DatenschutzMehr Datensicherheit bei Office 365

Mittlerweile verfolgen zwar zahlreiche Unternehmen einen Cloud-First-Ansatz, dennoch werden nach wie vor gerade geschäftskritische Anwendungen und sensible Daten vielfach lokal gehostet. Für die IT-Sicherheit bedeutet dies jedoch eine große Herausforderung, da sie on-premises-Schutz und Cloud-Security vereinen muss. Wie kann dies gelingen und worauf muss man achten, um seine Office 365-Daten wirkungsvoll zu schützen?

Die Frage, ob Daten lokal oder in der Cloud gespeichert werden sollen, ist längst nicht mehr aktuell. Gegenwart und Zukunft sind hybrid. Entsprechend muss der Sicherheitsansatz auch darauf ausgerichtet sein, wer auf Ihre Daten vor Ort und in der Cloud zugreift. Entsprechend wichtig ist eine durchgehende Transparenz, die sämtliche Speicherorte abdeckt. Sie bildet die Grundlage dafür, dass jederzeit nur die richtigen Personen Zugriff auf die Daten haben – unabhängig davon, wo dieser Zugriff erfolgt. Dieser Zugriff sollte überdies durch fortschrittliche Nutzerverhaltens-Analyse überwacht und damit abnormales Verhalten identifiziert (und unterbunden) werden.

Nur wenn man sein Risiko (genau) kennt, kann man es wirkungsvoll minimieren. Entsprechend ist ein sinnvoller erster Schritt zu mehr Datensicherheit die Durchführung einer datenfokussierten Risikobewertung – insbesondere auch im Hinblick auf die DSGVO-Konformität. Durch ein solches Risk Assessment erhalten Sie wertvolle Einblicke, welche Daten bei Ihnen besonders exponiert sind, und können auf dieser Grundlage eine wirkungsvolle Sicherheitsstrategie erstellen. Wenn Sie also bislang noch keine Risikobewertung durchgeführt haben, sollten Sie dies dringend nachholen. Ebenso sollten Sie nach der Verlagerung wesentlicher Datenbestände in die Cloud (erneut) ihre Risiken bewerten lassen. Erfahrungsgemäß finden sich hier kritische Schwachstellen, beispielsweise für alle Mitarbeiter zugängliche Mail-Eingänge der Geschäftsführung und ähnliches.

Zwar bietet Microsoft einige Sicherheits-Features, wie etwa eine (statische) Bedrohungsmodellierung, jedoch sind diese in erster Linie auf die Cloud-Nutzung und auf einzelne Anwendungen ausgelegt. Die Sicherheits-Features können also das Benutzerverhalten in verschiedenen Programmen nicht in einen Kontext setzen und sind ebenso wenig in der Lage, verdächtiges Verhalten on-premises zu erkennen. Deshalb sollten sie ergänzt werden durch eine dynamische, verhaltensbasierte Bedrohungserkennung (User and Entity Behavior Analytics, UEBA), die auch auf hybride Umgebungen ausgelegt ist.

Die DSGVO hat mit dem Recht auf Auskunft und Löschung Licht auf einen Bereich geworfen, der allzu lange im Dunkeln lag: Viele Unternehmen sind nach wie vor nicht in der Lage, alle Dateien zu finden, die sensible und personenbezogene Informationen enthalten. Dies kann nur durch eine entsprechende Klassifizierung der Dateien funktionieren. Auch dies ist prinzipiell mit Bordmitteln möglich (wenngleich auch nur für in der Cloud gespeicherte Dateien), jedoch in größeren Umgebungen umständlich und zeitraubend. Angesichts von zehn- bis hunderttausenden von Dateien führt hier an einer Automatisierung kein Weg vorbei. Diese muss nicht nur in der Lage sein, Metadaten zu nutzen und dadurch adäquate Ergebnisse zu liefern, sondern auch alle Speicherorte einbeziehen.

Es ist eigentlich ganz logisch: Je weniger Mitarbeiter Zugriff auf sensible Daten haben, desto geringer ist die Gefahr einer Kompromittierung. Immer wieder zeigen jedoch Untersuchungen, dass in zahlreichen Unternehmen zu viele Mitarbeiter Zugriff auf zu viele Dateien haben. Durch Office 365 wird dieses Problem eher noch verschärft, da die Berechtigungen nur eingeschränkt sichtbar und die Möglichkeiten zum Auffinden von sensiblen Daten begrenzt sind. Auch mangelt es an Remediation-Möglichkeiten, also Möglichkeiten, auf bestimmte Vorfälle (automatisiert) reagieren zu können. Zugriffsrechte sollten grundsätzlich nach dem need-to-know-Prinzip vergeben werden. Hierdurch wird sichergestellt, dass nur diejenigen Mitarbeiter Zugriff erhalten, die ihn für ihre Arbeit auch tatsächlich benötigen. Um ein Privilegienmodell auf Basis der minimalen Rechtevergabe auch mit Office 365 wirkungsvoll durchzusetzen, müssen Sie Ihre größten Risiken – unabhängig davon, ob sie lokal oder in Office 365 vorliegen – identifizieren, priorisieren und beheben, bevor es zu Zwischenfällen kommt.

Um ein Privilegienmodell auf Basis der minimalen Rechtevergabe erfolgreich umzusetzen, empfiehlt sich die Einführung von Datenverantwortlichen, sogenannten data owners. Diese sind nicht in der IT-Abteilung beheimatet, sondern in den jeweiligen Fachabteilungen oder Projektgruppen und verantworten und gewähren die Zugriffsrechte. Der Vorteil: Die Datenverantwortlichen wissen genau, wer welchen Zugriff benötigt und wer nicht mehr – anders als die IT-Abteilung, die in aller Regel für die Rechtevergabe zuständig ist. Auf diese Weise wird etwa verhindert, dass ausgeschiedene oder versetzte Mitarbeiter die Zugriffsrechte weiter behalten, die ihnen ursprünglich erteilt wurden. Der data-owner-Ansatz ist jedoch mit Office 365 nur schwer umzusetzen, da eine Identifizierung der Datenverantwortlichen nicht einfach ist und diese auch nicht in kritische Access Governance-Workflows einbezogen werden, wie zum Beispiel bei Berechtigungsprüfungen. Auch hier kann (externe) Automatisierung der Berechtigungsprüfungen und Autorisierungs-Workflows helfen, Zeit und Ressourcen-Aufwand zu sparen – bei gleichzeitig besseren Entscheidungen zur Zugriffskontrolle.