Wer sich mit dem Modernen Arbeitsplatz beschäftigt, sollte auch immer unbedingt die IT-Security mit bedenken. Ansonsten ist das Risko groß, dass eine Attacke auf das Unternehmen erfolgreich verläuft.
Natürlich ist dies auch ein großes Thema bei Microsoft 365. Hier bietet Microsoft eine ganze Reihe an Tools an, die man nutzen kann, um sein Unternehmen und seine Mitarbeiter zu schützen. Dazu haben wir uns dieses Mal mit Patrick Jochmann unterhalten. Er ist bei der LM IT direkt in der internen IT und sorgt dort unter anderem für die IT Sicherheit. Auch für unsere Kunden ist er als Consultant immer wieder im Einsatz und beräte diese bei der Administration von Microsoft 365.
IT-Security, was genau umfasst das alles?
Patrick: Ich habe da mal 392 Slides vorbereitet.
Spaß beiseite!
Schwierige Frage, da die Antwort sehr lang sein könnte. Um IT-Security zu betreiben, ist es nicht nur nötig infrastrukturelle Dinge, wie Server oder Dienste zu schützen, sondern auch die Identität eines jeden Benutzers.
Was bedeutet dies konkret, wenn ich mein Unternehmen vor Sicherheitsrisiken schützen möchte? Welche Aspekte muss ich beachten?
Patrick: Aus meiner Sicht besteht eine gute Umsetzung von IT-Security immer aus zwei Aspekten.
Zum einen wollen wir natürlich, wie der Name schon vermuten lässt, eine höhere Sicherheit erreichen, gleichzeitig, und das ist mindestens genauso wichtig, wollen wir den Endanwendern eine möglichst gute User Experience bieten. Sie sollen durch das Mehr an Sicherheit nicht benachteiligt werden, weil eine Aufgabe, die vorher 10 Sekunden dauerte, nun 2 Minuten beansprucht.
Beim User fängt IT-Security bekanntlich an. Was sind klassische Sicherheitslücken, die dir bei deinen Kunden begegnen?
Patrick: Viele Kunden setzen nach wie vor auf die einfache Authentifizierung aus Benutzername und Kennwort. In Zeiten von Cloud-Diensten kann so ein abhandengekommenes Kennwort massive Probleme mit sich bringen, da die Identität damit gestohlen ist und der Zugriff auf vertrauliche, unternehmenskritische Daten nicht mehr sicher gewährleistet wäre. Und da ist die Rundmail mit dem „gratis Kuchen für alle“ sicherlich noch die glücklichste Variante.
Hier hilft sicherlich auch eine gelebte Sicherheitskultur.Wie wichtig ist es meine Mitarbeiter zu sensibilisieren, um Security Awareness zu schaffen? Reicht es nicht einfach Rechte einzuschränken?
Patrick: In manchen Bereichen mag das funktionieren. Ich denke aber, dass es essentiell wichtig ist die eigenen Mitarbeiter mit einzubeziehen. Nehme ich einem Mitarbeiter alle Rechte weg, kann er nicht mehr arbeiten. Belasse ich ihm zu viele Rechte für einen zu großen Zeitraum, erhöht dies den Angriffsvektor ungemein. Führe ich nun Techniken ein, die dem Mitarbeiter nach dem Least-Privilege Prinzip berechtigen, wäre es durchaus von Vorteil, wenn der Mitarbeiter damit etwas anfangen kann und es auch versteht. Aber das Thema beginnt schon bei ganz rudimentären Themen wie z.B. der Frage: „Wie sollte mein Kennwort eigentlich aussehen, damit es sicher ist und ich es mir dennoch merken kann?“
Für viele ist das Thema Cloud mit zu vielen Risiken verbunden? Wäre es nicht einfacher, wenn alles on premise bleibt?
Patrick: Ich sehe die Cloud pauschal erstmal als Möglichkeit, auch wenn sie natürlich Risiken mit sich bringt. Risiken, die bestehen, wenn wir uns nicht damit auseinandersetzen und uns darum nicht kümmern. Möglichkeiten mit verhältnismäßig geringem Aufwand ansonsten recht komplexe Security-Features umzusetzen und einzuführen und dadurch trotz der weltweiten Erreichbarkeit nicht weniger sicher unterwegs zu sein. Am sichersten wäre es „sicherlich“ auf das Internet gänzlich zu verzichten. Meiner Meinung nach würde man sich ohne die neuen Cloudtechnologien jedoch viel zu viele Möglichkeiten nehmen. Allein die von mir genannten Funktionen würden in einer reinen onprem Landschaft zwar umsetzbar, aber mit einem unfassbar großen Mehraufwand verbunden sein. Vom notwendigen, viel tieferen technischen KnowHow einmal abgesehen. Ich sehe die Cloud zwar nicht als Allheilmittel, jedoch als Enabler, welche uns viele Möglichkeiten bietet, von denen wir, wenn wir auch nur einen Bruchteil derer nutzen, stark profitieren können.
