19 bewährte Verfahren zur Stärkung von Microsoft -365-Sicherheit im Jahr 2023
Microsoft 365 ist weiterhin eine der beliebtesten Software-Suites für Unternehmen: Über eine Million von ihnen rund um den Globus nutzen die Lösung. Office-365-Anwendungen, einschließlich Outlook, OneDrive, Word, Excel, PowerPoint, OneNote, SharePoint und Microsoft Teams, machen rund 46% des weltweiten Marktanteils für Firmen-Softwarepakete aus. Leider hat diese Beliebtheit Microsoft 365 auch zu einem Favoriten für Hacker gemacht.
Eine 2019 von Kaspersky Lab ausgeführte Studie ergab, dass mehr als 70% aller Hackerangriffe Microsoft Office zur Zielscheibe hatten. Ein weiterer Bericht von SonicWall bestätigte, dass die Zahl von Office-Dateien als bevorzugter Übertragungsweg für Schadsoftware die Zahl von PDF-Dokumenten überschritten hat. Im Jahr 2022 wurde gemeldet, dass Cyberkriminelle sich zunehmend mittels kompromittierter Mitarbeiter-E-Mail-Adressen Zugang zu Microsoft-Teams-Meetings verschaffen und dort bösartige ausführbare Dateien einschleusen.
Natürlich bedeutet dies nicht, dass Sie sich direkt auf die Suche nach einer neuen Office-Suite begeben sollten. Es gibt Unmengen von integrierten Tools und Mechanismen, die Office 365 zu einem sicheren und produktiven Arbeitsumfeld machen. In diesem Artikel haben wir neunzehn bewährte Sicherheitsverfahren für Office 365 zusammengetragen – von der Konfiguration für Leerlaufsitzungstimeouts bis hin zur Verwendung sicherer Links und Anhänge als Schutz vor Phishing-Attacken.
1. Wechseln Sie zur mehrstufigen Authentifizierung
Wenn Sie die mehrstufige Authentifizierung (MFA) in Office 365 aktivieren, wird die Anwendung Nutzer dazu auffordern, sich über ihr Passwort hinaus auf eine zusätzliche Weise zu verifizieren, bevor der Zugriff gestattet wird – z. B. über eine an ihr Handy gesendete SMS. Laut Microsoft kann Multi-Faktor-Authentifizierung das Risiko von kompromittierten Passwörtern, Identitätsdiebstahl und gehackten Nutzerkonten um bis zu 99,9% reduzieren. Somit ist die Funktion nahezu unerlässlich, um die Sicherheit von Microsoft Office 365 zu stärken, wenn sich hybrid arbeitende Mitarbeiter anmelden.
2. Halten Sie Ihre Admin-Konten sicher und separat
Mehr Macht bedeutet auch mehr Verantwortung – und mehr ungewollte Aufmerksamkeit von böswilligen Angreifern. Stellen Sie sicher, dass Sie Administratoranmeldeinformationen ausschließlich für die Verwaltung von Konten und Geräten verwenden, und erstellen Sie ein separates Nutzerkonto für Ihre alltägliche Verwendung von Microsoft-365-Anwendungen. Außerdem sollten Sie sich unbedingt mit den unterschiedlichen in Ihrer Lizenz enthaltenen Admin-Rollen vertraut machen und den richtigen Nutzern die richtigen Berechtigungen zuweisen.
3. Richten Sie Konten für den Notfallzugriff ein
Um die Microsoft-365-Sicherheit innerhalb Ihres Unternehmens zusätzlich zu stärken, sollten Sie mindestens zwei Konten für den Notfallzugriff einrichten, auf die Sie im Falle von Notfallsituationen zurückgreifen können, z. B. wenn ein Administrator den MFA-Prozess aufgrund eines Ausfalls des Mobilfunknetzes nicht ausführen kann und ausschließlich Telefonanrufe und SMS als Authentifizierungsmechanismen für ihre Geräte zugelassen sind.
4. Deaktivieren Sie die automatische E-Mail-Weiterleitung
Das Weiterleiten von E-Mail-Nachrichten mag praktisch sein, wenn Sie eine andere Person darum bitten, während Ihrer Abwesenheit Ihren Posteingang im Auge zu behalten. Jedoch kann dieses Verfahren leicht zu einer Angriffsfläche werden, wenn es in die falschen Hände gerät: Hackern kann somit gestattet werden, vertrauliche oder urheberrechtlich geschützte Informationen an externe E-Mail-Adressen weiterzuleiten. Überprüfen Sie Ihre ausgehenden Spamfilterrichtlinien und passen Sie sie bei Bedarf an, um das automatische Weiterleiten an externe Empfänger zu kontrollieren.
