Home-Office-Sicherheit

Wie Sie Microsoft Teams sicher nutzen

25.03.2020
Von 


Martin Kuppinger ist Gründer des Analystenunternehmens KuppingerCole und als Prinzipal Analyst verantwortlich für den Bereich KuppingerCole Research. In seiner 25 jährigen IT-Erfahrung hat er mehr als 50 IT-Bücher geschrieben. Er ist Referent und Moderator bei Kongressen. Sein Interesse an Identity Management stammt aus den 80er Jahren, als er viel Erfahrung in der Entwicklung von Software-Architekturen sammeln konnte. Im Laufe der Jahre kamen weitere Forschungsfelder wie Virtualisierung, Cloud Computing, allgemeine IT-Sicherheit u.v.m. hinzu.
Mit einigen Einstellungen können Mitarbeiter Informationen in Microsoft Teams wirkungsvoll schützen. Wir sagen Ihnen, wie Sie auch im Home Office sicher zusammenarbeiten.
Home Office und virtuelle Zusammenarbeit sind in Zeiten der Coronavirus-Krise essenziell. Dabei darf die Datensicherheit allerdings nicht zu kurz kommen.
Home Office und virtuelle Zusammenarbeit sind in Zeiten der Coronavirus-Krise essenziell. Dabei darf die Datensicherheit allerdings nicht zu kurz kommen.
Foto: Lightspring - shutterstock.com

Microsoft Teams wird in vielen Unternehmen schon länger genutzt. In den letzten Tagen hat die Verbreitung aber noch einmal massiv zugenommen, weil Teams gerade für Beschäftigte im Home Office ein nützliches Werkzeug für die Zusammenarbeit ist. Gerade in einer so rapiden Veränderung der Arbeitsweisen darf aber das Thema Sicherheit nicht vergessen werden. Microsoft Teams hilft dabei, Dokumente einfach zu teilen und auf Informationen zuzugreifen. Damit wächst das Risiko von Datenlecks.

Dieses Risiko lässt sich mit den Bordmitteln von Microsoft Teams und Office 365 sowie ausreichendem Wissen und Eigenverantwortung bei Teams-Besitzern und -Nutzern durchaus beherrschen, ohne dass man die Vorteile der Plattform für die effiziente Zusammenarbeit in verteilten Teams verliert. Dieser Artikel erklärt die wichtigsten Einstellungen und Vorgehensweisen.

Sichere Teams, sichere Collaboration

Für die Nutzung von Microsoft Teams braucht es Vorgaben. Der erste Schritt hin zu einer sicheren Zusammenarbeit über Microsoft Teams ist das Ermitteln der "echten" Teams. Wer arbeitet gemeinsam an welchem Thema? Wer ist der Leiter des Teams? Und wer unterstützt organisatorisch? Diese Fragen lassen sich einfach beantworten, sie müssen aber gestellt werden. Aus den Antworten ergibt sich, welche Arbeitsgruppen ein Unternehmen hat, welche es braucht und wer welche Rolle darin hat.

Der Leiter eines Teams muss die Mitglieder auf die Nutzungsregeln, insbesondere den sorgsamen Umgang mit Daten, hinweisen. Es sollte immer mindestens zwei "Besitzer" geben, die das Team verwalten - nicht mehr als drei. Für eine effiziente Nutzung von Teams in einem Unternehmen ist Eigenverantwortung essenziell: Die Rolle des Besitzers muss dafür sorgen, dass die Sicherheitseinstellungen sinnvoll gesetzt werden und vernünftig mit den Informationen in Teams-Räumen umgegangen wird.

Für den Schutz von Informationen ist die Struktur der Teams und damit der Teams-Räume entscheidend: Kleine Teams, in denen genau die Personen an einem Thema arbeiten, die auch auf die Informationen Zugriff haben sollen, sind besser als große. Microsoft unterstützt mit seiner Collaboration-Lösung viele Teams und verschiebt wenig genutzte Teams selbständig immer wieder in den Bereich "Ausgeblendete Teams". Man kann diese Teams aber jederzeit wieder einblenden und nach Bedarf dauerhaft im Bereich "Ihre Teams" anzeigen. Auch mit vielen kleinen Teams lässt sich damit gut arbeiten. Und wenn man für die Kanäle in Teams die Kanalbenachrichtigungen entsprechend setzt, sieht man im Bereich Aktivität auch immer, in welchem Team sich etwas Wichtiges getan hat.

