IT-SICHERHEIT_6-2022 inklusive Special

HZ212320 · ISSN 1868-5757 · www.datakontext.com Dezember 6/2022 Komfort und Sicherheit im M 365- Universum Mit zunehmender Nutzung der Microsoft 365-Dienste starten Cyberkriminelle vermehrt ihre Attacken auf Unternehmen. Viel in puncto Sicherheit kommt bereits von Microsoft – vieles aber eben nicht! Warum M 365 im Visier der Cyber- kriminellen ist Wie sich M 365-Daten und -Kommunikation zuverlässig schützen lassen MS Teams: Compliance- gerechte Kollaboration und Archivierung

EDITORIAL 28 SPECIAL_6/2022 Microsoft 365 IMPRESSUM www.itsicherheit-online.com SPECIAL: Microsoft 365 Verlag: DATAKONTEXT GmbH Standort Frechen Augustinusstr. 11 A · 50226 Frechen www.datakontext.com Chefredaktion: Stefan Mutschler (S.M.) EMail: stefanmutschler@tonline.de Redaktion: Dr. Peter Münch (P.M.), Dr. jur. Martin Zilkens (M.Z.), Online-Redaktion: Jessica Herz (Leitung Online) herz@datakontext.com +49 2234 9894980 Lisa Bieder Silvia Klüglich Chiara Schönbrunn Herausgeberbeirat: Prof. Dr. Michael Backes, Prof. Dr. jur. DirkM. Barton, Walter Ernestus, Prof. Dr. Nikolaus Forgó, Prof. Dr. Rainer W. Gerling, Dr. JanPeter Ohrtmann, Prof. Dr. Norbert Pohlmann, Dr. jur. Martin Zilkens Gründer: † Bernd Hentschel Graﬁk/Layout/Satz: Michael Paffenholz Tel.: +49 173 8382572 EMail: michael.paffenholz@gmx.de Objekt- und Anzeigenleitung: Wolfgang Scharf Tel.: +49 2234 9894960 EMail: wolfgang.scharf@datakontext.com zzt. gilt die Anzeigenpreisliste Nr. 27 Vertrieb/Herstellung: Dieter Schulz Tel.: +49 2234 9894999 dieter.schulz@datakontext.com Abonnement: Jahresabonnement € 104, inkl. VK (Inland) Erscheinungsweise: sechs Ausgaben Alle Preise verstehen sich inkl. MwSt. Der Abonne mentpreis wird im Voraus in Rechnung gestellt. Das Abonnement verlängert sich zu den jeweils gültigen Bedingungen um ein Jahr, wenn es nicht mit einer Frist von 8 Wochen zum Ende des Bezugszeitraumes gekündigt wird. Erscheinungsweise, Bezugspreise und -bedingungen: Abonnement und Bezugspreis beinhalten die Print Ausgabe sowie eine Lizenz für das OnlineArchiv. Die Bestandteile des Abonnements sind nicht einzeln kündbar. Der Preisanteil des OnlineArchivs ist auf der Abonnement rechnung separat ausgewiesen. Aboservice: Hüthig Jehle Rehm GmbH, München, Tel.: +49 89 21 837110 Druck: Grafisches Centrum Cuno GmbH & Co. KG, Calbe (Saale) © DATAKONTEXT Mit Namen gekennzeichnete Beiträge stellen nicht unbedingt die Meinung der Redaktion oder des Verlages dar. Für unver langt eingeschickte Manuskripte übernehmen wir keine Haftung. Mit der Annahme zur Veröffentlichung erwirbt der Verlag vom Verfasser alle Rechte, einschließlich der weiteren Vervielfältigung zu gewerblichen Zwecken. Die Zeitschrift und alle in ihr enthaltenen Beiträge und Abbildungen sind urheber rechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Ur heberrechtsgesetzes ist ohne Zu stimmung des Verlags unzulässig und strafbar. Das gilt ins besondere für Vervielfältigungen, Übersetzungen und die Einspeicherung und Verarbeitung in elektronischen Systemen. Titelbild: Peter Jurik | Sergey Nivens stock.adobe.com Fotos: Firmenbilder; DATAKONTEXT; Andreas Prott stock. adobe.com, buravleva_stock stock.adobe.com, momius stock.adobe.com, ronstik stock.adobe.com; TheDigitalArtist, pixabay.com 28. Jahrgang 2022 · ISSN: 1868-5757 Microsoft 365 – eine Welt, nicht ganz so perfekt wie es scheintM 365 gilt als eine der vollständigsten und best integrierten Ofﬁce- und Kommunikationsplattformen auf dem Markt. Wohl nicht zuletzt deswegen ist seine Beliebtheit in den letzten Jahren sowohl bei Privatanwendern als auch in Unternehmen deutlich gestiegen. In unserem Special zu diesem Thema erfahren die Leserinnen und Leser, was die Plattform alles bietet und was eben nicht. Gerade in Sachen Datensicherheit und Compliance fehlen elementare Funktionen.Einige der wichtigsten Anbieter im Umfeld von M 365 gehen hier ins Detail und geben praxisnahe Tipps, wie die Schwachstellen der Plattform beseitigt werden können – ob mit Bordmitteln oder über Add-on-Pakete oder -Services. So beschäftigt sich ein Beitrag beispielsweise damit, warum ein M 365-Tenant (Hauptkonto) regelmäßig einem Security Check-up unterzogen werden sollte: Jedes Jahr nimmt Microsoft Hunderte von Anpassungen, Änderungen und Erweiterungen vor – da fällt es naturgemäß schwer, den Überblick zu behalten, wenn man daneben noch viele weitere Themen des Tagesgeschäfts auf dem Schirm haben muss. Nüchtern betrachtet sind die Werkseinstellungen für den Microsoft 365-Tenant nicht ausreichend für einen adäquaten Sicherheitslevel.Ein weiteres wichtiges Themenfeld ist die Sicherung der Kommunikation in MS Teams: Fast die Hälfte aller Nutzenden tauscht häuﬁg sensible und geschäftskritische Daten über Microsoft Teams aus, mehr als die Hälfte davon sogar von privat genutzten Geräten. Dies unterstreicht die Notwendigkeit für einen umfassenderen Schutz der über Teams-Channels und User Chats ausgetauschten Daten. Auch lässt das Tool seine Nutzenden allein, wenn es um Archivierung und dabei die Einhaltung von Vorschriften und gesetzlichen Bestimmungen geht. Eine gesetzeskonforme, sichere Speicherung und Verwaltung der MS Teams-Kommunikation ist mit Bordmitteln nicht möglich. Diese Aufgaben sind ein Beispiel dafür, wo externe Tools einspringen müssen.Unser Special Microsoft 365 soll Sie dabei unterstützen, das Beste aus dem populären Microsoft Cloud-Service herauszuholen und dabei auf der sicheren Seite zu bleiben.Viel Spaß beim Lesen!Stefan Mutschler Stefan Mutschler

Inhalt 28 30 31 32 34 36 39 42 44 Editorial Microsoft 365 in der Praxis Weitgehend vollständig, aber ziemlich unvollkommen M 365 durch leicht anwendbare Kryptografie aufwerten Risiken beim Einsatz von Exchange, Sharepoint, Teams und OneDrive Microsoft 365 im Visier der Cyberkriminellen Gezieltes Training für höheres Sicherheitsbewusstsein Rundum-Schutz für M 365-Daten und -Kommunikation Kommunikation aus MS Teams rechtskonform und revisionssicher speichern Wie sich lebendige Kollaboration und effiziente Datenarchivierung unter einen Hut bringen lassen Interview: Microsoft 365 absichern Mit Microsoft-Bordmitteln Richtung Zero Trust starten Acht Themen, die Betreiber einer Microsoft- Umgebung regelmäßig im Blick haben sollten Gesundheits-Check eines M 365-Tenant Das Beste aus dem Microsoft-Universum rund um M 365 herausholen Wie eine europäische Software-Schmiede Ihren Digital Workplace fit macht SPECIAL_6/2022 Microsoft 365 29

