Risiken beim Filesharing reduzieren
Cloud-Dienste wie Teams, OneDrive und SharePoint erlauben es Mitarbeitenden, Dokumente schnell und einfach miteinander zu teilen. Um geteilte Dokumente zu schützen, wird der Einsatz von Multi-Faktor-Authentifizierung (MFA) empfohlen
Der Siegeszug der Cloud hat sich in den vergangenen Jahren enorm beschleunigt. Foto: AdopeStock
Der unkomplizierte Austausch steigert die Produktivität, doch Unternehmen geht dabei auch Kontrolle verloren. Wie Organisationen das Teilen von Daten absichern können, verrät der Security-Experte Helmut Semmelmayer von tenfold Software.
Der Siegeszug der Cloud ist kein neuer Trend, hat sich in den vergangenen Jahren jedoch enorm beschleunigt. Infolge von Home-Office-Regelungen und modernen Arbeitsmodellen greifen Unternehmen verstärkt auf Dienste wie Microsoft 365 zurück, um ihren Angestellten auch unter schwierigen Bedingungen Kommunikation und Austausch zu ermöglichen.
Das rasante Wachstum von MS 365 spiegelt sich auch in den Quartalszahlen von Microsoft wider: Der Umsatz im Cloud-Bereich ist allein im Vergleich zum Vorjahr um 32 Prozent gestiegen. Insgesamt spricht der Konzern inzwischen von 345 Millionen kostenpflichtigen Lizenzen und 270 Millionen monatlichen Nutzer:innen der Chat-Plattform Teams. Die Microsoft Cloud hat sich zum Dreh- und Angelpunkt für die Zusammenarbeit in und unter Firmen entwickelt.
Für Produktivität und schnelle Entscheidungsprozesse stellt diese Entwicklung einen Segen dar, doch für Unternehmen kann der intensive Einsatz von Cloud-Diensten auch zur Gefahr werden. Natürlich ist die Auslagerung grundlegender IT-Prozesse immer mit gewissen Risiken verbunden, etwa Angriffe auf den Dienstleister oder die Problematik des Datenschutzes, die in Deutschland insbesondere rund um die Nutzung von MS 365 im öffentlichen Dienst intensiv diskutiert wird. Darüber hinaus ergeben sich jedoch auch praktische Probleme hinsichtlich der Konfiguration und Nutzung von Microsoft 365.
Datenzugang auf ein Minimum beschränken
Die Kernfunktion von MS 365 bildet hier gleichzeitig die größte Herausforderung der Plattform: Das freie Teilen von Daten. Indem MS 365 es Mitarbeitenden ermöglicht, Dateien intern wie extern mit wenigen Klicks zu teilen, macht der Cloud-Dienst normale Anwendende gewissermaßen zu Admins. Datei-Freigaben, die ehemals zentral durch die IT-Abteilung abgewickelt wurden, verteilen sich somit über das gesamte Unternehmen und werden von Mitarbeitenden spontan und mit Blick auf den für sie geringstmöglichen Aufwand durchgeführt. Das ist insbesondere deshalb bedenklich, da die Microsoft Cloud keine geeigneten Werkzeuge zur Verfügung stellt, um den Überblick über geteilte Dateien zu behalten oder Freigaben später nachzuvollziehen. Der Regelfall ist also dieser: Ist eine Datei einmal geteilt, bleibt sie auch geteilt. Selbst dann, wenn der ursprüngliche Zweck der Freigabe längst verfallen ist.
So sammeln Teammitglieder im Laufe der Zeit Zugang zu mehr und mehr Dokumenten, die sie eigentlich nicht benötigen. Sollte ihr Konto in die falschen Hände geraten, sind entsprechend umso mehr Dateien durch den Angriff gefährdet. Oft braucht es aber nicht einmal eine Cyberattacke: Das Spektrum an Sicherheitsvorfällen in Microsoft 365 reicht von der unbeabsichtigten Weitergabe sensibler Informationen bis hin zum Datendiebstahl durch verärgerte Angestellte. Nicht umsonst zählt es zu den Grundregeln der IT-Sicherheit, den Zugang zu Daten auf ein notwendiges Minimum zu beschränken.