Teams kann man beispielsweise für Abteilungen und Gruppen innerhalb dieser Abteilungen bilden. Man kann sie für Projekte bilden, aber auch für einzelne Kunden oder für Themen, in denen Mitarbeiter abteilungsübergreifend zusammenarbeiten. Innerhalb einer Abteilung lassen sich auch verschiedene Teams für verschiedene Themen bilden, was vor allem dann Sinn gibt, wenn die Zusammensetzung der Mitglieder variiert.

Aus Perspektive der IT-Sicherheit gilt, dass kleinere, homogene Teams immer die bessere Option sind. Die Erfahrung aus einer inzwischen doch recht langen Nutzung von Microsoft Teams zeigt außerdem, dass kleine Teams übersichtlicher sind und auch viele Teams, in denen man Mitglied ist, effizient nutzbar bleiben. Mehr ist bei Microsoft Teams meist mehr.

Microsoft Teams - essenzielle Sicherheitseinstellungen

Die erste wichtige Aufgabe für Besitzer von Teams und damit den Teams-Räumen ist die Verwaltung von Mitgliedern. Hier gibt es drei Rollen:

  • Besitzer haben administrative Berechtigungen für dieses Team. Sie können die Einstellungen für den Teams-Raum verwalten und Mitglieder hinzufügen.

  • Mitglieder können den Teams-Raum nutzen und innerhalb der definierten Berechtigungen auch Kanäle hinzufügen und andere Einstellungen vornehmen. Mitglieder kommen aus der gleichen Organisation wie die Besitzer.

  • Gäste sind Mitglieder in Teams-Räumen, die aus anderen Unternehmen kommen.

Besitzer und Mitglieder sollen in der Regel in der Lage sein, alle Informationen in einem Teams-Raum zu sehen und zu nutzen. Bei Gästen kann das anders aussehen, weil diese oft nur bestimmte Daten sehen sollen, aber nicht die gesamten internen Diskussionen. Eine bewährte Lösung ist hier die Verwendung von zwei Teams-Räumen, also beispielsweise "Kunde A - intern" und "Kunde A - extern". Auf den ersten Raum erhalten nur die internen Mitarbeiter Zugriff. Auf den zweiten Raum erhalten dagegen auch die Kunden als Gäste Zugriff.

Im internen Raum kann man dann zwei Dokumentbibliotheken verwenden - mit "Dateien" ist eine immer schon vorbereitet. Die eine wird nur für interne Dokumente verwendet, die andere für Dokumente, die auch die Gäste sehen sollen. Die zweite Dokumentbibliothek ist dabei der Standardbereich "Dateien" aus dem externen Teams-Raum, der in den internen Teams-Raum vernetzt wird. Damit lässt sich ganz einfach eine saubere Trennung herstellen.

Der nächste Schritt sind die Einstellungen für die einzelnen Teams-Räume. Durch Anklicken der drei Punkte hinter einem Teams-Raum kann das Kontextmenü geöffnet werden. Dort findet sich unter anderem der Befehl "Team verwalten". Als Besitzer sieht man dann mehrere Tabs. Dort kann man Mitglieder verwalten, ausstehende Anfragen für die Mitgliedschaft im Team bearbeiten, Kanäle verwalten, Einstellungen setzen, die Nutzung des Teams analysieren und die Apps einschränken, die im Team genutzt werden können.

Nützlich ist hier einerseits der Bereich "Kanäle", in dem man sich die verschiedenen Kanäle in einem Teams-Raum anzeigen lassen und steuern kann, ob Kanäle auf jeden Fall für Mitglieder angezeigt werden (Abb. 1). Wichtig ist hier zu verstehen, dass man Kanäle nicht sperren kann. Man kann aber bei den Kanaleinstellungen, die man über die drei Punkte bei einem Kanal findet, als Besitzer steuern, welche Kanäle auf jeden Fall für die Mitarbeiter angezeigt werden.

Abb.1: Teams-Besitzer können für jeden Kanal in Microsoft Teams steuern, ob diesen alle Mitglieder sehen dürfen.
Abb.1: Teams-Besitzer können für jeden Kanal in Microsoft Teams steuern, ob diesen alle Mitglieder sehen dürfen.

