sdecoret - stock.adobe.com
SharePoint Online: In zehn Schritten zu mehr Sicherheit
Um die Sicherheit in SharePoint Online zu gewährleisten, ist die Verwaltung von Berechtigungen und Zugriffen entscheidend, aber nicht eingängig. Schrittweises Vorgehen hilft da.
Die Verwaltung der Sicherheit in SharePoint Online kann verwirrend sein, jedoch bietet das System alle Tools, die für eine strenge Kontrolle des Benutzerzugriffs und der Berechtigungen benötigt werden.
Der Schlüssel dazu ist das Erlernen des Umgangs mit den zur Verfügung stehenden Tools und ein klares Verständnis dafür, wer welche Berechtigungsstufe für Ihr Unternehmen benötigt. Um die Sicherheit der Inhalte zu gewährleisten, sind folgende zehn Schritte wesentlich.
1. Erstellen Sie eine Websitesammlung
Plant man, eine Website extern freizugeben, sollte diese Teil einer Websitesammlung sein, die alle Websites enthält, die Ihre Benutzer freigeben können. Tut man dies nicht, verliert man sehr leicht den Überblick darüber, welche Websites (in welchem Umfang) mit wem geteilt wurden. Sollten Sie noch nicht über eine Websitesammlung für extern freigegebene Websites verfügen, erstellen Sie eine. Wenn Sie diese bereits haben, fügen Sie Ihre neue Website hinzu.
2. Legen Sie fest, ob Ihre Website Berechtigungen erben soll
Wenn man eine neue Unterwebsite erstellt, wird man gefragt, ob diese die Berechtigungen von der Hauptsite erben soll. Sie sollten der Versuchung widerstehen, dies zu tun: In der Realität gibt es nur sehr wenige Fälle, in denen eine neue Site über genau dieselben Berechtigungen wie die übergeordnete Site verfügen sollte.
3. Bestimmen Sie Websitemitglieder und Zugriffsebenen
Nach der Entscheidung, eindeutige Berechtigungen für Ihre Website zu erstellen, werden Sie aufgefordert, drei Gruppen zu erstellen: Websiteeigentümer, Websitemitglieder und Websitebesucher. Sie müssen nicht die von SharePoint vorgeschlagenen Rollen und Zugriffsebenen verwenden, allerdings bilden diese eine gute Vorlage für die Zuweisung von Berechtigungsebenen:
- Websiteeigentümer: Benutzer, die die volle Kontrolle (Admin-Rechte) über die Website haben.
- Websitemitglieder: Benutzer, die mit Inhalten arbeiten (Inhalte hinzufügen/bearbeiten/löschen)
- Websitebesucher: Benutzer, die nur Lesezugriff benötigen und die Möglichkeit erhalten, auf Informationen zuzugreifen, aber nicht die Möglichkeit, sie zu bearbeiten.
Selbstverständlich kann man auch weniger Gruppen einrichten oder bei manchen Websites noch feinere Benutzergruppen erstellen, ganz nach den jeweiligen Anforderungen. Der wesentliche Punkt ist dabei, dass Sie sich genaue Gedanken darüber machen sollten, welche Benutzer Zugriff auf welcher Ebene benötigt.
4. Erstellen Sie Gruppen
Betrachten wir nun, wie diese von SharePoint vorgeschlagenen Sicherheitsgruppen verwendet werden:
- Websiteeigentümer sind die Benutzer, die die Website pflegen, das Erscheinungsbild modifizieren und die Sicherheitseinstellungen ändern können
- Die Websitemitglieder sind reguläre Projektteammitglieder, die auf der Website vorhandene Dokumente hochladen/bearbeiten/löschen
- Websitebesucher können alle anderen Personen im Unternehmen oder Projektleiter sein, die nur im schreibgeschützten Modus auf die Projektseite zugreifen müssen, um den Status zu überprüfen.