5. Konfigurieren Sie das Leerlaufsitzungstimeout
Ändern Sie Ihre Einstellungen für das Leerlaufsitzungstimeout für Microsoft 365, um Ihre Firmennetzwerke und -ressourcen besser vor unbefugten Zugriffen zu schützen, wenn Nutzer ihre Geräte unbeaufsichtigt lassen und sich nicht auf ihnen abgemeldet haben. Vorschrift 8.1.8 des Payment Card Industry Data Security Standards (kurz PCI DSS) ordnet an, dass Nutzer sich nach 15 Minuten Leerlauf erneut authentifizieren müssen, um mit ihrer Sitzung fortzufahren.
6. Deaktivieren Sie Protokolle für die Standardauthentifizierung
Im Gegensatz zur Multi-Faktor-Authentifizierung – einem differenzierten Ansatz zur Datensicherung beim Nutzerzugriff auf Online-Konten, -anwendungen oder VPNs – verlangt die Standardauthentifizierung für die Anmeldung lediglich die Eingabe des Nutzernamens und Passworts. Ihre Deaktivierung und der Wechsel zu einer fortschrittlicheren Verifizierungsmethode kann Microsoft 365 – und Ihr Unternehmen – vor Brute-Force-Attacken oder Passwort-Spraying schützen.
7. Blockieren Sie die Legacyauthentifizierung für SharePoint
Um unseren vorherigen Punkt noch ein Stück auszuweiten: Das Blockieren der Legacyauthentifizierung ist ein einfacher aber höchst effektiver Schritt für die Sicherheit in Azure and Microsoft 365. Alex Weinert, Director of Identity Security für Microsoft, betont außerdem, dass das Blockieren der Legacyauthentifizierung wichtig für die Effektivität von MFA ist. Da Protokolle wie POP, SMTP, IMAP und MAPI MFA nicht geltend machen können, können sie Hackern einen Einspeisepunkt für ihre Cyberattacken bieten.
8. Verwalten Sie den Datentausch in SharePoint und OneDrive
Falsch konfigurierte SharePoint- und OneDrive-Einstellungen können sich negativ auf Ihre Bemühungen in puncto Office-365-Sicherheit auswirken. Prüfen und – falls nötig – ändern Sie die Freigabeeinstellungen auf Organisationsebene für Dateien, Ordner und Webseiten zu einer restriktiveren Option. Als Administrator können Sie die externe Freigabe komplett deaktivieren oder lediglich das Teilen mit existierenden (also bereits in Ihrem Verzeichnis vorhandenen) Gästen gestatten.
9. Nutzen Sie die eingeschränkte Zugriffskontrolle für SharePoint
Schränken Sie den Zugriff auf SharePoint-Webseiten mittels Microsoft-365-Gruppenmitgliedschaft ein, um eine übermäßige Freigabe zwischen Nutzern zu verhindern. SharePoint-Administratoren können Mitgliedern der einer spezifischen SharePoint-Webseite zugeordneten Microsoft-365-Gruppe Zugriff gestatten und ihn Personen außerhalb dieser Gruppe verweigern oder entziehen, selbst wenn diese im Vorfeld über Dateizugriffsrechte verfügten. Dies stellt eine zusätzliche Sicherheitsebene in Office 365 dar.
10. Unterbinden Sie die Synchronisation bestimmter Dateitypen
Sie können in den Einstellungen des SharePoint-Admin-Centers festlegen, welche Dateitypen nicht von Nutzern auf geteilte Drives hochgeladen werden dürfen, z. B. EXE- oder MP3-Dateien. Bedenken Sie, dass diese Einstellung nur den Upload bestimmter Dateitypen blockiert, aber nicht deren Download. Das bedeutet, dass die im OneDrive eines Nutzers blockierten Dateitypen trotzdem mit dessen Computer synchronisiert werden. Jedoch werden die vom Nutzer auf seinem Gerät ausgeführten Änderungen nicht hochgeladen.
