Microsoft 365
Strukturierte Risikoanalyse für die Einführung und Nutzung von Microsoft 365
Von Benjamin Daur, Senior IT-Consultant, audius
So leistungsfähig Microsoft 365 ist, so komplex ist auch dessen Konfiguration und die Bandbreite an individuellen Nutzungswegen. Für eine sichere und compliancegerechte Nutzung sollten alle potenziellen Risiken erfasst und entsprechende Mitigationsmaßnahmen getroffen werden. In diesem Beitrag beschreiben wir einen strukturierten Ansatz dazu anhand eines konkreten Beispiels aus unserer Beratungspraxis.
Wer beim Einsatz von Microsoft 365 höchste Anforderungen an Sicherheit und Compliance stellen muss, sollte eine strukturierte Risikoanalyse für die Einführung und Nutzung von Microsoft 365 vornehmen. Diese sollte ganzheitlich die gesamte Bandbreite an technischen, organisatorischen und prozessualen Risiken abdecken.
Für die Prüfung der technischen Risiken gibt es mittlerweile eine ganze Reihe von Leitfäden. Wir favorisieren eine Kombination aus dem CIS Microsoft 365 Foundations Benchmark des Center for Internet Security und den Vorgaben zum IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI), wie sie hier beschrieben ist.
Nicht nur Technik, sondern auch Organisation und Prozesse betrachten
Die organisatorischen und prozessualen Aspekte werden häufig vernachlässigt, was zu erheblichen Unsicherheiten mit Blick auf Compliance- und Datensicherheitsanforderungen führen kann. Um sie vollständig und praxisgerecht beleuchten zu können, ist nicht allein technische Expertise notwendig, sondern auch viel Erfahrung im konkreten Einsatz und in den praktischen Nutzungsmöglichkeiten von Microsoft 365 – ein Fachwissen, das beim Einstieg in die Nutzung in der Regel nicht intern vorliegt. Somit liegt der Zugriff auf externes Know-how nahe. Das gilt insbesondere auch, weil eine Risikoanalyse nicht nur den jeweilig aktuell geplanten Umfang beleuchten sollte, sondern zudem perspektivisch zukünftige Nutzungsformen, selbst wenn diese derzeit nicht konkret geplant sind.
Hier kommt unserem strukturierten Ansatz zugute, dass wir als audius den Einsatz von Microsoft 365 aus unterschiedlichen Branchen und in unterschiedlichsten Tiefen aus der Praxis vieler Projekte kennen. Aus dieser Erfahrung können wir einschätzen, welche Nutzungsformen künftig vermutlich noch hinzukommen, weil sie als logische Ergänzungen nach der ersten Einführung häufig gefordert werden.
Wir würden jeder anderen Organisation eine individuelle Risikoanalyse für Microsoft 365, wie wir sie mit audius durchgeführt haben, unbedingt empfehlen. Sie schafft Sicherheit und Vertrauen. Zudem geben einem die Experten der audius auf dem Weg auch viele praktische Tipps.
Athanasios Valkanis, Informationstechnologie, Baden-Württembergische Genossenschaftsverband e.G.
Strukturiertes Vorgehen auf Basis eines vorgefertigten Bewertungsrahmens
Unsere Risikoanalyse folgt einer von uns entwickelten Best-Practice und verwendet einen etablierten Bewertungsrahmen. Abgeleitet von den heute gewünschten und morgen perspektivisch zu erwartenden Funktionen, werden die dazu benötigten Microsoft-Dienste ermittelt und die Gefährdungspotentiale der einzelnen Dienste aus technischer, organisatorischer und prozessualer Sicht ausgearbeitet. Anschließend erfolgt eine Bewertung des Risikos der Gefährdungspotentiale hinsichtlich Auswirkung und Eintrittswahrscheinlichkeit. Damit sind die individuellen Risiken der M365-Nutzung für das Unternehmen vollständig und strukturiert benannt.
