Die wichtigsten Security Features zum Aufsetzen und Verwenden ihres Microsoft 365-Accounts

Viele Unternehmen wägen in der heutigen Zeit den Schritt in die Office-Cloud ab. Geprägt von vermeintlichen Risiken wie Sicherheitsbedenken wird der Weg in die Cloud jedoch erschwert.

Die Office-Cloud von Microsoft (Microsoft 365) bietet ihrem Unternehmen den idealen Einstieg in eine Welt voller flexibler Office-Funktionen aus einer Hand.

Wir haben für Sie die wichtigsten Security Features zusammengefasst, um Ihnen den Einstieg in die Cloud zu erleichtern und Ihren Microsoft-Tenant so sicher wie möglich nach Microsoft Sicherheitsstandards aufzusetzen.

1. Multi Factor-Authentication (MFA)

Ein bequemer Anmeldevorgang für den Enduser ist nicht gleich auch der Sicherste. Der Standard Login-Prozess beinhaltet die einfache Angabe von Credentials (Username & Passwort).

MFA erweitert diesen Prozess um eine weitere Authentifizierungsmethode und macht damit die Anmeldung eine Stufe sicherer. Dazu zählt die zusätzliche Eingabe von Authentifizierungscodes via SMS oder Microsoft Authentificator-App, welche mit dem jeweiligen User-Account gekoppelt werden. Diese Methode hindert unberechtigte Dritte an dem Datenzugriff, sollten die User-Credentials durch eine Sicherheitslücke an Dritte gelangen

Alternativ stellt Microsoft die Azure-MFA als Add-on zur Verfügung, diese bildet noch individuellere Lösung zur Anmeldungsüberwachung und kann im Microsoft Portal dazu gebucht werden (dieser Dienst ist nicht Bestandteil des Standard MFA und ist daher nur gegen einen Aufpreis hinzubuchbar.)

MFA ist für alle User einsetzbar und wird von Microsoft unbedingt empfohlen!

Unser Tipp: Nutzen Sie auf jeden Fall die standardmäßig bereitgestellte MFA-Funktion, um sich vor unbefugten Anmeldevorgängen Dritter zu schützen. Sie finden die Einstellung im Azure Active Directory (AD) > Sicherheit > MFA.

2. Conditional Access / Bedingter Zugriff

Freie Zugriffe auf Unternehmensressourcen bilden für alle Unternehmen ein ernstzunehmendes Sicherheitsrisiko. Den Schlüssel zu diesem Problem liefert Microsoft mit dem Conditional Access. Im Azure AD> Sicherheit zu finden, haben Sie die Möglichkeit Zugriffsrichtlinien für Ihr Unternehmen zu definieren und Zugriffe nach festgelegten Konditionen zu verweigern. Legen Sie beispielsweise Länder als „nicht sicher“ fest oder lassen Sie Zugriffe nur über VPN, unter Angabe der VPN-Point IP zu.

Sie haben die Möglichkeit Zugriffsrichtlinien ganz individuell zu gestalten und an Ihre Unternehmensvoraussetzungen anzupassen.

Microsoft stellt in diesem Zuge umfangreiche Überwachungsprotokolle zur Verfügung, die alle Handlungen im Microsoft 365-Account mitloggen.

Anhand dieser Logs ist eine Nachverfolgung von Tätigkeiten und Usern möglich.

Aber Achtung: Schließen Sie sich nicht selber aus! Das fehlerhafte Setzen von bedingten Zugriffen kann Ihren Zugriff auf den Microsoft-Tenant blockieren! Wenden Sie sich in diesem Fall an den Microsoft Support zur Freischaltung.

Bereits mit den Microsoft 365 Business Premium-Lizenzen und den Enterprise Lizenzen haben Sie Zugriff auf Funktionen für den Conditional Access.

Unser Tipp: Legen Sie ihre eigene individuelle Sicherheitsrichtlinie im Azure AD fest. Achten Sie dabei darauf, dass der User, je nach Businesscase, optimal arbeiten kann. Schränken Sie Auslandszugriffe bedarfsorientiert ein.

