Office 365 - Der Feind in meiner Mail

Wie so oft unterscheiden sich Theorie und Praxis, auch bei der Informationssicherheit. Während die Sicherheitswelt über Mikrosegmentierung und künstliche Intelligenz zur Unterstützung der Verteidiger diskutiert, stellen nach wie vor banale E-Mails die größte Bedrohung für Unternehmen dar. Laut einer aktuellen Auswertung des Sicherheitsanbieters Proofpoint nutzt nach wie vor ein Großteil der Angriffe die elektronische Post als Vehikel. Der „Human Factor Report 2019“ zeigt, dass mehr als 99 Prozent der beobachteten Bedrohungen eine menschliche Interaktion erforderten, sei es das Aktivieren eines Makros, das Öffnen einer Datei, das Klicken auf einen Link oder das Öffnen eines Dokuments. Eine weitere Studie, dieses Mal im Auftrag von PreciseSecurity, legte sich sogar auf einen Mail-Client fest. Laut PreciseSecuritie‘s Erkenntnissen repräsentierte Office 365 mit 73% im dritten Quartal 2019 die am meisten ausgenutzte Applikation weltweit. Browser lagen dagegen mit knapp 14% weit hinter Office 365 zurück.

Dass E-Mails riskant sind, ist nichts neues, viel hängt auch mit dem nach wie vor mangelhaften Bewusstsein für Security-Awareness zusammen. Solange Awareness-Kampagnen daraus bestehen, einmal im Jahr in 15 Minuten durch ein schlecht gemachtes Web-basiertes Training zu klicken, werden die Mitarbeiter auch kaum zu bestens geschulten Malware-Fightern werden. Aber wenn Unternehmen offensichtlich lieber viel Geld für technische Sicherheitsmaßnahmen ausgeben (die auch ihre Berechtigung haben), dann sollten sie zumindest mit den wichtigsten Dingen anfangen. Daher ist Punkt 1 auf der Liste der guten CISO-Vorsätze für 2020: Für alle Mitarbeiter Multi-Faktor-Authentifizierung einführen. Ja, auch MFA ist nicht unfehlbar und es gibt mittlerweile automatisierte Angriffsmethoden wie Muraen, evilginx und NecroBrowser. Trotzdem macht MFA erbeutete Credentials deutlich schwerer nutzbar. Bei Office 365 lässt sich MFA auch bestens mit Conditional Access kombinieren. Dann benötigen Nutzer nur dann einen zweiten Faktor, wenn sie nicht mit dem Firmen-LAN verbunden sind.

Punkt 2 wäre etwas, was kein Geld sondern nur gute Kommunikation erfordert: Kryptische Passwörter abschaffen, längere, sinnvolle Passphrases erlauben. Nach wie vor ist in vielen Anwendungen zwar ein 8-stelliges Passwort mit Sonderzeichen, Zahlen und Buchstaben möglich, aber kein 38-stelliger Satz. Den muss man auch nicht so oft wechseln, vor allem wenn er mit MFA kombiniert wird. Es ist ohnehin klar, dass für Admins härtere Regeln gelten müssen oder gleich ein Privileged Access Management installiert ist. Damit kommen wir zu Punkt 3, der zwar in punkto Lizenz wenig, in punkto Aufwand aber enorm viel kostet: Digital Leakage Prevention (DLP). Das Problem ist weniger die Erkennung problematischer Sätze und Ausdrücke in Mails, Chats und Dateien, sondern zunächst festzulegen, was als problematisch gelten soll. Da die meisten Firmen ihre Hausaufgaben in punkto Kategorisierung nicht machen, ist DLP häufig wenig nützlich. Ganz abgesehen davon, dass die in Office 365 eingebaute DLP-Lösung qualitativ noch eine Menge Luft nach oben hat.

Wenn wir schon dabei sind, bemühen wir auch gleich, Punkt 4, künstliche Intelligenz oder – seriöser – Machine Learning. User- und Entity Behavior Analytics (UEBA) überwachen das Nutzerverhalten mithilfe von Machine Learning und statistischen Auswertungsmethoden, um potenzielle Insider-Bedrohungen zu ermitteln. Das läuft über Verhaltens-Baselines, meist für eine bestimmte Rolle. Hat beispielsweise der SAP-Admin normalerweise keinen Grund, einen Datenbank-Nutzer anzulegen, wird UEBA die rote Fahne heben, wenn er es tut, auch wenn er eigentlich die Rechte dafür hätte. Aber bevor man sich mit UEBA beschäftigt, sollte – Fünftens - die Basis passen. Anti-Virus, Anti-Phishing, Anti-Spam – das klingt selbstverständlich, muss aber auch richtig konfiguriert, gepflegt und überwacht werden. Office 365 bietet mehrere Anti-Malware Varianten an, wer Microsoft nicht traut, kann sich bei Drittanbietern wie Checkpoint (CloudGuard SaaS) bedienen.

Man könnte die Liste noch ein Stück weiterführen, je nach unternehmensspezifischen Vorgaben. Backup gehört genauso dazu wie eine umfassende IT-Sicherheitsstrategie und Analysetools, um die Tonnen von Log- und Eventdate von Office 365 auszuwerten. Aber wer bei den ersten fünf ToDos alles richtig macht, kann beim Rest nicht mehr viel falsch machen.

Blog abonnieren

CAPTCHA-Bild zum Spam-Schutz Wenn Sie das Wort nicht lesen können, bitte hier klicken.