Was Sie auf dem Weg in die Cloud beachten sollten – Teil 1

Es ist nicht mehr die Frage, ob wir in die Cloud gehen. Wir sind bereits mitten drin. Ob bei Facebook, iCloud, Dropbox, Facebook, Twitter, Xing, LinkedIn oder Google und Youtube, ob im privaten oder geschäftlichen Umfeld, wir nutzen die Dienste und wir vernetzen uns in der Kommunikation und den Prozessen immer mehr.

IT-Sicherheit und Microsoft Office 365

Und wir werden auch im Geschäftsalltag getrieben. Ob wir zu Microsoft Office 365 (bzw. bald Microsoft 365) wollen, ist fast egal. Wenn wir den Standard in der Office Welt weiter nutzen wollen, kommen wir nicht drum herum. Microsoft nutzt einmal mehr seine Monopolstellung aus und führt uns mit einer Reihe von Argumenten sukzessive in die Cloud zu seinen Service wie Office 365, Exchange Online und Azure Active Directory. Das sind die derzeit vielleicht gefragtesten Lösungen von Microsoft aus der Cloud. Sie liefern die Unterstützung im hybriden Ansatz von Cloud Service und On Premise. Zumindest solange wir Teile unserer IT noch in unserem „Sweet Home“ haben.

Der Trend ist klar, zumindest wenn es aus der Perspektive der Anbieter geht: „Alles in die Cloud“. Und alles über Subscription Modelle; also Dauerschuldverhältnisse, die uns in eine noch größere Abhängigkeit bringen werden wie bisher.

Und dabei versuchen wir in der IT-Sicherheit und dem Datenschutz seit Jahren Herr zu werden. Wir schützen unsere IT mit einem nennenswerten Anteil des IT-Budgets, bauen Mauern, Abwehr- und Schutzmechanismen sowie Überwachungsumgebungen auf, damit wir die Identitäten unserer Anwender und die Daten des Unternehmens schützen.

Wie behalte ich die Kontrolle über meine Daten?

Mit dem Weg in die Cloud stellen wir einmal mehr fest, dass wir wieder am Punkt des Kontrollverlustes sind: Welche Cloud Applikationen nutzen unsere Anwender? Wo überall haben sie Identitäten? Wie werden diese geschützt? Wo liegen welche Daten? Sind diese sensibel und damit besonders schützenswert? Mit wem werden sie ausgetauscht? Wie kann ich das kontrollieren? Wie werden diese Daten gesichert? Wie kann ich die DSGVO-Konformität und andere Compliance-Themen sicherstellen?

All das wird mit Microsoft (Office) 365, Exchange Online, Outlook Online, SharePoint Online und Microsoft Teams nicht transparenter, sondern scheint eine noch größere Herausforderung zu werden. Was also können wir tun, um hier ein Stück weit die Kontrolle zu behalten, die IT-Sicherheit für unsere Unternehmen erhöhen, den Datenschutz gewährleisten und unseren Mitarbeitern die Vorteile der Cloud dennoch erlebbar zu machen?

Bei Microsoft Office 365 wählt man zur Lizensierung zunächst einmal aus unterschiedlichen Services ein entsprechendes Bundle, auch „Plan“ genannt, aus. Unternehmen entscheiden sich bei den Security Features von Microsoft im Rahmen der Bundles in der Regel zwischen einem E3 und einem E5-Plan. Hier sollte man sich mit den Security-Features im Detail auseinandersetzen und vor allem darüber nachdenken, ob man Microsoft mit Microsoft schützen will. Und man sollte darüber nachdenken, welche weiteren Dienste aus der Cloud genutzt werden (sollen), und wie man diese schützen möchte.

Für was muss ich selbst Verantwortung übernehmen?