Microsoft 365 in der Praxis Weitgehend vollständig, aber ziemlich unvollkommen Microsoft 365 (ehemals Office 365) ist eine Kombination aus einem Onlinedienst, einer Office-Webanwendung und einem Office-Software-Abonnement von Microsoft Office. Der Service bietet Nutzenden die Möglichkeit, ortsunabhängig von jedem unterstützten Endgerät aus zu arbeiten. Auch wenn die Plattform auf den ersten Blick wie ein lücken- loses Funktionspaket aussieht, offenbaren sich in der Praxis zum Teil gravierende Mängel, vor allem in den Bereichen Datensicherheit und Compliance. Diese wiederum haben bewirkt, dass sich inzwischen ein Marktplatz für Add-ons und Dienstleistungen von Drittanbietern etabliert hat. M 365 gilt damit als eine der vollständigsten und best integrierten Office- und Kommunikations- plattformen auf dem Markt, weshalb seine Be- liebtheit in den letzten Jahren sowohl bei Privatanwendern als auch in Unternehmen deutlich nach oben gegangen ist. Mit M 365 gespeicherte Daten befinden sich in Rechenzen- tren von Microsoft. Die Webanwendungen unter Microsoft 365 Online beinhalten die Onlineversionen von Word, Out- look, PowerPoint, Excel, SharePoint, Exchange und OneDrive sowie je nach gebuchtem Paket auch Teams, Access, Pub lisher, Intune und Azure Information Protection. Als zusätzliche Dienste stehen Microsoft Defender for Business, Teams Essen- tials und Windows 365 zur Verfügung. Die Paketzusammen- stellungen ändern sich des Öfteren, die Funktionalitäten in- nerhalb einzelner Anwendungen und übergeordneter Dienste werden ständig weiterentwickelt. Studien haben gezeigt, dass M 365-Anwender auch häu- fig geschäftskritische und sensible Daten über Teams austau- schen. Das macht die M 365-Umgebung für Angreifer zu ei- nem sehr attraktiven Angriffsziel, um Daten zu kapern. M 365 bietet bereits ab Werk ein umfangreiches Set an Microsoft Security-Technologie. Die einzelnen Microsoft-Bausteine sind auch gut miteinander integriert und bieten als Mehrwert bei- spielsweise, Incidents übergreifend analysieren zu können. Unter dem Strich bringt M 365 sehr viel Sicherheit mit, aber sie funktioniert nicht out of the box, sondern man muss sich darum kümmern. Und das ist keineswegs trivial, wie viele Ex- perten sagen. 30 SPECIAL_6/2022 Microsoft 365 Ohne ein komplementäres Backup und Recovery birgt M 365 zudem Risiken vor Datenverlusten. Viele Unternehmen, die Cloud-Dienste wie Microsoft 365 nutzen, gehen fälschli- cherweise davon aus, dass sie sich nun nicht mehr um Back- ups, Wiederherstellung und die Sicherheit ihrer Daten küm- mern müssten. Weit gefehlt – Microsoft folgt hier dem Prinzip der sogenannten „Shared Responsibility“, also der geteilten Verantwortung. Mit Microsoft 365 sind die Kunden selbst da- für verantwortlich, ihre Datensicherheit zu konfigurieren und gleichzeitig ihre Compliance-Anforderungen zu erfüllen. Auch haftet Microsoft nicht für den Verlust von Daten und E-Mails in Microsoft 365 und bietet bis heute keine nativen Siche- rungs- und Wiederherstellungsoptionen an. Obwohl die Software beeindruckende Funktionen für die Zusammenarbeit und den Chat bietet, lässt sie ihre Nutzen- den allein, wenn es um Archivierung und dabei die Einhaltung von Vorschriften und gesetzlichen Bestimmungen geht. Eine gesetzeskonforme, sichere Speicherung und Verwaltung der MS Teams-Kommunikation ist mit Bordmitteln nicht möglich. Da für viele Unternehmen kein Weg an M 365 vorbeiführt – trotz der bekannten Schwächen – haben unabhängige An- bieter und Berater ihre Chance erkannt und kommen mit Produkten und Services, welche die Mankos und Risiken aus- gleichen. M 365 wird damit zu einem Ökosystem – und jeder weitere Anbieter stärkt die Position von Microsofts Office- und Kommunikationsplattform. . m o c e b o d a k c o t s - t t o r P s a e r d n A . : Stefan Mutschler d l i B

– ADVERTORIAL – M 365 durch leicht anwendbare Kryptografie aufwerten Andreas Liefeith, Leiter Unternehmenskommunikation der procilon GmbH Um zu vermeiden, dass sensible Daten beim Versand via EMail nicht von unberechtigten Personen oder Systemen mitgelesen werden, kann man auf gebräuchliche Ver schlüsselungstechnologie nach S/MIME oder PGPStandard zurückgrei fen. Doch längst sind nicht alle zu adressierenden Empfänger über diese Verschlüsselungsmethoden zu erreichen. Darüber hinaus gibt es elektronische Kommunikationsszenarien, zum Bei spiel den elektronischen Rechtsverkehr (ERV), in denen vom Gesetzgeber sichere Übertragungswege benannt werden, deren SecurityAnforderun gen weit über einfache EMailVerschlüsselung hinaus gehen. Dazu zählt auch das besondere elektronische Bürger und OrganisationenPostfach (eBO). Mit eBO können natürliche und juristische Personen, soweit sie kein anderes zugelassenes Postfach nutzen können, Dokumente an Ge richte und Behörden auf einem sicheren Übertragungsweg übermitteln. Für den Nutzer eröffnet sich hier das Dilemma, für die an sich einfache elektronische Kommunikation mehrere Systeme nutzen zu müssen. Auf der anderen Seite ist gerade bei OnlineDiensten der Bedarf an benutzer freundlichen Lösungen immens hoch. Add-ins für nutzerfreundliche Sicherheit Als Experte für Kryptografie im Allgemeinen und den ERV im Speziellen hat procilon zwei Addins für Office 365 auf den Markt gebracht, die Nutzern das oben geschilderte Dilemma ersparen. Dabei haben sich die Entwickler eine strikte Ausrichtung auf den Nutzer als oberstes Credo gesetzt. So können beispielsweise mit der Erweiterung des MS/OutlookClients durch proTECTr Mail Connect Dateianhänge mit nur einem Klick für die Empfänger einer EMail stark verschlüsselt werden. Dazu lädt man die Anhänge wie gewohnt direkt in die EMail und aktiviert Mail Connect. Im Ergebnis werden alle Dateianhänge automatisch von der EMail gelöst, verschlüsselt und als verschlüsselte Dateien der EMail wieder zugefügt. Auf diese Art und Weise können sensible Daten auch bei unverschlüsselten EMails geschützt übertragen werden. Ebenso einfach können zugesandte und mit proTECTr verschlüsselte Dateianhänge direkt in Outlook entschlüsselt werden. Ähnlich konzipiert ist die procilon MS/OutlookErweiterung für den elek tronischen Rechtsverkehr. Das Addin wird hier um eine Komponente er gänzt, die eine Suche von adressierbaren Gerichten und Verwaltungen im Teilnehmerverzeichnis des ERV ermöglicht. Selbst an die Erzeugung per Verordnung vorgeschriebener sogenannter XJustizDatensätze ist gedacht worden. Hier geht jeder Bedienschritt nahtlos in den nächsten über, um Nutzer zuverlässig durch den Prozess zu begleiten. Um diese Innovation effizient nutzen zu können, hat procilon ein Komplettpaket zusammen gestellt, das dabei hilft, alle Hürden beim Einstieg in den elektronischen Rechtsverkehr mit eBO zu meistern. Geeignet ist die procilonLösung primär für Unternehmen, privatrechtliche Organisationen und Verbände sowie andere professionelle Verfahrensbeteiligte – wie Dolmetscher, Gut achter, Rentenberater und Sachverständige – die auf sichere Art mit den Gerichten kommunizieren müssen und dies gleich aus ihrer gewohnten EMailUmgebung heraus tun möchten. Insbesondere die Integration von zusätzlichen kryptografischen Möglich keiten in die M 365Infrastuktur eröffnet vielfältige Szenarien. Anwender schulungen können auf ein Minimum reduziert werden und kurze Einfüh rungszeiten werden von den Nutzern positiv wahrgenommen. n SPECIAL_6/2022 Microsoft 365 31

Risiken beim Einsatz von Exchange, Sharepoint, Teams und OneDrive Microsoft 365 im Visier der Cyberkriminellen Angesichts der wachsenden Bedrohungslage und der steigenden Zahl an Cyber angrif fen gegen die Infrastrukturen von Unternehmen wachsen auch die Risiken von Daten verlusten und IT-Ausfällen. Microsoft 365 (M 365) ist dabei nicht nur ein attraktives Ziel der Cyberkriminellen, sondern birgt ohne ein komplementäres Backup und Recovery Risiken vor Datenverlusten. Daniel Hofmann, CEO von Hornetsecurity, klärt im Interview mit IT-SICHERHEIT über Risiken und Möglichkeiten zum Schutz der Microsoft 365-Umgebung auf. ITS: Microsoft 365 ist heute eines der am meisten genutzten Office-Tools in Unter- nehmen. Wie schätzen Sie die Sicherheit der M 365-Umgebung für Unternehmen ein? Daniel Hofmann: Durch die Etablierung hybrider Arbeitsplatzkonzepte in den vergan- genen Jahren wurden auch Kommunikations- und Kollaborationslösungen in Verbindung mit Office- und Productivity-Tools immer stärker in betriebliche Prozesse eingebunden. So zeigen unsere Studien, dass M 365-Anwen- der auch häufig geschäftskritische und sensib- le Daten über Teams austauschen. Das macht die M 365-Umgebung für Angreifer zu einem sehr attraktiven Angriffsziel, um Daten zu kapern oder auch Unzulänglichkei- ten beim schwächsten Glied der Sicherheitskette – dem Men- schen – auszunutzen. Angreifern ist es möglich, M 365-Nut- zer über die MX-Records und Autodiscover-Einträge leicht zu identifizieren und Millionen von Anwendern als potenzielle Angriffsziele auszumachen. Wird schließlich eine neue Sicher- heitslücke entdeckt, eröffnet dies Angreifern viele Möglichkei- ten für Cyberangriffe. Daniel Hofmann, CEO von Hornetsecurity und damit die Kontrolle über Richtlinien sowie das Rollen- und Rechtemanagement. Dem ge- genüber stehen die Nutzer, die nun Richtlinien, Nutzerrollen und Rechte eigenständig mana- gen können. Microsoft 365 erleichtert gar das Rechtemanagement für einzelne Anwender und Gruppen, auch um die Lösung für immer mehr Anwender im zunehmend verteilten Ta- gesgeschäft in hybriden Infrastrukturen at- traktiver zu machen. Auch wenn der Adminis- trator weiterhin die Verantwortung trägt, ist er nicht mehr so leicht in der Lage, die gesamte Infrastruktur zu kontrollieren – was schließ- lich in einem höheren Sicherheitsrisiko für das gesamte Unternehmen resultiert. Ein Beispiel: So erlaubt M 365 Benutzern, Dateien einfach mit Partnern und Kunden außer- halb des Unternehmens zu teilen. Dabei überlässt Microsoft den Nutzern die Kontrolle darüber, die Berechtigungen für Ordner oder einzelne Dateien festzulegen – oder auch nicht. Versäumt ein Nutzer etwa bei der Erstellung eines Sharepoint- Ordners die Zugriffsberechtigungen festzulegen und teilt die- sen per E-Mail mit Personen außerhalb des Netzwerks, kann jeder, der Zugriff auf den Link erhält, auch auf sämtliche ent- haltene Dateien und Unterordner zugreifen. ITS: Wo sehen Sie die größten Gefahren beim Anwender – und inwieweit bietet Microsoft 365 hier Schutz vor Miss- brauch und Manipulation? ITS: Wie steht es denn um die Verantwortung beim The- ma Datenschutz, wenn ein Unternehmen auf die Microsoft 365-Umgebung setzt? Daniel Hofmann: Entscheidet sich ein Unternehmen für den Einsatz des Microsoft 365-Dienstes und den Gang in die Cloud, verliert der Administrator ein Stück weit die Übersicht Daniel Hofmann: Kurioserweise gehen viele Unterneh- men, die Cloud-Dienste wie Microsoft 365 nutzen, fälschlicher- 32 SPECIAL_6/2022 Microsoft 365 . m o c y a b a x p i l , t s i t r A a t i g D e h T i : d l i B

