Du hast die kostenlose Microsoft Cloud for Non-Profits beantragt und nutzt nun die Dienste wie Outlook, Teams oder OneDrive, dann solltest Du Dich darum kümmern Deine Umgebung zu schützen. Die Microsoft 365 Dienste sind weltweit erreichbar und erfreuen sich einer großen Beliebtheit. Daher sind sie beliebte Ziele für Angreifer. Zudem unterliegen auch gemeinnützige Organisationen den allgemeinen Gesetzen für den Datenschutz und diese regeln u. a. den Einsatz von angemessenen Schutzvorkehrungen vor Missbrauch. Datenschutz kann nur mit einem entsprechenden Schutzniveau erreicht werden.
Dieser Blog ist Teil 4 einer Blog-Reihe über die Microsoft Cloud for Non-Profits.
Wie Du das einrichtest?
Microsoft Cloud for Non-Profits sicherer machen
Hier beschreibe ich wie Du die Dienste der Microsoft 365 Cloud for Non-Profits sicherer machst. Wenn es um IT-Security geht, könnte man mit Sicherheit dicke Bücher schreiben und viele Stunden in das Thema investieren. Da dies aber in kleinen gemeinnützigen Organisationen nicht realistisch ist, beschränke ich mich auf drei aus meiner Sicht wichtige Punkte, um in sehr kurzer Zeit ein besseres Schutzniveau zu erreichen. Die hier empfohlenen Maßnahmen beziehen sich auf Microsoft 365 Business Basic. Also das absolute Minimum an Funktionen. Solltest Du Microsoft 365 Business Premium nutzen, so stünden Dir weitere Security-Möglichkeiten (z. B.: Antivirus auf dem PC, etc.) zur Verfügung.
1. Konten absichern
Die Microsoft Cloud for Non-Profits besteht aus vielen einzelnen Diensten (Teams, OneDrive, Outlook, u. v. m.), die einzeln konfiguriert werden müssen. Eins haben alle Dienste gemeinsam. Man meldet sich an diesen Diensten mit einem Konto an, welches im Azure AD (Azure Active Directory) gespeichert wird. Diese Konten sind also zunächst das wichtigste Gut welches Du unbedingt zuerst schützen solltest.
2. Dienste einschränken
Zudem solltest Du nicht genutzte Dienste abschalten, um die Angriffsfläche zu verringern. Je mehr Funktionen aktiviert sind, desto größer ist die potenzielle Angriffsfläche für Angreifer. Ist ein Dienst zunächst nicht relevant für Dich, so sollte man ihn auch nicht aktiviert lassen.
3. Aktivitäten überwachen
Dann zeige ich Dir, wie Du Dir Basisaktivitäten in Deiner Umgebung anschauen kannst. Benutzer melden sich mit ihren Konten an und hinterlassen damit Daten, die Du überprüfen kannst. Sowohl erfolgreiche Aktivitäten als auch fehlgeschlagene Aktivitäten lassen sich nachvollziehen. Damit kannst Du einerseits überprüfen was legitime Benutzer tun andererseits aber auch sehen was potenzielle Angreifer versuchen zu tun.
1. Konten in der Microsoft Cloud for Non-Profits absichern
Wenn Du erst kürzlich Deine Non-Profit-Lizenzen freigeschaltet hast, dann ist das Feature Sicherheitsstandards (Security Defaults) im Azure AD bereits eingeschaltet. Hast Du die Einrichtung bereit im Oktober 2019 gemacht, so ist das Feature nicht eingeschaltet. Hier erfährst Du wie man es einschaltet.
Was bietet Sicherheitsstandards? Das Azure AD ist ein Dienst der genutzt wird, um Benutzerkonten zu speichern. Das Azure AD bietet eine Vielzahl von sicherheitsrelevante Funktionen. Da es tendenziell unrealistisch ist, dass sich ein Otto-Normal-Verbraucher dort in der Tiefe einarbeitet und dann eine Konfiguration vornimmt, schaltet man Sicherheitsstandards ein, womit dann viele Einstellungen von Haus (vom Werk) aus so eingestellt werden, dass ein optimaleres Sicherheitsniveau erreicht wird. Man kann auch Werkseinstellungen dazu sagen.
Was genau wird damit aktiviert? Und was solltest Du beachten?
- Alle Benutzer müssen einen zweiten Faktor (Handy) für die Anmeldung an den Diensten aktivieren. D. h. der Benutzer muss seine Anmeldung mit einem Handy bestätigen. Das solltest Du bereits vom Online-Banking kennen, den dort ist es Pflicht. Dies reduziert die Angriffsfläche für Angreifer enorm. Diese Funktion bitte niemals deaktivieren! Auch wenn es nervt! 😉 Das Azure AD versucht die Anforderungen des zweiten Faktors auf eine möglichst geringe Anzahl zu reduzieren. Dies geschieht mit KI-Methoden, die Dein Anmeldeverhalten „lernen“. Also nicht wundern wenn mal keine Aufforderung kommt.
