Verschlüsselung, Authentifizierung und Co.

Datenschutz in Microsoft Office 365 lückenhaft

19.03.2019 von Elmar Eperiesi-Beck IDG ExpertenNetzwerk

Microsoft Office 365 gehört zu den beliebtesten Cloud-Services - Tendenz steigend. Zwar bietet die Office-Suite in puncto Sicherheit jede Menge nützlicher Optionen, doch einige Schwachstellen bleiben, die Unternehmen berücksichtigen sollten.

Microsoft Office 365 ist mit vielen Sicherheitsfeatures ausgestattet, hat aber in puncto Security noch nicht alle Optionen ausgeschöpft.
Foto: dennizn - shutterstock.com

Microsoft Office 365 ist das Paradebeispiel des Cloud-basierten SaaS-Modells. Es hat sich in den vergangenen Jahren zu einem der beliebtesten Cloud-Services entwickelt. Zwischen 2015 und 2017 ist die Zahl der Abonnenten um 320 Prozent gestiegen. Und auch in den kommenden Jahren wird Office 365 seinen Ruf als bevorzugte Cloud-Anwendung für Unternehmen weiter ausbauen: Bis 2021 werden immer mehr Unternehmen in die Cloud wechseln und Cloud-Daten werden voraussichtlich bis zu 95 Prozent des gesamten Datenverkehrs in Rechenzentren übernehmen.

Aber was bietet Microsoft Office 365 Unternehmen? Neben der Möglichkeit, auf Office-Anwendungen über eine Vielzahl von Plattformen wie Android, MacOS und Windows zuzugreifen, erhalten Benutzer Speicherplatz auf dem Datei-Hosting-Dienst OneDrive, Zugriff auf die E-Mail-, Aufgabenverwaltungs- und Kalenderanwendung Outlook, die Anwendungen Excel, Word und PowerPoint sowie die Kollaborationswerkzeuge Office Online, Skype for Business, SharePoint Online und Microsoft Teams.

Allerdings sind nicht alle Office-365-Abonnements gleich. Abhängig vom gewählten Plan gibt es eine unterschiedliche Auswahl an Apps und Tools. Der Office 365 Enterprise E3-Plan beispielsweise enthält alles, was Office 365 zu bieten hat - inklusive aller verfügbaren Ergänzungen von Compliance- und Sicherheitstools. Im Gegensatz dazu bietet der E1-Plan so gut wie keine fortschrittlichen Sicherheitstools an und auch die Office-Anwendungen sind nur als Browser-Versionen verfügbar.

Unternehmen sollten sich mit den verschiedenen Abonnementmodellen vertraut machen und prüfen, welcher Plan für ihre Zwecke geeignet ist. Dabei müssen sie sich zwingend auch mit dem Thema Cloud-Datenschutz auseinandersetzen. Immerhin haben Datenverstöße einen nie gekannten Höchststand erreicht: Laut Data Breach Quick View Report 2017 von Risk Based Security gab es 2017 etwa 7,8 Milliarden exponierte Datensätze. Das waren 6,3 Milliarden mehr als noch 2016 und entspricht einem Anstieg von 420 Prozent.

Die Folgen solcher Datendiebstähle sind verheerend: Neben den Problemen für die Menschen, die mit den Folgen des Diebstahls ihrer privaten Daten zu kämpfen haben - einschließlich der Komplikationen und Frustrationen im Umgang mit Identitätsdiebstahl -, bedeutet ein Datenverstoß einen großen finanziellen und vor allem auch einen Reputationsschaden des Unternehmens. Das Ponemon Institute schätzt einem Bericht zufolge, dass ein Datenverstoß ein Unternehmen durchschnittlich 3,5 Millionen US-Dollar kostet. Der Bedarf an Datenschutz für Cloud-Anwendungen ist offensichtlich groß.

10 Dinge, die Sie zu Office 365 wissen sollten

Multi-Faktor-Authentifizierung in Office 365
Mit der Mehrwege-Authentifizierung erhöhen Sie die Sicherheit für Benutzer in Office 365.

Android und Office 365 - Korrekten Servernamen eingeben
In Android müssen Sie den Servernamen für Office 365 manuell eintragen.

Android und Office 365 - Korrekten Servernamen eingeben
In der Befehlszeile können Sie die Anbindung an Office 365 schnell und einfach mit Ping testen.