Absicherung von Benutzerkonten
Was können Organisationen also tun, um den Zugriff auf geteilte Dokumente möglichst sicher zu gestalten? Als erster Schritt ist es entscheidend, alle Sicherheitsoptionen auszuschöpfen, die MS 365 je nach Lizenzstufe zur Absicherung von Benutzerkonten zur Verfügung stellt. Der Einsatz von Multi-Faktor-Authentifizierung (MFA) zählt hier zu den absoluten Grundlagen. Neben dem Einrichten des Kontrollverfahrens müssen dazu Apps, die MFA nicht unterstützen, über den Menüpunkt „Gerätezugriff“ im Admin Center aktiv blockiert werden. Darüber hinaus empfiehlt es sich, inaktive Sessions nach einem kurzen Zeitlimit automatisch zu beenden und Richtlinien für den bedingten Zugriff (Conditional Access) zu definieren. So lassen sich missbräuchliche Anmeldeversuche (etwa von anderen Kontinenten) von vornherein unterbinden.
Sicherheitseinstellungen wie diese, Phishing-Filter oder die Erkennung verdächtiger E-Mail-Anhänge schützen allerdings nur Konten innerhalb der eigenen Organisation. Da sich das Schutzniveau externer User kaum beurteilen lässt, sollten Freigaben an Außenstehende entsprechend sparsam und sorgfältig eingesetzt werden.
File-Sharing einschränken
Neben den grundlegenden Sicherheitseinstellungen bietet Microsoft 365 auch spezifische Optionen, um das Teilen von Dateien einzuschränken. Über vier Stufen lässt sich die externe Freigabe von Dokumenten in der gesamten Organisation oder innerhalb einzelner Teams-Gruppen steuern. Microsoft 365 erlaubt so das Teilen von Inhalten:
- Ohne Anmeldung
- Mit Anmeldung
- Nur mit existierenden Gästen
- Nur innerhalb der Organisation
Zusätzlich lässt sich das externe Teilen auf einzelne Sicherheitsgruppen beschränken, Freigabe-Links an bestimmte Domains blockieren oder ein automatischer Ablauf für Gastzugriffe festlegen. Das Problem an den von Microsoft bereitgestellten File-Sharing-Optionen ist jedoch, dass diese viel zu allgemein gehalten sind und keine granularen Anpassungen erlauben. Das externe Teilen von Dateien weitgehend zu unterbinden, widerspricht dem Zweck der Cloud-Plattform und stellt in den seltensten Fällen eine sinnvolle Lösung dar. Probleme ergeben sich in der Praxis meist durch Freigaben, für die es ursprünglich einen guten Grund gab, die aber länger bestehen als nötig. Der automatische Ablauf von Gastzugriffen hilft hier nur bedingt, da er nicht individuell angepasst werden kann und zudem auch interne Freigaben ein Risiko darstellen, wenn diese aus dem Ruder geraten.
Fehlende Transparenz
Die von Microsoft 365 bereitgestellten Sicherheits-Optionen helfen Organisationen dabei, Konten vor unberechtigten Zugriffen zu schützen und Rahmenbedingungen für externes File-Sharing zu definieren. Ob eine Freigabe sinnvoll ist und wie lange diese erhalten bleiben sollte, muss aber von Fall zu Fall entschieden werden. Doch dazu müssen Firmen erst einmal wissen, wo ihre Mitarbeitenden welche Dateien mit wem teilen. Mangelnde Übersicht stellt leider eine der größten Schwachstellen von MS 365 dar: Freigaben lassen sich in der Microsoft Cloud nicht gesammelt erheben, sondern nur auf Ebene einzelner Benutzer oder Verzeichnisse. Für komplexe Organisationen ist das keine angemessene Lösung. Entsprechend schwer gestaltet sich die regelmäßige Kontrolle geteilter Dokumente, die notwendig wäre, um Zugänge rechtzeitig zu schließen.
Um geteilte Daten im Blick zu behalten, sollten Organisationen daher auf eine externe Lösung zurückgreifen, die Freigaben übersichtlich zusammenfassen und den Zugang zu Dokumenten gezielt steuern kann. Anwendungen für die Berechtigungsverwaltung tragen so nicht nur zum besseren Schutz von Firmendaten bei, sondern reduzieren auch den Aufwand für IT-Fachkräfte.
Mehr Artikel vom Autor
Helmut Semmelmayer
Helmut Semmelmayer, VP Revenue Operations bei tenfold Software