- Bitte nutze für die tägliche Arbeit einen Nutzer ohne Administrationsrechte. Richte Dir einen zusätzlichen Benutzer mit einem komplexen Passwort (Und zweiten Faktor) ein, der Administrationsrechte hat, der dann nur selten zum Einsatz kommt.
- Richte Dir einen Backup-Administrator-Konto ein. Denn wenn der erste Admin-Benutzer mal nicht mehr funktioniert, dann hast Du ein Backup. Wenn Du keinen Zugang mehr hast und ein Support-Ticket bei Microsoft eröffnest, dann kannst Du Dich auf viel Arbeit und eine Lange Dauer einstellen.
- Zudem werden die alte Mail-Protokolle wie SMTP, IMAP und POP3 deaktiviert. Damit kannst Du die üblichen freien Mail-Clients nicht mehr nutzen. Weil sie tendenziell unsicher sind. Nutze deshalb lieber den Outlook-Client, der unterstützt die moderneren Anmeldeprotokolle. Outlook gibt es für Android, iOS und Windows.
2. Dienste der Microsoft Cloud for Non-Profits einschränken
Je mehr Funktionen der Microsoft Cloud for Non-Profits in Deiner Umgebung aktiv sind, desto größer ist die Angriffsfläche. Ganz einfach. Daher schalte alles ab, was Du nicht benötigst!
Wie nicht genutzte Microsoft 365 Dienste abschalten?
- Melde Dich im Admin-Portal an. Link
- Klicke auf Einstellungen-> Einstellungen der Organisation
- Dann gehe die Liste an Diensten durch und deaktiviere alles was Du meinst nicht zu benötigen.
- Dann klicke oben auf Sicherheit und Datenschutz
- Belasse die Kennwortablaufrichtlinie auf nie ablaufen. Klingt komisch, ist statistisch gesehen aber besser!
- Stelle das Leerlaufsitzungstimeout auf 24h
Nun hast Du das Sicherheitsniveau der Microsoft 365 Dienste deutlich angehoben.
Wie deaktivierst Du Dienste im Azure AD?
- Melde Dich am Admin Portal „Entra“ an. Link
- Klicke auf Benutzer ->Benutzereinstellungen
- Deaktiviere App-Registrierungen
- Aktiviere Mandantenerstellung
- Deaktiviere Benutzer angemeldet lassen
- Klicke auf Einstellungen für externe Zusammenarbeit
- Wenn Du keine externen Benutzer auf Deiner Umgebung benötigst dann deaktiviere die Gasteinladungen
Wie prüfst Du ob die Security Defaults aktiviert sind?
- Klicke auf Übersicht ->Eigenschaften
- Dort sollte nun stehen „Ihre Organisation ist durch Sicherheitsstandards geschützt“
- Wenn nicht, klicke auf Sicherheitsstandards verwalten und aktiviere es.
3. Überwache die Aktivitäten in Deinem Azure AD
Klicke im Entra-Portal auf Überwachung und Integrität -> Anmeldeprotokolle und rufe damit das Anmeldeverhalten der Benutzer der Organisation ab. Dort wird unterschieden zwischen interaktive (z. B.: Benutzer sitzt an Bildschirm) und nicht interaktive Anmeldungen (z. B.: Outlook auf dem Handy). Damit kannst Du Dir einen Überblick verschaffen und unnormales Verhalten erkennen.
Klicke im Entra-Portal auf Überwachung und Integrität -> Überwachungsprotokolle und rufe alle allgemeinen Konfigurationsänderungen in Deiner Umgebung auf. Hier kanst Du nachvollziehen, wer was in der Umgebung an Konfigurationseinstellungen verändert hat.
Klicke dort auf Nutzung & Erkenntnisse, um die einen Überblick zu verschaffen welche Anwendungen am häufigsten verwendet werden.
Ich denke mit diesen Möglichkeiten kannst Du Dir ein besseres Gefühl verschaffen. Damit kannst Du einigermaßen nachvollziehen, was so alles in Deiner Umgebung passiert.
Fazit
Die hier beschriebenen Maßnahmen decken natürlich nur einen winzigen Teil aller möglichen Maßnahmen ab. Die Microsoft Cloud for Non-Profits ist eine riesige Welt an Anwendungen, die alle Chancen aber auch Risiken bergen. Ich habe hier das absolute Minimum beschrieben, was Du an Maßnahmen gleich nach der Freischaltung treffen solltest.
Voila. Das war gar nicht so schwer oder?
Quellen:
https://learn.microsoft.com/de-de/microsoft-365/security/?view=o365-worldwide