Vier Tipps zur Absicherung von Office 365

Office 365 ist sicherlich ein Game Changer, aber es ist offensichtlich, dass man gerade in hybriden Umgebungen die eingebauten Sicherheits-Features ergänzen muss, um maximale Transparenz und maximalen Schutz zu erlangen. Wie dies gelingen kann und worauf man achten muss, haben wir in den folgenden vier Tipps zusammengefasst:

Datenfokussierte Risikobewertungen sind ein sinnvoller erster Schritt in Richtung Datensicherheit (und DSGVO-Konformität). Sollten Sie noch kein Risk Assessment durchgeführt haben, holen Sie dies so schnell wie möglich nach. Aber auch nach der Verlagerung wesentlicher Datenbestände auf die Cloud sollten sie (erneut) ihre Risiken bewerten lassen. Gerade hier finden sich kritische Schwachstellen wie für alle Mitarbeiter zugängliche Mail-Eingänge der Geschäftsführung und ähnliches.

Man kann nur das richtig schützen, was man kennt. Was wie eine Binsenweisheit klingt, ist wie eingangs erwähnt in vielen Unternehmen leider nicht die Praxis. Sie müssen jederzeit in der Lage sein, all die Dateien zu finden, die sensible und personenbezogene Informationen enthalten. Grundlage dafür ist eine entsprechende Klassifizierung der Dateien. Mit Bordmitteln ist dies nur manuell (und für in der Cloud gespeicherte Daten!) zu bewerkstelligen, was angesichts von hunderttausenden Datensätzen eine Herkules- oder gar Sisyphosaufgabe ist. Der Schlüssel ist hierbei eine intelligente Automatisierung, die jedoch in der Lage sein muss, sämtliche Speicherorte einzubeziehen.

Immer noch haben in zahlreichen Unternehmen zu viele Mitarbeiter Zugriff auf zu viele Dateien. So zeigte der Datensicherheits-Report 2018, dass durchschnittlich 21 Prozent der Ordner eines Unternehmens für jeden Mitarbeiter zugänglich sind, in 41 Prozent der Unternehmen sämtliche Mitarbeiter Zugriff auf mindestens 1.000 sensible Dateien – wie personenbezogene Daten, Kreditkarten- oder auch medizinische Informationen – haben und bei 58 Prozent mehr als 100.000 Ordner keiner Zugriffsbeschränkung unterliegen. Office 365 verstärkt dieses Problem insofern, als dass die Berechtigungen nur eingeschränkt sichtbar und die Möglichkeiten zum Auffinden von sensiblen Daten begrenzt sind. Vor allem fehlen aber Remediation-Möglichkeiten, das heißt auf bestimmte Vorfällen (automatisiert) zu reagieren. Durch die Einführung eines Privilegienmodells auf Basis der minimalen Rechtevergabe wird sichergestellt, dass jeder Mitarbeiter nur Zugriff auf diejenigen Dateien erhält, die er für seine Arbeit tatsächlich benötigt (need-to-know-Prinzip). Um dieses auch mit Office 365 wirkungsvoll durchsetzen zu können, müssen Sie Ihre größten Risiken, unabhängig davon, ob sie lokal oder in Office 365 vorliegen, identifizieren, priorisieren und sie beheben, bevor es zu Zwischenfällen kommt.

Oftmals obliegt die Erteilung von Zugriffsrechten der IT-Abteilung, die jedoch in aller Regel nicht wissen kann, welche Dateien tatsächlich für das jeweilige Arbeitsgebiet benötigt werden und – fast noch schlimmer – wie lange dies der Fall sein wird. Zahllose längst ausgeschiedene oder versetzte Mitarbeiter haben oft noch die Zugriffsrechte, die ihnen ursprünglich erteilt wurden. Aus Security-Sicht ist das ein echter Albtraum. Sinnvoll ist es, Datenverantwortliche zu etablieren, welche nicht der IT-, sondern der entsprechenden Fachabteilung angehören und die Zugriffsrechte verantworten und gewähren. Nur mit Office 365 ist dieser Ansatz schwer umsetzbar, da die Datenverantwortlichen schwer zu identifizieren sind und auch in wichtige kritische Access Governance-Workflows, wie zum Beispiel. Berechtigungsprüfungen, einbezogen werden. Mittels Automatisierung der Berechtigungsprüfungen und Autorisierungs-Workflows können Unternehmen Zeit sparen, den IT-Aufwand reduzieren und bessere Entscheidungen zur Zugriffskontrolle treffen.

Eine wirkungsvolle Datensicherheitsstrategie muss darauf ausgerichtet sein, wer auf welche Daten vor Ort und in der Cloud zugreift. Die in Office 365 integrierten Sicherheits-Features reichen jedoch nicht aus, um auffälliges Verhalten zu zeigen, da ihnen insbesondere der detaillierte, netzwerkumfassende Kontext fehlt. Hierzu bedarf es einer durchgehenden, sämtliche Datenspeicher umfassenden Transparenz, ergänzt durch intelligente Nutzerverhaltens-Analyse (UBA), welche abnormales Nutzerverhalten erkennt und (automatisiert) entsprechende Maßnahmen einleitet. Denn letztlich darf es für die Datensicherheit keinen Unterschied machen, wo die Daten gespeichert sind.