weise davon aus, dass sie sich nun nicht mehr um Backups, Wiederherstellung und die Sicherheit ihrer Daten kümmern müssen. Dies ist jedoch ein weit verbreiteter Irrtum. Denn Microsoft folgt hier dem Prinzip der sogenannten „Shared Res ponsibility“, also der geteilten Verantwortung. So sieht dieses Prinzip vor, dass insbesondere die Verantwortung über Geräte (Smartphones, Notebooks und PC) Konten und Identitäten sowie Informationen und Daten beim Kunden verbleibt. Der Microsoft Service-Vertrag hebt die Notwendigkeit, Inhalte und Daten regelmäßig zu sichern, die in den Diensten oder während der Verwendung von Dritt- anbieter-Apps und -Diensten gespeichert sind, noch hervor. Auch wenn mit kostenpflichtigen Zusatz-Diensten, die einzel- ne Funktionen bereitstellen, einige Mängel in der Sicherheits- kette behoben werden können, wird der Schutz und die Si- cherheit der Daten am Ende dem Endnutzer überlassen. 365 Total Protection Enterprise Backup Lösung von Hornetsecurity (Quelle: Hornetsecurity GmbH) ITS: Können Sie konkrete Beispiele nennen, wo das Leis- tungsspektrum mit den Anforderungen der Nutzer ausein- andergeht? Daniel Hofmann: Durchaus. Zunächst muss jedem klar sein, dass Microsoft keine Verantwortung für die Sicherheit, Verfügbarkeit und Integrität der in Microsoft Services ge- speicherten Daten übernimmt. Das Stichwort „Shared Res- ponsibility“ bedeutet hier, dass die Kunden selbst dafür ver- antwortlich sind, ihre Datensicherheit zu konfigurieren und gleichzeitig ihre Compliance-Anforderungen zu erfüllen. Auch haftet Microsoft nicht für den Verlust von Daten und E-Mails in Microsoft 365 und empfiehlt daher in seinen Nutzungsbe- dingungen einen Drittanbieter zu nutzen, um Daten ausrei- chend vor Serverstörungen und -ausfällen zu schützen. Das betrifft auch einen ausreichenden Schutz vor Zero- Day-Angriffen. Wie in den Allgemeinen Geschäftsbedingun- gen zu ersehen ist, werden nur bereits bekannte Viren er- kannt. Demnach gilt ein Virus als bekannt, wenn weit ver- breitete kommerzielle Virenscanner ihn erkennen können. Das bedeutet im Umkehrschluss, dass es für ein Unternehmen kritisch werden kann, wenn es mit Hilfe eines neuartigen Vi- rus angegriffen wird. Ein weiteres Beispiel: Bucht etwa ein Unternehmen den Servicelevel „Wachsamkeit gegen Spam“ hinzu, greift dieser nur bei E-Mails mit englischsprachigem Inhalt. In Deutschland sind solche Einschränkungen als kri- tisch einzustufen. Daher müssen die Unternehmen selbst ak- tiv werden und mit zusätzlichen Service-Diensten für ein aus- reichendes Schutzniveau ihrer Daten sorgen. Dafür sind die Angriffe, Methoden und Vektoren heute einfach zu vielseitig und ausgeklügelt. ITS: Wie können Unternehmen ein höheres Schutzniveau für ihre Daten und die Microsoft 365 Umgebung erreichen? Daniel Hofmann: Um ein hohes Schutzniveau der eige- nen Daten in Microsoft 365-Umgebungen und eine nachhal- tige Sicherheitskultur im Unternehmen zu schaffen, erfordert es letztlich Security-, Backup- und Wiederherstellungs-Lösun- gen, die nahtlos und plattformübergreifend ineinandergrei- fen, aber gleichzeitig auch den Menschen als (Un-)Si- cherheitsfaktor einbeziehen. Wir wissen, dass dies für Unternehmen mitun- ter eine große Herausforde- rung darstellt, aber es gibt Drittanbieter-Lösungen am Markt, wie Hornetsecurity mit weltweit über 60 Pro- zent Marktanteil, die die bestehenden Lücken schlie- ßen. Damit sind Nutzer nicht nur imstande, E-Mail Security, Backup und Re- covery über eine zentrale Plattform zu managen, sondern auch Governance- und Com- pliance-Anforderungen samt Dokumenten- und Ordnerfrei- gaben bedarfsgerecht und transparent für M 365 SharePoint, Teams und OneDrive zu verwalten. IT-Verantwortliche müssen heute nicht nur den Schutz der IT-Infrastruktur und des Unternehmensnetzwerks sicherstel- len, sondern auch die Inhalte von Kollaborationslösungen, die in vielen Unternehmen noch ein unkontrolliertes Schatten- dasein führen. Zudem bedarf es eines höheren Sicherheits- bewusstseins bei Anwendern, um den „Faktor Mensch“ im Sicherheitskonzept zu berücksichtigen. Mit der Übernahme des Cybersecurity-Trainingsspezialisten IT-Seal im ersten Halbjahr 2022 haben wir unser Leistungsspektrum um au- tomatisierte Security Awareness Trainings erweitert, die auf einer zukunftsweisenden Awareness Engine aufsetzen und sich nach dem tatsächlichen Bedarf der Anwender richten. Mit unseren Security-, Backup-, Compliance und Recovery- Lösungen bieten wir nicht nur einen kompletten Rundum- Schutz für Microsoft 365-Umgebungen, sondern decken auch den gesamten Cybersecurity-Awareness-Zyklus ab – von der Sensibilisierung über die Prävention bis hin zur Erkennung. Das Interview führte Stefan Mutschler für IT-SICHERHEIT. SPECIAL_6/2022 Microsoft 365 33