11. Verweigern Sie anonymen Nutzern die Teilnahme an Meetings
Nutzen Sie Teams-Einstellungen, um anonymen Nutzern die Teilnahme an allen von Nutzern Ihrer Organisation geplanten Meetings zu verweigern. Im Zuge der rapiden Verbreitung von Videokonferenzplattformen während der Pandemie haben Hacker schnell einen neuen und effektiven Weg ausfindig gemacht, um Schadsoftware einzuschleusen: mittels unschuldig aussehender GIFs, die im Chat von Teams-Meetings versendet werden. Dies kann leicht zu einer Übernahme des Teams-Kontos durch Kriminelle führen, die dieses für eine großflächige Attacke nutzen können, warnt das Infosec Institute.
12. Legen Sie strengere Richtlinien für Nutzerpasswörter fest
Microsoft bietet Administratoren ausführliche Empfehlungen in Bezug auf angemessene Passwortpflege innerhalb ihrer Organisation. Diese Praktiken lassen sich in drei Kategorien unterteilen: das Abwenden gängiger Attacken durch die Definition, welche Passwörter zulässig und wo diese einzugeben sind; die Eindämmung erfolgreicher Hackerangriffe, indem deren Durchsickern eingeschränkt wird, und das Verständnis der menschlichen Natur im Hinblick auf Passwortsicherheit.
13. Überdenken Sie Ihre Richtlinie für den Ablauf von Passwörtern
Microsoft-365-Passwörter laufen standardmäßig niemals für Ihr Unternehmen ab. Als Admin können Sie dies ändern – aber Sie sollten dies besser nicht tun. Wenn Sie Ihre Nutzer regelmäßig dazu auffordern, neue Passwörter zu erstellen, richtet dies mehr Schaden als Nutzen an, erklärt Microsoft. Das liegt daran, dass die Nutzer dann oftmals geringfügige und vorhersehbare Änderungen am Passwort vornehmen oder das neue Passwort ganz und gar vergessen. Erwägen Sie stattdessen Alternativen wie Listen unzulässiger Passwörter oder Multi-Faktor-Authentifizierung.
14. Bleiben Sie über Passwortänderungen auf dem Laufenden
Installieren Sie Microsofts Benachrichtigungsdienst für Kennwortänderungen (Password Change Notification Service, PCNS) auf den Domänencontrollern, um MIM die Synchronisierung von Passwörtern mit anderen Systemen zu ermöglichen, wie dem Verzeichnisserver eines anderen Anbieters. PCNS vereinfacht die Passwortverwaltung in Unternehmen mit Digital-Identity-Repositorys für mehrere Nutzer. Zur Passwortsynchronisierung müssen Sie den Benachrichtigungsdienst für Kennwortänderungen auf jedem Domänencontroller installieren.
15. Schützen Sie sich mittels sicherer Links vor Phishing-Attacken
Sichere Links, eine Funktion in Microsoft Defender für Office 365, bieten URL-Scanning für eingehende E-Mail-Nachrichten im E-Mail-Verkehr und „Zeitpunkt des Klicks“-Verifizierung von URLs und Links in E-Mail- und Teams-Nachrichten und an anderen Stellen. Nutzen Sie sichere Links, um Nutzer vor in Phishing-Attacken verwendeten bösartigen Links zu schützen. Phishing-Attacken machen laut CISCOs Bericht zu Trends in Cybersicherheitsbedrohungen 2021 sage und schreibe 90% aller Datenschutzverletzungen aus.
16. Verwenden Sie sichere Anlagen in Microsoft Defender
Komprimierte Dateien, Office-Dokumente, ISO-Dateien für Tabellenblätter oder Präsentationen, Installationsprogramme, EXE-Dateien – dies sind die gängigsten Dateitypen, die für denjenigen, der sie öffnet, böse Überraschungen wie Viren, Würmer, Trojaner und dergleichen bereithalten können. Als zusätzliche Sicherheitsebene nutzen die sicheren Anlagen in Microsoft Defender für Office 365 eine virtuelle Umgebung, um E-Mail-Anhänge zu prüfen, bevor diese übertragen werden.
17. Nutzen Sie den bedingten Zugriff in Azure
Die Zeiten, in denen die Ressourcen und Datenbestände von Unternehmen sicher hinter einer Firmen-Firewall versteckt waren und nur Nutzer mit Zugriff auf Firmennetzwerke und -geräte an diese gelangen konnten, sind vorbei. Der bedingte Zugriff ermöglicht es Ihnen, eine identitätsbasierte Steuerungsebene zu Ihrem Vorteil zu nutzen, die identitätsbezogene Signale einsetzt, um Entscheidungen über Zugriffskontrollen zu fällen, und organisatorische Richtlinien durchsetzt, die die Sicherheit der Office-365-Umgebung erhöhen.