Viel wichtiger ist aber der Tab "Einstellungen" (Abb. 2). Dort können die Berechtigungen von Mitgliedern und Gästen in Microsoft Teams gesetzt werden. Standardmäßig dürfen Mitglieder sehr viel. Sie können Kanäle erstellen und anpassen, private Kanäle erstellen, Apps ergänzen und so weiter. Wie weit man das einschränken möchte, hängt in erster Linie vom Aufgabenbereich und der Struktur des Teams ab. Bei Teams, die länger zusammenarbeiten, bietet es sich an, die Administration auf die Besitzer zu beschränken, um strukturierte Teams-Räume zu erstellen und zu behalten. Nur die beiden Optionen "Geben Sie Mitgliedern die Möglichkeit, ihre Nachrichten zu löschen" respektive "Geben Sie Mitgliedern die Möglichkeit, ihre Nachrichten zu bearbeiten" kann man guten Gewissens aktiviert lassen.

Abb.2: Die Berechtigungen von Mitgliedern in Teams-Räumen sollten von den Besitzern eingeschränkt werden.
Abb.2: Die Berechtigungen von Mitgliedern in Teams-Räumen sollten von den Besitzern eingeschränkt werden.
Foto: Martin Kuppinger / Microsoft

Die Einstellungen für die Gäste sollten immer so restriktiv bleiben, wie sie standardmäßig definiert sind.

Microsoft Teams - Bordmittel für mehr Security

Was bei diesen Einstellungen auffällt ist, dass es keine Möglichkeiten gibt, den Zugriff auf einzelne Kanäle oder "Apps", also beispielsweise SharePoint-Bibliotheken, zu beschränken. Microsoft Teams geht von einer gleichberechtigten Mitarbeit innerhalb von Teams aus. Neben den bereits genannten Möglichkeiten, beispielsweise über die Trennung von internen und externen Teams und die Bildung kleiner Teams, gibt es aber noch eine sehr nützliche Funktion, die mit Office 365 kommt und in Teams einfach nutzbar ist: Microsoft Information Protection. Die Basisfunktionen von Information Protection sind bei Office 365 standardmäßig verfügbar - nur erweiterte Funktionen erfordern eine ergänzende Lizenzierung. Aber schon mit den Basisfunktionen lässt sich ein höheres IT-Sicherheitsniveau erreichen.

Dazu geht man in einem Office-Dokument auf das Menü "Datei" und dort auf "Informationen" (Abb. 3). Hier findet sich die Option "Dokument schützen". Hier können Dokumente mit einem Kennwort versehen und verschlüsselt werden. Noch eleganter ist aber die Auswahl "Zugriff einschränken/Eingeschränkter Zugriff".

Abb.3: Microsoft Office 365 bietet standardmäßig umfassende Optionen für einen erweiterten Schutz von sensitiven Dokumenten.
Abb.3: Microsoft Office 365 bietet standardmäßig umfassende Optionen für einen erweiterten Schutz von sensitiven Dokumenten.
Foto: Martin Kuppinger / Microsoft

Im folgenden Dialogfeld (Abb. 4) kann der Zugriff dann eingeschränkt werden. Dafür wird die entsprechende Option ausgewählt und anschließend die Benutzer oder Benutzergruppen aus dem Adressbuch der Organisation ausgewählt, die Zugriff erhalten sollen. Das Dokument wird dabei auch automatisch verschlüsselt.

Abb.4: Der Schreib- und Lesezugriff lässt sich pro Benutzer oder Benutzergruppe für jedes Dokument in Microsoft Office 365 steuern.
Abb.4: Der Schreib- und Lesezugriff lässt sich pro Benutzer oder Benutzergruppe für jedes Dokument in Microsoft Office 365 steuern.
Foto: Martin Kuppinger / Microsoft

Der Preis, der für die Nutzung von Microsoft Information Protection zu zahlen ist, sind Einschränkungen in der gemeinsamen Nutzung von Dokumenten und die Deaktivierung der automatischen Speicherung. Aber für die wirklich sensitiven Informationen kann man so ganz einfach das Schutzniveau erhöhen.

Mit einer guten Strukturierung von Teams-Räumen, der Nutzung der - wenigen - Berechtigungseinstellungen und dem Einsatz von Microsoft Information Protection wo wirklich erforderlich, lässt sich eine effiziente Zusammenarbeit von virtuellen Teams schnell, einfach und mit einem für die meisten Anwendungsfälle ausreichenden Maß an IT Security umsetzen. Das gilt umso mehr, wenn jeder im Team darauf achtet, dass Informationen im Team bleiben und sorgsam damit umgeht. (fm)