Lesedauer: ca. 10 Min

Gespräch zwischen Sven Wulf und Stephan Bail (Geschäftsführer der AzureCore 365 GmbH) zum Thema ‚Microsoft 365 – Chancen und (rechtliche) Risiken‘.

Sven Wulf: Was macht ihr da jetzt ganz genau, wenn ihr Unternehmen dabei unterstützt, Microsoft 365 einzuführen?

Stephan Bail: Zunächst lassen wir einen Scan über alle Microsoft 365-Einstellungen laufen und bewerten diese sehr granular. Das bedeutet, wir gehen wirklich jede relevante Einstellung durch, die einen Einfluss auf die Sicherheit der Daten oder auf den Datenschutz haben kann. Aber auch auf den Schutz ihrer Identitäten, welche mit Microsoft 365 arbeiten. Am Ende erhält die Organisation eine pragmatische Risikobewertung, welche dabei unterstützt, etwa auch nach dem Microsoft 365 schon eingeführt wurde, wirklich wichtige Einstellungen schnell und sicher so umzusetzen, dass Microsoft 365 bedenkenfrei eingesetzt wird.

Wulf: Was sind denn typischerweise Ergebnisse, welche Organisation da in der Auswertung bekommen?

Bail: Wir haben mehr als 40 Themenbereiche, welche uns regelmäßig begegnen. Das beginnt beim Schutz der Identitäten, welche in der Regel über Azure Active Directory eingeführt werden müssen. Azure Active Directory ist die Identitätsmanagement-Lösung, welche zum Einsatz kommt, wenn Organisation Microsoft 365 einführen. Viele wissen das erst mal gar nicht. Das Azure Active Directory bietet wirklich zahlreiche Möglichkeiten, Benutzer und Zugriffe zu schützen. Diese sind aber eben bei der Einführung erst einmal zu bedenken. Organisationen müssen Prozesse und Technologien hierfür zunächst einmal etablieren. Uns begegnen erschreckend häufig Konfigurationen, welche nicht einmal ansatzweise den heute gängigen Sicherheitsstandards genügen. Damit fällt es Angreifern gleichzeitig denkbar einfach, Identitäten – welche Microsoft 365 einsetzt – zu attackieren. Beispielsweise über schwach gesetzte Kennwörter Ihrer Anwender – und wenn kein zweiter Faktor bei der Authentifizierung zum Einsatz kommt. Damit entstehen erhebliche Sicherheitslücken, welche zunächst oftmals bei der Einführung gar nicht so sehr im Vordergrund stehen.

Wulf: Spielt denn der Schutz von Identitäten wirklich so eine große Rolle?

Bail: Man darf einfach nicht vergessen, dass Anwender von Microsoft 365 heute mit Onlinelösungen arbeiten. Das bedeutet, dass die Lösungen von Microsoft 365 einerseits zwar wirklich komfortabel und von überall auf der Welt zu nutzen sind, aber die Identitäten nun mal damit ebenfalls auch online. Das ist ein prädestiniertes Ziel für Angreifer und wenn man so möchte regelrecht ein Paradies für kriminelle Hacker da draußen.

Wulf: Wir beobachten seit einiger Zeit mit Sorge bei der Einführung von Microsoft 365 durch Unternehmen in Deutschland, dass automatisch davon ausgegangen wird, dass diese Lösungen schon sehr sicher sind. Unterliegen diese Unternehmen denn da alle einem Trugschluss?

Bail: Microsoft bietet zahlreiche Möglichkeiten, Informationen, Dokumente und Identitäten zu schützen, keine Frage. Aber das geht nun mal nicht automatisch, hier müssen Organisationen einfach Hand anlegen. Niemals wurde behauptet, übrigens auch von Microsoft nicht, dass Dokumente, Informationen und Identitäten einfach automatisch und fast schon magisch geschützt sind – ohne dass ohne Zutun durch die Organisation selbst. Bei lokal gespeicherten Daten (On Premises) haben das Unternehmen das oftmals schon sehr granular gemacht. Wenn das im Kontext Microsoft 365 nicht gemacht wird, entsteht dann schnell eine ‚Schatten-IT‘. Das geht so lange gut, bis etwas passiert und die ersten Angreifer ihre Daten abgezogen haben. Nur dann ist es oftmals zu spät. Zwar unterstützen wir Unternehmen auch in diesem Fall nachträglich, hier die Informationen zu schützen und Mechanismen zu implementieren, aber eine Attacke rückgängig zu machen ist defacto nicht möglich, dann liegen wichtige Dokumente und Daten bereits im Darknet bei Angreifen und werden womöglich für eine Erpressung gegen Organisationen verwendet.

Wulf: Bist du denn der Auffassung, dass deutsche bzw. europäische Organisationen hier in Summe zu blauäugig vorgehen?

