{"type":"data","config":{"attributePath":"contact.phone","noLink":true}}+49 511 977 4000
Wie wichtig ein übergreifendes Sicherheitskonzept für On-premise- und Cloud-Anwendungen ist, zeigt das Office-Paket von Microsoft.Microsoft hat Office 365 kürzlich umbenannt in Microsoft 365. Damit will die Firma auf die zusätzlichen Tools und Cloud-Services hinweisen, die das Paket neben Büroanwendungen wie Word, Excel oder Outlook enthält. Obwohl die Möglichkeit besteht, diese Applikationen im Rahmen eines Microsoft-365-Abos auch lokal auf Rechnern zu installieren, beziehen vor allem Unternehmen die Programme aus der Cloud. Bei den Anwendern laufen diese dann im Browser. Für die Firmen bietet das den Vorteil, dass sie die Pflege der Software mit Sicherheits-Updates und -Patches Microsoft überlassen können. Außerdem kommen die Workstations mit vergleichsweise geringen Speicherkapazitäten aus.
Häufig ist den Verantwortlichen jedoch nicht bewusst, dass die Nutzung von Cloud-Anwendungen die Datensicherheit gefährden kann. Das gilt nicht nur für Microsoft 365, sondern auch für die Cloud-Produkte anderer Hersteller. Am Beispiel des Office-Pakets lassen sich die entstehenden Sicherheitslücken jedoch gut darstellen. So können die User beispielsweise bei der Standardkonfiguration von Microsoft 365 und OneDrive in der Cloud gespeicherte Dateien mit jeder beliebigen Person außerhalb des Unternehmens teilen, indem sie ihr einen entsprechenden Link schicken. Microsoft hat diese Voreinstellung vermutlich gewählt, um den Komfort beim Teilen und Weitergeben von Files zu erhöhen. Doch was im privaten Umfeld sinnvoll erscheinen mag, gilt in der professionellen IT als absolutes Tabu. Denn wenn den Anwendern die Weitergabe von Informationen und sensiblen Unterlagen so einfach gemacht wird, besteht das Security-Regelwerk des Unternehmens nur noch auf dem Papier.
In Microsoft 365 lassen sich diese Missstände durch verschiedene Tools abstellen. Wer ein Business- oder Enterprise-Abo für das Cloud-Paket abgeschlossen hat, bekommt kostenlosen Zugriff auf diese Programme. Am wichtigsten ist darunter das Microsoft Security und Compliance Center.Diese Anwendung ermöglicht es, Daten automatisch mit Etiketten zu versehen. Die Labels definieren beispielsweise, dass Daten grundsätzlich verschlüsselt werden müssen. Außerdem kann der Administrator damit das Teilen der Dateien unterbinden oder eine Mindestdauer für die sichere Aufbewahrung setzen. Funktionen für die Definition von DLP-Policies (Data Loss Prevention) und für die Verwaltung der Regeln der Europäischen Datenschutzgrundverordnung (DSGVO) bringen zusätzliche Sicherheit für die Einhaltung gesetzlicher Compliance-Bestimmungen. Als ebenfalls praktisch erweist sich die integrierte Nachrichten-Ablaufverfolgung des Security und Compliance Centers. Denn damit kann man den Nachrichtenfluss in Exchange und die Wege einzelner E-Mails beobachten.Allerdings ist das Security und Compliance Center derzeit noch nicht so gut, wie es sein könnte. Für eine umfassende Überwachung der Sicherheitsrichtlinien in Microsoft 365 fehlen noch Tools: Programme aus Exchange Online, aus dem Sharepoint Admin Center, dem Active Directory von Azure sowie dem Framework der Microsoft Cloud App Security.
Darüber hinaus muss der Administrator berücksichtigen, dass diese Produkte lediglich die Sicherheit einer Microsoft-Umgebung sichern können. Die meisten Unternehmen haben jedoch Lösungen mehrerer Hersteller im Einsatz, die sich sowohl on premise wie auch in der Cloud befinden. Sie benötigen deshalb nach dem Gartner-Modell Secure Access Service Edge (SASE) zusätzlich einen Cloud Access Security Broker (CASB). Auf diese Weise lassen sich lokale, für das Firmennetzwerk definierte Sicherheitsrichtlinien auf Cloud-Umgebungen übertragen und kontrollieren. Mit Cloud App Security bietet Microsoft auch selbst ein CASB-Produkt an, das auch Schnittstellen zu den Cloud-Diensten anderer Hersteller wie etwa AWS umfasst.AirIT berät seine Kunden mit dem Ziel, Sicherheitslücken aufgrund von SaaS-Nutzung zu vermeiden. Die Schnittstellen und Tools zur Erfassung potenzieller und konkreter Security-Risiken sind nativ vorhanden – auch in der Microsoft-Produktreihe zu M365. Die Herausforderung besteht darin, die auf Identitäten, Berechtigungen und Daten fokussierten Analysen in die Perimeter-Sicherheit der Organisation einzubetten. AirIT demonstriert mit seinem auch in der Cloud arbeitenden Security Operations Center (SOC) bereits im 24/7-Dauerbetrieb, wie Datenintegration und Security-Sensorik lückenlos gelingen kann. Open-Collector-Ansätze und API ermöglichen es, unbedacht gesetzte Berechtigungen und daraus resultierende Angriffsflächen schnell zu entdecken. Auch ungewöhnliche Datenbewegungen können ein Anzeichen für einen Identitätsdiebstahl in der Cloud sein. Die Daten zur Erkennung solcher Sicherheitsvorfälle sind bei Microsoft 365 verfügbar – und müssen zwingend in den IT-Security-Prozess der Organisation eingebunden werden.