Multi-Gesamtstrukturen zu Office 365 migrieren
Mit dem Hybridkonfigurationsassistenten können Unternehmen mit Exchange 2013 SP1/CU7 auch mehrere Gesamtstrukturen mit einem gemeinsamen Office 365-Mandanten verbinden.

Power BI - Business Intelligence mit Office 365 betreiben
Mit Power BI können Unternehmen auch Business Intelligence in Office 365 nutzen.

Mail Protection Reports for Office 365
Mit dem Zusatztool Mail Protection Reports for Office 365 lassen sich umfangreiche Analysen durchführen.

Office 365 mit der Powershell verwalten
In der PowerShell oder PowerShell ISE lassen sich viele CMDLets für Office 365 nutzen.

Office 365 - Delve/Office Graph - Zentrale Datensammlung für die Cloud
Office Delve/Graph bietet wichtige Informationen für Anwender und erleichtert die Arbeit mit OneDrive for Business deutlich.

Sicherheitsfeatures von Office 365

Neben Tools zur Rechte- oder Identitätsverwaltung wie Azure Active Directory P1 und P2 gibt es auch Basics wie Archivierung, Data Loss Prevention, Exchange Online Protection und eDiscovery /Advanced eDiscovery. Darüber hinaus bietet Office 365 noch einige weitere, nützliche Sicherheitsfeatures an:

Office 365 Threat Intelligence: Wie der Name schon sagt, ist Threat Intelligence ein integriertes Tool für E5, das potenzielle Angriffsziele und verdächtiges Verhalten von Office-365-Benutzern über einen längeren Zeitraum identifiziert. Es schlägt vereinfachte Arbeitsabläufe für den Umgang mit potenziellen Verletzungen und Bedrohungen vor und ist sinnvoll für Unternehmen, die mit privaten und sensiblen Daten arbeiten.

Advanced Threat Protection: Diese Funktion bietet eine Nachrichten-Sandbox oder Filterung, die E-Mail-Anhänge auf ihre Sicherheit überprüft. Advanced Threat Protection überprüft und meldet auch bösartige Links und URLs in Echtzeit und erkennt und schützt vor Tracing und Phishing in Exchange Online. Die Echtzeit-URL-Prüfung blockiert entweder den Zugriff auf schädliche Links oder warnt den Benutzer.

Cloud App Security: Dieses integrierte E5-Tool bietet ein Dashboard, das Administratoren auf verdächtiges Benutzerverhalten aufmerksam macht. Cloud App Security kann auch Anomalien in Office 365 und bei der Nutzung von SaaS-Lösungen von Drittanbietern erkennen und eine detaillierte Beschreibung verdächtiger Ereignisse sowie die Erkennung und den Schutz sensibler Daten liefern.

Customer Lockbox: Dieses Tool steuert, wie ein Microsoft-Supportmitarbeiter während einer Hilfesitzung auf die Daten eines Nutzers zugreift. Die Nutzer können den Zugriff auf ihre sensiblen Daten entweder genehmigen oder ablehnen. Lehnen die Benutzer den Zugriff ab, hat das allerdings einen entscheidenden Nachteil: Microsoft kann in diesem Fall nicht auf die Postfächer zugreifen und somit auch das Problem nicht lösen. Genehmigen die Benutzer den Zugriff, dann kann es sein, dass Supportmitarbeiter persönliche Daten einsehen.

Customer Key for Office 365: Customer Key erlaubt Administratoren, ihren eigenen kryptografischen Schlüssel für die serverseitige Verschlüsselung (in den Rechenzentren von Microsoft) von Diensten wie Exchange Online, OneDrive, SharePoint Online und Skype for Business einzuführen. Das beinhaltet die Konfiguration der erforderlichen Azure-Ressourcen und die Verwaltung eines obligatorischen Microsoft Recovery-Keys. Allerdings haben so Microsoft-Administratoren Zugriff auf die kryptografischen Schlüssel und damit auch potentiell Zugriff auf die persönlichen Daten, welche damit verschlüsselt wurden.

Azure Information Protection P1 und P2: Dieser Cloud-basierte Rechteverwaltungsdienst ermöglicht die Verschlüsselung von Dokumenten und Dateien, die Verfolgung von Dokumenten und Dateien sowie die Klassifizierung sensibler Daten. Benutzer müssen diese Schutzeinstellung manuell hinzufügen, obwohl benutzerdefinierte Vorlagen enthalten sind.