Gezieltes Training für höheres Sicherheitsbewusstsein Rundum-Schutz für M 365-Daten und -Kommunikation Fast die Hälfte aller Nutzenden tauscht häufig sensible und geschäftskritische Daten über Microsoft Teams aus, mehr als die Hälfte davon gar von privat genutzten Geräten – zu diesem alarmierenden Ergebnis kommt eine aktuelle Studie von techconsult und Hornet- security. Dies unterstreicht nicht nur die Notwendigkeit für einen umfassenderen Schutz der über Teams-Channels und User Chats ausgetauschten Daten, sondern auch nach einer effektiveren Anwenderschulung über den sicheren, Compliance-konformen Umgang mit vertraulichen Daten und der Kommunikationsinfrastruktur des Unternehmens. D ie zunehmende Nutzung von Chat-Diensten hat die Art und Weise, wie Menschen arbeiten und interagie- ren, nachhaltig verändert. Mit dieser Veränderung ist jedoch auch das Risiko von Datenverlusten gestiegen. Unter- nehmen müssen daher angemessene Sicherheitsvorkehrungen treffen, um ihre Geschäftsdaten entsprechend der sich ändern- den Nutzungsgewohnheiten ihrer Anwender besser zu schüt- zen. So ergab eine Studie von techconsult, die im Auftrag von Hornetsecurity erstellt wurde und an der sich insgesamt 540 Mitarbeitende aus Unternehmen aller Branchen beteiligt hat- ten, dass mehr als 41 Prozent der Mitarbeiter mindestens zehn User-Chat-Nachrichten pro Tag in Microsoft Teams senden. Nur etwas mehr als ein Viertel aller Nachrichten (26 Prozent) wer- den in Teams-Channel-Konversationen versendet. Demgegen- über bevorzugen 90 Prozent der Befragten User Chats (Direkt- nachrichten) im direkten Vergleich zu Gruppenunterhaltungen (in einem Teams-Channel), darum sollten Backup-Lösungen zum Einsatz kommen, die alle kollaborativen Funktionen von Teams übergreifend schützen, einschließlich der User Chats. Microsoft-Kunden und -Partner müssen sich ihrer Verantwortung bewusst sein „Die interne Unternehmenskommunikation über Chats hat sich in vielen Unternehmen inzwischen fest etabliert 34 SPECIAL_6/2022 Microsoft 365 und befindet sich damit bereits fast auf dem gleichen Niveau wie die Kommunikation per E-Mail. Während der Schutz und Backups der E-Mail-Kommunikation heute jedoch weitgehend zum Standard in der Geschäftskommunikation gehören, wird ein ausreichender Schutz der Kommunikation über Microsoft Teams noch vielfach vernachlässigt“, mahnt Daniel Hofmann, CEO bei Hornetsecurity, dem Spezialisten für Cloud-Security- und Compliance-Lösungen für Microsoft 365. „Vielen Unter- nehmen ist noch nicht klar, dass sie für den ausreichenden Schutz ihrer Geschäftskommunikation auch eine eigene Ver- antwortung tragen: Das fängt bei Email-Security an und be- zieht die Channels und User-Chats in Teams ebenso ein. Denn wenn es durch einen Cyberangriff oder den Faktor Mensch zum Verlust wichtiger Informationen kommt, liegt es am Kunden selbst, die Daten wieder zuverlässig herzustellen, und zwar auch in Teams.“ Ferner ergab ein auf Basis einer Umfrage von mehr als 2.000 IT-Profis erstellter und im September veröffentlich- ter Hornet security Ransomware Report 2022, dass ein Vier- tel der Befragten entweder nicht weiß oder nicht glaubt, dass Microsoft 365-Daten von Ransomware betroffen sein können. Darüber hinaus gaben 40 Prozent der IT-Exper- ten, die Microsoft 365 in ihrem Unternehmen nutzen, zu, dass sie keinen Wiederherstellungsplan hätten, falls ihre B , t s i t r A a t i g D e h T d : l i . m o c y a b a x p i l i

Microsoft 365-Daten durch einen Ransomware-Angriff ge- fährdet wären. Systeme und Tools sind nur so sicher wie ihre Nutzer Die Antworten aus der Branche zeigen, dass IT-Fachleu- te und Unternehmen häufig nicht ausreichend auf Angrif- fe vorbereitet sind. Besonders besorgniserregend ist jedoch, dass rund 60 Prozent der Angriffe auf Phishing-Versuche zu- rückgehen. „Die E-Mail-Kommunikation ist für Cyberkrimi- nelle nach wie vor das Einfallstor Nummer 1. Viele Angrei- fer nutzen den Menschen dabei gezielt als Schwachstelle für Phishing und Betrug aus. Umso wichtiger ist es, das erforder- liche Schutzniveau auch auf das schwächste Glied in der Si- cherheitskette – den Anwender – auszudehnen. Denn selbst mit dem besten Cybersecurity-System bleibt immer Raum für menschliches Versagen, weshalb viele Anbieter von Cyberse- curity-Versicherungen bereits dazu übergegangen sind, für den Abschluss ihrer Policen Sensibilisierungsschulungen für Mitarbeiter einzufordern“, so Daniel Hofmann weiter. „Securi- ty Awareness Trainings helfen Unternehmen, eine nachhalti- ge Sicherheitskultur innerhalb der Organisation und vor allem entlang der Kommunikations-Touchpoints zu etablieren. Aus unserer langjährigen Erfahrung als Cloud-Security-Spezialist können wir nur unterstreichen, wie wichtig jeder einzelne Wie eine Spear Phishing Engine das Awareness Training optimieren kann (Quelle: Hornetsecurity GmbH) Mitarbeitende für den Datenschutz und die Integrität des ge- samten Sicherheitskonzepts eines Unternehmens ist.“ Automatisiertes Security Awareness Training nach individuellem Bedarf Ein Security Awareness Training setzt den Fokus auf den Faktor Mensch. Es zeigt den Anwendenden nicht nur die Be- deutung von Informationssicherheit und ihre eigene Sicher- heitsverantwortlichkeit innerhalb des Netzwerks auf, son- dern identifiziert gezielt Schwächen und stärkt damit die „menschliche Firewall“ im Informationssicherheitskonzept. Besonders bewährt hat sich das Training der User mithilfe re- alistischer Spear-Phishing-Simulationen und KI-gestütztem E-Training, wodurch das Bewusstsein für Sicherheitsrisiken und Cyberbedrohungen kontinuierlich geschärft und über- prüft wird. Fortschrittliche Lösungen nutzen als technologi- sche Herzstück des Security Awareness Trainings eine Awa- y t i r u c e S t e n r o H : o t o F Viele Angreifer nutzen den Menschen dabei gezielt als Schwachstelle für Phishing und Betrug aus. Umso wichtiger ist es, das erforderliche Schutz- niveau auch auf das schwächste Glied in der Sicherheitskette – den Anwender – auszudehnen.“ DANIEL HOFMANN, CEO von Hornetsecurity reness Engine, die dafür sorgt, dass jeder Nutzende nur so viel Training wie nötig, aber so wenig wie möglich erhält. Die Bereitstellung relevanter E-Trainingsinhalte erfolgt bedarfs- gerecht und vollständig automatisiert. Die patentierte Spear Phishing Engine von Hornetsecurity simuliert realistische Angriffe mit unterschiedlichen Schwierigkeitsgraden, damit Mitarbeiter und Mitarbeiterinnen auch die ausgeklügeltsten Angriffe kennenlernen und in der Lage sind, ihr Wissen über Angriffe und Bedrohungen stetig zu erweitern. Phishing-Szenarien führen Anwender etwa zu gefälschten Log-in-Seiten und enthalten Dateianhänge mit Makros sowie E-Mails mit Ant- wortverläufen. Kennzahl für Security Awareness: ESI – der Employee Security Index Die Ergebnisse werden im Awareness Dash- board gebündelt, in dem alle wichtigen Kennzah- len der Trainings-Gruppen und -Teilnehmer sowie deren Trainingsfortschritte auf der Zeitachse doku- mentiert werden. Mithilfe eines Employee Securi- ty Index, kurz ESI, wird der Security-Reifegrad der Mitarbeitenen realitätsnah, standardisiert und reproduzierbar abgebildet. Der ESI von Hornetsecurity ist ein branchenweit einzigartiger Benchmark, der das Sicherheitsverhalten der Belegschaft im gesamten Unternehmen kontinuierlich misst, vergleicht und gleichzeitig den individuellen Bedarf an E-Trai- ning automatisiert steuert. Der ESI stellt damit ein wirksames Kontrollinstrument für die Effektivität einzelner Schulungs- maßnahmen und bestehender Defizite dar. Die quantitative Analyse der Security Awareness bietet zudem einen direk- ten Vergleich mit anderen Unternehmen ähnlicher Branchen und kann gleichzeitig als Entscheidungsgrundlage für weitere Awareness-Maßnahmen herangezogen werden. n Jannis Blume, Senior Product Marketing Manager bei Hornetsecurity SPECIAL_6/2022 Microsoft 365 35

Kommunikation aus MS Teams rechtskonform und revisionssicher speichern Wie sich lebendige Kollaboration und effiziente Datenarchivierung unter einen Hut bringen lassen Microsoft Teams ist dafür gebaut, eine mobile Workforce dabei zu unterstützen, komforta- bel und über verschiedene Kanäle hinweg in Verbindung zu bleiben. Obwohl die Software beeindruckende Funktionen für die Zusammenarbeit und den Chat bietet, lässt sie ihre Nutzenden allein, wenn es um Archivierung und dabei die Einhaltung von Vorschriften und gesetzlichen Bestimmungen geht. Eine gesetzeskonforme, sichere Speicherung und Verwaltung der MS Teams-Kommunikation ist mit Bordmitteln nicht möglich. Hier müssen externe Tools einspringen. Z u archivierende Informationen fallen heute an sehr vielen unterschiedlichen Stellen eines Unternehmens an. Eine der Quellen mit derzeit steilem Wachstum ist Microsoft Teams. Die Kollaborationsoftware gehört nicht un- bedingt zu den Klassikern, wenn es um das Thema Archivie- rung geht. Die große Frage lautet also: Wie lassen sich neue, moderne Informationsquellen nahtlos in bestehende Archi- vierungskonzepte einbinden? In fast allen Unternehmen gibt es bereits bestehende Prozesse dafür – und ebenso entspre- chende Tools. Wie also Informationen aus Teams darin inte- grieren? Aber das ist nicht die einzige Herausforderung. Mindes- tens ebenso wichtig ist das Compliance Management. Dazu 36 SPECIAL_6/2022 Microsoft 365 . . m o c e b o d a k c o t s - s u m o m d : i l i B