3. Microsoft Defender / Advanced Threat Protection

Ransomware stellt immer größer werdendes Risiko für Unternehmen dar. Ein Virus oder Trojaner kann sich schon durch das Bewegen der Maus über einen Link in einer Mail auf dem System des Users und des Unternehmens verbreiten, ohne das jemand davon etwas merkt.

Microsoft Defender für Microsoft 365 schützt ihre Organisation vor Bedrohungen via E-Mail, Links (URL) und Collaboration-Tools

Dabei bietet es ein großes Portfolio an Richtlinien, um ihren individuellen Schutz festzulegen und mithilfe von Echtzeitberichten die Funktionen zu überwachen.

Sie haben die Möglichkeit, Bedrohungen zu identifizieren und zu simulieren (Angriffssimulator), um ihre Daten optimal zu schützen.

Die Advancend Threat Protection hilft ihnen dabei, Risiken frühzeitig zu erkennen und zu eliminieren. Durch das Öffnen der Links / Anhänge in einer sicheren Umgebung, losgelöst von ihrem Microsoft-Tenant, wird eine Risikoeinschätzung vorgenommen, sodass schädliche Inhalte gar nicht erst in die Posteingänge ihrer Mitarbeiter und Kollegen gelangen.

Microsoft Defender Plan 1 ist bereits im Business Premium enthalten. Die erweiterte Funktion (Microsoft Defender für Microsoft 365 Plan 2) sind in den Lizenzen Office 365 E5, Office 365 A5, Office 365 E5 Security und Microsoft 365 E5 enthalten. Sie können aber auch zu anderen Lizenzpaketen flexibel als Add-On hinzugebucht werden.

Unser Tipp: Bereits mit Plan 1 verfügen Sie über die Echtzeiterkennung schädlicher Dateien. Das ist vor allem Wichtig um ein schnelles Handeln im Falle eines Cyberangriffs zu ermöglichen. Plan 2, welcher Sicherheitskampagnen und Angriffssimulatoren beinhaltet, empfehlen wir je nach Businesscase unseren Enterprise Kunden.

4. Privileged Identity Management (PAM)

Jeden User mit Administratorenberechtigungen auszustatten ist zwar einfach, bildet in der Umsetzung jedoch ein erhebliches Sicherheitsrisiko.

Als Globaler Administrator verfügen Sie vollumfänglich über alle Zugriffe und Funktionen, die die Microsoft 365 Cloud Ihnen anbietet. Das beinhaltet Zugriff auf Userdaten, Finanzdaten und beispielsweise Zugänge zu allen Team-Daten. Frei nach dem Leitsatz „So viel wie nötig, so wenig wie möglich!“ sind Berechtigungen im Microsoft-Tenant zu vergeben.

Hier kommt das Privileged Identity Management von Microsoft zum Einsatz. Es gibt dem Unternehmen die Möglichkeit, User als temporäre Administratoren anzulegen. Dabei werden die User als zeitweise berechtigte Admins markiert und haben in diesem Zuge die Möglichkeit Administrator Zugriffe anzufragen.

Ihnen obliegt die Steuerung, wie lange und auf welche Informationen ein User Zugriff auf Administratoren-Rechte verfügen darf. In der Anfrage hat der User die Möglichkeit, Zeitraum und Grund der Anfrage anzugeben.

PAM ist als Add-On und im Azure Active Directory Premium P2-Plan verfügbar.

Unser Tipp: Schränken Sie ihre Super-Admins / Global Administratoren auf das Nötigste ein. Im Azure AD > Schnellstart > Privileged Identity Management können Sie Ihren Usern privilegierte Rollen zuweisen. Wir empfehlen den Einsatz eines User-Basierten Anforderungsmanagements, in dem jeder User begründete Administrations-Anforderungen stellen kann. Diese werden dann von zentraler Stelle im Unternehmen freigegeben und verwaltet.

5. Encrypted E-Mail + Data Loss Prevention (DLP)

In nahezu jedem Unternehmen gibt es sensible Daten, wie personenbezogene Daten oder Geschäftsinformationen, die aufgrund gesetzlicher oder interner Regulatoren nicht außerhalb der Geschäftswelt gelangen dürfen.