Azure Information Protection P2 kann ohne Benutzereingaben automatisch Klassifizierungen zu Dateien und Dokumenten hinzufügen. Der Nachteil: Auch hier legen Administratoren fest, wie die Dokumente geschützt werden sollen. Sie könnten also jederzeit Zugriff auf die Daten und die kryptografischen Schlüssel erlangen.

Advanced Threat Analytics: Advanced Threat Analytics (ATA) ist eine On-Premises Plattform, die maschinelles Lernen nutzt, um Zugriffsanforderungen, Dokumente, Standorte, Geräte und Benutzer zu sammeln und zu verfolgen, um Verhaltensprofile basierend auf dem Benutzerverhalten zu erstellen. Außerdem erkennt ATA verdächtige Aktivitäten, bösartige Angriffe und bekannte Risiken.

Intune: Dieser Cloud-basierte Mobile-Device-Management-Service gibt Unternehmen mehr Kontrolle über mobile Geräte und Anwendungen für Mitarbeiter, um Unternehmensanwendungen und Daten auf jedem Gerät zu schützen. Es ermöglicht Administratoren die Kontrolle darüber, wie Mitarbeiter auf Unternehmensinformationen zugreifen und diese austauschen, und stellt sicher, dass Geräte und Anwendungen kompatibel sind.

Die Top-12-Sicherheitsrisiken in der Cloud

Datenverlust
Wenn ein Datenverlust auftritt, drohen Geldbußen, Gerichtsprozesse und harte Strafen. Die Aufarbeitung des Ganzen und die Information der betroffenen Kunden verursachen erheblich Kosten. Indirekte Folgen wie Image- und Auftragsverluste sind noch gar nicht eingerechnet, die ein Unternehmen für Jahre beschäftigen können.

Gestohlene Benutzerdaten
Datenverluste und andere Angriffe folgen häufig aus einem zu lockeren Authentifizierungsprozess, aus zu schwachen Passwörtern und einem schlechten Schlüsselmanagement. Unternehmen kämpfen mit dem Thema Identitätsmanagement, wenn es um die Zuordnung von Zugriffsrechten auf Benutzerrollen geht. Wenn Mitarbeiter die Stelle wechseln oder das Unternehmen ganz verlassen, werden ihre Zugriffsrechte häufig zu spät oder gar nicht angepasst.

Geknackte Interfaces und APIs
Sicherheit und Verfügbarkeit von Cloud-Diensten - von der Authentifizierung über die Zugangskontrolle bis hin zu Verschlüsselung und Aktivitäten-Monitoring - hängen von der API-Sicherheit ab. Das Risiko steigt mit der Zahl von Drittanbietern, die auf der Grundlage der APIs neue Benutzeroberflächen entwickeln, weil diesen Unternehmen Zugriff auf Dienste und interne Daten gewährt werden muss.

Ausgenutzte Schwachstellen
Durch die verschiedenen Formen der Cloud-Nutzung auf Mietbasis werden Schwachstellen zu einem immer größeren Problem. Mehrere Unternehmen teilen sich denselben Arbeitsspeicher, Datenbanken und andere Ressourcen - was wiederum ganz neue Angriffsvektoren ermöglicht.

Account Hijacking
Phishing, Betrug und Software Exploits sind immer noch erfolgreich - Cloud-Services ergänzen diese Maschen um eine weitere Bedrohung, weil Angreifer nun Aktivitäten belauschen, Transaktionen manipulieren und Daten verändern können.

Insider mit bösen Absichten
Die Gefahr von innen hat viele Gesichter: ein aktueller oder ehemaliger Angestellter, ein Systemadministrator, ein Vertrags- oder Geschäftspartner. Es geht um die gesamte Palette - von Datendiebstahl bis hin zu Rache. Im Cloud-Umfeld kann ein fest entschlossener Insider die gesamte Infrastruktur zerstören und Daten manipulieren.

