Security für MS Office 365

Auch Office 365 braucht zusätzliche Sicherheit

| Autor / Redakteur: Kristina Vervoort / Peter Schmitz

Um sicher zu sein, dass keine Daten über Office 365 in falsche Hände gelangen, benötigen Unternehmen eine ganzheitliche Sicht auf die Suite und all die Verbindungen ins Web, zu anderen Cloud-Services und Software-as-a-Service-Plattformen.
Um sicher zu sein, dass keine Daten über Office 365 in falsche Hände gelangen, benötigen Unternehmen eine ganzheitliche Sicht auf die Suite und all die Verbindungen ins Web, zu anderen Cloud-Services und Software-as-a-Service-Plattformen. (Bild: gemeinfrei)

Nach jahrelanger Zurückhaltung verlieren die deutschen Unternehmen ihre Scheu vor dem Cloud Computing, auch mehr und mehr mittelständisch aufgestellte Firmen testen erste Services. Oft handelt es sich dabei um Microsoft Office 365. Kein Wunder, denn die Suite macht Unternehmen agiler und produktiver. Um Datenverlusten vorzubeugen und mit der DSGVO konform zu gehen, reichen die integrierten Security-Features aber nicht aus.

Im Jahr 2017 nutzten zwei Drittel aller Unternehmen Rechenleistungen aus der Cloud, so das Ergebnis einer repräsentativen Umfrage von Bitkom Research im Auftrag der KPMG. Zudem plant jedes fünfte Unternehmen den Cloud-Einsatz, nur für 13 Prozent ist dies kein Thema. „Cloud Computing hilft Unternehmen jeder Größenordnung, die Herausforderungen der digitalen Transformation zu meistern. Diese Erkenntnis hat sich durchgesetzt“, sagte Dr. Axel Pols, Geschäftsführer von Bitkom Research bei der Vorstellung der Studienergebnisse im Rahmen der CeBIT in Hannover.

Mehr Durchblick bei Cloud-Richtlinien

eBook „Cloud-Monitoring und Cloud Security Access Broker“

Mehr Durchblick bei Cloud-Richtlinien

25.04.17 - Cloud-Richtlinien sollen die Compliance bei der Nutzung von Cloud-Services sicherstellen. Doch ohne Kontrolle, ob die Cloud-Policy auch eingehalten wird, wiegen sich Cloud-Nutzer in trügerischer Sicherheit. lesen

Cloud trotz Sicherheitsbedenken nicht zu stoppen

Aus Großunternehmen ist Cloud Computing sowieso nicht mehr wegzudenken, hier setzen acht von zehn Unternehmen auf Cloud-Dienste. „Ob Kleinstbetrieb oder Großkonzern – Cloud Computing hat sich in aller Breite durchgesetzt“, so Peter Heidkamp, Head of Technology bei KPMG. Die Sorge um die Datensicherheit ist der Hauptgrund, weshalb ein Teil der Wirtschaft noch nicht die Public Cloud nutzt. Fast zwei Drittel der Nichtnutzer fürchten einen unberechtigten Zugriff auf sensible Unternehmensdaten.

Die sehr auf Sicherheit bedachten kleinen und mittleren Unternehmen tasten sich daher vorsichtig vor und testen zunächst oft nur einen Cloud-Service. Was läge als erster Cloud-Service näher als eine Office-Suite? Praktisch jeder Mitarbeiter im Unternehmen benötigt sie, die vielfältigen Möglichkeiten der Zusammenarbeit fördert zweifellos die Produktivität der Belegschaft. Bekanntlich ist Microsoft mit seinem Office 365 hier Marktführer.

Am Einsatz von Office 365 wird der weitere Umgang mit der Cloud festgemacht: Fallen die Erfahrungen damit positiv aus, wird das Unternehmen mit großer Wahrscheinlichkeit weitere Cloud-Services nutzen. Gibt es Probleme, wird das Unternehmen künftig entsprechend zurückhaltend agieren. Das größte vorstellbare Problem bei der Nutzung von Office 365 ist ein Datenverlust – egal ob durch Diebstahl oder Unachtsamkeit. Daten, noch dazu sensible Daten, sind das Öl der Industrie 4.0 und gerade für den deutschen Mittelstand von ungeheurer Bedeutung.

Office 365 bietet bereits Data Loss Prevention

Wie also können insbesondere sensible Daten in der Office-Suite geschützt werden, wenn Services wie OneDrive, SharePoint oder Yammer auf Collaboration ausgelegt sind und das Teilen von Daten quasi mit einem Klick erlauben? Nun, Microsoft hat in seine Office 365-Suite bereits viele und gute Sicherheitsfunktionen integriert, z. B. die Office 365-Nachrichtenverschlüsselung für E-Mail, einen Identitäts- und Gerätezugriffsschutz und Privileged Access Management. Microsoft betont, dass Office 365 auf den Prinzipien des Security Development Lifecycle basiert. Dieser steht bei Microsoft für einen Prozess, bei dem umfassende Sicherheitsvorgaben in jede Phase der Produktentwicklung einfließen.

