Thought Leadership
Dank Diensten wie OneDrive, SharePoint und MS Teams war es für Mitarbeitende nie einfacher, Dokumente mit Anderen zu teilen. Für Organisationen birgt diese Freiheit aber auch Gefahren. Was können Unternehmen tun, um die Sicherheit geteilter Daten in Microsoft 365 zu gewährleisten?
Cloud-Nutzung steigt rapide
Spätestens seit Corona liegen flexible Arbeitsmodelle voll im Trend. In vielen Organisationen sind ein bis zwei Home-Office-Tage mittlerweile selbstverständlich, Meetings werden größtenteils online geplant, und in manchen Unternehmen gibt es Abteilungen, die sogar vollständig remote arbeiten. Dieser neue Normalzustand hat schnellere und effizientere Wege der Kommunikation erforderlich gemacht.
Um ihren Mitarbeiterinnen und Mitarbeitern einen reibungslosen und von ihrem Standort unabhängigen Austausch zu ermöglichen, ziehen immer mehr Unternehmen mit ihren Anwendungen in die Cloud. Im Business-Bereich ist Microsoft mit Azure AD und Microsoft 365 in diesem Bereich der mit Abstand größte Player. Aktuell spricht der Konzern von 345 Millionen kostenpflichtiger Lizenzen für MS 365 und 270 Millionen monatlichen Nutzer:innen auf MS Teams. Damit ist die Microsoft Cloud zum Dreh- und Angelpunkt der geschäftlichen Interaktion geworden.
Die neue Freiheit birgt Risiken
Durch MS 365 können Anwendende Zeit sparen und ihre Effizienz steigern. Dies gilt insbesondere für das Teilen von Daten und Dokumenten. Freigabeprozesse, die im lokalen Netzwerk durch die IT-Abteilung abgewickelt werden mussten, können User:innen in der Cloud selbst mit wenigen Klicks durchführen. Das freie Teilen von Daten intern und extern, das vor der Cloud den Admins vorbehalten war, bedeutet aber auch, dass Unternehmen zunehmend Kontrolle über den Informationsfluss einbüßen.
Dieses Problem sehen wir besonders deutlich an der Chat-Plattform Teams, die vielen Unternehmen auch als Schnittstelle nach außen dient. Im Austausch mit Kunden oder Partnern werden Dokumente freigegeben und Daten geteilt – ohne, dass diese Aktionen dokumentiert werden. In der Regel ist den Mitarbeitern nicht einmal bewusst, wo geteilte Dateien in MS Teams hinterlegt sind.
Das Problem wird dadurch erschwert, dass die Microsoft Cloud keine geeigneten Werkzeuge zur Verfügung stellt, um erteilte Freigaben für Unternehmen nachvollziehbar zu machen. Es gibt keine zentrale Übersicht für geteilte Dokumente, die eine laufende Kontrolle der Freigaben ermöglichen würde. Einmal geteilt heißt in der Regel also für immer freigegeben.
Freies Teilen begünstigt Datendiebstahl
Während viele Organisationen Cyberattacken oder Angriffe mit Ransomware fürchten, übersehen sie häufig die Gefahr aus den eigenen Reihen: Freigaben, die über MS 365 erteilt und nie kontrolliert oder entzogen wurden, sind eine unausgesprochene Einladung für den Datendiebstahl durch Mitarbeiter. Es braucht dabei nicht zwangsläufig kriminelle Vorsätze: Schon die unbeabsichtigte Weitergabe sensibler Informationen an Personen außerhalb der Organisation kann gravierende Folgen für das Unternehmen haben.
Es ist nicht umsonst eines der ersten Gebote in Sachen IT-Sicherheit, den Zugang zu sensiblen Daten für alle Personen auf das unbedingt notwendige Minimum zu beschränken. Wir sprechen bei diesem Grundsatz auch von dem Least-Privilege-Prinzip, welches ungewünschte Zugriffe innerhalb wie außerhalb der Organisation unterbindet.
Benutzerkonten absichern in MS 365
Trotz des fehlenden Überblicks bietet Microsoft 365 natürlich einige Sicherheitseinstellungen, die beim Schutz des File-Sharings helfen können. Zu den absoluten Grundlagen für Firmen zählt die Absicherung von Benutzerkonten, um deren Übernahme durch Cyberkriminelle zu verhindern. Zu den Vorkehrungen, die Organisationen hier unbedingt treffen sollten, zählen:
- die Multi-Faktor-Authentifizierung (MFA) für alle Konten,
- das aktive Blockieren von Apps, die MFA nicht unterstützen (Legacy Authentication),
- und die Definition eines zeitlichen Limits, nach dem inaktive Sessions automatisch beendet werden.