Der APT-Parasit
APTs (Advanced Persistent Threats) bewegen sich in der Regel seitlich durch ein Netzwerk und mischen sich unter den normalen Datenverkehr - entsprechend schwer sind sie zu entdecken. Die großen Cloud-Provider setzen fortschrittliche Sicherheitstechniken ein, um zu verhindern, dass ihre IT-Infrastruktur durch APTs beeinträchtigt wird. Dennoch sind ihre Kunden gut beraten, sich selbst ebenso sorgfältig auf mögliche Folgeschäden für ihre Cloud-Konten vorzubereiten wie sie das bei On-Premise-Systemen tun würden.

Dauerhafter Datenabfluss
Je reifer die Cloud wird, desto seltener kommt es zwar vor, dass Fehler seitens der Provider zu Datenverlusten führen. Hacker mit bösen Absichten sind aber bekannt dafür, dass sie Cloud-Daten dauerhaft löschen, um Unternehmen zu schaden.

Fehlende Sorgfalt
Gerade dort, wo ein Unternehmen in die Cloud migrieren oder mit einem anderen Unternehmen über die Cloud zusammenarbeiten möchte, ist gebührende Sorgfalt angebracht. Beispielsweise werden Unternehmen, die es versäumen, einen Vertrag eingehend zu prüfen, niemals wissen, wie zuverlässig und seriös der Vertragspartner im Falle eines Sicherheitsvorfalls vorgeht.

Missbrauch von Cloud-Diensten
Es kommt vor, dass Cloud-Services missbraucht werden, um damit kriminelle Aktivitäten zu unterstützenen. Um einen DDoS-Angriff (Distributed Denial of Service) zu starten oder eine Verschlüsselung zu knacken, braucht es eine leistungsstarke Hardwareumgebung - und Cloud-Ressourcen erfüllen dieses Kriterium.

DoS-Attacken
DoS-Attacken (Denial of Service) verbrauchen eine große Menge Rechnleistung - die Rechnung zahlt der Kunde. Auch wenn die breitbandigen DDoS-Angriffe weit verbreitet und gefürchtet sind - ebenso gewappnet sollten Unternehmen für assyametrische DoS-Attacken auf Anwendungsebene sein, die Sicherheitslücken in Webservern und Datenbanken betreffen.

Geteite Technik, doppelte Gefahr
Verschiedene Cloud Provider teilen sich Infrastruktur, Plattformen und Anwendungen - liegt irgendwo hier eine Verwundbarkeit vor, sind gleich alle betroffen. Wenn beispielsweise eine zentrale Komponente wie ein Hypervisor oder eine Anwendung erfolgreich angegriffen wurde, ist gleich die komplette Cloud-Umgebung unsicher.

Microsoft Cloud App Security (MCAS): Diese Funktion ermöglicht die unternehmensweite Steuerung und Überwachung aller Apps auf einem Mitarbeitergerät. Beispielsweise wird angezeigt, welche Art von nicht autorisierten Diensten von Drittanbietern ein Mitarbeiter nutzt. Darüber hinaus bietet es einen verbesserten Schutz vor Bedrohungen und Datenverlust durch Cross-SaaS. Zusätzlich beinhaltet Office 365 in den meisten Fällen Auditing und Protokollierung, die bestimmte durchsuchbare Benutzer- und Verwaltungsaktionen (und die Zeiten solcher Aktionen) wie Anmeldeanforderungen, Löschungen und mehr meldet, um verdächtige Aktivitäten zu untersuchen.

Die Authentifizierung umfasst die Art und Weise, wie sich ein Benutzer sicher bei einem Dienst anmeldet. Dies kann die Eingabe des gleichen Passworts vor Ort wie in der Cloud oder eine Art Multi-Faktor-Authentifizierung beinhalten, bei der ein Service Benutzer auf einen Code auf einem mobilen Gerät oder einer Website verweist, um die Identität dieses Benutzers zu überprüfen.

Eine weitere nützliche, integrierte Office-365-Funktion ist Secure Score, die die Office-365-Bereitstellung eines Unternehmens auf mögliche Risiken und Schwachstellen hin bewertet und Vorschläge für verbesserte Cloud-Sicherheitskontrollen enthält. Es scannt die verwendeten Dienste wie beispielsweise Exchange, OneDrive oder SharePoint, vergleicht ihre numerische Punktzahl mit der Baseline von Microsoft und anderen Office-365-Abonnenten und informiert das Unternehmen über bewährte Verhaltensweisen und Praktiken im Bereich der Sicherheit.

