Anleitungen

Microsoft 365 Security: Ein umfassender Leitfaden für IT-Sicherheit

Dieser Leitfaden beleuchtet die wesentlichen Aspekte der M365-Sicherheit. Wir untersuchen das Zero-Trust-Modell, Identity & Access Management, Endpunktsicherheit, Gerätemanagement, E-Mail- und Kollaborationssicherheit sowie Datenschutz und Azure Information Protection. Abschließend betrachten wir Cloud App Security und die Rolle von Sicherheitsanalysen im Kampf gegen moderne Bedrohungen.

Tobias Strenk
M365 & Power Platform Consultant
Icon für E-MailLinkedIn-Logo
STECKBRIEF

Inhaltsverzeichnis:

  1. Zero-Trust-Sicherheitsmodell in Microsoft 365
  2. Identitäts- und Zugriffsverwaltung
  3. Endpunktsicherheit und Gerätemanagement
  4. Datenschutz und Informationsgovernance
  5. Cloud App Security und Schatten-IT
  6. Sicherheitsanalyse und Bedrohungsintelligenz
  7. Fazit
  8. Referenzen

    

In der digitalen Ära stellt Microsoft 365 Security eine unverzichtbare Komponente für den IT-Bedrohungsschutz dar. Unternehmen jeder Größe setzen auf diese umfassende Lösung, um ihre sensiblen Daten und Systeme zu schützen. Mit der zunehmenden Komplexität von Cyberbedrohungen hat die Bedeutung einer robusten Cloud Sicherheit einen neuen Höhepunkt erreicht. Microsoft 365 bietet ein ganzheitliches Sicherheitskonzept, das innovative Technologien und bewährte Praktiken vereint.

    

1. Zero-Trust-Sicherheitsmodell in Microsoft 365

     

Das Zero-Trust-Sicherheitsmodell hat sich als Antwort auf die komplexen Herausforderungen der modernen IT-Landschaft entwickelt. Es basiert auf dem Grundsatz, dass keine Entität – sei es ein Benutzer, eine Anwendung, ein Dienst oder ein Gerät – standardmäßig als vertrauenswürdig eingestuft werden darf [1]. Dieses Modell geht davon aus, dass sich Bedrohungen sowohl innerhalb als auch außerhalb des Unternehmensnetzwerks befinden können [2].

    

Prinzipien des Zero-Trust

Das Zero-Trust-Modell stützt sich auf drei grundlegende Prinzipien:

  1. Explizite Verifizierung: Jede Anforderung wird so behandelt, als käme sie aus einem nicht kontrollierten Netzwerk. Authentifizierung und Autorisierung erfolgen auf Basis aller verfügbaren Datenpunkte [3].
  2. Zugriff mit geringstmöglichen Rechten: Der Benutzerzugriff wird durch Just-In-Time- und Just-Enough-Access (JIT/JEA) sowie risikobasierte adaptive Richtlinien beschränkt [3].
  3. Annahme einer Sicherheitsverletzung: Es wird davon ausgegangen, dass eine Sicherheitsverletzung bereits stattgefunden hat. Daher werden Maßnahmen wie Mikrosegmentierung, End-to-End-Verschlüsselung und umfassende Analysen eingesetzt, um Bedrohungen zu erkennen und abzuwehren [2] [3].

    

Implementierung in der Cloud

Microsoft 365 und Azure spielen eine Schlüsselrolle bei der Implementierung des Zero-Trust-Modells. Sie bieten Schutz für Cloud-, Hybrid- und Multi-Cloud-Umgebungen [4]. Die Zscaler Zero Trust Exchange™ ist eine cloudnative Plattform, die auf dem Zero-Trust-Prinzip basiert und Zugriffsberechtigungen unter Berücksichtigung verschiedener Kontextdaten gewährt [1].

Ein typischer Implementierungsplan umfasst folgende Schritte:

  1. Einführung von Maßnahmen zum Identitäts- und Geräteschutz
  2. Registrierung von Endpunkten bei einer Geräteverwaltungslösung
  3. Bereitstellung einer XDR-Lösung (Extended Detection and Response)
  4. Schutz und Verwaltung vertraulicher Daten [2]

    

Vorteile für Unternehmen

Die Einführung des Zero-Trust-Modells bietet Unternehmen zahlreiche Vorteile:

  1. Hoher Return on Investment (ROI): Eine Studie von Forrester Consulting zeigt, dass Sicherheitsmodelle zur Implementierung einer Zero-Trust-Architektur innerhalb von drei Jahren einen ROI von 92 Prozent ergeben können [4].
  2. Verbesserte Sicherheit: Unternehmen können ihre Authentifizierungs-, Netzwerk- und Endpoint-Sicherheitsregelungen verbessern, was zu einem höheren Schutz gegen Datenlecks führt [4].
  3. Vereinfachte Compliance: Die Implementierung einer Zero-Trust-Architektur erleichtert es Unternehmen, vielfältige regulatorische Vorgaben einzuhalten und senkt das Risiko von Strafzahlungen [4].
  4. Erhöhte Produktivität: Durch Single-Sign-on (SSO) und BYOD (Bring Your Own Device) haben Mitarbeitende schnelleren Zugriff auf Unternehmensanwendungen, was die Effizienz steigert [4].
  5. Skalierbarkeit: Die SaaS-Lösungen von Microsoft ermöglichen es Unternehmen, ihre Umgebungen rasch zu erweitern oder zu verkleinern, ohne zusätzliche Hardware anschaffen zu müssen [4].