Ein übergreifendes Sicherheitskonzept für On-premise und Cloud muss auch die Datensicherung berücksichtigen. Die Verantwortung dafür liegt beim Dateneigentümer.Es ist ein weitverbreiteter Irrtum, dass SaaS-Angebote (Software as a Service) wie Microsoft 365 immer auch eine Datensicherung beinhalten. Viele User gehen davon aus, dass eine Cloud ein Rundum-sorglos-Paket darstellt. Der Anbieter kümmert sich nicht nur um die Sicherheit und Stabilität der Programme, sondern auch um die Sicherheit und das Backup der Daten, so der Glaube. Tatsächlich trägt dafür jedoch in den meisten Fällen der Kunde selbst die Verantwortung, so auch bei Microsoft 365. Dieser Umstand ist nicht nur wegen möglicher Datenverluste relevant, sondern auch vor dem Hintergrund gesetzlicher Compliance-Bestimmungen.
Microsoft führt – wie viele andere Cloud-Anbieter auch – keine Backups durch, weder von seinen Anwendungen noch von den Daten seiner Kunden. Stattdessen setzt die Firma beim Schutz der installierten Anwendungen wie Word, Excel oder Outlook auf die Replikation. Dabei werden sämtliche Daten auf mindestens zwei miteinander verbundenen Servern gelagert. Diese befinden sich entweder in verschiedenen Brandabschnitten des gleichen Rechenzentrums oder in geografisch voneinander getrennten Gebäuden. Automatische Replikationsmechanismen sorgen dafür, dass beide Server ständig einen identischen Datenbestand aufweisen. Fällt einer von beiden aus, übernimmt der andere sofort dessen Aufgaben. Der User nimmt diesen Wechsel nicht wahr, die gebuchten Dienste stehen ohne Unterbrechung zur Verfügung.
Die vom Anwender in der Microsoft Cloud abgelegten Daten genießen vor technischen Ausfällen also den optimalen Schutz. Vor Fehlbedienung, Sabotage und Virenbefall sind sie aber nicht zwangsläufig geschützt. Eine Untersuchung des Storage-Spezialisten NetApp ergab, dass in 47 Prozent aller Fälle die Ursache für einen Datenverlust das versehentliche oder absichtliche Löschen von Daten durch den Endanwender ist. 13 Prozent der Vorfälle gehen auf einen Ransomware-Befall zurück, sieben Prozent auf Synchronisationsprobleme oder Fehler bei der Administration der Daten.Im eigenen Rechenzentrum setzen Unternehmen regelmäßige Backups ein, um die Datenverluste bei solchen Vorfällen zumindest zu begrenzen. Im Zuge eines übergreifenden SASE-Konzepts, wie es das Marktforschungsinstitut Gartner entworfen hat, sollten diese Sicherungen auch auf die Cloud ausgedehnt werden. Allerdings bietet kaum eine Cloud-Anwendung eine integrierte und leistungsfähige Datensicherungsfunktion. Der Papierkorb von Microsoft OneDrive oder SharePoint 365 stellt bestenfalls einen Notbehelf dar.AirITSystems setzt deshalb bei der Sicherung von Office-Dokumenten auf das Produkt eines Drittanbieters: Veeam Backup for Microsoft Office 365. Die Software berücksichtigt bei ihren Backups die Daten bei Microsoft OneDrive for Business, Exchange Online und SharePoint Online. Bei den Sicherungszielen agiert sie flexibel: Veeam akzeptiert als Speicherorte sowohl das lokale Rechenzentrum des Kunden als auch Cloud-Speicherdienste wie AWS S3, Azure Blob oder die IBM-Cloud.
Hinzu kommen S3-kompatible Lösungen von Service-Providern oder als weitere Option die Private Cloud im Datacenter von AirITSystems. Besitzt eine Firma also große freie Speichervolumen auf den eigenen Servern, kann es die Cloud-Daten mit Veeam dort duplizieren und in seine On-premise-Backups einbinden. Falls nicht, stellen die skalierbaren und kostengünstigen Dienste der Cloud-Provider eine Alternative dar.Gleichzeitig glänzt Veeam mit umfangreichen Optionen bei der Wiederherstellung von Daten. Das Programm kann einzelne Office-Dokumente und -Ordner ebenso restaurieren wie E-Mails oder E-Mail-Konten. Auch bei SharePoint-Websites, -Dokumenten, -Bibliotheken und -Listen lässt sich noch etwas retten. Die integrierte Suchfunktion ermöglicht eine schnelle Identifikation und Wiederherstellung der gesuchten Objekte.Als Ort der Datensicherung kommen eigene private Cloud-Dienste in deutschen Rechenzentren, Public-Cloud-Services oder auch On-premise-Installationen in den Räumlichkeiten des Kunden infrage. Bei der Wahl des geeigneten Backup-Konzeptes spielen Compliance-Faktoren ebenso eine Rolle wie zur Verfügung stehende Bandbreiten und Backup-Zeitfenster. Auch kommerzielle Erwägungen können in die Wahl einfließen.
Sie haben Fragen zum Thema Cloud Security? Oder benötigen ein umfassendes Sicherheitskonzept für ihre Cloud-Umgebung? Gerne beraten wir Sie. Sprechen Sie uns einfach an.
