Microsoft

Datensicherheits-Tipps für hybride Office-365-Umgebungen

Nur wenige Unternehmen nutzen Office 365 als reine Cloud-Lösung, sondern speichern Daten auch lokal. Folgende Tipps helfen, die Datensicherheit in hybriden Umgebungen zu verbessern.

Wir befinden uns mitten auf dem Weg von reinen lokalen Infrastrukturen hin zu hybriden Umgebungen. Einer der Treiber hierbei ist sicherlich Office 365, das mittlerweile gemäß einer aktuellen Gartner-Befragung 61 Prozent der Unternehmen einsetzen, weitere 23 Prozent planen dies innerhalb der nächsten sechs Monate. Dabei dürften die wenigsten Office 365 als reine Cloud-Lösung nutzen und die Daten lediglich online speichern.

Diese hybriden Umgebungen sind jedoch eine Herausforderung für die IT-Security, da sie On-Premises-Schutz und Cloud-Security irgendwie vereinen müssen. Gerade im Hinblick auf die Daten und ihre (idealerweise DSGVO-konforme) Behandlung keine leichte Aufgabe.

Dark Data

Vereinfacht gesagt ist „Dark Data“ das digitale Pendant zur Rumpelkammer in Ihrem Haus, in der letztlich alles landet, was man eigentlich nicht mehr braucht, aber irgendwie dann doch (noch) nicht wegwerfen möchte. Unternehmen sind oft zögerlich, sich von ihren „dunklen Daten“ – laut Gartner sind das solche, die gesammelt und gespeichert werden, aber keinen praktischen Geschäftswert besitzen – zu trennen (was ist, wenn es ein Audit gibt?). Das Speichern und Sperren dieser Daten kann jedoch riskant sein: insbesondere, wenn es sich dabei um personenbezogene Daten von Kunden und Mitarbeitern sowie um wertvolles geistiges Eigentum handelt. Und leider ist Office 365 Teil des Dark-Data-Problems.

Die meisten Unternehmen speichern sensible und vertrauliche Daten sowohl lokal (On-Premises) als auch in der Cloud. Stellen Sie sich die global zugänglichen Dateifreigaben, SharePoint-Websites, OneDrive-Ordner und extern freigegebene Links vor. All dies stellt ein enormes Risiko dar. Die Daten laufen dabei Gefahr, durch das Raster zu fallen, zumal hybride Umgebungen neue Sicherheitsherausforderungen schaffen und das Risiko von Sicherheitsvorfällen erhöhen. Da der Datenfluss zwischen lokalem Speicher und Cloud-Repositories wie Office 365 stattfindet, ist es eine große Herausforderung für die IT-Abteilung, grundlegende Fragen zur Datensicherheit zu beantworten, die sich auf die Sicherheit und den angemessenen Einsatz beziehen.

Ist Office 365 nicht sicher genug?

Office 365 verfügt über eingebaute Sicherheitsfeatures, die einen gewissen Schutz für die Daten bieten, die innerhalb der Plattform bleiben und diese nie verlassen. Aber die Wirklichkeit sieht anders aus: Daten sind mobil und ständig in Bewegung. Und Office 365 ist blind für Daten, die lokal gespeichert sind.

Aus der Perspektive der IT-Sicherheit kann die native Sicherheit keine einheitliche Kontrolle über Cloud- und lokale Daten bieten, was zu doppelten Prozessen, Anwendungen, Warnungen und Berichten für hybride Umgebungen führt. Es ist sehr schwierig, wenn nicht gar unmöglich, schnell festzustellen, auf welche OneDrive-Ordner, SharePoint-Websites und Exchange-Postfächer ein Benutzer oder eine Gruppe zugreifen kann. Noch schwieriger ist es, gefährdete Daten zu finden, sensible Ordner und Objekte zu identifizieren, die extern freigegeben wurden, sowie nicht mehr benötigte Berechtigungen zu korrigieren.