Darüber hinaus empfiehlt Microsoft, Richtlinien für den bedingten Zugriff (Conditional Access) zu definieren. Diese Funktion ermöglicht das Einrichten bestimmter Regeln für den Zugriff auf Ressourcen, um missbräuchliche Anmeldeversuche (z.B. von einem anderen Kontinent aus) automatisch zu unterbinden.
Je nach gewählter Lizenz sollten Organisationen die inkludierten Sicherheitsmaßnahmen von Microsoft, wie Phishing- und Malware-Filter, selbstverständlich so weit wie möglich ausschöpfen. Die Schulung des eigenen Personals hinsichtlich digitaler Bedrohungen und des Umgangs mit sensiblen Daten sollte ohnehin in jedem Betrieb Standard sein.
File-Sharing einschränken in MS 365
Das freie Teilen von Inhalten mit Externen ist eine der wichtigsten und beliebtesten Funktionen von MS 365 und von Cloud-Lösungen generell. Trotzdem stellt MS 365 auch Möglichkeiten bereit, die externe Freigabe zu steuern und das Teilen nur unter bestimmten Bedingungen zu erlauben. Organisationen können zum Beispiel festlegen, dass der Zugriff auf geteilte Dateien
- ganz ohne Anmeldung möglich ist.
- nur nach erfolgter Anmeldung möglich ist.
- nur für bestehende Gäste möglich ist.
- nur für Empfänger innerhalb der Organisation möglich ist.
Gleichzeitig können Freigaben an bestimmte Domains blockiert werden, die Gültigkeit von Gastzugriffen kann zeitlich limitiert und das externe Teilen auf einzelne Sicherheitsgruppen beschränkt werden.
Bei diesen Anpassungsmöglichkeiten handelt es sich allerdings um sehr allgemeine Einstellungen, die zwar Rahmenbedingungen für den Umgang mit Freigaben festlegen können, aber wenig Flexibilität für situationsbedingte Anpassungen oder spezifische Einzelfälle bieten.
Fehlender Überblick und wenig Transparenz
Das Problem ist nicht, dass Microsoft 365 Mitarbeiterinnen und Mitarbeitern das freie Teilen von Dokumenten und Daten ermöglicht. Genau darin liegt schließlich der Sinn von Cloud-Diensten wie MS 365. Das Problem ist, dass Organisationen keine Möglichkeit haben, den Überblick über alle erteilten Freigaben zu behalten. Microsoft stellt keine Funktion bereit, mit der sich die Freigaben in der Cloud gesammelt erheben ließen. Der Nachvollzug ist lediglich auf Ebene einzelner Benutzer oder Verzeichnisse möglich, was für die meisten Unternehmen keine praktikable Lösung ist.
Ohne eine zusätzliche Lösung, die Freigaben übersichtlich dokumentiert, und mit deren Hilfe sich der Zugriff auf sensible Daten innerhalb der Organisation zuverlässig steuern lässt, stehen Organisationen früher oder später vor folgenden Problemen:
- Es weiß niemand, wer im Unternehmen mit wem (intern und extern) welche Daten teilt.
- Freigaben bleiben bestehen, obwohl sie nicht mehr notwendig sind.
- Ehemalige Mitarbeiterinnen und Mitarbeiter können auch nach ihrem Ausscheiden noch ungehindert auf ihre Konten und freigegebenen Daten zugreifen.
- Die Entscheidung darüber, ob eine Freigabe noch erforderlich ist oder nicht, wird von Personen getroffen, die nicht über die nötigen Informationen verfügen.
Schwächen ausgleichen über automatisierte Lösungen
Für Organisationen, die weiterhin die vielen Vorteile von Microsoft 365 nutzen, aber gleichzeitig die volle Kontrolle über ihre Daten behalten wollen, empfiehlt sich der Einsatz einer automatisierten Lösungen für die Steuerung und Dokumentation von Berechtigungen. Identity und Access Management Systeme wie tenfold binden die Erteilung von Freigaben an Data Owner innerhalb der Fachabteilungen und dokumentieren übersichtlich und nachvollziehbar, wer im Unternehmen seit wann und wie lange Zugriff auf welche Daten hat.
Diese zentrale Übersicht, die Standard-Rechte, individuelle Freigaben und Problemfälle wie inaktive Konten für Admins auf einen Blick erfassbar macht, trägt wesentlich zum besseren Schutz von Firmendaten bei und hilft gleichzeitig, den Aufwand in der Benutzer- und Berechtigungsverwaltung zu reduzieren. So lässt sich Microsoft 365 sicher und produktiv nutzen.
