Es geht nicht darum, ob, sondern wann Sie als Unternehmen in die Cloud gehen. Dasselbe gilt für Cyber-Angriffe, welche ebenfalls nur eine Frage der Zeit sind. Wie können Sie sich also sicher in der Cloud bewegen und vor Angriffen schützen? Erfahren Sie hier, welche Prinzipien Sie beachten sollten, um die Vorteile von Microsoft-Cloud-Lösungen zu maximieren und gleichzeitig ihre digitalen Vermögenswerte und vertraulichen Daten proaktiv zu schützen.

Werden Sie um die Cloud herumkommen?

In den letzten Jahren hat Microsoft viel in seine Cloud-Technologie Azure und die Integration von Microsoft 365 investiert. Es ist deutlich zu erkennen – ob uns das nun gefällt oder nicht – dass effektive Sicherheitslösungen der neuesten Generation vorrangig in Cloud-Umgebungen angeboten werden und es sehr kompliziert ist, die entsprechenden Dienstleistungen «On Premise» zu erhalten.

Dieses Phänomen ist heute so ausgeprägt, dass der Bund und die Schweizer Armee in den nächsten Jahren wohl nicht um eine Migration zu diesen Diensten herumkommen werden, um die Bedürfnisse der Gesellschaft weiterhin erfüllen zu können.

Die Entwicklung deutet darauf hin, dass alle Unternehmen früher oder später in die Cloud gehen (müssen). Es geht also darum, das Beste aus den Cloud-Lösungen herauszuholen und sich so sicher wie möglich in diesen sich ständig verändernden Umgebungen zu bewegen, denn die Verantwortung für die sichere Nutzung liegt immer noch bei den Organisationen.

Wie sicher ist die Cloud aktuell?

Cloud-Technologien sind mit einer grundlegenden Sicherheit ausgestattet, dennoch können sie nicht per se als sicher betrachtet werden. Cloud-Umgebungen sind beweglich und komplex: ihre Funktionen, Rollen und Rechte ändern sich ständig. Unachtsamkeit oder Unkenntnis führt zu Konfigurationen, die nicht alle bewährten Sicherheitspraktiken berücksichtigen.

Unsere Kunden wissen oft nicht, welche Informationen sie in der Cloud bearbeiten dürfen – im Hinblick auf die für sie geltenden Rechtsgrundlagen oder die zum Schutz von Geschäftsgeheimnissen erforderlichen internen Regeln. Sie fragen sich zurecht: Mit wem werden meine Daten in der Cloud geteilt? Wo werden meine Daten gesichert?

Cloud: Die 12 häufigsten Fehler, die wir sehen

Die Erkenntnisse aus unseren M365 Security Assessments zeigen grosse Risiken auf, wie die unbeabsichtigte Weitergabe vertraulicher Daten, die Anfälligkeit privilegierter Konten und das Risiko des Identitätsdiebstahls:

• Viele, manchmal vertrauliche Daten werden ohne Wissen und Zustimmung des Benutzers und der Administratoren des Tenant M365 in die Microsoft-Cloud gesendet, da einige erweiterte Optionen von Office 365 in den Einstellungen nicht ausdrücklich deaktiviert wurden.

• Die Kompromittierung eines privilegierten Kontos in Entra ID kann zur Kompromittierung aller Vermögenswerte eines Unternehmens führen, da viele Unternehmen dieselben privilegierten Konten zwischen Active Directory und Entra ID synchronisieren und verwenden.

• Bei «Conditional Access» werden keine Geräte identifiziert, was den Zugriff auf alle Ressourcen der Umgebung ermöglicht, wenn ein Benutzerkonto missbraucht wird.

• «Conditional Access» ist nicht so konfiguriert, dass das Risikoniveau des Benutzers oder der Verbindung vor dem Zugriff auf die Daten bewertet wird (Entra ID Protection).

• Eine schlechte Verwaltung der Berechtigungen für die Einladung externer Benutzer (Guest users) führt zu einem Verlust der Kontrolle bei der gemeinsamen Nutzung von Daten mit externen Stellen.

• Wenn Protokolle und Warnungen nicht richtig konfiguriert sind, verlangsamen sich forensische Analysen und die Wiederaufnahme der Aktivitäten der Organisation nach einem erfolgreichen Cyberangriff.

• Die Aktivierung von «Anyone links» in OneDrive kann dazu führen, dass vertrauliche Daten abfliessen.

• Die DLP-Funktionen, obwohl sie in den E3-Lizenzen enthalten sind, werden nur selten genutzt, um zu verhindern, dass vertrauliche und sensible Daten in Sharepoint-Bereiche, über Teams und per E-Mail übertragen oder in OneDrive gespeichert werden.

• Werkzeuge, die einen Einblick in Benutzer, Gruppen und deren Berechtigungen ermöglichen, wie z. B. «Access Review», werden nur sehr selten konfiguriert.

• Tools wie «CIS Benchmark», mit denen man die Einhaltung von Azure AD und M365 überprüfen und einen Leitfaden dazu erhalten kann, sind nur sehr selten bekannt.

• Die Erlaubnis zur Verwendung von «Legacy»-Authentifizierungsmethoden in On-Premise-Umgebungen kann es Mitarbeitern ermöglichen, die Verwendung moderner, sichererer Authentifizierungsmethoden zu umgehen, und gefährdet den externen Sicherheitsbereich des Unternehmens.

• Die Aktivierung von Richtlinien für die gemeinsame Nutzung von Kalendern und Kontakten in Exchange Online kann dazu führen, dass vertrauliche Unternehmensinformationen nach aussen dringen.

Wie sichere ich meine Aktivitäten in der Cloud?

Datensicherheit in der Cloud geht über die blosse Implementierung von Basislösungen hinaus und erfordert ein tiefgreifendes Verständnis der rechtlichen Grundlagen, der internen Regeln und der bewährten Sicherheitspraktiken.

Eine kontrollierte Verwaltung von Berechtigungen, die sichere Konfiguration von Tools, die Überwachung von Logs und die proaktive Nutzung der vom Hersteller angebotenen Sicherheitsfunktionen sind von entscheidender Bedeutung.

Unternehmen sollten auch der Schulung und Sensibilisierung der Benutzer besondere Aufmerksamkeit widmen, um Konfigurationsfehler zu vermeiden, welche die Sicherheit gefährden könnten.

Diese Massnahmen sollten Sie beachten:

• Ich führe eine erste Risikoanalyse durch und lege einen Massnahmenplan fest, bevor ich meine Daten in M365 migriere.

• Ich führe ein Audit meiner Entra ID- und M365-Umgebung durch, wie z. B. das M365 Security Assessment von Redguard:

• Ich setze Best Practices für die Sicherheit in der Cloud um.

• Ich verstehe Angriffe aus der Cloud und handle in Verbindung mit diesem Wissen, um mich effektiver zu schützen.

• Ich möchte meine Sicherheitsarchitektur M365 beherrschen.

Letztendlich erfordert das sichere und effiziente Navigieren in Cloud-Umgebungen ein kontinuierliches Engagement für die Anwendung bewährter Sicherheitspraktiken, eine gründliche Kenntnis der verfügbaren Tools und eine ständige Anpassung an die sich ändernden Bedrohungen und Risiken. Mit uns als Partner können Sie sich auf die jahrelange Expertise von knapp 100 Spezialisten verlassen, die sich in den verschiedensten Branchen auskennen. Melden Sie sich jetzt und lassen Sie sich unverbindlich beraten.

Cet article de blog est également disponible en français :

Pas de ciel sans nuages … pas d’IT sans cloud! (français)