Cloud-zentrische Sicherheit reicht nicht aus

Um die Sicherheit zu erhöhen, führen Unternehmen routinemäßig datenorientierte Risikobewertungen durch, fordern von SaaS/IaaS-Anbietern umfassendere Sicherheitsfunktionen und schließen Lücken mit Sicherheitslösungen von Drittanbietern. Cloud-basierte Sicherheitslösungen versuchen, einige der aufgeworfenen Fragen zu beantworten und die damit verbundenen Sicherheitsherausforderungen zu lösen.

Thomas Ehrlich, Varonis

„Die Allgegenwart von Office 365 und die enormen Mengen an unstrukturierten Daten, die hierdurch generiert und verarbeitet werden, stellen eine enorme Herausforderung für die IT-Sicherheitsverantwortlichen dar.“

Thomas Ehrlich, Varonis

So helfen einige Lösungen beispielsweise, die unbefugte Nutzung von Cloud-Diensten (Shadow IT) zu unterbinden, den Zugriff auf nicht genehmigte Cloud-Anwendungen zu blockieren und unbefugte Daten vor einer externen Freigabe zu schützen. Sie operieren in der Regel inline zwischen Nutzern und Cloud Services als Forward und/oder Reverse Proxy. Und so nützlich diese Funktionen auch sind, haben reine Cloud-Lösungen doch keinen Zugriff auf und keine Informationen über die lokale Infrastruktur und weisen entsprechend Schwierigkeiten mit hybriden Umgebungen auf.

Datensicherheit – jetzt!

Nicht nur angesichts der Datenschutz-Grundverordnung sollten Unternehmen jetzt die Aufbewahrungs- und Dispositionsrichtlinien für ihre Dateien (egal, wo diese liegen) automatisieren, also automatisch archivieren beziehungsweise löschen, was sie nicht mehr benötigen. Dadurch erfüllen sie nicht nur eine der Anforderungen der neuen Datenschutzrichtlinie, sondern sind zudem auch besser vor Insider-Bedrohungen und Cyberangriffen geschützt. Es ist offensichtlich, dass man die in Office 365 eingebauten Sicherheitsfeatures ergänzen muss, um maximale Transparenz und maximalen Schutz zu erlangen – insbesondere in hybriden Umgebungen. Wie dies gelingen kann und worauf dabei zu achten ist, zeigen die folgenden fünf Tipps:

  1. Die Zukunft ist hybrid – Planen Sie entsprechend. Während Unternehmen weiterhin einen Cloud-First-Ansatz verfolgen, werden geschäftskritische Anwendungen noch einige Zeit vor Ort gehostet. Und hieran wird sich so schnell nichts ändern. Ihre Sicherheit muss darauf ausgerichtet sein, wer auf Ihre Daten vor Ort und in der Cloud zugreift. Nur durch entsprechende durchgehende Transparenz kann sichergestellt werden, dass nur die richtigen Personen zu jeder Zeit Zugriff auf die Daten haben. Zusätzlich muss die Nutzung mittels fortschrittlicher Nutzerverhaltens-Analyse überwacht und damit abnormales Verhalten identifiziert werden.
  2. Identifizieren Sie ihre versteckten sensiblen Daten. Auch wenn Sie Office 365 einsetzen, müssen Sie – nicht zuletzt aufgrund der DSGVO und anderer gesetzlichen Regelungen – jederzeit in der Lage sein, all die Dateien zu finden, die sensible und personenbezogene Informationen enthalten. Um diese Daten effektiv zu schützen und die Compliance-Anforderungen einhalten zu können, müssen sie zunächst entsprechend klassifiziert werden. Die integrierte Klassifizierung von Microsoft erfordert eine manuelle Erstellung und Kennzeichnung von Regeln – was in großen Umgebungen angesichts von zehntausenden von Dateien besonders umständlich und zeitraubend sein kann – und erstreckt sich nicht auf lokale Datenspeicher. Entsprechend ist Automatisierung hierbei der Schlüssel, wobei darauf zu achten ist, dass diese alle Speicherorte einbezieht.
  3. Stärken Sie Ihre Security. Microsoft bietet eine grundlegende (statische) Bedrohungsmodellierung, aber den nativen Tools fehlt es an einem detaillierten Kontext über das Benutzerverhalten in allen Produkten und sie können nicht erkennen, wenn Konten verdächtiges Verhalten On-Premises zeigen. Diese integrierten Tools sind kein Ersatz für dynamische, verhaltensbasierte Bedrohungserkennung. Durch eine erweiterte Nutzer- und Maschinen-Verhaltensanalyse (User and Entity Behavior Analytics, UEBA), die auch auf hybride Umgebungen ausgelegt ist, erhöhen Sie ihre Sicherheit und reduzieren False Positives.
  4. Reduzieren Sie das Risiko und setzen Sie auf ein Privilegienmodell auf Basis der minimalen Rechtevergabe. Bei Microsoft sind die Berechtigungen nur eingeschränkt sichtbar. Ebenso sind die Möglichkeiten zum Auffinden von sensiblen Daten begrenzt. Darüber hinaus hilft Microsoft nicht bei der Priorisierung von Remediation-Maßnahmen, bietet keine Möglichkeit, Änderungen zu simulieren, und es fehlt ein zentralisierter Mechanismus, um Änderungen sowohl an der Azure-AD-Gruppenmitgliedschaft als auch an den Container-Berechtigungen vorzunehmen. All dies erschwert die Einführung und Umsetzung eines Privilegienmodells auf Basis der minimalen Rechtevergabe. Für ein Plus an Sicherheit müssen Sie Ihre größten Risiken, unabhängig davon, ob sie lokal oder in Office 365 vorliegen, identifizieren, priorisieren und sie beheben, bevor es zu Zwischenfällen kommt.
  5. Setzen Sie auf Datenverantwortliche. Die Einbeziehung von Data Ownern, also Datenverantwortlichen, in den Prozess der Berechtigungsprüfung ist entscheidend für die Durchsetzung eines Privilegienmodells auf Basis der minimalen Rechtevergabe. Diese Datenverantwortlichen sind nicht in der IT-Abteilung, sondern in den entsprechenden Fachabteilungen oder Projektgruppen beheimatet und verantworten und gewähren die Zugriffsrechte. Dies hat den Vorteil, dass diese genau wissen, wer welchen Zugriff benötigt. Microsoft macht es jedoch nicht einfach, Data Owner in Office 365 zu identifizieren und bezieht sie nicht in kritische Access Governance Workflows, wie beispielsweise Berechtigungsprüfungen, ein. Die Automatisierung der Berechtigungsprüfungen und Autorisierungs-Workflows spart Zeit, reduziert den IT-Aufwand und hilft Unternehmen, bessere Entscheidungen zur Zugriffskontrolle zu treffen.

Die Allgegenwart von Office 365 und die enormen Mengen an unstrukturierten Daten, die hierdurch generiert und verarbeitet werden, stellen eine enorme Herausforderung für die IT-Sicherheitsverantwortlichen dar.

Wenn neben der Cloud zudem noch lokale Datenspeicher verwendet werden, vergrößern sich die Herausforderungen, welche nicht ohne weiteres durch eine Kombination aus den nativen Tools von Office 365 und der fragmentierten Insel-Lösungen von Drittanbietern gelöst werden können.

Für die Datensicherheit und die Kontrolle über die Daten darf es jedoch keine Rolle spielen, wo sie gespeichert werden, da nur ein ganzheitlicher Ansatz mit einheitlichen Regelungen und umfassender Kontrolle Sicherheit ermöglicht.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Kostenloser E-Guide: Office 365 sicher betreiben

Die Sicherheitsfunktionen von Office 365

Office 365 Secure Score: Office-Sicherheit verbessern

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit