Wie steht es um die Sicherheit beim Office aus der Cloud?

Integrierte Security-Funktionen: die Bordmittel von Microsoft

Lösungen von Drittanbietern, die Office 365 noch sicherer machen

eBOOK

www.Security-Insider.de Eine Publikation von:

Office 365 Security

2 Security-Insider | Office 365 Security

3 Office 365: Wie steht es um die Sicherheit?

Schutzbedarf für Office 365

8 Integrierte Security-Funktionen bei Office 365

Die Bordmittel von Microsoft

12 Zusatzlösungen für die Security von Office 365

Erweiterung der Office-365-Sicherheit

Inhalt

Haftung: Für den Fall, dass Beiträge oder Informa tionen

unzutreffend oder fehlerhaft sind, haftet der Verlag nur beim

Nachweis grober Fahrlässigkeit. Für Beiträge, die namentlich

gekennzeichnet sind, ist der jeweilige Autor verantwortlich.

Copyright: Vogel IT-Medien GmbH. Alle Rechte vorbehalten.

Nachdruck, digitale Verwendung jeder Art, Vervielfältigung nur

mit schriftlicher Genehmigung der Redaktion.

Nachdruck und elektronische Nutzung: Wenn Sie Beiträge

dieses eBooks für eigene Veröffent li chun gen wie Sonderdru-

cke, Websites, sonstige elektroni sche Medien oder Kunden-

zeitschriften nutzen möchten, erhalten Sie Informationen so-

wie die erforderlichen Rechte über www.mycontentfactory.de,

Tel. +49 (0) 931/418-2786.

Vogel IT-Medien GmbHMax-Josef-Metzger-Str. 21, 86157 AugsburgTelefon +49 (0) 821/2177-0E-Mail redaktion@security-insider.deWeb www.Security-Insider.deGeschäftsführer: Werner NieberleChefredakteur: Peter Schmitz, V.i.S.d.P., peter.schmitz@vogel-it.deErscheinungstermin: Juni 2018 Titel: alphaspirit/stock.adobe.com

3 Security-Insider | Office 365 Security

Verbreitung von Office 365 nimmt zu

Laut Microsoft nutzen mehr als eine Mil-liarde Menschen Microsoft Office. Dabei steigt die Zahl derer, die die cloudbasier-te Version von Office, Office 365 genannt, verwenden. Monatlich sollen es bereits mehr als 85 Millionen aktive Nutzer welt-weit sein.Die zunehmende Verwendung von Office 365 liegt zum einen daran, dass Unter-nehmen vermehrt auf digitale, mobile Ar-beitsplätze setzen, die Beschäftigten also an jedem Standort mit Internetverbindung arbeiten können, sei es im Außendienst, im Home Office, in einer Niederlassung oder in der Zentrale des Unternehmens.

Datenschutz und Datensicherheit sind zentrale Forderungen an

einen Cloud-Dienst und den Anwendern entsprechend wichtig.

Bevor sich ein Unternehmen für einen Cloud-Service wie Microsoft

Office 365 entscheidet, sollte deshalb zuerst geklärt sein, ob das

eigene IT-Sicherheitskonzept bereits die möglichen Cloud-Risiken

berücksichtigt.

Anstatt auf den verschiedenen Endgeräten an diesen Orten jeweils eine Office-Lösung für den Nutzer zu installieren und vorzuhalten, bekommt der Nutzer einen Zugang zu einer Office-Lösung aus der Cloud wie Office 365.Ein weiterer Grund für die stei-genden Nutzerzahlen bei Office 365 ist, dass verbreitete und beliebte Office-Versionen wie Office 2007 keinen Support von Microsoft mehr erhalten. Des-halb empfahl der Anbieter be-

reits im Oktober 2017 den Umstieg auf Office 365.

Office 365 verarbeitet zu schützende Daten

Office-Programme sind so grundlegend für die Erstellung und Bearbeitung von Dokumenten in Unternehmen, dass es kaum auszuschließen ist, dass auch ver-trauliche Daten in den Office-Dokumenten enthalten sind, ebenso Daten mit Perso-nenbezug, die dem Datenschutz unterlie-gen. Bei Verwendung von Office 365 wer-den somit in aller Regel vertrauliche und personenbezogene Daten in einer Cloud verarbeitet.

Office 365: Wie steht es um die Sicherheit?

Schutzbedarf für Office 365

Die Zahl der Nutzer von Office 365 steigt, auch wegen des Sup-port-Endes bei älteren Office-Versionen. (Bild: Microsoft)

4 Security-Insider | Office 365 Security

Unternehmen, die Office 365 einsetzen, müssen sich also mit den aktuellen Fragen der Cloud-Sicherheit und des Cloud-Da-tenschutzes befassen, und solche Fragen gibt es in großer Zahl. Die Unternehmen sind sich auch durchaus der Bedeutung von Sicherheit und Datenschutz bei Cloud Computing bewusst: Datensicherheit und Datenschutz belegen Platz 3 der wichtigs-ten Themen in der IT-Sicherheit 2018, wie eine Umfrage des Verbandes der Internet-wirtschaft eco ergab. Insbesondere der europäische Datenschutz und der Stand-ort EU sind den allermeisten Unternehmen bei der Nutzung von Cloud-Diensten wich-tig. Nur 15 Prozent gaben an, keinen Wert auf europäischen Datenschutz zu legen.Weniger bekannt sind jedoch die konkre-ten Cloud-Risiken sowie die verfügbaren Sicherheits- und Datenschutzfunktionen bei Lösungen wie Office 365 und damit der mögliche Bedarf an zusätzlichen Lösungen für Sicherheit und Datenschutz. Diesen Punkten soll deshalb nun nachgegangen werden.

Attacken auf Cloud-Dienste greifen um sich

Der Bedarf an Sicherheit bei der Nutzung von Office 365 ist hoch, mit steigender Tendenz. Der 23. Microsoft Security Intelli-

gence Report (SIR) im März 2018 zeigte, dass Angreifer zunehmend nach einfa-chen Wegen für ihre Angriffe auf IT-Infra-strukturen, Firmennetze und Rechner su-chen. Dazu gehört das Social Engineering: Phishing war im zweiten Halbjahr 2017 die häufigste Bedrohung in der E-Mail-Kommunikation über Office 365 mit einem Anteil von mehr als 50 Prozent. Aufwändi-gere Methoden wie das Umgehen von Si-cherheitsmaßnahmen, etwa über Trojaner, fallen dagegen mit nur drei Prozent Anteil weniger ins Gewicht.Zuvor, im August 2017, veröffentlichte Microsoft den 22. Microsoft Security Intelligence Report. Demnach haben An-griffe auf die Cloud innerhalb eines Jahres um 300 Prozent zugenommen, dies betrifft auch Office 365. Eine Studie der Marktfor-scher von IDC nannte Top-Prioritäten für die IT-Sicherheit, die diese Entwicklung wi-derspiegeln: Die Befragten zählten die Ab-sicherung von Cloud-Services (42 Prozent) und die Sicherheit von Dokumenten (37 Prozent) zu den wichtigsten Handlungs-feldern für die IT-Security. Bei Office 365 muss beides gewährleistet sein.Gleichzeitig berichtete der Digitalverband Bitkom, dass zwei von drei Unternehmen ohne umfassende Sicherheitsstrategie für die Cloud sind. Verbesserungswürdig sei zum Beispiel die Einbindung der Sicher-heitsabteilung. Nur knapp ein Drittel betei-ligt diese frühzeitig schon bei der Auswahl der Cloud-Provider. Doch für die Auswahl und Prüfung von Cloud-Angeboten müs-sen die Unternehmen zuerst die geltenden Anforderungen an Cloud-Sicherheit und Cloud-Datenschutz kennen.

Anforderungen an Cloud-Sicherheit steigen

Unter anderem das Bundesamt für Sicher-heit in der Informationstechnik (BSI) hat in der letzten Zeit Vorgaben und Empfeh-lungen für Cloud-Sicherheit veröffentlicht,

Schutzbedarf für Office 365

Cloud-Risiken, die auch die Nutzung von Office 365 betreffen

Die Cloud Security Alliance (CSA) hat im Oktober 2017 die „Cloud Computing Top Threats” veröffentlicht, darunter:• Data Breaches• Insufficient Identity Credential Access Management• Account Hijacking• Malicious Insiders• Insufficient Due Diligence• Denial of Service• System Vulnerabilities• Abuse and Nefarious Use of Cloud• Insecure Interface and APIs• Shared Technology Vulnerabilities• Advanced Persistent Threats (APTs)

5 Security-Insider | Office 365 Security

darunter den Anforderungskatalog Cloud Computing Compliance Controls Cata-logue, kurz C5, sowie einen Mindeststan-dard zur Nutzung externer Cloud-Dienste, der sich zwar an Stellen des Bundes rich-tet, aber auch Unternehmen bei der Prü-fung der Cloud-Sicherheit helfen kann. „Nach der Veröffentlichung des C5 setzen wir mit diesem Mindeststandard erneut ein klares Signal an den Cloud-Markt. Cloud-Dienste basieren auf einem hohen Maß an Vertrauen in den Cloud-Anbieter, denn die Details der Cloud bleiben den Kunden

meist verborgen. Der neue Mindeststan-dard sorgt insgesamt für mehr Transpa-renz und ermöglicht, mit den Anbietern auf Augenhöhe über ein definiertes Mindest-niveau an Informationssicherheit zu spre-chen“, so Arne Schönbohm, Präsident des BSI.

Cloud-Datenschutz muss genau hinterfragt werden

Ob ein Cloud-Dienst wie Office 365 auch die Vorgaben zum Cloud-Datenschutz ein-hält, ist nicht unmittelbarer Gegenstand der BSI-Mindeststandards und -Anforde-rungskataloge. Hier sind die Vorgaben der Aufsichtsbehörden für den Datenschutz und die Datenschutz-Grundverordnung (DSGVO / GDPR) der EU in Verbindung

mit dem neuen Bundesdatenschutzgesetz (BDSG-neu) für Unternehmen relevant.Zum Datenschutz bei Cloud-Diensten wie Office 365 schreibt zum Beispiel der Daten-schutzbeauftragte des Landes Rheinland-Pfalz: Die Daten bei US-amerikanischen Softwareprodukten, die cloudbasiert sind (wie Office 365), werden auf Servern ver-arbeitet, die in rechtlicher und technischer Hinsicht nicht den europäischen Daten-schutz-Standards entsprechen. Ein Einsatz ist somit nur dann zulässig, wenn entweder über ein Treuhandmodell der Zugriff durch US-amerikanische Stellen ausgeschlossen ist oder wenn keine personenbezogenen Daten in der Cloud gespeichert werden.Das sehen andere Aufsichtsbehörden für den Datenschutz in Deutschland nicht an-ders. Deshalb ist es wichtig, zum einen das Treuhandmodell bei Office 365 zu betrach-ten, zum anderen aber auch die Entwick-lungen rund um den sogenannten Cloud Act und um Privacy Shield im Auge zu behalten, da es dort insbesondere um die möglichen Zugriffe auf Cloud-Daten durch US-amerikanische Stellen geht.

Das Treuhändermodell bei Office 365

Das Treuhändermodell bei Office 365 gilt für die Microsoft Cloud Deutschland. Diese kombiniert die georedundante Speiche-rung von Kundendaten in Deutschland über ein eigenständiges, von Microsofts globaler Cloud-Infrastruktur getrenntes Netzwerk mit einem Datentreuhandmodell, wie Microsoft erklärt.Office 365 steht seit Januar 2017 auch aus deutschen Rechenzentren in Frankfurt/Main und Magdeburg zur Verfügung. Die Kundendaten werden laut Microsoft bei dieser Office-365-Variante ausschließlich in Deutschland gespeichert. Der deutsche Datentreuhänder T-Systems International GmbH kontrolliert den Zugang zu diesen Daten.

Schutzbedarf für Office 365

Cloud-Sicherheit und Dokumentensicherheit sind Top-Prioritäten der IT-Sicherheit, bei Office 365 kommt beides zu-sammen. (Bild: IDC)

6 Security-Insider | Office 365 Security

Ohne Zustimmung des Datentreuhänders oder des Kunden erhält Microsoft keinen Zugriff. Wird diese Zustimmung durch den Datentreuhänder erteilt, greift Microsoft nur unter dessen Aufsicht zeitlich begrenzt auf die Kundendaten zu. Der Datentreu-händer steuert durch zwei Cloud Control Center an den Standorten Berlin und Mag-deburg die Rechenzentren der Microsoft Cloud Deutschland. Durch den redundan-ten Aufbau kann der Ausfall eines Control Centers abgefangen werden, wie Microsoft erläutert.Office 365 Deutschland bietet die Office-365-Dienste der Microsoft Cloud aus deutschen Rechenzentren, die Desktop-versionen der kompletten Office-Suite (z. B. PowerPoint, Word, Excel, Outlook), Exchange Online, SharePoint Online, Skype for Business und OneDrive for Busi-ness sowie die Project-Online-Produkt-familie und Visio Pro.„Mit Office 365 Deutschland ermöglichen wir auch jenen Unternehmen Zugang zu unseren cloudbasierten Produktivitäts-werkzeugen, die aufgrund strenger Daten-schutz- und Compliance-Anforderungen

nur Cloud-Dienste aus deutschen Rechen-zentren beziehen können“, sagt Sabine Bendiek, Vorsitzende der Geschäftsfüh-rung von Microsoft Deutschland. Microsoft hat im März 2018 zudem an-gekündigt, sein Public-Cloud-Angebot in Deutschland auszubauen. Zusätzlich zu den bereits existierenden Cloud-Angebo-ten werden Microsoft Azure, Office 365 und Dynamics 365 zukünftig auch aus neuen deutschen Rechenzentrums-Regionen be-reitgestellt. Die neuen deutschen Rechen-zentren sollen die gleichen Service-Level und Sicherheitsstandards bieten wie die globalen Microsoft-Cloud-Angebote, ein-schließlich Multi-Faktor-Authentifizierung mit biometrischen Scans und Smart Cards sowie physischer Sicherheitskontrollen.„Unser Ziel ist es, allen Unternehmen und Organisationen mit der Microsoft Cloud zu ermöglichen, mehr zu erreichen. Mit den neuen deutschen Rechenzentrums-Regionen befriedigen wir getreu unserer Mission ‚Digitalisierung für alle’ die wach-sende Nachfrage nach leistungsfähigen Cloud-Diensten aus Deutschland mit glo-baler Konnektivität: Unsere Geschäfts-kunden haben zukünftig die Möglichkeit, ihr Geschäft noch schneller und einfacher mit den neuesten Cloud-Diensten des glo-balen Microsoft Public-Cloud-Netzwerks voranzutreiben und gleichzeitig individu-ellen Compliance-Anforderungen an eine Daten speicherung in Deutschland gerecht zu werden“, so Sabine Bendiek.

Ein Blick auf Cloud Act

Im April 2018 trat der sogenannte Cloud Act (Clarifying Lawful Overseas Use of Data Act) in Kraft. Dies hat in vielen Diskus-sionen das Bild einer möglichen Online-Durchsuchung von Cloud-Daten erzeugt, wenn die Cloud von einem Unternehmen betrieben wird, das US-amerikanischem Recht unterliegt – unabhängig davon, wo sich die Daten befinden.

Schutzbedarf für Office 365

Für den Datenschutz ist es wichtig, die Cloud-Daten vor möglichen Zugriffen durch US-amerikanische Stellen schützen zu können. Der Zweifel hieran hatte zum Ende von Safe Harbor geführt, das Vorläuferabkommen des aktu-ellen Privacy Shields. Bei Office 365 Deutschland setzt man auf ein Daten-treuhänder-Modell, das solche Zugriffe verhindern soll. (Bild: Microsoft)

7 Security-Insider | Office 365 Security

Office 365 ist ein solcher Cloud-Dienst, der von einem US-amerikanischen Unterneh-men angeboten wird. Ob deshalb durch Cloud Act wirklich Online-Durchsuchun-gen durch US-Ermittler anstehen, auch wenn sich die Cloud-Daten in Deutschland befinden, das muss sich erst noch erwei-sen.Es müsse geklärt werden, inwieweit das Gesetz mit der europäischen Datenschutz-Grundverordnung vereinbar ist, so zum Beispiel der Verband der Internetwirtschaft eco. Der Zugriff auf Daten könne nur über internationale Abkommen angefor-dert werden. Das besagt auch die Daten-schutz-Grundverordnung der EU, so der eco-Verband weiter. Jetzt sei es wichtig, dass sich die Europäische Union im Rah-men neuer Abkommen mit den USA und anderen Staaten für kontrollierte Verfahren unter Einhaltung insbesondere der Daten-schutzgrundverordnung und des Privacy Shield einsetze. Die zuständigen Bundesministerien haben sich dazu bisher ebenso wenig geäußert wie die Aufsichtsbehörden für den Daten-schutz. Es ist jedoch zu erwarten, dass die Aufsichtsbehörden im Fall unkontrollierter Zugriffe seitens US-Behörden auf Cloud-Daten von EU-Nutzern nicht an Kritik sparen werden, sondern deutlich von der Nutzung solcher Cloud-Dienste abraten werden, die dem Cloud Act unterliegen. An die EU-Kommission dürfte die Forderung gestellt werden, die sogenannte Angemes-senheitsentscheidung zu widerrufen, also die Entscheidung, dass das Datenschutz-niveau in den USA für eine Datenübermitt-lung ausreichend sei. Dann müsste ent-schieden werden, ob man Privacy Shield entsprechend auslaufen lässt. Noch gibt es hierzu keine konkreten Aus-sagen von Ministerien, Behörden oder der Kommission. Verschiedene Datenschutz-experten empfehlen jedoch, entweder auf Cloud-Dienste von US-Anbietern zu

verzichten oder aber ein Datentreuhän-der-Modell zu nutzen, wie es Office 365 Deutschland bietet. Dabei käme es darauf an, dass sich der Datentreuhänder den Wünschen des US-Anbieters widersetzt, wenn dieser durch den Cloud Act gezwun-gen würde, eine Online-Durchsuchung der Cloud-Daten zu ermöglichen. Oliver Schonschek

Schutzbedarf für Office 365

8 Security-Insider | Office 365 Security

Sicherheit gehört zu den Grundfunktionen

Office 365 beschränkt sich nicht auf klas-sische Funktionen zur Dokumentenerstel-lung und -bearbeitung. Das sollte es auch nicht, gerade als Cloud-Dienst, der gegen die eingangs genannten Cloud-Risiken geschützt werden muss. Die bereits als Bordmittel vorhandenen IT-Sicherheits-funktionen von Office 365 können unter-teilt werden in solche, die für die Rechen-zentrumssicherheit sorgen sollen, und in solche, die der Cloud-Administrator des Kunden und die Cloud-Nutzer selbst ver-wenden können. Die Tabelle „IT-Sicher-heitsfunktionen von Office 365“ auf der folgenden Seite bietet eine Übersicht.

Der Cloud-Dienst Office 365 bietet eine Vielzahl von Sicherheitsfunktionen

als Bordmittel, um IT-Sicherheit und Datenschutz zu gewährleisten.

Erst wenn Unternehmen diese kennen, können sie auch den Bedarf an

zusätzlichen IT-Sicherheitslösungen abschätzen, um so ein stimmiges

IT-Sicherheitskonzept zu erhalten.

Weitere Funktionen werden angekündigt und ergänzt

Genau wie sich die Cloud-Risiken und Attacken auf Cloud-Dienste und -Zugänge dynamisch ändern können, muss auch die Cloud-Sicherheit weiter entwickelt und an-gepasst werden. Microsoft hat hierzu auch verschiedene Ankündigungen gemacht und zusätzliche Funktionen für die Office-365-Sicherheit bereitgestellt oder wird dies in Kürze tun.So wurden in der Vergangenheit bereits mehrere Funktionen im Rahmen von Office 365 Advanced Security Management zu-sätzlich für Office-365-Kunden ausgerollt, darunter:• Threat Detection (ermöglicht es Anwen-

derunternehmen, Richtlinien für den Um-gang mit Anomalien aufzusetzen, die auf mögliche Angriffe auf Anwendungen und Daten hinweisen)

• Enhanced Control (erlaubt die Definition von Richtlinien für das Verfolgen be-stimmter Aktivitäten, etwa dem Down-load von Daten in ungewöhnlich großem Umfang, einer auffällig großen Zahl von gescheiterten Anmeldeversuchen oder Anmeldungen von unbekannten IP-Ad-ressen aus)

• App Discovery (bietet Einsicht in die Aktivi-täten von Drittanwendungen in Office 365)

Integrierte Security- Funktionen bei Office 365

Die Bordmittel von Microsoft

Entsprechend dem Security-Ansatz von Microsoft besitzt Office 365 bereits eine Reihe von integrierten IT-Sicherheitsfunktionen. (Bild: Microsoft)

9 Security-Insider | Office 365 Security

Im Bereich Datenschutz und Compliance wurden ebenfalls neue Funktionen ergänzt, darunter:• Compliance Manager und Compliance

Score (unterstützen Unternehmen bei der Bewertung und dem Management ihrer Compliance-Anforderungen und -Risiken)

• Azure Information Protection Scanner (damit können Unternehmen Dokumen-te in On-premises- und hybriden Cloud-Umgebungen identifizieren, klassifizie-ren, kennzeichnen und schützen)

Office 365 als Teil von Microsoft 365

Seit November 2017 ist Microsoft 365 Business verfügbar, Office 365 ist ein Teil davon. Microsoft 365 Business wird von Microsoft als Lösung bezeichnet für Un-ternehmen mit bis zu 300 Mitarbeitern, die Office 365 mit Windows 10 Business sowie Sicherheitslösungen für die Verwendung von Apps und mobilen Geräten kombinie-ren möchten. Hier finden Unternehmen als Bordmittel der IT-Sicherheit insbesondere:• Datenschutz mit App-Schutzrichtlinien

für mobile Office-Apps• Mobile Device Management für Win-

dows-10-Geräte (damit können u.a. Un-ternehmensdaten von gestohlenen oder verlorenen Windows-10-Geräten entfernt werden)

• Enterprise Mobility + Security (damit las-sen sich unternehmensweite Richtlinien für den sicheren Einsatz von Geräten über eine zentrale Managementkonsole ausrollen und steuern)

Microsoft 365 soll zudem Advanced Threat Protection (ATP) erweitern, beispielsweise durch ein erweitertes Anti-Phishing, opti-mierte Schutzmechanismen für Share-Point Online, OneDrive for Business und Microsoft-Teams. Dazu gehört die Integ-ration von Funktionen zum Erkennen von Identitätsbedrohungen in der Cloud und im On-Premise-Betrieb.

IT-Sicherheitsfunktionen von Office 365 (Bordmittel)

Microsoft bietet mit Office 365 zahlreiche integrierte Sicherheits-funktionen – teilweise in den Rechenzentren, teilweise im Cloud-Dienst selbst:

Physische Sicherheit• Überwachung der Rechenzentren• Mehrfaktor-Authentifizierung einschließlich biometrischer Scans

für den Zugang zum Rechenzentrum• Isolierung des internen Netzwerks des Rechenzentrums vom

externen Netzwerk • Rollentrennung bei Mitarbeitern im Rechenzentrum• Zerstörung fehlerhafter Laufwerke und anderer Hardware-

komponenten

Logische Sicherheit• Lockbox-Prozesse für streng überwachte Eskalationsprozesse

(schränken den menschlichen Zugriff auf Daten des Kunden weitestgehend ein)

• Whitelisting von Prozessen (gegen Malware)• Threat-Management-Teams • Überwachung von Ports und Erkennung von Netzwerkschwach-

stellen und Angriffen

Datensicherheit• Verschlüsselung im Ruhezustand• Verschlüsselung bei der Übermittlung zwischen Kunde und

Microsoft (SSL/TLS-Verschlüsselung)• Threat Management, Sicherheitsüberwachung und Prüfung der

Datei-/Datenintegrität• Exchange Online Protection gegen Spam und Schadsoftware• Ausfallsicherheit zum Schutz der Informationen und E-Mails

Kontrollfunktionen für Benutzer• Office-365-Nachrichtenverschlüsselung• DLP (Verhinderung von Datenverlust) mit Rights Management

und Office-365-Nachrichtenverschlüsselung • S/MIME, E-Mail-Zugriff auf der Basis von Zertifikaten• Azure Rights Management

Kontrollfunktionen für Administratoren• Multi-Factor Authentication• DLP (Verhinderung von Datenverlust)• Integrierte Verwaltungsfunktionen für mobile Geräte• Verwaltung mobiler Office-Apps über Intune• Integrierte Antiviren- und Antispamprogramme mit Advanced

Threat Protection• Office 365 Cloud App Security

Die Bordmittel von Microsoft

10 Security-Insider | Office 365 Security

Microsoft 365 Information Protection soll den Kunden dabei helfen, ihre Daten zu erkennen, zu klassifizieren, zu schützen und zu überwachen – unabhängig vom Speicherort sowie davon, mit wem sie ge-teilt werden. Dazu gehört ein Update der Message Encryption für den Schutz von E-Mails und Dokumenten, inklusive Mail-verkehr mit Empfängern, die Dienste wie Outlook.com oder Gmail verwenden.Weitere neue Funktionen für die IT-Sicher-heit in Microsoft 365 sind:• Attachment Scanning und KI-gesteuerte

Analysen (intelligente Tools lernen, ge-fährliche Nachrichten frühzeitig zu erken-nen und verwerfen diese)

• Automatische Überprüfung von Links (Links in E-Mails werden automatisch auf Phishing-Schemata überprüft, damit Benutzer nicht auf unsichere Webseiten zugreifen)

• Geräteschutz (diese Funktion verhindert, dass Geräte mit Ransomware und ande-ren bösartigen Webadressen interagie-ren)

• Richtlinien zur Vermeidung von Datenver-lusten (diese dienen der Identifizierung, Überwachung und dem Schutz sensibler Informationen wie Sozialversicherungs- und Kreditkartennummern)

• Informationsschutz in Outlook (durch das Hinzufügen von Verschlüsselungen kön-nen Zugriffe auf sensible Daten in E-Mails verwaltet werden, um beispielsweise zu verhindern, dass eine E-Mail weiterge-leitet, kopiert oder in andere Programme eingefügt wird)

• E-Mail-Archivierungs- und -Aufbewah-rungsrichtlinien (Daten werden ord-nungsgemäß mit kontinuierlicher Daten-sicherung und Konformität aufbewahrt)

• BitLocker-Geräteverschlüsselung auf al-len Windows-Geräten (eine Möglichkeit, die Verschlüsselung auf allen Geräten zu aktivieren; erhöht den Schutz vor Daten-diebstahl, wenn ein Gerät verloren geht oder gestohlen wird)

• „Datenschutz“-Tab (ermöglicht es, An-fragen von betroffenen Personen zum Thema Datenschutz im Rahmen der Er-füllung der Anforderungen der EU-Daten-schutzgrundverordnung zu bearbeiten)

Wichtig für den Daten-schutz sind neben den IT-Sicherheitsmaß-nahmen: Office 365 Deutschland wird in zwei deutschen Rechenzent-ren betrieben. Zusätzlich kommt T-Systems als Datentreuhänder zum Einsatz. (Bild: Microsoft)

Zu den „integrierten“ Sicherheitsfunktionen bei Office 365 gehören auch die Maßnahmen für die Rechenzent-rumssicherheit, dar-unter die mehrstufige Zutrittskontrolle zum Kontrollraum bei Office 365 Deutschland. (Bild: Microsoft)

Die Bordmittel von Microsoft

11 Security-Insider | Office 365 Security

• Privileged Access Management (da-durch kann die Vergabe permanenter Admin-Rechte vermieden werden, indem zukünftig bedarfsgesteuert just-in-time Admin-Rechte und -Aufgaben vergeben werden können)