    

2. Identitäts- und Zugriffsverwaltung

    

In der modernen IT-Landschaft hat sich die Identitäts- und Zugriffsverwaltung als zentraler Sicherheitsbereich etabliert. Dies markiert eine Abkehr vom traditionellen Fokus auf Netzwerksicherheit, da Netzwerkgrenzen zunehmend durchlässiger werden und die Verteidigung des Perimeters angesichts der explosionsartigen Verbreitung von BYOD-Geräten und Cloud-Anwendungen an Effektivität verliert [5].

    

Microsoft Entra ID / Azure Active Directory

Microsoft Entra ID, früher als Azure Active Directory bekannt, ist die Azure-Lösung für Identitäts- und Zugriffsverwaltung. Es handelt sich um einen mandantenfähigen, cloudbasierten Verzeichnis- und Identitätsverwaltungsdienst, der grundlegende Verwaltungsdienste, Zugriffsverwaltung für Anwendungen und Identitätsgovernance in einer einzigen Lösung kombiniert [5].

    

Eine bewährte Methode besteht darin, Sicherheitskontrollen und Ermittlungen um Benutzer- und Dienstidentitäten zu zentrieren und dabei Microsoft Entra ID zu verwenden [5]. In Hybrididentitätsszenarien empfiehlt es sich, lokale und Cloud-Verzeichnisse zu integrieren. Dies ermöglicht dem IT-Team, Konten von einem zentralen Ort aus zu verwalten und steigert die Produktivität der Benutzer, da für den Zugriff auf Cloud- und lokale Ressourcen nur eine Identität benötigt wird [5].

      

Single Sign-On

Single Sign-On (SSO) ist ein wesentlicher Bestandteil moderner Netzwerkstrukturen, insbesondere in hybriden Umgebungen. Es entlastet Benutzer und verbessert gleichzeitig die Netzwerksicherheit [6]. Mit SSO können Anwender nach einmaliger Anmeldung an Active Directory mit allen verknüpften Cloud-Diensten arbeiten, ohne sich erneut authentifizieren zu müssen [6].

    

Microsoft Entra Single Sign-On vereinfacht den Zugriff auf SaaS-Apps, Cloud-Apps oder lokale Apps, unabhängig vom Standort [7]. Benutzer benötigen nur einen Satz von Anmeldeinformationen, um auf alle ihre Apps zuzugreifen, was die Notwendigkeit, sich verschiedene Varianten zu merken oder Kennwörter wiederholt einzugeben, eliminiert [7].

    

Die Implementierung von SSO bietet mehrere Vorteile:

  1. Unkomplizierte Anmeldung durch Reduzierung oder Eliminierung von Anmeldeaufforderungen [7].
  2. Zentralisierte, schnelle Startfunktion für einfaches Auffinden und Zugreifen auf Apps [7].
  3. Minimierung des Sicherheitsrisikos durch Vermeidung wiederholter Eingabe von Anmeldedaten [7].
  4. Zentralisierte Verwaltung von Benutzerkonten mit automatischer Zuweisung oder Entziehung von App-Zugriff basierend auf Gruppenmitgliedschaften oder Rollen [7].

     

Adaptive Authentifizierung

Die adaptive Authentifizierung, auch als risikobasierter bedingter Zugriff bekannt, ist ein fortschrittliches Sicherheitskonzept, das in Microsoft Entra ID implementiert ist. Diese Funktion ermöglicht es Organisationen, Zugriffsrichtlinien basierend auf verschiedenen Risikofaktoren dynamisch anzupassen [8].

    

Ein Schlüsselelement der adaptiven Authentifizierung ist die Multi-Faktor-Authentifizierung (MFA). Studien zeigen, dass die Verwendung von MFA die Wahrscheinlichkeit einer Kontokompromittierung um mehr als 99,9% reduziert [9]. MFA erfordert, dass Benutzer ihre Identität mit mehreren Authentifizierungsmethoden bestätigen, wie z.B. durch einen Anruf, eine SMS, eine Benachrichtigung über eine mobile App oder ein Einmalkennwort [9].

    

Für die Implementierung des bedingten Zugriffs empfiehlt es sich, bestimmte Konten von den Richtlinien auszuschließen:

  1. Notfallzugriffs- oder Break-Glass-Konten, um eine mandantenweite Kontosperrung zu vermeiden [9].
  2. Dienstkonten und Dienstprinzipale, da diese nicht interaktiv sind und MFA nicht programmgesteuert abschließen können [9].

     

Organisationen können auch bekannte Netzwerkadressen, sogenannte benannte Standorte, in ihre Richtlinien für bedingten Zugriff einbeziehen, um vertrauenswürdige Netzwerke zu berücksichtigen [9].

    

Die Implementierung einer robusten Identitäts- und Zugriffsverwaltung mit Azure Active Directory, Single Sign-On und adaptiver Authentifizierung bildet das Fundament für eine sichere und benutzerfreundliche IT-Umgebung in der modernen, cloud-zentrierten Welt.

    

3. Endpunktsicherheit und Gerätemanagement

    

Die Verwaltung und der Schutz von Geräten bilden eine Kernkomponente der Unternehmenssicherheit. Unabhängig davon, ob eine Zero-Trust-Sicherheitsarchitektur aufgebaut, die Umgebung gegen Ransomware gehärtet oder Schutzmaßnahmen für Remote-Mitarbeiter implementiert werden sollen, ist das Gerätemanagement ein wesentlicher Bestandteil der Strategie [10].