Verschlüsselung: Office 365 ermöglicht die Verschlüsselung von E-Mail-Nachrichten und Office-Dokumenten, die auf einem Computer, einem mobilen Gerät oder in der Cloud gespeichert sind: Dateien werden durch Verschlüsselungsalgorithmen wie Transport Layer Security/Secure Sockets Layer (TLS/SSL) und Advanced Encryption Standard (AES) geschützt.

Durch die Verschlüsselung werden Daten zu unentschlüsselbarem Text, der nur von autorisierten Benutzern gelesen werden kann, die den kryptografischen Schlüssel besitzen. Transportverschlüsselung schützt die Daten jedoch nur auf dem Weg zwischen Nutzer und Cloud. Dort werden die Daten dann wieder vollständig entschlüsselt. Externe Verschlüsselung stellt sicher, dass Daten nicht nur "in Transit", sondern auch "at Use" und "at Rest" zu jedem Zeitpunkt verschlüsselt sind.

Warum zusätzlicher Datenschutz Sinn macht

Verschlüsselung zählt in der Tat zu den effektivsten Möglichkeiten, wertvolle Daten, die in der Microsoft Office 365 Cloud gespeichert sind, zu schützen. Die Verschlüsselung in Kombination mit der Tokenisierung eignet sich bestens dazu, persönlich identifizierbare Daten in sinnlosen Text zu übersetzen, so dass die betroffene Person nicht identifiziert werden kann.

Bei der Verschlüsselung wird ein mathematischer Algorithmus verwendet, der sensible Daten oder Klartext in unlesbaren Chiffriertext umwandelt. Um verschlüsselte Dateien zu lesen, benötigt man bestimmte kryptografische Schlüssel. Nur diejenigen, die Zugriff auf diese Schlüssel haben, haben auch Zugriff auf die Daten. Die Tokenisierung hingegen erzeugt mathematisch unabhängige Ersatzwerte für die Originaldaten und speichert nur die Ersatzwerte in der Cloud. Das Mapping wird in einer Datenbanktabelle gespeichert.

Wenn es um den Schutz von Cloud-Daten geht, ist die Verschlüsselung also der beste Weg, um kritische Daten vor unbefugtem Zugriff durch Dritte, Kriminelle oder Mitarbeiter Dritter oder Administratoren in externen Rechenzentren zu schützen. Die gesamte E-Mail-Kommunikation, Termine und andere sensible Daten, die auf einer Cloud-Plattform wie Office 365 gespeichert und verarbeitet werden, sollten in jedem Fall durch Verschlüsselung und Pseudonymisierung vor dem Zugriff unbefugter Dritter geschützt werden.

Zu diesen unbefugten Dritten zählt auch der Cloud Service Provider, in diesem Fall Microsoft. Der Grund ist einfach: Nur der Datenverantwortliche - also das Unternehmen - hat die Verantwortung für den Umgang mit personenbezogenen Daten und kann im Falle eines Datenlecks zur Verantwortung gezogen werden. Diese Verantwortung kann nicht von einem Cloud-Provider übernommen werden. Auf der sicheren Seite ist also nur, wer keinem Dritten Zugang zu den kryptografischen Schlüsseln gewährt.

Hinzu kommt, dass bei Microsoft immer auch die US-Behörden Zugriff auf die Daten haben. Wer also ganz sicher sein möchte, dass seine Daten nicht in die falschen Hände geraten, sollte sensible Daten verschlüsseln, bevor sie das Unternehmen verlassen und in der Cloud gespeichert werden.

Bring your own key oder On-Premises Keymanagement

Mehrere der Office-365-Tools bieten Verschlüsselung, einschließlich Customer Key, der es Administratoren ermöglicht, ihre eigenen Schlüssel für die serverseitige Verschlüsselung von Data at Rest in Exchange Online, OneDrive, SharePoint Online und Skype for Business zu importieren. So behalten Office-365-Dienste und damit Microsoft den Zugriff auf die Schlüssel auch während des normalen Betriebs.

Einige Drittanbieter bieten jedoch Lösungen an, die Office-365-Diensten keinen Zugriff auf die kryptografischen Schlüssel gewähren. Dazu gehören beispielsweise Hardware-Sicherheitsmodule (HSM), die entweder vor Ort beim Kunden implementiert oder als Cloud-Service bereitgestellt werden.