gehören beispielsweise die Einhaltung von Aufbewahrungs- beziehungsweise Löschfristen, eine revisionssichere Ablage und die Umsetzung der DS-GVO. Microsoft Teams speichert nicht nur Nachrichten (inklusive Links und Dateien), sondern auch zahlreiche Meta-Informationen und personenbezogene Daten. Damit gilt es zu beachten, in welchen Systemen ge- nau die Microsoft Teams-Informationen und Dateien gespei- chert werden, beispielsweise in OneDrive for Business oder SharePoint. ARCHIVIERUNG VERSUS BACKUP Der Sinn und Zweck eines Backups ist es, in einem sogenannten Katastrophenfall die Daten des produktiven IT Systems schnellstmöglich wieder verfügbar machen. Ziel ist es, die Ausfallzeit weitestgehend zu minimieren. Backups laufen in bestimmten Intervallen und vordeﬁnierten Schemen ab, wobei ein Teil der früheren Backups regelmäßig durch die neueren Backups überschrieben wird. Es kommt hier also nicht darauf an, einen beliebigen Zeitpunkt der Datengeschichte abrufen zu können, sondern immer den jeweils aktuellsten vor Ausfall des Systems. Demgegenüber geht es bei der Archivierung darum, einen bestimmten Datenstand dauerhaft und unveränderbar festzuhalten. Treiber sind hier meist gesetzliche Auf- bewahrungsfristen. Durch die Auslagerung der Archivdaten aus dem Produktivsystem in separate Speicher wird das Produktivsystem entsprechend entlastet. Dies wiederum hat auch Einﬂuss auf die Menge der Backup-Daten – die Archivdaten bleiben hier außen vor und müssen nicht ständig mit gespeichert werden. Backups werden dadurch schneller. Umgekehrt gilt die Wiederherstellung von Archivdaten im Produktivsystem als wenig zeitkritisch, denn das Produktivsystem läuft ja weiter. Es geht nur darum, einen archivierten Datenpool in einem geplanten Prozess wieder verfügbar zu machen. Ein gutes Archivierungssystem sorgt nicht nur für die rechts- und revisionssichere Speicherung, sondern sie indiziert jede einzelne abgespeicherte Version und macht sie dadurch jederzeit such- beziehungsweise aufﬁndbar. Gerade bei Teams-Daten ist das oft ein schweres Manko. Unternehmen brauchen natürlich sowohl Backups als auch Archivierung. Für das Backup ist es unerlässlich, dass die für das Daten- Lifecycle-Management von Teams verwendete Software in der Lage ist, alle relevanten Informationen aus Teams zu extrahieren und in Systeme zu exportieren, die in den Backup-Prozess eingebunden sind. Darüber hinaus spielt auch der geografische Speicherort der Daten eine gravierende Rolle. Stand heute werden Micro- soft Teams-Nachrichten (inklusive Links, Chats und Dateien) von DACH-Organisationen in den EMEA Rechenzentren von Microsoft Azure aufbewahrt. Bei Microsoft Azure handelt es sich um einen Public-Cloud-Service, ebenso wie bei den zuvor erwähnten Exportmöglichkeiten Azure File Share, OneDrive for Business und SharePoint Online. Tatsächlich weiß ein Großteil der Unternehmen nicht, wo ihre Microsoft Teams-Chats, -Informationen und -Dateien ge- speichert sind, und noch viel weniger haben sie eine Idee, wie sie diese Daten rechts- und revisionssicher in der On-Premises oder Cloud-Lösung ihrer Wahl speichern, mittels Backup si- chern oder archivieren können. Der Gesetzgeber macht keinen Unterschied, aus wel- chen Quellen geschäftsrelevante und/oder personenbezoge- ne Informationen stammen – auch Daten, die über Microsoft Teams erstellt, geteilt und bearbeiten werden, müssen zu je- derzeit gesetzeskonform und sicher aufbewahrt und verwal- tet werden. Damit das gelingt, braucht es einige innovative Funktionen, die Teams eben nicht bietet. Das Teams Daten-Lifecycle-Management Das Daten-Lifecycle-Management in Teams gliedert sich in die drei Bereiche Entstehung, Journalisieren, und Archivie- ren. Die Daten von Microsoft Teams entstehen über die ver- schiedenen Kanäle, Chats etc., dazu Dateien und in Teams ein- gebundene Apps wie etwa Umfragen, Abstimmungen und vieles mehr. Um all diese Daten Compliance-gerecht zu archi- vieren, müssen sie in ein externes System importiert werden, welches dazu in der Lage ist. Mit der inPoint Teams Online Archivierung (TOA) von H&S aus dem Microsoft Store beispielsweise wird ein Set an Skrip- ten bereitgestellt, welche bei der Einrichtung automatisch die Azure-basierenden Infrastrukturkomponenten wie Daten- banken, Speicher, HTML-Admin-Oberfläche etc. implemen- tieren, um die Verarbeitung im Hintergrund durchzuführen. Die Einrichtung eigener Server oder sonstiger On-Premises- Komponenten ist dafür nicht nötig. Über die Admin-Oberflä- che lässt sich dann sehr genau festlegen, was wann und wie in die Archivierung mit aufgenommen werden soll. Mit dem Journalisieren sammeln sich die gewünschten Inhalte bereits in einer gesicherten Form. Aktuell gibt es drei Möglichkeiten, diese gesammelten, journalisierten Daten wie- der zugreifbar zu machen, so auf OneDrive, SharePoint in der Dokumentenbibliothek oder auf dem Azure Fileshare. Bis da- hin liegen alle Daten immer noch komplett in einem eigenen, abgeschirmten Microsoft-Universum. Für die Langzeitarchivierung lassen sich diese Inhal- te manuell oder zeitgesteuert in externe Systeme expor- SPECIAL_6/2022 Microsoft 365 37

Funktionsweise der inPoint Teams Online Archivierung (TOA) von H&S. (Quelle: H&S) tieren. Das kann ebenfalls über OneDrive, SharePoint, oder Azure File Share-Systeme mit entsprechenden Schnittstel- len erfolgen. Alternativ auch in eigene Systeme im eigenen Rechenzentrum, in der Azure-Cloud oder in ein Dokumen- tenmanagementsystem (DMS), welches über eine REST API ankoppelbar ist. Was eine effiziente Microsoft Teams Datenarchivierung bieten sollte Cloudnative Anwendung Es sollte eine native, serverlose MS Azure-Lösung sein, die auf Basis moderner Microsoft-Technologien entwickelt wur- de. So lässt sie sich nahtlos in Microsoft Teams integrieren. Hohe Flexibilität Die Lösung sollte flexible Ressourcenzuweisung und Kos- tenmanagement mit einfachem Pay-as-you-go-Preismodell bieten, sowie ein zentrales Admin-Portal zur Verwaltung aller Teams-Archive. Konnektivität und einheitliche Archivierung Die Lösung sollte den Export von Teams-Daten nach Azure File Share, OneDrive for Business und SharePoint Online un- terstützen sowie die Ablage und Archivierung in digitale 38 SPECIAL_6/2022 Microsoft 365 CRM-/ERP-/ECM-/DMS-Akten, zur revisionssicheren Lang- zeitarchivierung. Zugriff auch ohne Teams Sollte der Service von MS Teams nicht zur Verfügung ste- hen, sollte etwa durch einen periodischen Export dennoch der Zugriff auf archivierte Dateien und Chat-Verläufe möglich sein. Diese Exporte könnten dann auch auf Systeme außerhalb der Microsoft-Welt ausgelagert werden, um ein alternatives Backup zur Verfügung zu stellen. n Stephan Gehling, Leiter BCS und Microsoft Experte bei H&S Information Architects

HZ212320 · ISSN 1868-5757 · www.datakontext.com Dezember 6/2022 Microsoft 365 Microsoft 365 richtig absichern richtig absichern Microsoft 365 Security: Mit Microsoft Bordmitteln Richtung Zero Trust starten Gesundheits-Check eines M 365-Tenant: Acht Themen, die Betreiber einer Microsoft-Umgebung regelmäßig im Blick haben sollten Microsoft 365 sinnvoll ergänzen: E-Mail-Verschlüsselung als Cloud Service Bild: buravleva_stock - stock.adobe.com