    

Microsoft Defender for Endpoint

Microsoft Defender for Endpoint ist eine umfassende Lösung für den Endpunktschutz, die sich nahtlos in verschiedene Microsoft-Lösungen integrieren lässt [11]. Diese Integration ermöglicht eine ganzheitliche Sicherheitsstrategie:

  1. Cloud-Integration: Microsoft Defender for Cloud bietet eine umfassende Serverschutzlösung, einschließlich EDR-Funktionen (Endpoint Detection and Response) auf Windows-Servern [11].
  2. Sicherheitsanalyse: Durch die Integration mit Microsoft Sentinel können Warnungen von Microsoft Defender for Endpoint gestreamt werden, um Sicherheitsereignisse umfassender zu analysieren und effektive Reaktionen zu automatisieren [11].
  3. Bedingter Zugriff: Die dynamische Geräterisikobewertung von Microsoft Defender for Endpoint ist in die Bewertung des bedingten Zugriffs integriert, um sicherzustellen, dass nur sichere Geräte Zugriff auf Ressourcen erhalten [11].
  4. Cloud App Security: Microsoft Defender for Cloud Apps nutzt Signale von Microsoft Defender for Endpoint, um die Nutzung sicherer zu machen [11].
  5. Identitätsschutz: Die Integration zwischen Microsoft Defender for Endpoint und Microsoft Defender for Identity ermöglicht flexible Cyber-Sicherheitsuntersuchungen über Aktivitäten und Identitäten hinweg [11].
  6. E-Mail-Sicherheit: Durch die Integration mit Microsoft Defender for Office 365 können Sicherheitsanalysten den Einstiegspunkt eines Angriffs untersuchen und durch gemeinsame Nutzung von Threat Intelligence Angriffe eindämmen und blockieren [11].
  7. KI-Integration: Microsoft Defender for Endpoint nutzt fortschrittliche künstliche Intelligenz und maschinelles Lernen, um Bedrohungen proaktiv zu erkennen und darauf zu reagieren. Durch die Analyse großer Mengen von Sicherheitsdaten in Echtzeit kann das System unbekannte und neu auftretende Bedrohungen identifizieren, Anomalien erkennen und automatische Abwehrmaßnahmen einleiten. Diese KI-gesteuerten Funktionen verbessern die Genauigkeit der Bedrohungserkennung, reduzieren die Reaktionszeit auf Vorfälle und entlasten Sicherheitsteams durch automatisierte Prozesse und intelligente Priorisierung von Warnungen [11].

    

Diese vielfältigen Integrationen machen Microsoft Defender for Endpoint zu einer leistungsfähigen und umfassenden Sicherheitslösung, die Organisationen dabei unterstützt, ihre Endpunkte effektiv vor einer ständig wachsenden Anzahl von Cyberbedrohungen zu schützen. Welche Funktionalitäten verfügbar sind, hängt vom gewählten Plan ab; verfügbar sind Microsoft Defender for Endpoint P1 oder P2 mit erweiterter Funktionalität inklusive Threat Intelligence.

    

Intune-Geräteverwaltung

Microsoft Intune ist eine erstklassige Lösung für die Geräteverwaltung, die es Organisationen ermöglicht, Geräte, Apps und den Zugriff auf Unternehmensdaten umfassend zu verwalten und zu sichern [12].

    

Kernfunktionen von Intune:

  1. Plattformübergreifende Verwaltung: Intune unterstützt die Verwaltung verschiedener Plattformen, einschließlich Android, iOS/iPadOS, Linux, macOS und Windows [12].
  2. Richtliniendurchsetzung: Mit Intune können Organisationen Geräte- und App-Richtlinien, Softwareupdaterichtlinien und Installationsstatus verwalten und überwachen [12].
  3. Flexible Verwaltungsoptionen: Intune bietet sowohl Mobile Device Management (MDM) als auch Mobile Application Management (MAM) an, um den unterschiedlichen Anforderungen von Unternehmen gerecht zu werden [12].
  4. Integration mit lokalen Systemen: Organisationen können ihre lokalen Configuration Manager an Microsoft Intune anbinden, um von den Vorteilen der Cloud zu profitieren [12].
  5. Updatemanagement: Intune ermöglicht die präzise Steuerung und Planung von Updates, wodurch IT-Teams regelmäßige, monatliche Updates effizient verwalten und die Systemstabilität ohne Produktivitätsverlust sicherstellen können [12].

    

Geräteregistrierung in Intune:

Die Registrierung von Geräten in Intune ist ein entscheidender Schritt zur Sicherstellung der Endpunktsicherheit. Der Prozess variiert je nach Betriebssystem:

  • Windows 10 und 11: Mehrere Registrierungsoptionen stehen zur Verfügung [13].
  • Android: Die meisten Organisationen verwenden Android-Arbeitsprofile, insbesondere in BYOD-Szenarien (Bring Your Own Device) [13].
  • macOS: Für eine kleine Anzahl von Benutzern wird die Nur-Intune-Registrierung empfohlen, während für größere Implementierungen ggf. die Registrierung über Intune und Jamf vorteilhaft ist [13].

     

Sicherheitsbaselines

Sicherheitsbaselines in Microsoft Intune sind vorkonfigurierte Gruppen von Windows-Einstellungen, die es ermöglichen, präzise Sicherheitseinstellungen anzuwenden und durchzusetzen [14].

