Microsoft 365

M365-Tenants strukturiert auf Sicherheit überprüfen

M365-Tenants strukturiert auf Sicherheit überprüfen

Von Benjamin Daur, Senior IT-Consultant, audius

Der einfache Einstieg in Microsoft 365 ist Segen und Fluch zugleich. Vor lauter Glück über die schnelle Einführung im Unternehmen fällt eine fundierte Bewertung der Sicherheitsaspekte häufig unter den Tisch. Für ein fundiertes Assessment bieten sich frei verfügbare Best Practices an und wer das nicht selbst machen will, nutzt entsprechende Dienstleistungspakete.

Benjamin Daur, Senior IT-Consultant, audius

Natürlich ist M365 eine sichere Plattform – weit sicherer als alles, was ein normales Anwendungsunternehmen inhouse auf die Beine stellen kann. Viele der unzähligen Einstellungen in Microsoft 365 sind im Default so gesetzt, dass sie eine sichere Nutzung gewährleisten, doch leider gilt das nicht für alle Einstellungen. Schnell lassen sich Beispiele finden, bei denen die Default-Einstellung potenzielle Sicherheitslücken offen lässt. Und einmal Hand auf Herz: wer hat schon in einem historisch gewachsenem Tenant alle Einstellungen jederzeit im Detail im Blick? Zumal mit jedem Update immer wieder neue Einstellungen und Features – teilweise weitgehend unbemerkt – hinzukommen.

Ein strukturierter Ansatz ist vonnöten

Es macht sicher wenig Sinn, sporadisch oder ad-hoc durch die Vielzahl der Einstellungen zu gehen und sie auf potenzielle Sicherheitslücken hin zu untersuchen. Glücklicherweise brauchen Sie das Rad hier nicht neu zu erfinden, sondern können auf bewährte Quellen zurückgreifen. Wir empfehlen eine Kombination aus dem CIS Microsoft 365 Foundations Benchmark des Center for Internet Security und den Vorgaben zum IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI).

Der CIS Microsoft 365 Foundations Benchmark als Basis

Der CIS Benchmark Report listet auf rund 400 Seiten umfassend die relevanten Security-Einstellungen für Microsoft 365 auf und gibt entsprechende Empfehlungen. Er basiert auf Best Practices, die gemeinsam von Experten aus verschiedenen Bereichen und Branchen entwickelt wurden, und hat so einen hohen Praxisbezug. Der Report enthält direkt umsetzbare und konkrete Empfehlungen, die das Implementieren und Verwalten von Sicherheitsrichtlinien in M365-Umgebungen vereinfachen. Indem M365 nach anerkannten Sicherheitsstandards konfiguriert wird, trägt der Einsatz des CIS-Benchmarks dazu bei, Sicherheitslücken zu minimieren und die Angriffsfläche von Organisationen zu reduzieren. Darüber hinaus wird der CIS Microsoft 365 Foundations Benchmark kontinuierlich aktualisiert, um auf technologische Veränderungen und neue Bedrohungen zu reagieren. Das gewährleistet, dass die Sicherheitsempfehlungen stets auf dem neuesten Stand sind und effektiven Schutz bieten.

Das BSI IT-Grundschutz-Kompendium als Ergänzung

Unternehmen, Verwaltungseinrichtungen und andere Organisationen in Deutschland tun gut daran, den Empfehlungen des BSI zu folgen. Deshalb raten wir dazu, für die Sicherheitsbetrachtung von Microsoft 365-Umgebungen auch die Vorgaben des BSI zum IT-Grundschutz zur Grundlage zu machen. Der IT-Grundschutz des BSI bietet einen ganzheitlichen Ansatz zur IT-Sicherheit, der über technische Aspekte hinausgeht. Er umfasst organisatorische, personelle und infrastrukturelle Sicherheitsaspekte, die für eine umfassende Sicherheitsstrategie entscheidend sind. Zudem wird ein deutlicher Fokus auch auf das Risikomanagement gelegt, das die technischen Leitlinien der CIS-Benchmarks um eine strategische Perspektive ergänzt. So werden Sicherheitsrisiken systematisch identifiziert, bewertet und gesteuert. Ähnlich wie die CIS-Benchmarks bietet der IT-Grundschutz des BSI detaillierte Handlungsanleitungen und Checklisten, die allerdings speziell auf den deutschen Markt zugeschnitten sind. Das BSI stellt zudem sicher, dass seine Empfehlungen mit den deutschen Gesetzen und Vorschriften, wie der DSGVO (Datenschutz-Grundverordnung), übereinstimmen. Das ist besonders wichtig für Unternehmen, die in Deutschland tätig sind oder Daten deutscher Bürger verarbeiten. Generell ist die Einhaltung der Empfehlungen des BSI IT-Grundschutzes eine Art inoffizielles Gütesiegel im Umgang mit Unternehmen der kritischen Infrastruktur.

Zusammenfassend bietet die Kombination aus CIS Benchmark und BSI IT-Grundschutz einen fundierten Ansatz für das detaillierte Security Assessment eines gewachsenen oder neu aufgesetzten M365 Tenant. Wenn da nicht ein Problem wäre: Oft fehlt es an der erforderlichen Zeit und den notwendigen Skills, um sich durch hunderte von Seiten und Einstellungen zu wühlen. Und selbst wenn beides verfügbar ist, fehlt es an einem erfahrenen Sparringspartner für die praxisgerechte Abwägung in der individuellen Situation. Hier hilft die Zusammenarbeit mit einem Experten.

Ein professionelles Security Assessment gibt schnell und nachhaltig Sicherheit

Um schneller von umfassender Sicherheit zu profitieren, bietet sich ein professionelles Assessment wie das audius M365 Security Assessment an. Zertifizierte Expertinnen und Experten für Microsoft 365 Security unterziehen dabei den zu prüfenden Microsoft 365 Tenant einem gründlichen und vor allem vollständigen Check mit Hunderten von Punkten nach dem CIS Benchmark und den IT-Grundschutz-Vorgaben. Sie zeigen dabei nicht nur die Lücken auf, sondern beschreiben zudem, wie diese praxisgerecht geschlossen werden können. Anschließend erhält der Kunde einen fundierten Fahrplan, wie der Tenant auch in Zukunft sicher gehalten werden kann – bei monatlich zahlreich neu hinzukommenden Einstellungen eine sehr gute Idee.

Mehr Informationen bietet eine kostenloser Quick Guide zu fünf wichtigen Security-Einstellungen in M365, die häufig übersehen werden: https://landing.audius.de/5-security-einstellungen-für-microsoft-365-die-sie-vornehmen-sollten