Sie verschlüsseln Daten, bevor sie an Office-365-Dienste weitergeleitet werden, so dass Microsoft keinen Zugriff auf die kryptografischen Schlüssel erhält. Allerdings bedeutet das in den meisten Fällen, dass wichtige Office-Funktionalitäten beeinträchtigt werden, weil bestimmte Backend-Prozesse, wie z.B. die Indexierung, nicht mehr auf die Daten im Klartext zugreifen können.

Das betrifft viele Schlüsselfunktionen wie die Suche in Dokumenten oder E-Mails, aber auch die Dokumentenvorschau und andere Funktionen, die auf die Hintergrundverarbeitung angewiesen sind. Die meisten Unternehmen sind allerdings nicht bereit, solche Funktionsverluste hinzunehmen, zumal es die Nutzer in ihrer täglichen Arbeit behindert und schlimmstenfalls dazu führt, dass die Mitarbeiter auf Schatten-IT zurückgreifen.

Als Cloud-Benutzer oder Datenverantwortlicher stehen Unternehmen nun vor dem Dilemma, entweder die eingeschränkte Funktionalität zu akzeptieren oder eine Option zu wählen, die Microsoft den Zugriff auf die Verschlüsselungscodes ermöglicht, damit Office-365-Dienste ihre Arbeit verrichten können. Letztere Option ist gleichbedeutend mit einem erhöhten Aufwand bei der Auditierung des Cloud-Providers und einem erhöhten Bußgeldrisiko im Falle eines Datenverstoßes.

Wenn Cloud Security dem CISO den Schlaf raubt

Security-Verantwortlichkeiten
Ihr Cloud-Provider ist für die IT-Sicherheit seiner Infrastruktur verantwortlich. Ihr Unternehmen ist hingegen dafür verantwortlich, welche Nutzer Zugriff auf seine Ressourcen und Applikationen erhalten. Mit anderen Worten: Sie müssen sich um das Management der Zugriffsrechte kümmern und dafür sorgen, dass sich User und Devices, die Cloud-Zugriff benötigen, authentifizieren. <br><br /> Tipp für CISOs: Erstellen Sie Security-Protokolle wie Authentifizierungs-Richtlinien, Verschlüsselungs-Schemata und Datenzugriffs-Richtlinien. Benutzen Sie IAM (Identity & Access Management) um den Nutzerzugriff auf Services und Daten abzusichern und einzuschränken. Außerdem sollten Sie ein Audit durchführen, um Compliance-Verstöße oder unauthorisierten Zugriff sichtbar zu machen.

Unmanaged Traffic
Es gab eine Zeit, da war es in Unternehmen Gang und Gäbe, dass alle User Connections durch einen allgemeingültigen Security-Checkpoint müssen. In Zeiten von Netzwerk-Vielfalt und mobilen Devices ist das nicht mehr praktikabel. Unmanaged Traffic bezeichnet im Übrigen Bandbreitennutzung, über die Sie nichts wissen. Das kann von Usern verursachter Datenverkehr sein, oder Cloud-to-Cloud-Traffic, der in der Regel signifikant ausfällt. Datenverkehr, der Ihnen nicht bekannt ist, kann auch nicht durch den Security Checkpoint geleitet werden. <br><br /> Tipp für CISOs: Cloud Services mit einem Checkpoint - also Proxy - abzusichern, sorgt für zahlreiche Sicherheitslücken. Sie sollten deshalb Nutzer und Daten des Cloud Services über APIs absichern. Unauthorisierten Zugriff decken sie über Monitoring, privilegierte Administratoren und Apps von Drittanbietern auf.

Managed Traffic
Wenn Sie sich dafür entscheiden, den Datenverkehr, über den Sie Bescheid wissen - also den Managed Traffic - durch einen zentralen Checkpoint zu leiten, kann darunter die Performance leiden. Der Grund: große Datenmengen sorgen für Stau im Netzwerk. Fällt die Performance ab, führt das wiederum dazu, dass frustrierte User Wege suchen, den Stau zu umgehen. <br><br /> Tipp für CISOs: Bewerten Sie in Frage kommende Sicherheitslösungen nach Ihren Use Cases. Einige Drittanbieter haben Security Tools im Programm, die sämtliche Cloud Services - also SaaS, PaaS und IaaS - ohne zentralen Checkpoint absichert.