Office 365 bietet darüber hinaus DLP-Funktionen (Data Loss Prevention) zur Verhinderung von Datenverlust. Mit DLP können Unternehmen vertrauliche Informationen über viele Speicherorte hinweg identifizieren und verhindern, dass sie unbeabsichtigt freigegeben werden. Hier geht es zu einer Übersicht über die Richtlinien zur Verhinderung von Datenverlust in Office 365. Hinzu kommen die in Windows integrierten Sicherheitsfunktionen.

Grundlagen der Cloud Access Security Broker (CASB)

Datenschutz und Datennutzung in der Cloud

Grundlagen der Cloud Access Security Broker (CASB)

27.09.18 - Ein Cloud Access Security Broker (CASB) überwacht und protokolliert den Datenverkehr zwischen Cloud-Anwendungen und ihren Nutzern und setzt gleichzeitig auch Security-Policies um. Ein CASB arbeitet on-premises oder in der Cloud und sorgt dafür, dass Unternehmen ihre Sicherheitsrichtlinien nicht nur innerhalb ihrer Infrastruktur durchsetzen können, sondern auch in der Cloud. lesen

Integrierte Security-Features reichen nicht aus

Aber sensible Daten sind in Office 365 verschiedensten Risiken ausgesetzt: Mitarbeiter teilen sie versehentlich öffentlich oder speichern sie auf private Geräte und Instanzen ab. Auch Bedrohungen von außen nehmen zu: Mitarbeiter könnten ein infiziertes File in OneDrive hochladen, Ransomware könnte sich via SyncClients rasend verbreiten, auch sind Zugriffe auf Firmendaten mit Hilfe gekaperter Nutzer-Accounts möglich…

Um wirklich sicher sein zu können, dass keinerlei Daten über Office 365 in falsche Hände gelangen, benötigen Unternehmen eine ganzheitliche Sicht auf die Suite und all die Verbindungen ins Web, zu anderen Cloud-Services und Software-as-a-Service-Plattformen. Einen solchen ganzheitlichen Blick auf Office, die darin genutzten Daten sowie die angebundenen Services und Nutzer verlangt auch die neue Datenschutz-Grundverordnung (DSGVO): Unternehmen müssen die DSVGO-konforme Nutzung der Cloud-Applikationen gewährleisten können. Das bedeutet, dass sie kontextsensitive Policies auf Aktivitätsebene benötigen. Aktivitäten von Nutzern, die gegen die DSGVO verstoßen, müssen verhindert werden.

Dafür ist ein ganzheitlicher Blick auf Office 365 nötig. Am Markt stehen dafür verschiedene Lösungen bereit, die in der Regel einen Cloud-Access-Security-Broker (CASB) enthalten. Ein CASB überwacht und steuert Datenströme und User-Aktivitäten in allen Cloud Services, auch wenn es sich um Schatten-IT und nicht-IT-geführten Cloud-Services handelt. Microsoft selbst rät bei der Nutzung von Office 365 zum Einsatz eines solchen Brokers.

CASB macht Office erst wirklich sicher

Laut Gartner in seinem “Magic Quadrant for Cloud Access Security Brokers” werden bis 2020 rund 60 Prozent der Großunternehmen einen CASB nutzen. Per Definition schützt ein CASB die in die Cloud verlagerten Anwendungen eines Unternehmens, indem er die Kommunikation zwischen Anwendern und Cloud-Applikation analysiert, protokolliert und gegebenenfalls steuert. So verhindert er unerwünschten Datenverkehr und schlägt bei verdächtigem Verhalten Alarm.

Gartner teilt die Schlüsselfunktionen eines CASBs in vier Teilbereiche auf: Visibility, Compliance, Data Security und Threat Protection. Daraus ergeben sich drei Hauptfunktionen eines solchen System: Aufdecken von Schatten-IT, sicherer Betrieb von IT-geführten Cloud-Diensten und Kontrolle aller Cloud-Services und deren Daten entsprechend den Sicherheitsrichtlinien des Unternehmens und auch Datenschutzvorgaben der DSGVO.

Resümee

Public Cloud Services haben sich auf breiter Front durchgesetzt, Unternehmen nutzen mehr und mehr entsprechende Dienste. Einer der populärsten Cloud-Services ist Microsoft Office 365. Um die Sicherheit von Daten in Office 365 zu gewährleisten und Regulierungen wie die DSGVO umzusetzen, benötigen Unternehmen eine ganzheitliche Sicht auf die Cloud-Nutzung.

Dabei müssen auch die Datenströme zu Schatten-IT Applikationen miteinbezogen werden. CASBs ermöglichen dies für die Office 365 Suite – aber auch andere Public Cloud Dienste, SaaS genauso wie IaaS. Sie können die Security-Policies von Unternehmen auch für die Public Cloud umsetzen. Dies unabhängig davon, ob die Cloud Applikationen IT-kontrolliert sind oder es von Mitarbeitern ohne Wissen und Zutun der IT genutzte Apps sind.

Über die Autorin: Kristina Vervoort ist Regional Sales Manager DACH bei Netskope.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45750336 / Networking)