Interview: Microsoft 365 absichern Mit Microsoft-Bordmitteln Richtung Zero Trust starten Kaum ein Paradigmen- und Technologiewechsel in der IT hat sich so schnell vollzogen wie der Umstieg auf Cloud Services auf der Basis von Microsoft 365. Durch das New- Work-Modell – in immer neuen Teams, aus dem Homeoffice oder unterwegs und mit immer neuen Cloud-Lösungen – hat sich die Unternehmens-IT deutlich verändert und insbesondere massiv nach außen geöffnet. Deshalb sind grundlegend neue Sicherheits- architekturen wie Zero Trust heute in aller Munde. Doch wo sollte man für die Absiche- rung von Microsoft 365 anfangen, und was ist dabei wichtig? Thomas Welslau vom Microsoft 365-Spezialisten Net at Work schafft im Interview Klarheit. diese Zusammenarbeit in sicheren Bahnen verläuft und Da- ten, Prozesse und Anwendungen vor unberechtigten Zugrif- fen geschützt sind, müssen auch für Microsoft 365 neue Si- cherheitsmechanismen greifen. Die notwendigen Tools und Einstellungen sind da, aber man muss sie individuell einstel- len und nutzen. ITS: Braucht man nun einen Zoo an weiteren Services? Thomas Welslau: Die gute Nachricht ist, dass Micro- soft 365 ein sehr leistungsstarkes Portfolio an Sicherheits- komponenten mitbringt und eine Konsolidierung der Sicher- heitsarchitektur auf Microsoft 365 Security für die meisten Kunden viele Vorteile bietet. Zum einen ist bei der üblichen Lizenzierung bereits ein umfangreiches Set an Security-Tech- nologie von Microsoft enthalten. Warum also mehr ausgeben als notwendig? Zum anderen sind die einzelnen Microsoft- Bausteine von Haus aus gut miteinander integriert und bie- ten auch den Mehrwert, Incidents übergreifend analysieren zu können. Und drittens ist auch die Know-how-Spanne, die das Team abdecken muss, kleiner, wenn man keinen Zoo an Lösungen betreibt. M 365 bringt sehr viel Sicherheit mit, aber sie funktioniert nicht out of the box, sondern man muss sich darum kümmern. ITS: Wie sollte die grundsätzliche Strategie aussehen? Thomas Welslau: Im Grundsatz gibt es zur Absicherung von Microsoft 365 zwei strategische Stoßrichtungen, die letzt- lich beide darauf abzielen, Komplexität und Aufwände zu re- duzieren: mehr Cloud und mehr Konsolidierung. Durch die Nutzung von mehr Cloud Services lässt sich der eigene Sys- tembestand on-premises deutlich verringern. Das reduziert interne Aufwände, entlastet den IT-Betrieb und nimmt Kom- plexität raus. Ein Beispiel dafür sind Services wie Microsoft Update. Auch die angesprochene Konsolidierung der genutz- Thomas Welslau, Competence Lead Security, Net at Work GmbH (Foto: Net at Work) ITS: Warum ist die Absicherung von Microsoft 365 so wichtig? Thomas Welslau: Durch die Nutzung von Cloud Services werden Anwendungen und Daten, die früher innerhalb der Unternehmensgrenzen waren, breit im Netz verteilt ver- waltet und müssen daher anders geschützt werden. Eine der Stärken von Microsoft 365 ist die flexible Zusammenarbeit auch mit Nutzenden außerhalb meiner Organisation. Damit 40 SPECIAL_6/2022 Microsoft 365

Bereich Beispiele M 365 Produkte Ziel und Ergebnis Grundlagen schaffen durch sichere Verwaltung von Identitäten und Geräten Microsoft Intune für MDM, Clients und Alle Geräte und Identitäten sind gemanagt Server Azure MFA Passwortlose Authentifizierung z.B. durch Windows Hello for Business Schutz und Gegenmaßnahmen organisieren Zusammenspiel der M 365Cloud Komponenten schützen und gemeinsam überwachen Defender for Endpoint Defender for Cloud Defender for Identities Defender for Office Defender for Cloud Apps Grundlegende Sicherheit für Geräte und Identitäten Übergreifende Sicherheitsarchitektur für Microsoft 365 etabliert Blick über die M 365Welt hinaus Microsoft Sentinel als SIEM Unternehmensweite Sicherheitsarchitektur etabliert Beispiele und Details zu MS365-Security. (Quelle: Net at Work) ten Produktlandschaft verfolgt dieses Ziel. Microsoft bietet für fast alle Anforderungen gute bis sehr gute Lösungen, die bis- her genutzte Drittprodukte ersetzen können. Also mehr Cloud wagen und konsolidieren, wo es geht, ist eine gute Maxime. ITS: Wie sollte man also vorgehen, gibt es so etwas wie einen Masterplan? Thomas Welslau: Im Prinzip gibt es vier Bereiche, um die man sich bei der Absicherung von Microsoft 365 kümmern muss und die letztlich den Kern einer Zero-Trust-Strategie ausmachen. Im ersten Schritt sollten die Grundlagen geschaf- fen werden, indem man Geräte und Identitäten sauber ver- waltet. Hier kann es zum Beispiel mit Blick auf die Konsoli- dierung sinnvoll sein, mit Microsoft Intune Drittprodukte für MDM wie Mobile Iron zu ersetzen. Im zweiten Bereich geht es darum, den Schutz von Geräten und Identitäten zu eta- blieren und Gegenmaßnahmen bei Angriffen zu organisie- ren. Beispielsweise kann man mit Defender for Endpoint bis- herige Virenscanner ersetzen und mit Defender for Identities bekannte Angriffsmuster wie Golden-Ticket-Attacken schnell erkennen. Im dritten Block schafft man einen übergreifenden Blick auf das Zusammenspiel der verschiedenen M 365-Kom- ponenten. Mit Defender for Office kann die E-Mail-Sicherheit organisiert und der Austausch von Dateien in Teams und Co. geschützt werden. Mit Microsoft Defender für Cloud-Apps lässt sich eine umfassende Transparenz und Kontrolle über den Datenverkehr zwischen Cloud Apps herstellen. Im vierten und typischerweise zuletzt angegangenen Bereich, erfolgt die Zusammenführung der Microsoft 365 Security mit anderen Security-Bereichen in einem übergreifenden SIEM-Konzept. ITS: Ist diese Reihenfolge immer sinnvoll? pragmatisches Vorgehen gefragt. Ist etwa der bisherige Vi- renscanner noch über Jahre hinaus lizenziert, kann man die Ablösung natürlich auch später machen. Man sollte sich davon leiten lassen, mit welchen Maßnahmen individuell der größ- te Sicherheitsgewinn erzeugt werden kann. Ein detaillierter Microsoft 365 Tenant Security Check-up identifiziert die Berei- che, in denen mit vertretbarem Aufwand der höchste Nutzen erzielt werden kann. ITS: Bei aller Konsolidierung – wo gibt es Ausnahmen? Thomas Welslau: Microsoft 365 Security deckt die aller- meisten Bereiche gut ab, aber es gibt natürlich Ausnahmen. Ein Beispiel ist ganz klar die E-Mail-Verschlüsselung, bei der sich viele Kunden die zentrale Nutzung offener Standards wie S/MIME und eine zentrale Zertifikatsverwaltung wünschen. Ein Gateway-basierter Ansatz mit automatischer Zertifikats- verwaltung als Cloud Service wie beispielsweise NoSpam- Proxy ist hier zu empfehlen. ITS: Wie kann man das alles mit seinem Team umsetzen? Thomas Welslau: Es gibt zwei grundlegende Herange- hensweisen: erstens die vollständig externe Vergabe mit der Nutzung eines umfassenden Managed Services oder zweitens, die interne Umsetzung begleitet mit Coaching und Experten- Know-how für Detailfragen. Auch das sollte auf Basis der in- dividuellen Gegebenheiten entschieden werden. Viele unserer Kunden verfügen über sehr gute interne Teams mit großer Erfahrung im Roll-out von Technologien und Konzepten in ihren Unternehmen. Sie sind nah am Business und können mit Microsoft 365 schnell großen Nutzen für ihre Organisation schaffen. Diese Kunden profitieren von Coaching und punktu- eller Beratung. Thomas Welslau: Es gibt natürlich gewisse Abhängigkei- ten zwischen den vier Bereichen, aber grundsätzlich ist ein Das Interview führte Stefan Mutschler für IT-SICHERHEIT. SPECIAL_6/2022 Microsoft 365 41

