Automatisch alles sicher mit Microsoft 365? Keineswegs! Wir sagen Ihnen, auf was Sie beim Einsatz der Web-Anwendungssuite von Microsoft achten sollten, damit wichtige Daten gesichert sind – und es auch bleiben.
Viele Unternehmen entscheiden sich für Microsoft 365 (vormals Office 365), um das „Komplettpaket“ zu erhalten – eine Suite mit den unterschiedlichen Funktionen von E-Mails über Textverarbeitung bis zur Videochat-Funktion. Die Vorteile liegen auf der Hand: Mitarbeiter können die Anwendungen ortsunabhängig aus der Cloud nutzen und von jedem unterstützten Gerät aus online arbeiten. Die Programme werden entweder gestreamt oder automatisch aktualisiert. Ein weiterer Pluspunkt für viele Anwender: Die in der Vergangenheit aufgetretenen Probleme mit dem Microsoft Exchange Server werden bei der Umstellung auf Microsoft 365 vermieden.
Doch wer denkt, dass mit der Einführung des Office-Pakets aus der Cloud alle Sicherheitsprobleme beseitigt sind, der irrt. Gerade im Zusammenspiel mit anderen Anwendungen im Unternehmensnetzwerk müssen Microsoft-365-Nutzer ganz besonders auf die Einstellungen achten und zusätzliche Sicherungsmaßnahmen vornehmen, damit der Datenschutz nicht verletzt, Daten verloren gehen und/oder Cyberkriminellen Tür und Tor geöffnet wird.
1. Sperren von nicht genutzten Anwendungen
Von OneDrive über Outlook bis Teams: Je nachdem, welches Microsoft-365-Lizenzlevel Sie für Ihr Unternehmen ausgewählt haben, bietet die Suite ganz unterschiedliche Programme. Diese stehen für Nutzer jederzeit bereit, auch wenn sie diese gar nicht brauchen. Gerade aber die Programme mit Netzwerkfunktion stellen eine potenzielle Angriffsfläche für Attacken von außen dar. Deshalb sollten IT-Beauftragte schauen, wer welche Programme tatsächlich benötigt und unbenutzte Anwendungen sperren, zum Beispiel über das Admin Center der Software oder die Firewall. Damit wird die Angriffsgefahr minimiert.
2. Korrekte Konfiguration der Anwendungen
SharePoint und OneDrive sind solche Netzwerkanwendungen aus Microsoft 365, die in Unternehmen für das Teilen und Verwalten von Daten genutzt werden. Durch ihre vielen Funktionen stellen sie eine Herausforderung für die IT-Sicherheit dar. Durch die richtige Konfiguration können die Sicherheitsgefahren jedoch begrenzt werden: Besonders wichtig ist, dass nicht berechtigte Nutzer keine neuen Inhalte erstellen können. Deshalb sollten IT-Administratoren nach Möglichkeit über das Admin-Center für jeden Nutzer für jeweils jede Anwendung Berechtigungsprofile erstellen.
3. Zusätzlicher Rundum-Schutz für Cloud-Daten
Auch wenn die zuvor genannten Einstellungen schon einmal eine gute Grundlage für die IT-Sicherheit darstellen, ist die Kommunikation in Microsoft 365 nicht automatisch abgesichert. Um das Risiko für gezielte Angriffe minimal zu halten, aber den laufenden Betrieb nicht zu beeinträchtigen, gibt es entsprechende Sicherheitssoftware als Managed Service, wie zum Beispiel ESET Cloud Office Security. In einer Kombination aus Spam-Filter, Anti-Malware-Scanner und Anti-Phishing sorgt sie als zusätzliche „Sicherheitsschicht“ dafür, dass neu ins System gelangende Dateien und E-Mails auf ihr Bedrohungspotenzial überprüft und im Zweifelsfall blockiert oder isoliert werden. Zudem unterstützt die Software bei der Identifikation, welche Nutzer potenziell von gezielten Angriffen bedroht sind und zu welchen Zeiten zum Beispiel besonders viele Spam-E-Mails zugestellt werden. Auch Sicherheitseinstellungen, die mit den Unternehmensrichtlinien konform sind, können IT-Administratoren über Cloud-Security-Programme einfacher steuern.