Es gibt verschiedene Möglichkeiten, diese Gruppen zu erstellen. Für eine bestehende Site können Sie unter Einstellungen/Website-Berechtigungen die bestehenden Gruppen überprüfen. In diesem Menü können Sie auf Gruppe erstellen klicken, um eine neue Benutzergruppe zu erstellen. Wenn Sie die Vererbung von Berechtigungen von einer übergeordneten Website (siehe oben) nicht zulassen, fordert SharePoint Sie alternativ auf, diese zu erstellen.
5. Weisen Sie Berechtigungen zu
Nachdem Sie Ihre Gruppen erstellt haben, müssen Sie ihnen nun die entsprechende Berechtigungsstufe zuweisen. Folgen Sie hierbei dem Least-Privilege-Modell und geben Sie jeder Gruppe nur den Zugriff, den sie auch tatsächlich für ihre Arbeit benötigt. Wählen Sie im Zweifelsfall immer den restriktiveren Kurs.
SharePoint versucht bei der Verwendung der genannten Standardgruppen, Websitemitgliedern auch Bearbeitungsrechte für Ihre Website zu erteilen. Dadurch erhalten sie ein weitaus größeres Maß an Kontrolle, als sie benötigen und können beispielsweise diese Zugriffsebene verwenden, um Teile Ihrer Website zu löschen. Wenn sie nur Dokumente hinzufügen, bearbeiten und löschen müssen, sollten Sie ihnen stattdessen Mitwirken-Berechtigungen zuweisen.
6. Fügen Sie den Gruppen Nutzer hinzu
Hat man Benutzergruppen und die entsprechenden Berechtigungen für sie festgelegt, kann man nun damit beginnen, Benutzer zu jeder Gruppe hinzuzufügen. Hierzu geht man zu Einstellungen/Website-Berechtigungen, und klickt auf die Gruppe, zu der man Benutzer hinzufügen möchte. Durch Klicken auf Neu/Benutzer hinzufügen kann man nun die Namen der entsprechenden Nutzer eingeben. Dabei können optional auch Nachrichten hinzugefügt und eine Benachrichtigungs-E-Mail verschickt werden.
Wichtig: Fügen Sie Benutzer nicht direkt zu einer Website hinzu, sondern stets zu einer Sicherheitsgruppe. Wenn man nämlich irgendwann die Sicherheitsberechtigungen für alle Benutzer einer Websitesammlung aktualisieren muss (und dieser Fall wird früher oder später eintreten), ist die Anpassung individuell zugewiesener Rechte ein langsamer, aufwändiger und fehleranfälliger Prozess. Zudem verliert man sehr schnell den Überblick über die Berechtigungen, die man einzelnen Benutzern erteilt hat, was letztendlich zu unnötigen Risiken führt.
7. Passen Sie die Einstellungen für Zugriffsanforderungen an
Wir verfügen nun über eine Reihe von Sicherheitsgruppen mit streng kontrolliertem Zugang zu unserer Website. Man könnte daher annehmen, dass die Website jetzt sicher ist, was leider jedoch nicht der Fall ist. Es ist sehr wichtig, ein paar zusätzliche Schritte zu unternehmen, um die Sicherheit zu gewährleisten, und einer der wichtigsten ist die Kontrolle der Art und Weise, wie die bestehenden Benutzer andere Benutzer zum Zugriff auf die Website einladen können.
Standardmäßig können die Benutzer, die bereits in Ihren Sicherheitsgruppen sind, andere Personen (innerhalb oder außerhalb Ihres Unternehmens) zum Zugriff auf Ihre Website einladen, und diese neuen Benutzer werden automatisch zu Ihren Sicherheitsgruppen hinzugefügt, ohne dass Sie dies kontrollieren können. Dies ist ein großes Sicherheitsrisiko. Um nun die Sicherheit der Website zu verbessern, müssen Sie sich die Einstellungen für die Zugriffsanforderungen für Ihre neue Website ansehen.