Microsoft bietet die Möglichkeit, dieses Risiko zu identifizieren und mittels verschlüsselten E-Mails und Data Loss Prevention einzuschränken.

Die E-Mail-Verschlüsselung stellt sicher, dass die User nur End-to-End die Inhalte sehen können. Dabei stellt Microsoft verschiedene Verschlüsselungstypen, wie Office Message Encryption (OME), S/MIME Certificates oder das Information Rights Management (IRM) zur Verfügung.

Mit der Data Loss Prevention, kurz DLP, hat Microsoft eine Funktion entwickelt, die verhindert, dass sensible Unternehmensdaten in die Unternehmensumwelt versendet werden. Diese Funktion umfasst jedoch nicht nur den reinen Mail Versand. Überwacht werden ebenfalls Office Anwendungen wie SharePoint Online, OneDrive for Business, Microsoft Excel/Word, etc. und beschränkt außerdem externe Zugriffe auf vertrauliche Dokumente.

Legen Sie vertrauenswürdige Locations an und verhindern Sie beispielsweise das Teilen von Unternehmensdaten in Microsoft Teams.

Jedes Unternehmen hat die Möglichkeit, eigene DLP-Richtlinien im Azure-AD anzulegen und so den Datenversand des Unternehmens zu steuern, um teilweise komplexe Compliance Anforderungen zu erfüllen.

Für den Einsatz von verschlüsselten E-Mails und Data Loss Prevention benötigen Sie mindestens ein Postfach mit Exchange Online Plan 2-Lizenz oder einer Enterprise Lizenz (E3 und höher).

Unser Tipp: Sichern Sie sowohl ihre internen als auch externen Kommunikationswege ab. Mit OME sichern Sie ihren Datenverkehr standardmäßig ab. Bevorzugen Sie eine sicherere Verschlüsselung empfehlen wir den Einsatz von S/MIME, PGP, TLS oder Gateway-Verschlüsselung.

6. Azure AD Identity Protection

Sie wollen die Nutzerkonten ihrer Mitarbeiter vor unberechtigten Zugriffen schützen? Sie wollen Hacker-Angriffe erkennen, bevor diese in ihr System eingedrungen sind? Azure AD Identity Protection ist die Lösung!

Mithilfe von Machine Learning lernt das System, wann und wo sich ihre Mitarbeiter und Kollegen im System an- und abmelden und wie diese arbeiten.

Das hat den Vorteil, dass das System schnell Unregelmäßigkeiten feststellen kann und Sie als Systemadministrator darüber informieren kann. Egal ob der Ort oder die Zeit ein ungewöhnliches Verhalten signalisieren, haben Sie die Möglichkeit, automatisch über definierte Richtlinien, den User aufzufordern sich per MFA zu authentifizieren oder den Zugang zu blockieren.

Die „Traveller-Funktion“ bietet beispielsweise die Möglichkeit zu erkennen, dass ein User sich nicht in Deutschland und eine Stunde später in den Vereinigten Staaten anmelden kann.

Wichtig ist hier hervorzuheben, dass die Daten User-Konto gebunden und verschlüsselt sind, sodass bei Entlassung des Mitarbeiters oder Sperrung des Kontos die Daten nicht mehr abrufbar sind.

Um Zugriff auf die vollen Funktionalitäten zu bekommen, benötigen Sie den Azure AD Premium P2-Plan. Eingeschränkte Informationen bekommen Sie bereits in dem Azure AD Premium P1-Plan.

Unser Tipp:  Ein Großteil der Cyberangriffe kommt aus dem Ausland. Dabei gibt es immer neue Bedrohungen, die Ihnen als Sicherheitsbeauftragten möglicherweise unbekannt sind. Mit dem Einsatz dieser Machine Learning-Lösung versteht ihr System von selbst, welche Zugriffe als Risiko einzustufen sind. Nutzen Sie diese Funktion als Risiko-Früherkennung. Sie finden den Dienst unter Azure AD > Sicherheit > Identity Protection.

Haben Sie Fragen zum Einstieg in die Cloud oder zu bestehenden Cloud-Lösungen? Fragen Sie die Cloud-Experten!