Microsoft 365 Defender: Ein umfassender Schutz für ihre Cloudwelt

Mit der Veröffentlichung von Microsoft 365 hat Microsoft Unternehmen ein erhebliches Portfolio an neuen Funktionen sowie klassischen Möglichkeiten im neuen Gewand präsentiert. Doch bei all diesen Optionen gibt es – gerade in Deutschland – noch immer die Skepsis gegenüber Cloudfunktionen. „Sind meine Daten sicher?“, solche und ähnliche Fragen stellen sich Entscheider nach wie vor.

Um diese Skepsis etwas abzubauen, soll es hier einmal einen kleinen Blick hinter die Kulissen der Cloud-Schutzfunktionen geben. Was bietet Microsoft zusammen mit den neuen Möglichkeiten, um die Cloud nicht nur funktional, sondern auch sicher zu machen? Neben vielen weiteren Funktionen wie der Multi-Faktor-Authentifizierung, oft als MFA abgekürzt, oder dem „Bedingten Zugriff“ (Conditional Access, CA), steht hier der Microsoft 365 Defender an vorderster Front.

Bevor wir allerdings in den Microsoft 365 Defender (M365 Defender) abtauchen können, ist eine Klarstellung in Microsofts Namenschaos angebracht. Es gibt den Microsoft 365 Defender und den Windows Defender. Der Windows Defender ist dabei die bekannte Antivirensoftware, welche in jedem Windows-Betriebssystem integriert ist. Er bietet grundlegende Sicherheitsfunktionen wie Virenschutz und Firewall. Früher höchstens belächelt, mittlerweile auch zu einem vollwertigen und sehr guten Mitbewerber auf dem Antivirus-Markt geworden. Um diesen Windows Defender soll es allerdings nicht gehen. Wir sprechen über den M365 Defender, eine Sammlung von vielen Sicherheitsfeatures rund um die Cloud.

Der M365 Defender besteht neben einigen für sich alleinstehenden Features aus 4 großen Bausteinen:

  • Microsoft Defender für Office 365
  • Microsoft Defender für Endpunkte
  • Microsoft Defender für Identitäten
  • Microsoft Defender für Cloud Apps

Hierbei sei einmal erwähnt, dass es auch einen „Microsoft Defender für die Cloud“ gibt. Trotz der Namensparallele hat dieser nichts mit Microsoft 365 zu tun. Der „Defender für die Cloud“ ist ein Sicherheitswerkzeug aus der Microsoft Azure Cloudwelt und beschäftigt sich daher mit der Sicherheit der Azure Ressourcen wie z.B. virtuellen Maschinen, Datenbanken usw.

Nachfolgend betrachten wir einmal die 4 Bestandteile des M365 Defender und was sie leisten möchten. Dabei kann hier kein umfassender Überblick über alle Funktionen gegeben werden, welche in einem jeweiligen Tool enthalten sind. Hier geht es um eine inhaltliche Einordnung welches Werkzeug in welchen Bereichen agiert. Auf eine Einordnung der Funktionen zu den Microsoft Lizenzen wird hierbei aufgrund der Komplexität verzichtet. Es ist lediglich anzumerken, dass erste Teile des Defender für Office 365 und Defender für Endpunkte bereits in der „Microsoft 365 Business Premium“ enthalten sind, während Defender für Identitäten und Defender für Clouds Apps erst auf größeren Lizenzstufen enthalten sind.

Defender für Office 365

Beschäftigt sich mit dem Schutz von Mails, Teams und allen anderen Arten der Kommunikation und Zusammenarbeit. Schutzfunktionen enthalten das z.B. Filtern von Mails um Angriffe wie Phishing oder Spoofing abzublocken, aber auch das Scannen von Links und Dateien, die den Benutzern per Teams zugeschickt werden. Sollte die Datei Schadcode enthalten oder der Link auf eine schädliche Seite führen, wird die Nachricht direkt blockiert oder das Aufrufen der Seite verhindert. Zudem gibt es dann auch Funktionen wie die Möglichkeit, dass die IT selbst Phishing Demos starten kann, um das Bewusstsein für solche Angriffe hochzuhalten und daran angekoppelt an jene die sich haben austricksen lassen direkt auch Schulungsmaterialien zuschickt.