18. Verfolgen Sie die Daten mit Azure Information Protection
Azure Information Protection gestattet es Ihnen, mit externen Partnern geteilte E-Mails, Dokumente und sensible Daten abzusichern. Sie können Daten auf ihrer Vertraulichkeit basierend klassifizieren, kennzeichnen und schützen; definieren, wer auf sie zugreifen und was mit ihnen gemacht werden kann, sowie nachverfolgen, was mit geteilten Dateien geschieht und bei Bedarf den Zugriff auf sie sperren. Nutzer genießen die Vorteile von produktbezogenen Benachrichtigungen wie z. B. die empfohlene Klassifikation.
19. Verwenden Sie Azure Identity Protection
Ähnlich wie auch der bedingte Zugriff in Azure nutzt Azure Identity Protection eine Signalverarbeitung, um Risiken wie anonyme IP-Adressenverwendung, mit Schadsoftware verknüpfte IP-Adressen, ungewöhnliche Anmeldeeigenschaften oder Passwortspray zu erkennen. Die Erkennung von Risikosignalen kann manuell geprüft und gehandhabt werden oder automatische Korrekturmaßnahmen auslösen, wie eine obligatorische MFA für Nutzer oder eine Passwortzurücksetzung.
Wenn nur das Sicherste sicher genug ist: Tresorits Integration für Microsoft 365
Diese bewährten Verfahren werden Ihren Mitarbeitern garantiert dabei helfen, in Verbindung, produktiv und vor den gängigsten Cyberattacken geschützt zu bleiben. Aber es geht noch besser. Wenn Sie vertrauliche Inhalte wie Finanzberichte, Gesundheitsinformationen oder Rechtsdokumente speichern und teilen, sollten Sie stärkere Sicherheitsvorkehrungen treffen – oder Sie gehen das Risiko ein, Ihren Umsatz und Ihren guten Ruf zu schädigen.
Tresorits Integration mit Microsoft 365 bietet Ihnen eine zusätzliche Sicherheitsebene, um Ihre wertvollsten Datenbestände ohne zusätzliche Mühen zu schützen. Dies beinhaltet Folgendes:
- Ende-zu-Ende-verschlüsselter Speicher
- Interner und externer Datentausch ohne Kopfzerbrechen
- Admin- und Nutzerkontrollen an einem zentralen Ort
- Einfache E-Mail-Verschlüsselung in Outlook
- Compliance mit den strengsten Datenschutzverordnungen
- Einfache Integration mittels SIEM oder SSO
- Flexible und sichere Alternative zu On-Premises-Lösungen
Verwahren Sie Ihre Daten in einer ultrasicheren Cloudumgebung, die durch Ende-zu-Ende-Verschlüsselung mit Zero-Knowledge-Prinzip geschützt ist. Integrieren Sie Tresorit direkt in Microsoft Teams und speichern, teilen und signieren Sie Ihre vertraulichsten Dokumente in der Teams-Anwendung, ohne Ihren Workflow zu unterbrechen.
Nutzen Sie sichere verschlüsselte Links, um Dateien mit Kollegen, Kunden oder Zulieferern sicher auszutauschen – selbst, wenn diese über kein eigenes Tresorit-Konto verfügen.
Verwalten Sie Nutzer, Sicherheitsrichtlinien und Dateiaktivitäten sowie den Zugriff auf Daten über eine einzige Benutzeroberfläche.
Teilen Sie vertrauliche Informationen und Anhänge auf sichere Weise mit nur einem Klick oder sogar ganz ohne Klicks. Sichern Sie Ihre E-Mails in dem Ihnen vertrauten Umfeld von Microsoft Outlook unter Verwendung Ihrer gewohnten E-Mail-Adresse.
Stärken und vereinfachen Sie Ihre Compliance mit der DSGVO, CCPA, HIPAA, TISAX, FINRA und ITAR mittels clientseitiger Ende-zu-Ende-Verschlüsselungstechnologie.
Verbinden Sie Tresorit mit dem Azure Active Directory Ihres Unternehmens via Single Sign-on oder aktivieren Sie die SIEM-Integration mit Microsoft Sentinel.
Kombinieren Sie die von On-Premises-Systemen gebotenen Kontroll- und Sicherheitsmaßnahmen mit dem Komfort und der Skalierbarkeit von Cloudumgebungen.
Haben wir Ihre Neugier geweckt? Erfahren Sie mehr oder laden Sie Tresorit für Microsoft 365 unten herunter.