Sicherheit und Compliance umsetzten mit Office 365 (mit Whitepaper und Video)
Spätestens seit Mai, mit der in Kraft getretenen Europäischen Datenschutzgrundverordnung DSGVO, sind alle Unternehmen auf den Umgang mit sensiblen Daten aufmerksam geworden. Keiner kommt mehr umhin, sich damit zu befassen, welche Daten gespeichert sind, wer darauf Zugriff hat, und was im Lebenszyklus der Daten passiert. Aller Wahrscheinlichkeit nach wird uns das Thema auch in Zukunft dauernd begleiten, wie man an den fast täglichen Nachrichten über Datenschutzskandale sieht, auch bei großen Unternehmen wie jüngst erst Facebook.
Microsoft bietet seinen Kunden eine Reihe von Funktionen an, mit denen man den Zugriff auf Daten und Systeme überwachen und absichern kann. Doch es ist alles andere als einfach, den Überblick darüber zu behalten, welche Funktionen und auch welche Lizenzen erforderlich sind, um die Sicherheits- und Compliance-Anforderungen im Unternehmen ganzheitlich umzusetzen. Kompliziert wird das Ganze noch dadurch, dass es meist mehrere Optionen gibt, um eine Anforderung zu implementieren. Außerdem stehen diese Features oft auch in unterschiedlichen Lizenzmodellen zur Verfügung.
Neuerung bei Sicherheit und Compliance auf der Ignite
Microsoft hat zuletzt auf der Ignite 2018 eine Reihe von Verbesserungen auf diesem Gebiet angekündigt, zumindest was die Konfiguration und den Betrieb von Security- und Compliance-Funktionen betrifft. Zu den Neuigkeiten gehört auch, dass es bei den Paketen und Bezeichnungen Änderungen gibt. So wird zum Beispiel aus Azure Information Protection nun Microsoft Information Protection. Für Kunden und Dienstleister bringen die Neuheiten einige Vorteile. Durch die Auflösung der bisherigen Produkt-Silos passen die Microsoft-Services nämlich besser zu den alltäglichen Abläufen und Prozessen bei den Kunden.
Die Vereinfachung und Vereinheitlichung lässt sich schon an den neuen Namensgebungen der Management-Portale ablesen, wo hier nun nach dem Einsatzzweck gruppiert wird:
- https://Admin.microsoft.com => Admin Center
- https://security.microsoft.com => Security Settings
- https://compliance.microsoft.com => Compliance
Microsoft legt die Sicherheitseinstellungen in Office 365 zusammen
Gerade wenn sensible Inhalte in Cloud-Systemen wie Office 365 gespeichert werden, ist es wichtig, diese zu Klassifizieren und zu Verschlüsseln. Um diese Aufgaben zu vereinfachen, hat Microsoft die Azure Information Protection Labels, die Site Klassifizierungen und die Labels im Office 365 Security & Compliance Center zusammengelegt, was die Effizienz deutlich steigert. An diesem Schritt kann man sehen, dass nun in den Microsoft Cloud Services sukzessive zusammenwächst, was zusammen gehört.
Wie sieht es in der Praxis aus, wenn man mit einem neu provisionierten Office 365-Tenant startet, und die entsprechenden Einstellungen für Sicherheit und Compliance anpassen möchte? Hierbei muss man zunächst wissen, dass die Standardeinstellungen sehr freizügig gehalten sind. Grundsätzlich kann jeder Benutzer alle Daten, auf die er Zugriff hat, mit jedem teilen. Benutzer können externe Partner einladen, um mit ihnen in einer SharePoint Seite oder in Teams zusammenzuarbeiten und jeder kann sich mit jedem beliebigen Endgerät auf die Office 365-Umgebung verbinden, indem er einfach seinen Benutzernamen und sein Passwort eingibt.Dieses „liberale“ Setup von Office 365 ist zwar praktisch für jede Art von Zusammenarbeit und Kommunikation mit Kollegen, Partnern und Kunden. Doch damit entstehen auch Risiken mit Blick auf Security und Compliance.
Whitepaper: Anleitung zum Absichern von Office 365
Was muss man tun, um eine solche Umgebung für bestimmte Sicherheitsanforderungen zu konfigurieren, die einerseits Schutz bieten, andererseits den geforderten funktionalen Anforderungen entsprechen?Richtig praktisch wäre ein Schieberegler für Sicherheitsstufen, wie man ihn vom Internet Explorer hier kannte, um die Regeln je nach Bedarf in mehreren Stufen einzustellen. Einen solchen Regler gibt es bei Office 365 oder Microsoft 365 nicht.
Es ist aber möglich, anhand einer Sicherheitsmatrix solche Sicherheitsstufen zu realisieren, um so die Stufen Standard, Mittel, Hoch und Sehr Hoch zu realisieren. Wie man eine solche Matrix konkret umsetzt, ist im Whitepaper „A quick guide to secure Office 365“ (auf Deutsch) beschrieben. Das Whitepaper erklärt auch, welche Auswirkungen die jeweiligen Einstellungen auf die Benutzerfreundlichkeit haben, und welche Lizenzen für die Einrichtung der verschiedenen Szenarien benötigt werden.
Alle Dienste und Tools zum Absichern von Office 365
Ebenfalls erhält der Nutzer einen Überblick über die wichtigsten Technologien und Funktionen zur Absicherung von Office 365. Dazu gehören
- Office 365 Secure Score
- Cloud App Security
- Intune & Office 365 MDM
- Azure AD Premium Features
- Office 365 Advanced Threat Protection
- Office 365 Threat Intelligence
- Security & Compliance Reports.
Pro- und Contra DropBox: Sicherheit- und Compliance kann auch schief gehen
Neben diesen technischen Fragen sollten sich Unternehmen auch einige grundlegende Gedanken zur Herangehensweise an Sicherheit und Compliance machen. Um das mal an folgendem Beispiel zu skizzieren: Wenn ein Nutzer eine Datei in seinem privaten DropBox-Ordner speichern möchte, dürfte er einen Grund dafür haben, denn selten passiert sowas zufällig oder aus Versehen. Solange wir die Gründe dafür nicht kennen, und sie auch nicht respektieren, laufen wir Gefahr, dass das ganze Sicherheit- und Compliance-Vorhaben im Unternehmen schief geht.
Denn eins sollte klar sein: Aufgrund der nahezu grenzenlosen Möglichkeiten der Schatten-IT ist es heut nicht mehr möglich, hundertprozentige Security zu erzwingen. Das Ziel muss es also sein, zu verstehen, vor welchen Herausforderungen die Mitarbeiter bei der täglichen Arbeit stehen und welche Prozesse sie bedienen müssen. Ein Security- und Compliance-Setup, dass diese Umstände berücksichtigt, wird auch gelingen.
Video: Vortrag zum Thema auf der Ignite
- Mit dem Security Copilot führt Microsoft einen KI-Assistenten für IT-Sicherheit ein - 30. März 2023
- Mehr Datenschutz für Microsoft 365-Berichte: So anonymisieren sie persönliche Benutzerdaten - 2. März 2023
- Wie datenschutzwidrig ist Microsoft 365? Eine Analyse der aktuellen Vorwürfe – und wie es weitergeht - 3. Januar 2023