Ein Beispiel: Ein Angreifer schickt einem Mitarbeiter per Teams einen Link, der mittels Linkkürzer bitly getarnt wird. Der Link wird vermutlich nicht einmal zugestellt. Sollte es doch passieren, wird aber in dem Moment, wo der Benutzer den Link anklickt, vorher der Defender für den Benutzer das finale Ziel scannen und gegebenenfalls den Benutzer mit einer Warnmeldung nicht weiterleiten.

Defender für Endpunkte

Beschäftigt sich mit dem Schutz von allen Endpunkten, also Geräten, von denen man auf die Cloud zugreift. Unter Windows Geräten ist der Defender für Endpunkte direkt in den Windows Defender integrierbar, unter z.B. Android oder iOS wird er getrennt installiert. Neben klassischen Funktionen zur Schädlingserkennung enthalten die Schutzfunktionen z.B. ein Überblick über alle Software, welche auf Geräten installiert ist, sowie die darin enthaltenen Sicherheitslücken. So kann aktualisierungsbedürftige Altsoftware direkt erkannt und so ein Update Plan formuliert werden. Auch hier kommen noch weiter Funktionen wie das konzeptionelle Blockieren von Angriffsszenarien durch Konfigurationen oder manuelles und automatisiertes Vorgehen gegen Infektionen auf Geräten.

Ein Beispiel: Das Archivprogramm 7-Zip hatte vor einiger Zeit eine gefährliche Sicherheitslücke. Sie wurde zeitnah geschlossen, aber das Programm hat keinen automatischen Updateprozess. Im Defender für Endpunkte Portal sieht man alle Geräte, welche 7-Zip installiert haben, sowie die Version. So kann man innerhalb von Sekunden die Liste der gefährdeten Geräte aufstellen und die IT oder Nutzer die Software aktualisieren lassen.

Defender für Identitäten

Der Defender für Identitäten beschäftigt sich vor allem mit der Überwachung der Benutzeraccounts. Auf der einen Seite nativ in die Cloud integriert, aber mittels eines kleinen Tools auch wie ein treuer Wachhund in der lokalen Infrastruktur. Er beobachtet das Anmelde und Nutzungsverhalten der Benutzer und schlägt direkt mit Warnmeldungen an, sollte es ungewöhnliches Verhalten geben. Ungewöhnliche Häufigkeit, seltene Anmeldeorte, unorthodoxe Geräte, sollte es Auffälligkeiten geben so werden diese gemeldet oder direkt automatisiert Sicherheitsmaßnehmen umgesetzt.

Ein Beispiel: „Ein Nutzer hat sich versucht am Exchange Server anzumelden, Anmeldung fehlgeschlagen.“ Ein relativ unspektakulärer Eintrag in den Anmeldeprotokollen. Findet man den gleichen Eintrag innerhalb von 2 Wochen 100-mal über verschiedene Benutzer, Server und Quellen verteilt sieht das schon anders aus. Eine solche „Password Spray“ Attacke kann leicht übersehen werden. Der treue Wachhund meldet es sofort!

Defender für Cloud Apps

Der Defender für Cloud Apps beobachtet Interaktionen der verschiedenen Anwendungen mit der Cloudwelt. In einer klassischen Welt konnten Administratoren an der Firewall oder mittels Proxy Webseite und Anwendungen, welche nicht mehr erwünscht waren, sperren. In einer verteilten Welt, wo Benutzer zu jederzeit von überall arbeiten können sollen, übernimmt der Defender für Cloud Apps diese Aufgabe. In erster Instanz stellt er Sichtbarkeit her, sodass Unternehmen zum einen sehen können, welche Anwendungen auf Firmengeräten eingesetzt werden, aber auch von welchen Geräten auf Firmendaten zugegriffen wird. Microsofts Einschätzung zu mittlerweile über 33.000 verschiedenen Anwendungen hilft dabei. Zudem ist es möglich per Richtlinien zu definieren, welche Szenarien davon erwünscht sind und welche automatisch gesperrt werden sollen.

Ein Beispiel: Das Nutzen von Cloud Speicher ist eingeschränkt. Nur OneDrive ist erwünscht, Dropbox oder iCloud sind bereits aktiv gesperrt worden. Ein Benutzer benutzt zum 1. Mal im Unternehmen die bisher unbekannte Anwendung „box.com“. Der Defender für Cloud Apps weiß anhand der Richtlinien, dass auch neue unbekannte Anwendungen explizit freigegeben werden müssen und sperrt „box.com“ daher proaktiv. Der eventuelle Diebstahl von Firmendaten, „Exfiltration“, wurde verhindert.