    

Vorteile von Sicherheitsbaselines:

  1. Standardisierung: Jede Sicherheitsbaseline ist so konfiguriert, dass sie bewährte Methoden und Empfehlungen für sicherheitsrelevante Einstellungen erfüllt [14].
  2. Schnelle Implementierung: Sicherheitsbaselines bieten einen schnellen Einstieg in die Erstellung und Bereitstellung sicherer Profile [14].
  3. Einfache Migration: Für Organisationen, die von Gruppenrichtlinien migrieren, bieten diese Baselines eine moderne Verwaltungsoberfläche [14].

    

Implementierung von Sicherheitsbaselines:

  1. Auswahl der Baseline: Microsoft bietet verschiedene Baselines an, die spezifisch auf unterschiedliche Umgebungen und Anforderungen zugeschnitten sind, wie z.B. Baselines für Windows 10/11, Office-Anwendungen, oder spezifische Sicherheitsrichtlinien. Diese Baselines umfassen empfohlene Einstellungen, die als sicher und bewährt gelten [15].
  2. Profilkonfiguration: Obwohl die Baselines bereits bewährte Standardeinstellungen bieten, können Administratoren sie an die spezifischen Bedürfnisse ihrer Organisation anpassen. Dies kann Anpassungen an Richtlinien wie Passwortanforderungen, Verschlüsselungsstandards oder Firewall-Einstellungen umfassen [15].
  3. Gruppenzuweisung: Die Baselines können bestimmten Benutzer- oder Gerätegruppen innerhalb der Organisation zugewiesen werden. So können unterschiedliche Sicherheitsanforderungen für verschiedene Abteilungen, Standorte oder Gerätetypen umgesetzt werden [15].
  4. Versionsverwaltung: Sicherheitsanforderungen und Best Practices entwickeln sich ständig weiter. Daher ist es wichtig, regelmäßig die neueste Version der Baseline zu implementieren, um sicherzustellen, dass die Konfigurationen den aktuellen Standards und Bedrohungslandschaften entspreche [15].

    

Durch die Implementierung und regelmäßige Aktualisierung von Sicherheitsbaselines können Organisationen sicherstellen, dass ihre Geräte konsistent nach den besten Sicherheitspraktiken konfiguriert sind. Dies ist ein wichtiger Bestandteil einer umfassenden Sicherheitsstrategie, insbesondere wenn es um die Verwaltung von Endpunkten über Lösungen wie Microsoft Defender for Endpoint und Intune geht.

    

E-Mail- und Kollaborationssicherheit

Microsoft 365 bietet umfassende Sicherheitslösungen für E-Mail und Zusammenarbeit, um Unternehmen vor verschiedenen Bedrohungen zu schützen. Diese Lösungen umfassen Exchange Online Protection, Safe Attachments und Safe Links sowie Sicherheitsmaßnahmen für SharePoint und OneDrive (OneDrive und Teams speichern ihre Dateien in SharePoint). Welche Funktionalitäten verfügbar sind, hängt auch hier wieder vom gewählten Plan ab; verfügbar sind hier Microsoft Defender for Office P1 oder P2.

    

Exchange Online Protection

Exchange Online Protection (EOP) ist der cloudbasierte Filterdienst von Microsoft, der Organisationen vor Spam, Schadsoftware, Phishing und anderen E-Mail-Bedrohungen schützt. EOP ist in allen Microsoft 365-Organisationen mit Exchange Online-Postfächern enthalten und kann auch für lokale Postfächer und in Hybridumgebungen verwendet werden [16].

Der Schutzprozess von EOP umfasst mehrere Schritte:

  1. Verbindungsfilterung: Überprüft die Zuverlässigkeit des Absenders und stoppt die meisten Spam-Nachrichten.
  2. Schadsoftware-Überprüfung: Scannt Nachrichten und Anhänge auf Schadsoftware.
  3. Richtlinienfilterung: Wertet Nachrichten anhand definierter Nachrichtenflussregeln aus.
  4. Inhaltsfilterung: Identifiziert schädliche Nachrichten als Spam, Phishing oder Spoofing [16].

EOP wird in einem weltweiten Netzwerk von Rechenzentren betrieben, um höchste Verfügbarkeit zu gewährleisten. Bei Ausfällen werden E-Mails automatisch an andere Rechenzentren weitergeleitet, um Unterbrechungen zu vermeiden [16].

    

Safe Attachments und Safe Links

Microsoft Defender für Office 365 bietet zusätzliche Sicherheitsfunktionen wie Safe Attachments und Safe Links, die in EOP nicht enthalten sind.

Safe Attachments schützt vor unbekannter Schadsoftware in E-Mail-Anhängen. Administratoren können Richtlinien konfigurieren, um verdächtige Anhänge zu blockieren, in Quarantäne zu stellen oder dynamisch zu überprüfen [17].

Safe Links bietet URL-Überprüfung und -Umschreibung für eingehende E-Mails sowie Schutz in Microsoft Teams und Office 365-Apps. Es scannt URLs auf bekannte schädliche Links und analysiert sie auf potenziell gefährliche Inhalte [18].