Mit Microsoft 365 und den dahinterliegenden Cloud Services ist es nicht so einfach, wie man es suggeriert bekommt: „Gib uns alles in die Cloud, kümmere du dich um dein Kerngeschäft, lieber Kunde“. Was wir im ersten Moment vielleicht nicht wissen, aber unbedingt beachten müssen ist, dass Microsoft uns mit in die Verantwortung nimmt. Wir haben ein Modell der „Shared Responsibility“, also geteilter Verantwortung. Microsoft kümmert sich dabei um die Sicherheit der Rechenzentren, der Infrastruktur, dem Netzwerk, dem Betriebssystem und der Applikation für ihre Cloud Services. Die Verantwortung für Cyber Risiken und Bedrohungen, die Daten und die Benutzeraktivitäten liegt jedoch bei uns. Wir müssen uns daher maßgeblich um drei Themen selbst kümmern:

  • Schutz vor Malware und Threats
  • Vermeidung von Datenabfluß
  • Kontrolle risikobehafteter Aktivitäten unserer Anwender

Was also müssen wir tun, um dieser Verantwortung gerecht zu werden?

Absicherung von Identitäten in der Cloud

Ein wichtiger Punkt für die Nutzung von Cloud Services beginnt mit der Absicherung der Identitäten, die Verwaltung deren Rollen und Berechtigungen und der sicheren Authentisierung. Damit sich die Anwender nicht für jeden Service eine eigene Identität erstellen müssen – womöglich noch mit jeweils unterschiedlichen Passwörtern – macht es Sinn, EIN Identity Management zu haben. Und damit die Anwender Zeit sparen, ist dabei ein Single Sign One (kurz: SSO) einzusetzen. Diese sollte jedoch unbedingt mit einer starken Authentisierung gekoppelt sein, damit ein Identitätsdiebstahl keine fatalen Folgen hat.

Da wir uns heutzutage überall bewegen und dabei unterschiedliche sichere Arbeitsmittel haben, ist die Nutzung einer adaptiven Authentisierung hilfreich, die abhängig von den Rahmenparametern, unterschiedliche Berechtigungen schafft. Je nachdem, ob der Benutzer beispielsweise vom Arbeitsplatz in der Firma, aus dem Homeoffice oder von einem beliebigen Device auf unsere Instanz von Microsoft Office 365 zugreift, hat er unterschiedliche Berechtigungen. So darf der Benutzer gemäß Richtlinien dann zum Beispiel nur Mails und Dokumente lesen oder sie auch bearbeiten, nicht aber herunterladen oder hochladen. Auch die Frage, mit wem jemand Daten über OneDrive oder SharePoint teilen und austauschen darf, kann damit je nach Rolle, Ort und Device angepasst werden. Diese Möglichkeiten schafft beispielsweise das Adaptive Access Control des Cloud Access Security Brokers (kurz: CASB) von Netskope.

Datenschutz in der Cloud

Bei der Frage, vor wem ich Daten schützen will, kommt in der Regel „vor Hackern“. Haben ich die Daten in Microsoft Office 365 in der Cloud gespeichert, sind die Daten erst einmal verschlüsselt. Solange die Identität nicht gehackt ist (siehe Authentisierung), sollte ein Hacker mit den verschlüsselten Daten nicht viel anfangen können.

Will ich die Daten jedoch auch vor dem Zugriff von Microsoft schützen (die sich eine Hintertür dazu eingebaut haben sollen), kann durch zusätzliche Verschlüsselung am Gateway oder / und am Client dieser Zugriff für Microsoft erschwert werden. Nachteilig dabei ist jedoch, dass beim Einsatz von zusätzlicher Verschlüsselung auch eine Einschränkung in den Funktionen von Office 365 in Kauf genommen werden muss. Dazu zählen Funktionen wie die Online Editierung, Such-Funktionen und Sortierung. Hier ist die Empfehlung, Verschlüsselung nur dort selektiv einzusetzen, wo es unbedingt nötig ist.

Wie kann ich einen Datenverlust erkennen?

Eine weitere Empfehlung ist die Nutzung von SSL-Inspektion im Datenstrom. Damit lässt sich eine Kontrolle des Datenstroms auch inhaltlich vornehmen. Bisher blocken wir am Web-Proxy damit Webseiten und Services, die den Compliance-Regeln der Internetnutzung widersprechen. Wir müssen jetzt aber noch genauer reinschauen, um kontrollieren zu können, was über die Cloud-Services wie Microsoft Office 365 und andere läuft. Nur so können wir Datenverlust oder Schadcode erkennen.