Acht Themen, die Betreiber einer Microsoft- Umgebung regelmäßig im Blick haben sollten Gesundheits-Check eines M 365-Tenant Mit seinen stetig ausgebauten Möglichkeiten und unzähligen Einstellungen ist die grund- legende Konfiguration eines Microsoft 365-Tenants im Detail schwer zu fassen. Als zentra- le Basis für jede Sicherheitsarchitektur sollte jeder Tenant regelmäßig einem Security Check-up unterzogen werden. Dieser Beitrag liefert eine Übersicht über die acht Themen- felder, auf die Security-Verantwortliche ihr Augenmerk richten sollten. E s gibt viele Szenarien, in denen es sinnvoll ist, einen Microsoft 365 Tenant (Hauptkonto von Microsoft 365) mit Blick auf die Security gründlich auf Herz und Nie- ren zu prüfen: Sei es, dass ein Tenant von einer neuen Toch- terfirma ins Haus steht, umfassende Wechsel im Personal den aktuellen Stand des eigenen Tenants unklar machen, oder dass ein Unternehmen vor der Ausweitung seiner Microsoft 365-Nutzung eine solide Basis für weitere Security-Maßnah- men schaffen will. Gründe für einen umfassenden Check gibt es mindestens ebenso viele: Jedes Jahr nimmt Microsoft Hunderte von An- passungen, Änderungen und Erweiterungen vor – da fällt es naturgemäß schwer, den Überblick zu behalten, wenn man daneben noch viele weitere Themen des Tagesgeschäfts auf dem Schirm haben muss. Nüchtern betrachtet sind die Werkseinstellungen für den Microsoft 365 Tenant nicht aus- reichend für einen adäquaten Sicherheitslevel. Das ändert jedoch nichts an der Wichtigkeit dieser Ein- stellungen – ist die richtige Konfiguration des Microsoft 365 Tenants doch letztlich die Basis für alle weiteren Maßnahmen. Nur wenn die Basiskonfiguration solide bekannt, verstanden und gepflegt ist, können auch Folgeaktivitäten – insbesondere im Bereich IT-Sicherheit – erfolgreich sein. Worauf zu achten ist Das Net at Work M 365 Security-Team führt einen solchen Tenant-Check grundsätzlich bei der Übernahme neuer Be- ratungsmandate durch und hat dafür eine solide Checkliste entwickelt. Als Anregung und Hilfestellung sind hier die acht wichtigsten Bestandteile für einen umfassenden Security Check-up für jeden Microsoft 365 Tenant: 1. Azure AD Connect Hier sind die Einstellungen für das Zusammenspiel des lo- kalen Active Directory (AD) mit dem Azure AD zu prüfen. Ist AD Connect in den richtigen Release-Ständen im Einsatz? Sind wichtige Funktionen wie Password Hash Sync oder Password Writeback aktiviert? Sie werden gebraucht, um weiterführen- de Funktionen im Azure AD zu nutzen, wie etwa ein Password Self-Service-Portal, mit dem Nutzende ihr Passwort zurück- setzen können. 2. Azure-Einstellungen Die Werkseinstellung von Microsoft geht von einer sehr lockeren Handhabung von Nutzungsrechten im AD aus. Hier gilt es detailliert zu prüfen und entsprechende Einschrän- kungen vorzunehmen. Beispielsweise sollte definiert wer- den, wer Gäste einladen und neue Geräte oder Apps einbin- den darf. 3. Identity Protection: Risky Users und Risky Sign-ins Hier sollten die Funktionen zur Erkennung von Gefahren an den Benutzerobjekten wie Leaked Credentials oder unge- wöhnliche Sign-ins aktiviert werden. Meldet sich beispiels- weise eine Person mit zwei Geräten an zwei unterschiedli- chen Standorten an oder werden kompromittierte Credentials verwendet, kann Microsoft 365 entsprechende Alarme sen- den, die wiederum Auslöser für geeignete Maßnahmen sein können. 4. Conditional Access Standardmäßig ist in Microsoft 365 Tenants in Bezug auf die Zugriffsrechte alles recht offen. Mit User/Password ist grundsätzlich von überall Zugriff auf alles möglich. Hier bieten sich Einstellungen an, die das Einschränken – beispielswei- se nur identifizierte Firmengeräte zulassen – oder zumindest für den Fall von Risky Usern oder Sign-ins zusätzliche Hür- den oder Sperren setzen. In fortgeschrittenem Stadium lassen sich mit Conditional Access im Sinne einer Zero-Trust-Stra- tegie auch feingranulare Zugriffsrechte mit Blick auf Inhalte, Nutzende und Geräte etablieren. 42 SPECIAL_6/2022 Microsoft 365 . . m o c e b o d a k c o t s - k i t s n o r : d l i B

5. Geräteeinstellungen mit Intune Hier lassen sich die Betriebssystemtypen eingrenzen, mit denen grundsätzlich Geräte zugelassen werden sollen. Eben- so lässt sich definieren, welche Betriebssystemversionen und Patch-Level zulässig sind. Das sollte im Kontext der Firmen- richtlinien überwacht werden, damit nicht über ungewollte Betriebssysteme oder veraltete Systemstände Sicherheitslü- cken entstehen. 6. Exchange-Hybrid-Konﬁguration Hier sollte überprüft werden, ob die Konfiguration in der Praxis auch so wirkt, wie sie ursprünglich gedacht war. Im- mer wieder finden sich Seiteneingänge für Mail-Flows, die keiner will. 7. Sharing-Einstellungen In diesem Bereich wird das Sharing von Dateien und Ord- nern durch Nutzende in SharePoint, OneDrive und Teams ge- regelt: Sind anonyme Links erlaubt? Laufen Links standard- mäßig ab? Wer kann generell auf Links zugreifen? Müssen sich Gäste grundsätzlich mit MFA anmelden? Dürfen Gäste wiederum andere Gäste einladen? 8. Microsoft 365 Admin Center In diesem Konfigurationsbereich wird die Nutzung vieler kleiner Anwendungen wie beispielsweise Planner geregelt und es werden grundlegende Einstellungen für die Verwen- dung neuer Office-Apps vorgenommen. Werden diese acht Themenfelder in einem Check-up strukturiert geprüft und dokumentiert, entsteht eine verläss- liche Ausgangsbasis für die Planung weiterer Aktivitäten. Lü- cken und Verbesserungsmöglichkeiten, aber auch zukünftige Ausbaupotenziale in der Nutzung der Security-Lösungen von Microsoft 365 werden damit transparent. Secure Score als direkte Feedbackschleife Wichtig ist auch, dass dieser Check-up nicht nur eine Mo- mentaufnahme ist, sondern dass Verfahren für die regelmä- ßige Durchführung etabliert werden. Eine echte Hilfe ist hier der Microsoft Secure Score als Bestandteil von Microsoft 365 Defender. Er bietet systemgestützt eine aktuelle Bewertung der individuell vorgenommenen Konfigurationen in Microsoft 365 in Sachen Sicherheit. Das detaillierte Dashboard kann für das Monitoring von KPI-Zielen (Key Point Indicators – zu Deutsch Schlüsselindikatoren) genutzt oder zum Benchmarking mit vergleichbaren Organisationen herangezogen werden. Microsoft Secure Score bewertet allerdings nicht nur den aktuellen Stand, sondern macht auch proaktiv konkrete Vor- schläge, wie die Sicherheit des Tenants weiter erhöht werden kann. Das können Vorschläge sein, wie etwa eine alte Authen- tifizierungsart abzuschalten oder die Verschlüsselung zu er- höhen. Dieses Tool wird von Microsoft kontinuierlich an den Leistungsumfang von Microsoft 365 angepasst und um die M 365 SECURITY SINNVOLL ERGÄNZEN: E-MAIL-VERSCHLÜSSELUNG ALS CLOUD SERVICE Microsoft 365 ist eine hervorragende Basis zur digitalen Transforma- tion. Leider bietet M 365 jedoch aus mindestens drei Gründen keine praxistaugliche und damit compliancegerechte Lösung für vertrau- liche E-Mail-Kommunikation: 1. Microsofts eigener Verschlüsselungsmechanismus ist proprie- tär und verlangt eine Anmeldung am sendenden Tenant 2. Die Client-basierte Verschlüsselung scheitert in der Praxis, weil bei der Nutzung von mehreren Devices oft nicht die richtigen Schlüssel vorliegen. 3. Das Fehlen einer automatischen Verwaltung von Zertiﬁkaten führt zu enormen Aufwänden in der Administration zur regel- mäßigen Erneuerung der Zertiﬁkate. Die Lösung liegt in der Ergänzung von M 365 – beispielsweise mit dem Verschlüsselungs-Cloud-Service von NoSpamProxy. Die Gate- way-basierte Lösung ist vollständig in M 365 integrierbar und mit automatisierter Zertiﬁkatsverwaltung innerhalb weniger Stunden einsatzbereit. Weitere Pluspunkte: Die Lösung setzt Security made in Germany vollumfänglich um und bietet preisgekrönten Support. neuen Möglichkeiten ergänzt. Es macht also Sinn, einen Pro- zess zu etablieren, um regelmäßig den Secure Score zu ermit- teln und Verbesserungsvorschläge umzusetzen. So bleibt in Sachen Tenant-Sicherheit alles verlässlich stabil. Know-how ist zwingend – ob intern oder extern Für die kontinuierliche Pflege der Basiskonfiguration ist detailliertes Know-how wichtig, um zum einen die Funktio- nalitäten und Hintergründe vollständig zu verstehen und zum anderen auch zukünftige Änderungen in ihrer Wirkung sicher einschätzen zu können. Hier bieten sich grundsätzlich zwei Möglichkeiten an: erstens, eigenes Know-how aufzubauen, oder zweitens, ganz bewusst den Check-up regelmäßig von externen Spezialisten durchführen zu lassen. Bei guter Vor- bereitung und Strukturierung dauert ein solcher detaillierter Check-up inklusive Dokumentation zwei Beratertage, ist also vergleichsweise einfach einzuplanen. Auch hier gilt, wie so oft: Es gibt nichts Gutes, außer man tut es. n Thomas Welslau, Competence Lead Security, Net at Work GmbH SPECIAL_6/2022 Microsoft 365 43