    

SharePoint und OneDrive Sicherheit

Microsoft 365 implementiert mehrere Sicherheitsmaßnahmen für SharePoint und OneDrive:

  1. Virenerkennung: Ein gemeinsames Virenerkennungsmodul überprüft hochgeladene Dateien in SharePoint Online, OneDrive und Microsoft Teams [19].
  2. Zugriffskontrollen: Administratoren können verhindern, dass Benutzer infizierte Dateien herunterladen [19].
  3. Verschlüsselung: Daten werden bei der Übertragung und zwischen Rechenzentren durch erstklassige Verschlüsselung geschützt [20].
  4. Physische Sicherheit: Der Zugang zu Rechenzentren ist streng kontrolliert und erfordert mehrere Authentifizierungsfaktoren [20].
  5. Netzwerksicherheit: Die Netzwerke und Identitäten sind vom Microsoft-Unternehmensnetzwerk isoliert, mit separaten Domänen für Test und Produktion [20].
  6. Datensicherung: Metadaten-Backups werden 14 Tage lang aufbewahrt und können innerhalb von fünf Minuten wiederhergestellt werden [20]. Gelöschte Daten in SharePoint und OneDrive werden in zwei Recycle Bins (Papierkörben) aufbewahrt. Zuerst landen sie im ersten Papierkorb (Endbenutzer-Papierkorb), wo sie bis zu 93 Tage lang wiederhergestellt werden können. Wenn sie dort gelöscht werden, gelangen sie in den zweiten Papierkorb (Administrator-Papierkorb), wo sie für die restliche Zeit der 93 Tage ebenfalls wiederhergestellt werden können.
  7. Erweiterte Bedrohungsanalyse: Organisationen mit Microsoft Defender für Office 365 können sichere Anlagen für SharePoint, OneDrive und Microsoft Teams aktivieren, um den Schutz zu verbessern [19].

Diese umfassenden Sicherheitsmaßnahmen gewährleisten, dass Unternehmen ihre E-Mail-Kommunikation und Zusammenarbeit in Microsoft 365 sicher und effektiv gestalten können.

     

4. Datenschutz und Informationsgovernance

    

In der heutigen digitalen Ära ist der Schutz vertraulicher Informationen von entscheidender Bedeutung für Unternehmen. Microsoft 365 bietet umfassende Lösungen für Datenschutz und Informationsgovernance, die Organisationen dabei helfen, ihre sensiblen Daten zu schützen und zu verwalten.

    

Sensitivitätsbezeichnungen

Sensitivitätsbezeichnungen sind ein integraler Bestandteil der Microsoft 365-Sicherheitsstrategie. Sie ermöglichen es Unternehmen, Daten zu klassifizieren und zu schützen, ohne die Produktivität und Zusammenarbeit der Benutzer zu beeinträchtigen [21]. Diese Bezeichnungen befinden sich im Bereich Information Protection im Microsoft 365 Compliance Portal und bieten eine zentrale Lösung für die Verwaltung von Vertraulichkeitsrichtlinien [21].

Mit Sensitivitätsbezeichnungen können Unternehmen:

  1. Dateien und E-Mails verschlüsseln
  2. Inhaltsmarkierungen wie Kopfzeilen, Fußzeilen und Wasserzeichen hinzufügen
  3. Automatische Bezeichnungen basierend auf bestimmten Bedingungen anwenden
  4. Den Zugriff auf Gruppen, Sites und Teams steuern

Die Implementierung von Sensitivitätsbezeichnungen erfordert eine sorgfältige Planung und die Entwicklung einer Klassifizierungstaxonomie, die das gemeinsame Verständnis des Unternehmens über Vertraulichkeitsgrade widerspiegelt [21].

    

Azure Information Protection

Azure Information Protection (AIP) ist Teil von Microsoft Purview Information Protection und hilft Organisationen dabei, vertrauliche Informationen zu ermitteln, zu klassifizieren, zu schützen und zu überwachen [22]. AIP integriert sich nahtlos in Microsoft 365 und bietet erweiterte Funktionen für die Klassifizierung und den Schutz von Dokumenten und E-Mails.

Einige Schlüsselfunktionen von AIP umfassen:

  • Manuelle und automatische Dokumentklassifizierung
  • Dokumentnachverfolgung und -sperrung
  • Integration mit Microsoft Purview Information Protection Scanner für die Entdeckung und den Schutz von Inhalten in lokalen Dateiservern [22]

Es ist wichtig zu beachten, dass AIP sich auf einer mehrjährigen Modernisierungs- und Integrationsreise befindet, mit dem Ziel, einen erweiterten Klassifizierungs-, Bezeichnungs- und Schutzstapel bereitzustellen [22].

     

Data Loss Prevention

Purview Data Loss Prevention (DLP) ist eine entscheidende Komponente der Microsoft 365-Sicherheitsstrategie. DLP-Lösungen helfen Unternehmen, die unangemessene Freigabe, Übertragung oder Nutzung vertraulicher Daten zu erkennen und zu verhindern [23].

Mit Microsoft 365 DLP können Organisationen:

  1. Vertrauliche Elemente in verschiedenen Microsoft 365-Diensten identifizieren und schützen
  2. Benutzeraktivitäten mit vertraulichen Daten überwachen
  3. Automatische Schutzmaßnahmen implementieren, wie das Blockieren der Freigabe oder das Anzeigen von Richtlinientipps [24]

DLP nutzt fortschrittliche Inhaltsanalyse und Machine Learning-Algorithmen, um vertrauliche Informationen zu erkennen [24]. Es unterstützt auch die Implementierung von Richtlinien für verschiedene Workloads, einschließlich Exchange Online, SharePoint, OneDrive und Teams [24].

       

Für eine erfolgreiche DLP-Implementierung ist es wichtig:

  • Vertrauliche Daten zu identifizieren und zu kennzeichnen
  • Daten während der Speicherung und Übertragung zu verschlüsseln
  • Den Zugriff auf vertrauliche Informationen zu beschränken
  • Mitarbeiter über ihre Rolle beim Datenschutz aufzuklären [23]

Durch die Integration dieser Sicherheitslösungen können Unternehmen einen umfassenden Ansatz für Datenschutz und Informationsgovernance in Microsoft 365 implementieren und so ihre sensiblen Daten effektiv schützen und verwalten.