• Multi-Geo-Funktionen in Microsoft 365 (eine Übersicht über den aktuellen Stand-ort von Daten auf Benutzerebene)

• Advanced Data Governance-Kontrollen (für ereignisbasierte Aufbewahrungs- und Löschungsrichtlinien)

Neue Funktionen werden direkt um Sicherheit ergänzt

Neben der Erweiterung der Sicherheits-funktionen kündigt Microsoft auch neue fachliche Funktionen an, die um IT-Si-cherheit ergänzt werden. Ein Beispiel ist Microsoft Stream, eine Lösung für die Ver-waltung firmeneigener Videos, mit Integrati-on in Office 365. Microsoft Stream bietet von Haus aus Verschlüsselungs- und Authen-tifizierungsfunktionen, die sicherstellen, dass Videocontent nur autorisierten Mitar-beitern zur Verfügung steht, so Microsoft.

Trotz der Vielzahl an integrierten Sicher-heitsfunktionen kann es sinnvoll sein, wei-tere Lösungen für die IT-Sicherheit, die von Drittanbietern stammen, zu ergänzen. Dies wird im nächsten Kapitel betrachtet. Oliver Schonschek

Als Teil von Microsoft 365 kann Office 365 zusätzliche Sicherheitsfunktionen vorweisen. Aber auch Office 365 alleine wurde schon von Microsoft um weitere Sicherheitsfunktionen ergänzt. (Bild: Microsoft)

Die Bordmittel von Microsoft

12 Security-Insider | Office 365 Security

Integrierte Sicherheit oder Security von Drittanbietern?

Wenn ein Unternehmen den Einsatz von Office 365 absichern will, steht an erster Stelle die Risikoanalyse, um den Schutz-bedarf zu ermitteln. Dann sollte man sich die bereits verfügbaren IT-Sicherheits-funktionen von Office 365 ansehen und abgleichen, ob mit diesen die erkannten Risiken minimiert werden können. Doch selbst wenn dies der Fall ist, kann es sinn-voll sein, weitere IT-Sicherheitslösungen einzusetzen. Das gilt insbesondere, wenn folgende Sachverhalte vorliegen:

Office 365 verfügt bereits über eine Reihe von Sicherheitsfunktionen,

so dass sich die Frage stellt, ob zusätzliche Lösungen überhaupt

notwendig und sinnvoll sind. Die Antwort lautet: Es kommt darauf an.

In jedem Fall lohnt es sich, einen Überblick über die Zusatzlösungen

zu haben.

• Das Unternehmen setzt nicht nur auf Microsoft als Cloud-Anbieter, sondern verfolgt einen Multi-Cloud-Ansatz. Will man die verschiedenen Cloud-Dienste möglichst einheitlich und zentral absi-chern, wird man zu einer externen IT-Sicherheitslösung greifen. Viele Drittan-bieter für Cloud-Security haben in der Vereinheitlichung der Cloud-Sicherheit ihre Stärke.

• Eine weitere Überlegung: Das Unterneh-men setzt nicht nur auf Office 365, son-dern hat noch eine interne IT, die es zu schützen gilt (Hybrid Cloud Computing).

Zusatzlösungen für die Security von Office 365

Erweiterung der Office-365-Sicherheit

In der Microsoft Cloud Deutschland wird unter anderem Office 365 Deutschland betrie-ben. Zusätzlich zu den bereits integrierten IT-Sicherheitsmaßnahmen gibt es auf dem deut-schen Markt zahlreiche Security-Lösungen von Drittanbietern für Office 365. (Bild: Microsoft)

13 Security-Insider | Office 365 Security

Zusätzliche IT-Sicherheitslösungen kön-nen je nach Anbieter übergreifend schüt-zen, also einen Cloud-Dienst wie Office 365, aber auch die interne IT des Anwen-derunternehmens.

• Nicht zuletzt sollte man an die Compli-ance denken: Das Unternehmen als Cloud-Nutzer muss die Sicherheit des Cloud-Anbieters prüfen können. Dafür sind unabhängige, zusätzliche Lösungen besonders geeignet, also zum Beispiel Monitoring-Lösungen eines Drittanbie-ters, die die Cloud-Sicherheit überwa-chen können.