Das Beste aus dem Microsoft-Universum rund um M 365 herausholen Wie eine europäische Software-Schmiede Ihren Digital Workplace fit macht Microsoft 365 trifft in perfekt nutzbarer Art und Weise die Bürobedürfnisse von Unternehmen und Organisationen. Dennoch bleiben an wichtigen Stellen markante Lücken, die Microsoft eben nicht adressiert. Beispiele sind etwa das compliancegerechte Handling von E-Mail-Korrespondenzen und -Dokumenten, die versionierte Synchronisation von Cloud- Dokumenten mit lokalem Content und die Integration mit MS Teams, um Kommunikation dieser Plattform rechtskonform und sicher zu archi- vieren. In allen drei Bereichen bietet H&S Heilig und Schubert Software die perfekte Ergänzung für mehr Produktivität und ein verbessertes Nutzererlebnis mit dem Ziel, die Daten nicht nur in MS Azure, sondern auch in der Hoheit des eigenen Unternehmens zu halten und direkt mit Projekten und Kunden akten in einem ausgewiesenen Datenraum zu verbinden. Die ITWelt ist ständig im Wandel, aber wenn es um die Arbeit im Büro geht, gibt es eine Konstante: Microsoft 365. Als Komplettlösung vereint Microsoft 365 innovative OfficeAnwendungen mit intelligenten Cloud diensten und erstklassiger Sicherheit. inPoint CSE – CONTENT SERVER EXCHANGE Ein Großteil aller Geschäftsprozesse wird heute via EMailKommunika tion abgewickelt – ein Trend, der sich weiterhin fortsetzt. Da EMailDo kumente dem Geschäftsbrief gleichgesetzt sind, sind diese daher auch nach den Grundsätzen des Handels und Steuerrechts aufzubewahren und zu archivieren. Ziel der inPoint CSE EMailArchivierung ist unter anderem die Einhaltung rechtsverbindlicher Aufbewahrungsfristen sowie die optionale Entlastung des MS Exchange Servers durch Auslagern nicht mehr benötigter EMails auf Archivmedien. Mit inPoint CSE können EMails mit Löschschutz (Retention Time) verrie gelt und auf revisionssicheren Speichermedien abgelegt werden. Selbst wenn Anwender versehentlich EMails löschen, bleiben diese bis zum Er reichen der vorgesehenen Lebenszeit im Archiv erhalten. Nutzer erhalten eine leistungsstarke EMailArchivPlattform für On Premise Exchange Server ab Version 2013, wie auch hosted Exchange und natürlich Microsoft 365. Durch die transparente Integration in MS Out look und MS Outlook Web Access (OWA/WebApp) mittels der bewährten ShortcutTechnologie werden die Exchange Server beim Kunden deut lich entlastet, wodurch sich die Sicherungszeiten um bis zu 50 Prozent verkürzen. inPoint CLOUD SYNC. – einfach zu nutzende OneDrive- und SharePoint-Synchronization inPoint Cloud Sync. erlaubt, Dateien aus einer MS CloudQuelle (Share Point, OneDrive, Teams etc.) mit einer Datei in inPoint zu verknüpfen. Legt ein Benutzer eine Datei zum Beispiel in seinem OneDriveVerzeichnis an oder ändert sie, wird diese Datei auch in inPoint zur Verfügung gestellt. inPoint Cloud Sync. ermöglicht Benutzern, die vollen Funktionalitäten von Microsoft 365 zu nutzen und dabei gleichzeitig die rechtlichen und organi satorischen Ablagerahmen und Vorlagen der IT einzuhalten. Am Ende des Tages finden sich alle Dokumente an einem zentralen Ablageort wieder! inPoint TOA – TEAMS ONLINE ARCHIVIERUNG Microsoft Teams ist dafür gebaut, eine mobile Workforce dabei zu un terstützen, komfortabel und über verschiedene Kanäle in Verbindung zu bleiben. Obwohl die Software beeindruckende Funktionen für die Zusammenarbeit und den Chat bietet, lässt sie ihre Nutzenden allein, wenn es um die Archivierung und dabei die Einhaltung von Vorschriften und gesetzlichen Bestimmungen geht. Wenn also die gesetzeskonforme, sichere Speicherung und Verwaltung der MS TeamsKommunikation das Thema sind, ist H&S der richtige Partner: Mit inPoint TOA bietet das Un ternehmen eine innovative, cloudbasierte Lösung zur Microsoft Teams Datenarchivierung. 44 SPECIAL_6/2022 Microsoft 365 – ADVERTORIAL –

– ADVERTORIAL – Ergänzung der klassischen Datensicherung (Backup) MS TeamsDaten periodisch exportieren und außerhalb der Cloud aufbewahren Virtuell getrennte „Brandabschnitte“ einrichten Speichermedien nutzen, die Schutz vor Ransomware bieten OfflineZugriff auf TeamsDateien und Beiträge nutzen, wenn MS Teams nicht zur Verfügung steht Wollen Sie mehr über das Thema Microsoft Teams-Archivierung erfahren? Dann melden Sie sich zu unserem kostenfreien Microsoft Teams Governance Webinar am 21.12.2022 an. H&S Heilig und Schubert Software AG Als europäischer Softwarehersteller entwickelt H&S seit über 30 Jahren Standard lösungen im Bereich Digitalisierung. Besonderen Wert legt das Haus auf den per sönlichen Kundenkontakt. „Microsoft stellt hervorragende Tools und Applikationen zur Verfügung. Wir ergänzen diese durch innovative Lösungen und beschreiten damit neue Wege und Technologien zusammen mit unseren Partnern und Kunden.“ (Stephan Gehling, Leiter BCS und Microsoft Experte) Mit seiner Schlüsselproduktreihe inPoint fokussiert das Unternehmen auf den Digital Workspace für alle Mitarbeitenden und Partner. Dieser digitale Arbeitsplatz verbindet die Abbildung und Orchestrierung digitaler Prozesse mit einer einheit lichen, systemübergreifenden Ablage. Die Integration in bestehende heterogene Umgebungen sorgt für eine reibungslose Zusammenarbeit. Darüber hinaus versteht H&S die europäischen Anforderungen und die hier gel tenden gesetzlichen Vorgaben. So stellt das H&STeam sicher, dass es seine Kund schaft während des gesamten Zyklus – von der Bedarfsanalyse über die Umset zung bis hin zum laufenden Betrieb – bestmöglich unterstützen kann. Dabei gilt: Eine Nummer, ein Ansprechpartner, eine Lösung. Die deutschsprachige Hotline von H&S ist mit eigenen Mitarbeitern besetzt und steht rund um die Uhr für Kunden zur Verfügung. Außerdem bietet H&S einen direkten Draht zum Management. Das Angebot richtet sich an KMU, Behörden und international tätige Unterneh men. Über 500.000 User in Unternehmen aller Größenordnungen und Branchen profitieren von der internationalen Ausrichtung von H&S. Sie schätzen die Lösungskompetenz des Unternehmens für den weltweiten, länderübergreifenden und unabhängi gen Einsatz. Die H&S Gruppe hat Ihren Hauptsitz in Wien mit einer Niederlassung in Nürnberg. dazu hier: Mehr Microsoft 365 Add-ons SPECIAL_6/2022 Microsoft 365 45 Wie inPoint TOA eine effiziente Microsoft Teams Datenarchivierung unterstützt Cloudnative AnwendunginPoint TOA ist eine serverlose MS Azure-Lösung, die in Azure geboren und auf Basis hochmoderner Microsoft Technologien entwickelt wurde. So lässt sie sich nahtlos in Microsoft Teams integrieren. Hohe Flexibilität eingebautinPoint TOA bietet ﬂexible Ressourcenzuweisung und Kostenmanage-ment mit einfachem Pay-as-you-go-Preismodell sowie ein zentrales Admin-Portal zur Verwaltung aller Teams-Archive. Konnektivität und einheitliche ArchivierunginPoint TOA unterstützt den Export von Teams-Daten nach Azure File Share, OneDrive for Business und SharePoint Online sowie die Ablage und Archivierung in digitale CRM-/ERP-/ECM-/DMS-Akten, zur revi-sionssicheren Langzeitarchivierung. Mehr dazu hier: Microsoft Teams – Archivieren, exportieren und wiederherstellen Zugriff auch ohne TeamsSollte der Service von MS Teams nicht zur Verfügung stehen, ermöglicht inPoint TOA durch einen periodischen Export dennoch den Zugriff auf archivierte Dateien und Chat-Verläufe. Diese Exporte können auch auf Systeme außerhalb der Microsoft-Welt ausgelagert werden, um ein alternatives Backup zur Verfügung zu stellen.Für welche Einsatzbereiche inPoint TOA die ideale Lösung istinPoint TOA ist ein sehr mächtiges Tool zur Journalarchivierung der ge-samten MS Teams-Kommunikation. Darüber hinaus leistet inPoint TOA in weiteren Anwendungsfällen wertvolle Dienste, so etwa bei der einfachen und schnellen Verwertbarkeit von Teams-Daten, bei der sinnvollen Ver-knüpfung von Teams- und Kundendaten, sowie als Ergänzung zur klassi-schen Datensicherung: Journalarchivierung der gesamten MS-Teams-Kommunikation -Erfassen und Archivieren der gesamten internen und externen Kommunikation und Dateien -Einhaltung der Archivierungspﬂicht mit inPoint oder anderen DMS-Systemen Sinn und Ordnung in MS Teams bringen -Exportieren und Archivieren abgeschlossener Projekte -MS Teams von veralteten Daten befreien und gegebenenfalls in ein kostengünstiges, externes System sicher auslagern (etwa um gesetzliche Vorschriften einzuhalten) MS Teams-Kommunikation sinnvoll mit Kundendaten verknüpfen -Erfassen und Verbinden kundenbezogener Kommunikation mit dem eigenen CRM/ECM/DMS -Nutzen von eDiscovery-Funktionen zur Suche und Verwaltung von MS Teams-DatenIhr Ansprechpartner:Stephan Gehling, MBALeiter BCS & Microsoft Expertestephan.gehling@hs-soft.comTel. +49 9122 87227-352

. m o c . e b o d a k c o t s - f f o k n e d o r o G © Verantwortliche für IT-Sicherheit direkt erreichen ▪ Newsletter ▪ Content- Marketing ▪ Webinare & Webkonferenzen Schreiben Sie uns: wolfgang.scharf@datakontext.com www.itsicherheit-online.com | www.kes.info