    

5. Cloud App Security und Schatten-IT

    

Microsoft Defender for Cloud Apps, früher als Microsoft Cloud App Security bekannt, ist ein umfassender Cloud Access Security Broker (CASB), der in mehreren Clouds ausgeführt wird. Dieser Dienst bietet Unternehmen umfassende Sichtbarkeit, starke Datenkontrolle und verbesserten Bedrohungsschutz für ihre Cloud-Apps [25]. Als Teil des Microsoft 365 Security Stacks unterstützt er Organisationen dabei, wichtige Informationen im Umfeld der App- und Datenutzung auszuwerten und potenzielle Schatten-IT zu verhindern [26]. Schatten-IT (auch "Shadow IT" genannt) bezieht sich auf IT-Systeme, -Geräte, -Software und -Dienste, die ohne formelle Genehmigung oder das Wissen der IT-Abteilung innerhalb einer Organisation verwendet werden. Diese Praxis tritt häufig auf, wenn Mitarbeiter Tools und Anwendungen nutzen, die nicht von der offiziellen IT-Infrastruktur unterstützt oder verwaltet werden, um ihre Arbeit effizienter zu gestalten.

    

Cloud Discovery

Cloud Discovery ist eine Kernfunktion von Defender for Cloud Apps, die Unternehmen einen Einblick in die Schatten-IT ermöglicht [25]. Diese Funktion überwacht und analysiert den Datenverkehr in einer Organisation, um Cloud-Anwendungen und -Dienste zu identifizieren [26].

     

Der Prozess umfasst folgende Schritte:

  1. Analyse von Datenverkehrsprotokollen
  2. Identifizierung von Cloud-Apps
  3. Risikobewertung
  4. Erkennung aktiver Benutzer und IP-Adressen [27]

    

Cloud Discovery bietet zwei Arten von Berichten:

  • Momentaufnahmeberichte: Diese bieten Ad-hoc-Sichtbarkeit für mehrere manuell hochgeladene Datenverkehrsprotokolle.
  • Fortlaufende Berichte: Sie analysieren alle aus dem Netzwerk weitergeleiteten Protokolle und bieten einen besseren Überblick über alle Daten [27].

    

App-Risikobewertung

Defender for Cloud Apps verfügt über einen Katalog von mehr als 31.000 Cloud-Apps, die nach über 90 Risikofaktoren bewertet werden [27]. Diese umfassende Bewertung ermöglicht es Unternehmen, potenzielle Sicherheitsrisiken zu identifizieren, die mit der Nutzung bestimmter Cloud-Anwendungen verbunden sein könnten. Dazu gehören:

  • Unsichere Anmeldungen
  • Unzureichende Zugriffssteuerungen
  • Fehlende Erfüllung von Compliance-Vorgaben [26]

Die App-Risikobewertung hilft Organisationen, fundierte Entscheidungen über die Nutzung von Cloud-Diensten zu treffen und die Sicherheit ihrer Daten zu gewährleisten.

    

Echtzeit-Kontrollen

Defender for Cloud Apps bietet Echtzeit-Kontrollen, die es Unternehmen ermöglichen, proaktiv auf potenzielle Risiken zu reagieren. Zu den wichtigsten Funktionen gehören:

  1. Automatische Blockierung nicht sanktionierter Apps: In Zusammenarbeit mit Secure Web Gateways (SWGs) kann Defender for Cloud Apps nicht genehmigte Anwendungen automatisch blockieren [27].
  2. Risikobewertungen im SWG-Portal: Die Integration ermöglicht es, Risikobewertungen direkt im SWG-Portal anzuzeigen [27].
  3. Cloud Discovery API: Diese API automatisiert den Upload von Datenverkehrsprotokollen und erstellt automatische Cloud Discovery-Berichte und Risikobewertungen. Sie kann auch zur Generierung von Blockskripten verwendet werden, um die Steuerung von Anwendungen direkt auf der Netzwerk-Appliance zu optimieren [27].
  4. Rollenbasierte Zugriffssteuerung: Defender for Cloud Apps unterstützt verschiedene Administratorrollen mit unterschiedlichen Zugriffsebenen, um eine granulare Kontrolle über die Sicherheitsfunktionen zu ermöglichen [28].

Durch den Einsatz dieser umfassenden Funktionen können Unternehmen ihre Cloud-Sicherheit erheblich verbessern und die Risiken der Schatten-IT effektiv managen. Die Kombination aus Sichtbarkeit, Kontrolle und fortschrittlicher Analyse macht Defender for Cloud Apps zu einem wertvollen Werkzeug im modernen Sicherheitsarsenal von Organisationen.

    

6. Sicherheitsanalyse und Bedrohungsintelligenz

    

In der heutigen komplexen Bedrohungslandschaft ist es für Unternehmen unerlässlich, über leistungsfähige Tools zur Sicherheitsanalyse und Bedrohungsintelligenz zu verfügen. Microsoft bietet eine Reihe fortschrittlicher Lösungen, die Organisationen dabei helfen, Bedrohungen zu erkennen, zu analysieren und darauf zu reagieren.