Wir kennen und nutzen diese Proxys häufig bereits am Perimeter. Da der klassische Perimeter im Unternehmen jedoch immer weiter verschwindet, muss ein Cloud-Proxy diese Funktion übernehmen. Dieser Cloud-Proxy sollte hier weiterführende Funktionen haben, die im Kontext der Benutzeraktivitäten weiß, was gut ist und was nicht. Dazu haben unterschiedliche Anbieter entsprechende Produkte. In Kombination mit einem CASB lässt sich dies besonders gut umsetzen, wie Netskope eindrücklich zeigt.

Microsoft schränkt die Empfehlung zur Nutzung von SSL-Inspection übrigens ein:

„A final point on proxies, they are absolutely a supported method for our customers to reach Office 365, however they are very likely to provide performance issues if not redesigned & uplifted from their old internet access design, to their new usage with cloud services.“ – Microsoft

Dennoch ist SSL-Inspection aus Sicht von Experten der einzig sinnvolle Weg für eine Real-Time Kontrolle. Nicht vergessen darf man dabei aber, dass SSL-Inspection grundsätzlich mit dem Betriebsrat (wenn vorhanden) abgestimmt und man die Mitarbeiter über die Nutzung informieren muss.

Welche weiteren Vorkehrungen muss ich treffen?

Zum Schutz der Daten ist ferner die Frage nach Datensicherung (Backup) und Archivierung bei Microsoft Office 365 und den Online-Diensten zu stellen. Hier gilt es zu entscheiden, ob externe Tools zum Einsatz kommen müssen oder ob man den Services von Microsoft ausreichend vertraut. Wertvolle Informationen und ausführliche Beschreibungen der Office 365 Services findet man hier. Hier lohnt sich auch ein Blick auf den Exchange Online Archiving Service.

Um den Schutz vor Malware wie Viren, Würmer und Trojaner sowie die zahlreichen anderen Bedrohungen der Cyberkriminellen zu erhöhen, müssen auch hier entsprechende Zusatzmaßnahmen ergriffen werden. Anti-Virus, wie es von Microsoft in OneDrive und SharePoint Online angeboten wird, ist nicht mehr zeitgemäß und daher nicht ausreichend. Es sollten gute Lösungen zur Advanced Threat Protection (ATP) eingesetzt werden, die auch bei ZeroDay Exploits greifen.

Noch immer sind bösartige Makros in Word und Excel unterwegs, gegen die wir uns zudem schützen müssen. Um hier heuristische Suchen und Sandboxing einzusetzen, müssen nach meinem Kenntnisstand derzeit Dritthersteller eingesetzt werden. Auch hier kann beispielsweise ein Cloud Access Security Broker  wie der von Netskope wirkungsvoll unterstützen und auch als Schnittstelle zu entsprechenden ATP-Produkten dienen.

Setzt man die einzelnen Elemente wie hier beschrieben um, kommt die Frage nach dem Betrieb. Bei Security Operations macht es Sinn, die einzelnen Tools wie Active Directory (auch das Azure AD), ATP, CASB, DLP, Proxy und mehr in ein SIEM zu integrieren. Hat man die Use Cases einmal abgebildet, wird man bei wichtigen Ereignissen proaktiv informiert bleibt handlungsfähig.

Fazit

Der mit der Nutzung von Cloud-Diensten verbundenen Verantwortung wird man bei Beachtung dieser genannten Themen sicher ein gutes Stück gerecht. Ich habe hier keinen Anspruch auf Vollständigkeit, weil das Thema in Summe sehr breit ist. Weitere Themen für Ihren Weg in die Cloud werde ich daher in einem zweiten Blogbeitrag beleuchten. Bei Fragen oder Wunschthemen freue ich mich auf Kommentare oder eine Kontaktaufnahme. Ich hoffe, dass ich mit diesem Aritkel einen einen Beitrag in der Vorbereitung auf dem sicheren Weg in die Cloud leisten kann.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

CAPTCHA *