Vertrauliche Dokumente in der Cloud

Cloud-Sicherheit bei Office 365

| Autor / Redakteur: Oliver Schonschek / Peter Schmitz

Um den Sicherheitsanforderungen der Unternehmen gerecht zu werden, hat Office 365 schon von Haus aus eine Vielzahl von Sicherheitsfunktionen integriert, wie beispielsweise Spam- und Malware-Schutz, E-Mail-Verschlüsselung und eine Multi-Faktor-Authentifizierung.
Um den Sicherheitsanforderungen der Unternehmen gerecht zu werden, hat Office 365 schon von Haus aus eine Vielzahl von Sicherheitsfunktionen integriert, wie beispielsweise Spam- und Malware-Schutz, E-Mail-Verschlüsselung und eine Multi-Faktor-Authentifizierung. (Bild: Pixabay / CC0)

Bürosoftware aus der Cloud wie Microsoft Office 365 wird auch für vertrauliche Dokumente genutzt und muss umfangreiche Sicherheitsanforderungen erfüllen. Office 365 hat bereits zahlreiche Sicherheitsfunktionen integriert. Doch reichen diese aus?

Jeder sechste Internetnutzer verwendet Bürosoftware in der Cloud, meldet der Digitalverband Bitkom. Als Vorteile von Office-Lösungen aus der Cloud werden insbesondere automatische Updates, die Möglichkeit, Dokumente mit anderen Nutzern zu teilen und gemeinsam zu bearbeiten, und der zur Office-Lösung angebotene Cloud-Storage genannt. Doch wie steht es um die Sicherheit? Immerhin ist es mehr als wahrscheinlich, dass die Dokumente, die in der Cloud erzeugt und bearbeitet werden, personenbezogene und andere vertrauliche Daten enthalten.

Die Frage nach der Sicherheit von Office-Lösungen aus der Cloud ist umso dringlicher, wenn man daran denkt, dass auch Unternehmen die Vorteile einer flexiblen, geräteübergreifenden Bürosoftware zu schätzen wissen. Lösungen wie Microsoft Office 365, Google Docs oder iWork von Apple werden auch betrieblich genutzt, sowohl auf betrieblichen Endgeräten als auch auf betrieblich genutzten Privatgeräten. Eine Untersuchung von Skyhigh Networks ergab, dass zum Beispiel in Office 365 immerhin 17,4 Prozent der Dokumente sensible Daten enthalten.

Bitkom weist darauf hin, dass Nutzer in der jeweiligen Office-Cloud ihre Dateien ablegen und an jedem Ort mit Internetzugang darauf zugreifen können. Allerdings sei das nur so lange möglich, wie der Dienst auch tatsächlich genutzt und bezahlt wird. Daher sollten wichtige Dokumente regelmäßig auch an anderer Stelle gesichert werden, so der Digitalverband. Neben der regelmäßigen Datensicherung gibt es aber natürlich weitere Sicherheitsanforderungen an ein Cloud-Office-Programm.

Office 365: Verschiedene Sicherheitsfunktionen bereits integriert

Laut einer Centracon-Studie stehen Verfügbarkeit und Sicherheit ganz oben auf der Anforderungsliste, wenn Unternehmen an eine Office 365-Migration denken. Microsoft hat bereits eine ganze Reihe von Sicherheitsfunktionen in Office 365 integriert, um entsprechenden Anforderungen der Unternehmen zu entsprechen. Unter anderem nennt Microsoft eine Verfügbarkeit von Diensten mit 99,9 Prozent, einen täglich rund um die Uhr erreichbaren Telefonsupport bei schwerwiegenden Problemen, eine Active Directory-Integration für die Verwaltung von Benutzeranmeldeinformationen und Berechtigungen sowie zusätzliche Funktionen für die Datensicherheit. Zu den für die Datensicherheit relevanten Funktionen zählen:

  • das Office 365 Security & Compliance Center für die Compliance-Manager im Unternehmen zur Verwaltung von Archivpostfächern, eDiscovery-Fällen, Überwachungsberichten und Aufbewahrungs- und Löschrichtlinien
  • der Antispam- und Antischadsoftwareschutz in Office 365, der bereits im Standard aktiviert und hinsichtlich Filter-Optionen anpassbar ist
  • die automatisierbare Archivierung in Office 365
  • die Überwachungsfunktionen von Office 365 zur Änderungsverfolgung (z.B. bei Einstellungen, Dokumenten)
  • eDiscovery in Office 365 für das Identifizieren und Übermitteln elektronischer Informationen, die als Indizien in einem Rechtsstreit verwendet werden können
  • die Office 365-Nachrichtenverschlüsselung
  • die Informationsverwaltungsrichtlinien in Office 365 (wie Aufbewahrungsrichtlinien, Richtlinien zum Ablauf veralteter Inhalte und zur Überwachung der Dokumentennutzung)
  • die Verwaltung von Informationsrechten (Information Rights Management, IRM)
  • die Transportregeln in Office 365, um Unternehmensrichtlinien auf E-Mail-Nachrichten anzuwenden
  • die MDM-Funktionen von Office 365 zur Verwaltung von Tablets und Smartphones mit iOS, Android oder Windows Phone

Mit dem Office 365 Advanced Security Management hat Microsoft die Cloud-Anwendung um drei weitere integrierten Sicherheitsfunktionen erweitert:

  • Threat Detection, um Richtlinien aufzusetzen, die bei der Aufdeckung möglicher Angriffe auf Anwendungen und Daten unterstützen
  • Enhanced Control zur Definition von Richtlinien für das Verfolgen bestimmter, verdächtiger Aktivitäten (wie Download von Daten in ungewöhnlich großem Umfang, eine auffällig große Zahl von gescheiterten Anmeldeversuchen oder Anmeldungen über unbekannte IP-Adressen)
  • App Discovery für die Überwachung von Drittanwendungen in Office 365

Für die Anforderungen aus dem Bereich Datenschutz ist es zudem wichtig zu wissen, wo sich die jeweilige Cloud und damit die Daten der Nutzer befinden. Microsoft bietet Office 365 auch aus deutschen Rechenzentren an, so dass Kundendaten dann ausschließlich innerhalb Deutschlands transportiert und gespeichert werden. Als deutscher Datentreuhänder kontrolliert T-Systems den Zugriff auf die Kundendaten.

Zusätzliche IT-Sicherheit für Office 365

Obwohl Office 365 bereits eine Vielzahl an internen Funktionen für die Sicherheit der Cloud-Daten liefert, gibt es eine Reihe von Zusatzlösungen auf dem Markt wie Trend Micro Cloud App Security, Forcepoint, Proofpoint, Symantec Office 365-Schutz, Retarus 366, Skyhigh Office 365 Security Solution oder die MDM-Lösung für Office 365 von MobileIron, um nur einige Beispiele zu nennen.

Ob man eine zusätzliche Sicherheitslösung für Office 365 benötigt und welche dies sein sollte, hängt zum einen von dem konkreten Einsatz und dem Schutzbedarf der Daten des jeweiligen Unternehmens ab. Zum anderen gibt es Anforderungskataloge für Cloud-Lösungen wie der Katalog des BSI (pdf), die als Maßstab genutzt werden können. Ebenso sollten die Cloud-Risiken in den Blick genommen werden, wie sie insbesondere von der Cloud Security Alliance (CSA) gelistet werden. Gerade im Bereich neuer Angriffstypen und bei Verarbeitung besonders sensibler Daten werden Speziallösungen für die Absicherung von Office-Lösungen aus der Cloud als Erweiterung der integrierten Sicherheitsfunktionen Sinn machen.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44452501 / Allgemein)