4. Sensibilisierung der Mitarbeiter
Bei der Vielzahl an Kommunikationsmöglichkeiten, die Microsoft 365 bietet, müssen sich die Mitarbeiter auf Phishing-Versuche über neue Kanäle einstellen. Nicht mehr nur über E-Mail könnten Angreifer mit täuschend echt aussehenden, fingierten Nachrichten versuchen, an sensible Informationen zu kommen, sondern auch zum Beispiel über die Messenger-Dienste. Hier gilt es, die Mitarbeiter zu sensibilisieren, dass Security-Softwares nicht immer alle neusten Angriffsvarianten erkennen können. So sollten die Mitarbeiter zum Beispiel darauf achten, dass sie URLs kritisch überprüfen, bevor sie auf diese klicken, auch wenn diese vermeintlich von Kollegen stammen.
5. Sicherung durch Backups
Viele Nutzer denken: „Da Microsoft 365 in der Cloud ist, muss ich mir keine Sorgen um die Sicherung der Daten machen, denn das passiert automatisch.“ Tatsächlich ist dies nicht der Fall, deshalb wird die Gefahr des Datenverlustes und die damit verbundenen Kosten in der Regel unterschätzt. Dabei kann es passieren, dass Nutzer beispielsweise unbeabsichtigt eine ganze SharePoint-Library löschen oder der ganze Datenbestand bei einer Ransomware-Attacke verschlüsselt worden ist. Da Microsoft ein ‚Back-up as a Service‘ selbst nicht für Kunden anbietet, empfiehlt es sich hier dringend, weitere Maßnahmen für die Sicherung der Daten einzusetzen. Eine Anwendung wie z.B. SkyKick Cloud Backup kann dafür sorgen, dass Daten nicht nur DSGVO-konform gesichert, sondern auch nach einem Vorfall schnell wiederhergestellt werden können.
Fazit
Wer sicherstellen will, dass seine Microsoft 365 Suite optimal abgesichert ist, muss folgende Punkte im Blick haben:
Viele Unternehmen entscheiden sich für Microsoft 365 (vormals Office 365), um das „Komplettpaket“ zu erhalten – eine Suite mit den unterschiedlichen Funktionen von E-Mails über Textverarbeitung bis zur Videochat-Funktion. Die Vorteile liegen auf der Hand: Mitarbeiter können die Anwendungen ortsunabhängig aus der Cloud nutzen und von jedem unterstützten Gerät aus online arbeiten. Die Programme werden entweder gestreamt oder automatisch aktualisiert. Ein weiterer Pluspunkt für viele Anwender: Die in der Vergangenheit aufgetretenen Probleme mit dem Microsoft Exchange Server werden bei der Umstellung auf Microsoft 365 vermieden.
Doch wer denkt, dass mit der Einführung des Office-Pakets aus der Cloud alle Sicherheitsprobleme beseitigt sind, der irrt. Gerade im Zusammenspiel mit anderen Anwendungen im Unternehmensnetzwerk müssen Microsoft-365-Nutzer ganz besonders auf die Einstellungen achten und zusätzliche Sicherungsmaßnahmen vornehmen, damit der Datenschutz nicht verletzt, Daten verloren gehen und/oder Cyberkriminellen Tür und Tor geöffnet wird.
1. Sperren von nicht genutzten Anwendungen
Von OneDrive über Outlook bis Teams: Je nachdem, welches Microsoft-365-Lizenzlevel Sie für Ihr Unternehmen ausgewählt haben, bietet die Suite ganz unterschiedliche Programme. Diese stehen für Nutzer jederzeit bereit, auch wenn sie diese gar nicht brauchen. Gerade aber die Programme mit Netzwerkfunktion stellen eine potenzielle Angriffsfläche für Attacken von außen dar. Deshalb sollten IT-Beauftragte schauen, wer welche Programme tatsächlich benötigt und unbenutzte Anwendungen sperren, zum Beispiel über das Admin Center der Software oder die Firewall. Damit wird die Angriffsgefahr minimiert.