In einem zweiten Projektabschnitt werden Mitigationsmaßnahmen zur Minderung von Auswirkung und Eintrittswahrscheinlichkeit je Gefährdungspotential erarbeitet und eine erneute Bewertung des Risikos der Gefährdungspotentiale basierend auf den erarbeiteten Mitigationsmaßnahmen durchgeführt. Damit wird deutlich, welche Restrisiken bei der Umsetzung geeigneter technischer, organisatorischer und prozessualer Maßnahmen zur Risikovermeidung bestehen bleiben.
Damit erhält das Unternehmen eine fundierte Entscheidungsgrundlage, welche Funktionen wie genutzt und welche Funktionen gegebenenfalls aus Gründen der Sicherheit oder Compliance nicht verwendet werden sollten.
Eine gute Risikoanalyse denkt die Umsetzung mit
Eine gut durchgeführte Risikoanalyse sollte neben der Risikobewertung auch ein weiteres konkretes Ergebnis liefern. Die interne IT oder ein entsprechender externer Dienstleister sollte konkrete Vorgaben für die technische Konfiguration der entsprechenden Microsoft-Dienste erhalten, um die definierten Mitigationsmaßnahmen zur Risikominimierung auch konkret in der Plattform umzusetzen. Durch die Strukturierung anhand der potenziellen Risiken wird sichergestellt, dass keine essenziellen Konfigurationen und Einstellungen vergessen werden.
Sinnvoll und keine Mammutaufgabe
Eine solche strukturierte und ganzheitliche Risikoanalyse muss dabei nicht in ein langwieriges und aufwendiges Projekt ausarten. Die Nutzung von externem Know-how ist anzuraten, sofern intern keine umfassende Erfahrung mit den Nutzungsmöglichkeiten von Microsoft 365 vorliegt. Achten Sie bei der Auswahl eines Beratungspartners neben diesem Fachwissen auch auf das Vorhandensein strukturierter Bewertungskataloge und eine besondere Expertise in Security, Compliance und Datenschutz. Mit den richtigen Beratungstools und der richtigen Methodik kann eine individuelle Risikobewertung in der Regel mit wenigen Beratungstagen erfolgen.
Die Verantwortlichen können mit einer strukturierten Risikoanalyse fundiert nachweisen, alles für einen sicheren und compliancegerechten Einsatz von Microsoft 365 getan zu haben. Durch die Ergänzung mit konkreten Vorgaben für die Umsetzung entsteht für die interne IT ein weiterer Mehrwert, der für eine schnellere Einführung von Microsoft 365 sorgen kann.
____
Ein konkretes Beispiel
Der Baden-Württembergische Genossenschaftsverband (BWGV) ist eine der bedeutendsten und mitgliederstärksten Wirtschaftsorganisationen im Südwesten und repräsentiert rund 750 mittelständische Unternehmen. Dazu gehören Volksbanken und Raiffeisenbanken ebenso wie Raiffeisen- und gewerbliche Genossenschaften wie beispielsweise Euronics oder Intersport. Für sie ist der BWGV wichtiger Dienstleister für die Beratung, Prüfung, Bildung und Interessenvertretung.
Vor der Einführung von Microsoft 365 beauftragte der BWGV audius mit einer strukturierten Risikoanalyse für die Einführung und Nutzung von Microsoft 365, insbesondere von Microsoft Teams. In der Risikoanalyse wurden mehr als 60 spezifische Gefährdungspotenziale ermittelt und 50 individuelle Mitigationsmaßnahmen zur Senkung und Vermeidung von Risiken erarbeitet. Mit dieser Risikoanalyse und der anschließenden Umsetzung der Mitigationsmaßnahmen konnte der BWGV sicher und compliancegerecht in die Nutzung von Microsoft 365 starten.
Mehr Informationen zu diesem konkreten Projektbeispiel finden sich in der entsprechenden Success Story unter: https://landing.audius.de/success-story-bwgv