    

Microsoft Sentinel

Microsoft Sentinel ist eine umfassende Cloud-native SIEM- und SOAR-Lösung (Security Information and Event Management und Security Orchestration, Automation and Response), die Unternehmen einen ganzheitlichen Überblick über ihre Sicherheitslage bietet. Es verfügt über zahlreiche Datenconnectors für Microsoft-Produkte sowie für Nicht-Microsoft-Produkte wie Syslog oder Common Event Format (CEF) [29].

Um Microsoft Sentinel effektiv zu nutzen, können Organisationen folgende Schritte unternehmen:

  1. Aktivieren Sie den Azure Activity-Datenconnector, um Aktivitätsdaten an Microsoft Sentinel weiterzuleiten.
  2. Generieren Sie Aktivitätsdaten, indem Sie eine Regel in der Azure-Activity-Lösung aktivieren.
  3. Analysieren Sie die gesammelten Aktivitätsdaten im Arbeitsbereich [29].

Ein besonderer Vorteil von Microsoft Sentinel ist die Integration mit Microsoft Defender for Office 365. Diese Verbindung ermöglicht es Administratoren, Vorfälle, Warnungen und Rohdaten aus Microsoft Defender direkt in Microsoft Sentinel anzuzeigen und für erweiterte Suchvorgänge zu nutzen [30].

    

Advanced Hunting

Advanced Hunting ist ein leistungsstarkes Tool für proaktive Bedrohungssuche und -analyse. Es ermöglicht Sicherheitsexperten, komplexe Abfragen durchzuführen, um versteckte Bedrohungen aufzuspüren. Um die Effizienz von Advanced Hunting zu maximieren, sollten folgende bewährte Methoden beachtet werden:

  1. Optimieren Sie KQL-Abfragen (Kusto Query Language), um die Leistung zu verbessern und Timeouts zu vermeiden.
  2. Verwenden Sie den summarize-Operator in Kombination mit der bin()-Funktion, um Ereignisse im Zeitverlauf zu analysieren.
  3. Nutzen Sie den externaldata-Operator, um große Datensätze aus externen Quellen einzubinden [31].

Für eine effektive Visualisierung der Ergebnisse bietet Advanced Hunting verschiedene Diagrammtypen. Sicherheitsanalysten können die Ergebnisse auch exportieren oder einzelne Datensätze detailliert überprüfen [32].

    

Threat Analytics

Threat Analytics ist eine integrierte Threat Intelligence-Lösung von Microsoft-Sicherheitsexperten. Sie unterstützt Sicherheitsteams dabei, neue Bedrohungen schnell zu erkennen und darauf zu reagieren. Threat Analytics bietet Einblicke in:

  1. Aktive Bedrohungsakteure und ihre Kampagnen
  2. Beliebte und neue Angriffstechniken
  3. Kritische Sicherheitsrisiken
  4. Häufige Angriffsflächen
  5. Weit verbreitete Schadsoftware [33]

    

Jeder Threat Analytics-Bericht enthält eine detaillierte Analyse der Bedrohung sowie umfassende Anleitungen zur Abwehr. Die Berichte sind in mehrere Abschnitte gegliedert:

  • Übersicht: Bietet eine Zusammenfassung und visuelle Darstellung der Bedrohungsauswirkungen.
  • Analystenbericht: Enthält detaillierte Beschreibungen von Angriffsketten, oft mit Zuordnung zum MITRE ATT&CK-Framework.
  • Risikominderungen: Listet spezifische Empfehlungen zur Erhöhung der Resilienz gegen die Bedrohung [33] [34].

Durch die Kombination dieser fortschrittlichen Tools und Funktionen können Unternehmen ihre Sicherheitsanalyse und Bedrohungsintelligenz erheblich verbessern. Dies ermöglicht eine proaktivere und effektivere Verteidigung gegen die sich ständig weiterentwickelnde Bedrohungslandschaft.

     

7. Fazit

     

Die umfassende Betrachtung der Microsoft 365 Sicherheit zeigt, wie wichtig ein ganzheitlicher Ansatz zum Schutz von Unternehmensdaten ist. Von der Identitäts- und Zugriffsverwaltung über Endpunktsicherheit bis hin zu fortschrittlicher Bedrohungsanalyse bietet Microsoft 365 ein breites Spektrum an Werkzeugen, um Sicherheitsrisiken zu mindern. Diese Lösungen arbeiten nahtlos zusammen, um eine robuste Verteidigung gegen die sich ständig weiterentwickelnde Bedrohungslandschaft zu schaffen.

     

In der heutigen digitalen Welt ist IT-Sicherheit kein einmaliges Projekt, sondern ein fortlaufender Prozess. Unternehmen müssen wachsam bleiben und ihre Sicherheitsstrategien kontinuierlich anpassen, um mit neuen Bedrohungen Schritt zu halten. Dabei ist es entscheidend, einen Einklang zwischen operativer Agilität und Sicherheit zu gewährleisten. Nur wenn Sicherheitsmaßnahmen flexibel genug sind, um sich schnell an veränderte Bedingungen anzupassen, ohne die betriebliche Effizienz zu beeinträchtigen, können Unternehmen sowohl ihre Innovationskraft als auch ihre Sicherheitsstandards hochhalten.