User-Eigenmacht
Eigenmächtige User können für die Entstehung neuer Sicherheitsrisiken sorgen, wenn sie unbemerkt Traffic verursachen. Eine weitere Folge kann ein Erstarken der sogenannten Schatten-IT sein. In diesem Fall könnten User ohne Wissen der IT-Abteilung Applikationen und andere Ressourcen nutzen, die nicht authorisiert sind. <br><br /> Tipp für CISOs: Schatten-IT sorgt für Compliance-Verstöße und kann für ineffiziente und inkonsistente Prozesse verantwortlich sein. Sie sollten deshalb gemeinsam mit Ihrem Team die Nutzung von Schatten-IT im Unternehmen identifizieren und auf dieser Grundlage Richtlinien entwerfen, die nicht nur der IT-Abteilung, sondern auch allen anderen Abteilungen helfen, im Sinne der IT-Sicherheit produktiv und effizient zusammenzuarbeiten.

Kein Mut zur Lücke
Die meisten Cloud-Security-Lösungen legen ihren Fokus auf den Schutz von SaaS-Applikationen - was wiederum für grobe Sicherheitslücken sorgen kann. Für eine ganzheitliche Security-Strategie sollten Sie den Schutz aller Daten, User und Devices über SaaS-, IaaS- und PaaS-Applikationen forcieren. <br><br /> Tipp für CISOs: Die Risiken und Schwachstellen von IaaS-, PaaS- und SaaS-Modellen unterscheiden sich grundlegend. Sie sollten deshalb nach einer ganzheitlichen Lösung Ausschau halten, die die Cloud in ihrer Gesamtheit abdeckt.

Wahl der richtigen Security-Lösung
Derzeit gibt es zwei grundlegende Ansätze für das Deployment einer Cloud-Security-Lösung: den Proxy- und den API-Ansatz. Beide haben ihre vOr- und Nachteile - aber woher weiß man, welcher Ansatz der richtige ist? <br><br /> Tipp für CISOs: Denken Sie an die Bedürfnisse Ihres Unternehmens. Suchen Sie nach einer Proxy-Lösung, die Überwachung in Echtzeit ermöglicht? Oder ist der ganzheitliche API-Ansatz besser geeignet, der eine serviceübergreifende Absicherung aller Daten, Nutzer und Devices ermöglicht?

So können Unternehmen das Security-Problem lösen

Dies kann nur mit einer zentralen Datenschutzplattform erreicht werden, die eine zusätzliche Verschlüsselungsebene mit intelligenten Key-Management-Funktionen bietet. Wichtig bei solchen zentralen Lösungen ist, dass sie dem Kunden die alleinige Kontrolle über die kryptografischen Schlüssel gewährt und starke Verschlüsselungs- und Tokenisierungsmethoden für Daten in Use, in Transit und at Rest nutzt. Das hat zur Folge, dass die Daten unkenntlich gemacht werden, indem aussagekräftige, lesbare Daten in einen zufälligen Satz von Zeichenketten ohne Wert für unbefugte Benutzer umgewandelt werden.

Weiterhin sollten Unternehmen darauf achten, dass die eingesetzte Lösung alle Office-365-Funktionen unterstützt, so dass keine Einbußen bei der Nutzung auftreten. Die Suche, das Filtern und Sortieren sollte also weiterhin uneingeschränkt - auch in den verschlüsselten Daten in der Cloud - möglich sein. Das bedeutet, die einzusetzende Lösung muss die vollständige Such-, Filter- und Sortierfunktion unterstützen.

In dem Zusammenhang sollten Unternehmen auch darauf achten, dass weder auf der Office 365 Cloud-Plattform noch im Unternehmenssystem eine entsprechende Software installiert werden muss. Der Vorteil: Die End-Anwender merken den zusätzlichen Cloud Datenschutz nicht und wenn Microsoft-Standardschnittstellen wie MAPI und EWS unterstützt werden, beeinträchtigen zukünftige Office-365-Updates nicht die Funktionalität.

Fazit

Die Sicherheitsfeatures, die Microsoft für Office 365 anbietet sind wichtig und sinnvoll. Wer als Unternehmen jedoch die alleinige Kontrolle über seine sensiblen Daten behalten möchte, der sollte auf jeden Fall sinnvolle Security-Ergänzungen prüfen.