Bail: Nein keineswegs, der Lockdown hat natürlich die Notwendigkeit verstärkt, Microsoft 365 schnell und zügig einzuführen, schon weil mit Microsoft Teams die Zusammenarbeit von Mitarbeitern auch im Homeoffice deutlich vereinfacht wird. Ich begrüße diesen Trend wirklich sehr! denn Microsoft 365 ist eine Möglichkeit, die Produktivität erheblich zu steigern und zugleich enthält die Produktpalette Lösungen, welche die Digitalisierung in vielen Organisationen wirklich drastisch vorantreibt kann und wird. Aber man darf einfach nicht vergessen, dass wir alleine im Jahr 2020 117,4 Millionen neue Schadprogrammvarianten hatten, das sind 322.000 Schadprogrammvarianten am Tag! Wenn man allein an die Patientendatensätze denkt, die im 2020 frei im Internet zugänglich waren, dann sprechen wir hier von 24,3 Millionen Patientendatensätzen die allein aufgrund nicht sicherer IT an Angreifer abgeflossen sind. Der Schaden daraus ist noch gar nicht abzuschätzen. All diese Kennzahlen lassen sich übrigens einfach aus der ‚Lage der IT-Sicherheit in Deutschland 2020‘ vom BSI in Erfahrung bringen. Wenn wir also daran denken, dass die Bedrohung der IT-Sicherheit durch Cyberattacken jährlich steigt, dann bedeutet das implizit, dass gerade Lösungen, welche ‚online‘ verwendet werden, einer genauen Überprüfung und Absicherung bedürfen.

Wulf: Genügt es denn, wenn man diesen Scan nun einmal durchführt, alle sicherheits- und datenschutzrelevanten Einstellungen korrekt gemäß eurer Handlungsempfehlungen setzt, und dann in die Nutzung von Microsoft 365 geht?

Bail: Das wäre zu schön um wahr zu sein. Aber dann müsste Microsoft sofort aufhören, jede Woche neue Funktionen in seine Microsoft 365-Produktpalette zu implementieren. Aber im Grunde wollen wir das ja gar nicht – es ist ja toll, dass diese Produkte so lebendig sind. Aber weil Microsoft permanent neue Funktionen implementiert, entstehen natürlich immer wieder Rechtsrisiken bzw. Sicherheitsrisiken in diesem Kontext. Aber auch die Tatsache, dass sich Konfigurationen natürlich wieder verändern können – Stichwort ‚wenn neue Mitarbeiter als Identität hinzugefügt werden‘ – sollte eine erneute Überprüfung möglichst regelmäßig stattfinden. Ansonsten hat man initial zwar irgendwann einen sehr sicheren Stand, welcher aber nach wenigen Monaten, spätestens einem Jahr schon wieder etliche Risiken mit sich bringen kann.

Wulf: Nehmen wir einmal kurz an, es gäbe aus den Handlungsempfehlungen nun technische Einstellungen, welche die betreffende Organisation gar nicht so einfach umstellen kann oder will. Wie geht ihr denn dann vor? Oder mal eine ketzerische Frage, habt ihr denn bei euch in der Organisation alles perfekt eingestellt?

Bail: Das ist gar nicht der primäre Ansatz. Selbstverständlich beraten wir Unternehmen im Detail, wirklich kritische Einstellungen zu überdenken. Aber nein, um auf deine Frage zu antworten – auch bei uns ist nicht jede Einstellung so gesetzt, dass wir auf die 100% kommen. Aber wir haben organisatorische Maßnahmen ergriffen, um gewisse bedenkliche technische Einstellungen trotzdem organisatorisch zu regeln. Und das ist eben das Wichtige: Manchmal gibt es organisatorische Maßnahmen, mit denen man technische Einstellungen, welche eben nicht verändert werden können oder nicht verändert werden sollen, besser in den Griff bekommt.

Wulf: Hast du da ein Beispiel?

Bail: Ja zum Beispiel die berühmte Gästebenutzer-Einstellungen. Es ist sehr einfach, Gästebenutzer über Microsoft Teams in die Organisation hinzuzufügen. Das ist ja eben gerade das tolle an Microsoft Teams, ich kann mit Partnern und Kunden sehr viel besser kollaborieren. Auch wir wollen diese Einstellung nicht einfach abknipsen. Aber wir haben entsprechend 4 bzw. 6-Augen-Prinzipien eingeführt, auf welche Dokumente und Daten diese Gäste Zugriff erhalten und führen ein regelmäßiges Audit durch, um Gästezugriffe auf sensible Dokumente und Daten regelmäßig zu überprüfen.

Wulf: Stephan, vielen Dank für deine Zeit!

Autoren: Stephan Bail, Sven Wulf, Manuel Büschgens  |  © Foto Gladson Xavier von Pexels