Über Einstellungen/Website-Berechtigungen kommt man zu Freigabeeinstellungen und klickt hier auf Freigabeeinstellungen ändern. Hier kann man nun die Zugriffsebene festlegen. Dabei stehen folgende Optionen zur Verfügung:
- Websitebesitzer und -mitglieder können Dateien, Ordner und die Website teilen
- Websitemitglieder können Dateien und Ordner teilen, aber nur Websitebesitzer können die Website teilen
- Nur Websitebesitzer können Dateien, Ordner und die Website teilen.
Zudem kann man noch festlegen, ob Zugriffsanforderungen zugelassen werden. Wenn diese Option gewählt wurde, kann man auswählen, an wen die Zugriffsanforderungen für die Website gesendet werden sollen: entweder an den Websitebesitzer oder an eine bestimmte E-Mail-Adresse.
8. Implementieren Sie Sicherheitseinstellungen
Hier stehen Ihnen im Wesentlichen zwei Ansätze offen. Sie können entweder Ihren Benutzern erlauben, die Website und ihren Inhalt gemeinsam zu nutzen, oder Sie können den Zugang zu Ihrer Website über Ihre Sicherheitsgruppen kontrollieren. Für welche dieser Möglichkeiten Sie sich entscheiden, hängt von der Größe Ihres Unternehmens und dem Grad Ihres Vertrauens in Ihre Mitarbeiter ab. Wenn Sie in einem kleinen Team arbeiten und regelmäßig überprüfen können, wer auf Ihre Website eingeladen wurde, können Sie die Standardeinstellungen beibehalten.
Wenn Sie hingegen mehr Kontrolle über die Sicherheit Ihrer Website wünschen, deaktivieren Sie die entsprechenden Schaltflächen im Menü Einstellungen für Zugriffsanforderungen. Dadurch wird es für bestehende Mitglieder unmöglich, neue Mitglieder einzuladen: Die gemeinsame Nutzung wird dadurch im Wesentlichen deaktiviert. Die Benutzer erhalten beim Klick auf Dokument freigeben eine Fehlermeldung, weshalb eine Unterrichtung über die bevorzugte Art und Weise der Freigabe von Dokumenten anzuraten ist: Nutzer sollten die URL einer ganzen Site an den Benutzer senden, mit dem sie versuchen, Dokumente zu teilen, oder die URL einzelner Dokumente an den Empfänger senden.
9. Passen Sie die Websiteberechtigungen an
Als Nächstes folgt ein kleiner Schritt, der jedoch für die Sicherheit Ihrer neuen Website sehr wichtig ist. Standardmäßig gibt SharePoint Benutzern mit der Berechtigungsstufe Beitragen die Möglichkeit, auf die Registerkarte Seite und die Schaltfläche Bearbeiten zu klicken und damit Elemente auf Ihren Seiten zu verschieben (oder zu löschen). Sie können zwar nicht Ihre gesamte Website löschen, aber sie können dadurch erhebliche Probleme verursachen. Um dies zu verhindern, sollte die Berechtigung im Bereich der Websiteberechtigung von Beitragen auf Lesen geändert werden.
10. Verwalten Sie den Multi-Site-Zugriff
Schließlich sollten Sie sich darüber im Klaren sein, dass Ihre Unterwebsite manchmal Material von der übergeordneten Website enthält und dass dies zu Zugriffsproblemen führen kann. Wenn Sie die Vererbungsbeziehung zwischen Ihrer Untersite und ihrer Muttersite unterbunden haben, ist dieses Material auf der Untersite nicht zugänglich.
Dies ist zum Beispiel der Fall, wenn Bilder für Ihre Unterwebsite von der übergeordneten Site gezogen werden. Um dieses Problem auf sichere Weise zu lösen, ist es entweder notwendig, den Benutzern ebenfalls Zugang zur übergeordneten Site zu gewähren (keine ideale Lösung), oder (besser) alle Daten, die Ihre Untersite benötigt, darin zu speichern. Dieser zweite Ansatz ermöglicht Ihnen eine genauere Kontrolle über die Sicherheit Ihrer Website, und ist daher vorzuziehen.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.