     

Zusätzlich ist die Zusammenarbeit mit erfahrenen IT-Partnern von entscheidender Bedeutung. Da die Bedrohungslandschaft immer komplexer wird, können Partnerschaften mit spezialisierten IT-Firmen helfen, den Zugang zu neuesten Technologien und Fachwissen zu gewährleisten. Diese Partnerschaften ermöglichen es Unternehmen, ihre Sicherheitsinfrastruktur kontinuierlich zu verbessern und sicherzustellen, dass sie auf die neuesten Bedrohungen vorbereitet sind. Die Integration von Microsoft 365 Sicherheitsfunktionen zusammen mit strategischen Partnerschaften kann Organisationen dabei helfen, ihre Abwehrkräfte zu stärken und das Risiko von Datenverlust oder Sicherheitsverletzungen erheblich zu verringern.

    

8. Referenzen

     

[1] - https://www.zscaler.de/resources/security-terms-glossary/what-is-zero-trust [2] - https://www.microsoft.com/de-de/security/business/zero-trust [3] - https://learn.microsoft.com/de-de/security/zero-trust/zero-trust-overview [4] - https://www.mittelstand-heute.com/in-zahlen-warum-sich-zero-trust-f%C3%BCr-unternehmen-lohnt [5] - https://learn.microsoft.com/de-de/azure/security/fundamentals/identity-management-best-practices [6] - https://www.active-directory-faq.de/2021/06/single-sign-on-in-microsoft-365-nutzen/ [7] - https://www.microsoft.com/de-de/security/business/identity-access/microsoft-entra-single-sign-on [8] - https://learn.microsoft.com/de-de/microsoft-365/admin/security-and-compliance/set-up-multi-factor-authentication?view=o365-worldwide [9] - https://learn.microsoft.com/de-de/entra/identity/conditional-access/howto-conditional-access-policy-all-users-mfa [10] - https://learn.microsoft.com/de-de/microsoft-365/solutions/manage-devices-with-intune-overview?view=o365-worldwide [11] - https://learn.microsoft.com/de-de/defender-endpoint/threat-protection-integration [12] - https://learn.microsoft.com/de-de/mem/intune/fundamentals/what-is-device-management [13] - https://learn.microsoft.com/de-de/microsoft-365/solutions/manage-devices-with-intune-enroll?view=o365-worldwide [14] - https://learn.microsoft.com/de-de/mem/intune/protect/security-baselines [15] - https://learn.microsoft.com/de-de/mem/intune/protect/security-baselines-configure [16] - https://learn.microsoft.com/de-de/defender-office-365/eop-about [17] - https://learn.microsoft.com/de-de/defender-office-365/safe-attachments-policies-configure [18] - https://learn.microsoft.com/de-de/defender-office-365/safe-links-about [19] - https://learn.microsoft.com/de-de/defender-office-365/anti-malware-protection-for-spo-odfb-teams-about [20] - https://learn.microsoft.com/de-de/sharepoint/safeguarding-your-data [21] - https://netunite.eu/insights/netunite-news/microsoft-sharepoint-teams-sensitivity-labels-vertraulichkeitsbezeichnungen/ [22] - https://learn.microsoft.com/de-de/office365/servicedescriptions/azure-information-protection [23] - https://www.microsoft.com/de-de/security/business/security-101/what-is-data-loss-prevention-dlp [24] - https://learn.microsoft.com/de-de/purview/dlp-learn-about-dlp [25] - https://learn.microsoft.com/de-de/defender-cloud-apps/editions-cloud-app-security-aad [26] - https://www.siller.consulting/microsoft-defender-for-cloud-apps/ [27] - https://learn.microsoft.com/de-de/defender-cloud-apps/set-up-cloud-discovery [28] - https://learn.microsoft.com/de-de/defender-cloud-apps/manage-admins [29] - https://learn.microsoft.com/de-de/azure/sentinel/quickstart-onboard [30] - https://learn.microsoft.com/de-de/defender-office-365/step-by-step-guides/connect-microsoft-defender-for-office-365-to-microsoft-sentinel [31] - https://learn.microsoft.com/de-de/defender-xdr/advanced-hunting-best-practices [32] - https://learn.microsoft.com/de-de/defender-xdr/advanced-hunting-query-results [33] - https://learn.microsoft.com/de-de/defender-xdr/threat-analytics [34] - https://learn.microsoft.com/de-de/defender-endpoint/threat-analytics

Weitere Artikel

Alle Artikel
Ressourcen
Effektives Projektmanagement in der Softwareentwicklung: Agil oder Klassisch?

Effektives Projektmanagement in der Softwareentwicklung: Agil oder Klassisch?

Der Artikel vergleicht klassische und agile Ansätze im Projektmanagement der Softwareentwicklung, behandelt Stakeholder-Management, Tools, Skalierungsherausforderungen und zukünftige Trends in der Projektsteuerung.

Sep 12, 2024
Anleitungen
Microsoft 365 Einführung und Migration für kleine Unternehmen

Microsoft 365 Einführung und Migration für kleine Unternehmen

Das Wichtigsten zu Microsoft 365 Einführung & Migration für kleine Unternehmen. Themen sind Vorteile, Vorbereitung, Planung, Planauswahl, Datenmigration, Einrichtung von Teams & SharePoint, Mitarbeiterschulung sowie Sicherheits- & Compliance-Aspekte.

Sep 11, 2024
Anleitungen
Midjourney: Beispielprompts für atemberaubende Bildstile

Midjourney: Beispielprompts für atemberaubende Bildstile

Erfahren Sie, wie Sie mit Midjourney Prompts verschiedene Bildstile wie 3D, isometrische Illustrationen, realistische Fotos und mehr kreieren. Dieser Artikel bietet Tipps für Anfänger und Fortgeschrittene zur Verbesserung Ihrer KI-Kunst.

Sep 11, 2024