2. Korrekte Konfiguration der Anwendungen
SharePoint und OneDrive sind solche Netzwerkanwendungen aus Microsoft 365, die in Unternehmen für das Teilen und Verwalten von Daten genutzt werden. Durch ihre vielen Funktionen stellen sie eine Herausforderung für die IT-Sicherheit dar. Durch die richtige Konfiguration können die Sicherheitsgefahren jedoch begrenzt werden: Besonders wichtig ist, dass nicht berechtigte Nutzer keine neuen Inhalte erstellen können. Deshalb sollten IT-Administratoren nach Möglichkeit über das Admin-Center für jeden Nutzer für jeweils jede Anwendung Berechtigungsprofile erstellen.
3. Zusätzlicher Rundum-Schutz für Cloud-Daten
Auch wenn die zuvor genannten Einstellungen schon einmal eine gute Grundlage für die IT-Sicherheit darstellen, ist die Kommunikation in Microsoft 365 nicht automatisch abgesichert. Um das Risiko für gezielte Angriffe minimal zu halten, aber den laufenden Betrieb nicht zu beeinträchtigen, gibt es entsprechende Sicherheitssoftware als Managed Service, wie zum Beispiel ESET Cloud Office Security. In einer Kombination aus Spam-Filter, Anti-Malware-Scanner und Anti-Phishing sorgt sie als zusätzliche „Sicherheitsschicht“ dafür, dass neu ins System gelangende Dateien und E-Mails auf ihr Bedrohungspotenzial überprüft und im Zweifelsfall blockiert oder isoliert werden. Zudem unterstützt die Software bei der Identifikation, welche Nutzer potenziell von gezielten Angriffen bedroht sind und zu welchen Zeiten zum Beispiel besonders viele Spam-E-Mails zugestellt werden. Auch Sicherheitseinstellungen, die mit den Unternehmensrichtlinien konform sind, können IT-Administratoren über Cloud-Security-Programme einfacher steuern.
4. Sensibilisierung der Mitarbeiter
Bei der Vielzahl an Kommunikationsmöglichkeiten, die Microsoft 365 bietet, müssen sich die Mitarbeiter auf Phishing-Versuche über neue Kanäle einstellen. Nicht mehr nur über E-Mail könnten Angreifer mit täuschend echt aussehenden, fingierten Nachrichten versuchen, an sensible Informationen zu kommen, sondern auch zum Beispiel über die Messenger-Dienste. Hier gilt es, die Mitarbeiter zu sensibilisieren, dass Security-Softwares nicht immer alle neusten Angriffsvarianten erkennen können. So sollten die Mitarbeiter zum Beispiel darauf achten, dass sie URLs kritisch überprüfen, bevor sie auf diese klicken, auch wenn diese vermeintlich von Kollegen stammen.
5. Sicherung durch Backups
Viele Nutzer denken: „Da Microsoft 365 in der Cloud ist, muss ich mir keine Sorgen um die Sicherung der Daten machen, denn das passiert automatisch.“ Tatsächlich ist dies nicht der Fall, deshalb wird die Gefahr des Datenverlustes und die damit verbundenen Kosten in der Regel unterschätzt. Dabei kann es passieren, dass Nutzer beispielsweise unbeabsichtigt eine ganze SharePoint-Library löschen oder der ganze Datenbestand bei einer Ransomware-Attacke verschlüsselt worden ist. Da Microsoft ein ‚Back-up as a Service‘ selbst nicht für Kunden anbietet, empfiehlt es sich hier dringend, weitere Maßnahmen für die Sicherung der Daten einzusetzen. Eine Anwendung wie z.B. SkyKick Cloud Backup kann dafür sorgen, dass Daten nicht nur DSGVO-konform gesichert, sondern auch nach einem Vorfall schnell wiederhergestellt werden können.
Fazit
Wer sicherstellen will, dass seine Microsoft 365 Suite optimal abgesichert ist, muss folgende Punkte im Blick haben:
- An die Sicherheitsbestimmungen im Unternehmen angepasste Konfiguration der Anwendungen
- Sperrung von Anwendungen, die nicht genutzt werden
- Sensibilisierung der Mitarbeiter für Phishing-Attacken etc.
- Zusätzliche Absicherung der Cloud durch eine IT-Security-Software im Managed Service
- Absicherung der Cloud-Daten durch eine extra Backup-Funktion
