Daten
Ein weiterer Schwachpunkt der bereitgestellten Sicherheitsoptionen liegt in der Tatsache, dass sich problematische Freigaben in der Praxis nicht durch starre Kriterien, sondern nur anhand ihres jeweiligen Kontexts verlässlich identifizieren lassen. Auch Freigaben innerhalb der Organisation, die alle Richtlinien erfüllen und zunächst einem sinnvollen Zweck dienen, können vertrauliche Daten gefährden, wenn diese zum Beispiel länger aufrechtbleiben als notwendig. Insbesondere den Zugang zu "lebendigen Dokumenten", deren Inhalt sich laufend ändert, müssen Sie rechtzeitig schließen.
Möglich ist das nur durch die regelmäßige Kontrolle der Microsoft-365-Berechtigungen. Mit den Bordmitteln von M365 ist es allerdings kein Leichtes, die dafür notwendigen Daten zu erheben. Zwar können Unternehmen über das Compliance-Portal Nutzeraktivitäten aufzeichnen und nachträglich durchsuchen. Angesichts der Flut an Nutzerdaten, die selbst kleine Microsoft-365-Instanzen produzieren, ist eine Auditierung hier aber nur mit Blick auf konkrete Ereignisse zielführend möglich. Probleme, von denen noch keiner etwas weiß, sind auf diesem Weg kaum aufzuspüren. Es fehlt ein genereller Überblick der relevantesten Daten und Berechtigungen.
Bessere Übersicht in der Cloud
Zur effektiven Steuerung von Dateifreigaben müssen zwei Voraussetzungen erfüllt sein: Erstens müssen Admins nachvollziehen können, welche Dokumente von welchen Nutzern mit wem geteilt werden. Zweitens muss es schnell und einfach möglich sein, potenziell kritische Freigaben zu identifizieren, etwa solche, die über die Grenzen von Abteilungen oder der Organisation hinausgehen. Zentrale Lösungen für das Reporting von Berechtigungen können die Auswertung hier gegenüber den Bordmitteln der Microsoft Cloud erheblich erleichtern.
Eine weitere Herausforderung, die sich bei der Kontrolle geteilter Dokumente stellt: IT-Fachkräfte können aus der Distanz nicht beurteilen, welcher Freigaben es noch bedarf und welche ihren Zweck bereits erfüllt haben. Das wissen nur die User, die tatsächlich mit den betreffenden Dokumenten arbeiten. Bei jeder Freigabe nachzufragen, ist aber keine praktikable Lösung, insbesondere wenn die Kontrolle zeitnah und ohne großen Aufwand abgeschlossen sein soll.
Klarheit durch Dateneigentümer
Um die Kontrolle von Freigaben in die Fachabteilungen auszulagern, empfiehlt sich der Einsatz einer Berechtigungsmanagement-Software mit Data-Owner-Konzept: Bei diesem Ansatz legen Unternehmen Dateneigentümer innerhalb der verschiedenen Fachbereiche fest, die in regemäßigen Abständen bestätigen müssen, ob Zugänge zu Ressourcen in ihrem Verantwortungsbereich noch benötigt werden.
Automatische Erinnerungen und eine simple Übersicht ausstehender Kontrollen machen die Überprüfung existierender Freigaben auch für Laien einfach bedienbar. Dadurch ermöglicht die Einbindung von Data Ownern eine genauere Abstimmung der Freigaben an betriebliche Notwendigkeiten und die zeitnahe Löschung überflüssiger Zugänge im Sinne der Datensicherheit.
Bild 3: Im SharePoint Admin Center regeln Sie das externe Teilen von Daten in vier Stufen.
Fazit
Zusammenarbeit ohne Clouddienste wie Microsoft 365 ist heute nicht mehr denkbar. Um beim flexiblen Austausch von Mitarbeitern, Partnern und Kunden dennoch die Vertraulichkeit sensibler Daten zu gewährleisten, müssen Organisationen einerseits angemessene Rahmenbedingungen für den sicheren Betrieb der Microsoft Cloud schaffen. Andererseits gilt es, den Überblick über geteilte Daten zu behalten, was mit den Bordmitteln von Microsoft keine leichte Aufgabe ist.
Zum Schutz von Cloudkonten und den mit ihnen verbundenen Dokumenten ist es ratsam, die im Rahmen der jeweiligen Lizenz bereitgestellten Sicherheitsoptionen möglichst auszuschöpfen, etwa Regeln für den bedingten Zugriff. Auch das Teilen von Daten lässt sich für unterschiedliche Benutzergruppen und Microsoft-Dienste einschränken. Das Blockieren von Funktionen bietet jedoch alleine noch keinen angemessen Schutz, denn nur die aktive Kontrolle bestehender Freigaben garantiert das sichere Teilen von Daten in M365.
(ln)
Helmut Semmelmayer ist VP Revenue Operations bei tenfold Software.
Link-Codes
[2] Verwalten von Konten für den Notfallzugriff in Azure AD: https://docs.microsoft.com/de-de/azure/active-directory/roles/security-emergency-access/
[3] Verwalten der SharePoint-Freigabeeinstellungen: https://docs.microsoft.com/de-de/sharepoint/turn-external-sharing-on-or-off/