An dieser Stelle können wir tiefer ins Detail gehen. Wie kann ich IT-Security einführen/ausbauen? Welche Möglichkeiten des Bedrohungsschutzes bietet der Microsoft 365 Ansatz?
Patrick: Ein großer Vorteil beim Microsoft 365 Ansatz ist es, dass man quasi „alles aus einer Hand“ beziehen kann und die Werkzeuge aufeinander gut abgestimmt sind und miteinander funktionieren. Bei kaum einer Frage kam ich bisher daran vorbei auch konkrete Beispiele bzw. Techniken zu nennen. Microsoft bietet hier immens viele Möglichkeiten, angefangen beim Schutz der Identitäten (MFA, Conditional Access, User Risk / Sign-in Risk Policies), über Endgeräteverwaltung mittels einer EMM-Lösung wie „Microsoft Intune“, bis hin zum Zugriffsschutz an sich. Warum sollte ein IT-Admin 24/7 über administrative Rechte verfügen? Er braucht diese doch nur, wenn er auch wirklich arbeitet, nicht wenn er beispielsweise im Urlaub ist.
Noch ehe wir unsere Endgeräte absichern sollte im Microsoft 365 Kosmos als grundlegendstes Konzept das Thema Identitätsschutz ernst genommen werden, damit ein verlorenes Kennwort nicht gleich eine mittelschwere Katastrophe auslöst. Besonders wichtig ist in diesem Zusammenhang das Thema Multifaktor. Im Anschluss daran kann z.B. die Technik „Azure AD Conditional Access“ ideal dazu genutzt werden, um Zugriffe nur unter zuvor bestimmten Voraussetzungen zu erlauben. Weiter optimieren ließe sich dies indem eine Enterprise Mobility Management (EMM) Lösung wie Microsoft Intune eingesetzt wird, um Geräte verwalten und diese als konform ansehen zu können und ggf. dadurch den Zugriff zu erlauben. Aktuell sowie in Zukunft wird das Thema „passwortlose Authentifizierung“ immer interessanter. Der Grundgedanke dahinter: Ein nicht vorhandenes Kennwort, kann nicht abhandenkommen.Ein erster Schritt in die richtige Richtung wäre es, Windows Hello for Business einzusetzen. Logge ich mich an meinem Rechner beispielsweise nur noch mit meiner Hello-PIN oder der Fingerabdrucks- oder Gesichtserkennung ein, kann eine Schadsoftware mein Kennwort durch Tastatureingabe nicht mehr mitschneiden, da dies nicht mehr eingegeben werden muss.
All diese und noch viele weitere Techniken arbeiten Hand in Hand. So lässt sich der klassische Virenscanner unter Verwendung des Microsoft Defenders ideal auch mit in die Endgeräteverwaltung integrieren und geht sogar noch einen Schritt weiter: Mit Defender for Endpoint (ehemals. Defender ATP) bietet Microsoft uns schnell einen Überblick über installierte Software sowie deren Versionen und damit einhergehende bereits aufgedeckte Sicherheitslücken, auf die wir so viel schneller reagieren können.
Zum Abschluss 3 einfache Tipps, die leicht umzusetzen sind. Was würdest du unseren Lesern mit auf den Weg geben?
Patrick:
- Der Schutz der Identitäten hat oberste Priorität. Multifaktor sollte mindestens für administrative Konten umgehend implementiert werden, aber auch die Endanwender sollten diesen Schutz genießen dürfen. Mittels all der Mechanismen im Azure (MFA, Conditional Access, Risky Sign-Ins/Risky User) ist es ein Leichtes hier für einen guten Schutz zu sorgen.
- Das Prinzip der geringstmöglichen Rechtevergabe befolgen. Technisch eine sehr gute Hilfe wäre hier das Privileged Identity Management, kurz „PIM“ im Azure AD.
- Den Umgang mit dem Microsoft Security Score erlernen, da dieser eine ideale Basis für eine fundierte IT-Security ist.
Interessiest Du dich für das Thema Microsoft 365 und IT Security? Wir haben im Portfolio verschiende Angebote, die Dir einen Einstieg verschaffen oder Deine Kenntnisse erweitern.
Gerne beraten wir dich auch individuell. Melde dich einfach unter 0541 - 40664 10.