Was es an zusätzlicher Security für Office 365 alles gibt

Der folgende, kurze Überblick soll zeigen, wie vielfältig die angebotenen Lösungen sind, um Office 365 zusätzlich abzusi-chern. Was man als Unternehmen genau benötigt, kommt wie beschrieben auf den Schutzbedarf und die konkrete Cloud-Nut-zung (Multi Cloud, Hybrid Cloud, Compli-ance-Fragen) an.Next Generation Firewalls und CASB (Cloud Access Security Broker)Next-Generation-Firewalls sowie CASB unterscheiden zwischen Anwendungen

und können so spezielle Sicherheits-richtlinien für die Nutzung von Office 365 durchsetzen, die sich von anderen Cloud-Richtlinien des Unternehmens unterschei-den können. Unternehmen können zudem ermitteln, welche Anwendungen verwen-det werden, wie häufig und für welchen Zweck. Dadurch kann die Office-365-Nut-zung konkret überwacht werden.Malware-SchutzCloudbasierter Anti-Malware-Schutz kann zum Beispiel über Schnittstellen Scan-Ser-vices zum Schutz von Cloud-Diensten wie Microsoft Office 365 anbieten. Solche Lö-sungen fungieren als zweite Schutzschicht, nachdem Mails und Dateien das integrierte Office-365-Scanning durchlaufen haben. Sie sollen bekannte als auch unbekannte Bedrohungen, die versuchen, Office 365 zu infiltrieren, erkennen.E-Mail-SicherheitMail-Security-Lösungen wollen den in Office 365 integrierten E-Mail-Dienst zum Beispiel mit Cloud-basierter Threat Intelligence und mit maschinellem Lernen zusätzlich absichern. Je nach Anbieter adressiert die Lösung speziell die Sicher-heitsbedürfnisse mittelständischer Unter-nehmen oder von MSPs (Managed Service

Erweiterung der Office-365-Sicherheit

Security-Lösungen von Drittanbietern für Office 365

Anbieter Lösung Link

Next Generation Firewalls und CASBPalo Alto Networks Palo Alto Networks Next-Generation

Security Platformhttps://www.paloaltonetworks.com/products/secure-the-network/next-generation-firewall.html

Bitglass Bitglass CASB http://www.bitglass.com

Zscaler Zscaler for Office 365 https://www.zscaler.com/solutions/office-365-deployment

McAfee McAfee CASB https://www.skyhighnetworks.com/product/office-365-security/

Forcepoint Forcepoint CASB https://www.forcepoint.com/de/solutions/need/microsoft-office-365-cloud-app-security

Cisco Cisco CloudLock https://www.cloudlock.com/

Netskope Netskope https://www.netskope.com/platform/netskope-for-office-365/

Malware-SchutzTrend Micro Trend Micro Cloud App Security http://www.trendmicro.de/produkte/cloud-app-security/index.html

Sophos Sophos Central https://www.sophos.com/en-us/solutions/initiatives/office-365.aspx

14 Security-Insider | Office 365 Security

Provider). Geboten wird zusätzlicher Schutz vor Spam, Phishing, Ransomware und noch unbekannten Cyberattacken.VerschlüsselungZusätzliche Verschlüsselungsplattformen ergänzen die Sicherheits- und Daten-schutz-Funktionen, die Office 365 von Haus aus anbietet. Sie erweitern die ein-gebauten Sicherheitsfunktionen von Office 365 um eine zentrale Verschlüsselung. Eine solche Lösung sorgt dafür, dass vertrauli-che Daten verschlüsselt sind, bevor sie an Office 365 übermittelt werden.

Data Loss Prevention (DLP)DLP-Services sollen die unternehmens-weite Nutzung von Clouds wie Office 365 besser überwachen und Datenlecks ver-hindern. Für die Unternehmen soll es so leichter werden, Unternehmensrichtlinien und gesetzliche Vorschriften einzuhalten.BackupZusätzliche Backup-Lösungen ermögli-chen es, die Daten von Office 365 in die einheitliche unternehmensweite Datensi-cherung aufzunehmen. Oliver Schonschek

Erweiterung der Office-365-Sicherheit

Security-Lösungen von Drittanbietern für Office 365

Anbieter Lösung Link

E-Mail-SicherheitKaspersky Lab Kaspersky Security for Microsoft

Office 365https://cloud.kaspersky.com

Barracuda Networks Barracuda Sentinel, Barracuda Essentials for Office 365

https://www.barracudasentinel.com/https://www.barracuda.com/programs/office365/security

Trend Micro Trend Micro Writing Style DNA, Trend Micro Cloud App Security für Microsoft Office 365

http://www.trendmicro.de/produkte/cloud-app-security/index.html

Fortinet Fortinet FortiMail https://www.fortinet.com/products/email-security.html

Microfocus HPE SecureMail for Office 365 https://www.voltage.com/products/email-security/hpe-securemail-for-office-365/

Proofpoint Proofpoint Threat Protection for Microsoft Office 365

https://www.proofpoint.com/us/solutions/threat-protection- compliance-office-365

Vircom Email Security Solution for Office 365 https://www.vircom.com/office-365-email-security/

Check Point Check Point SandBlast Cloud https://www.checkpoint.com/products/sandblast-office365-security/

Cisco Cisco Email Security for Office 365 https://www.cisco.com/c/en/us/products/security/email-security/office-365.html

VerschlüsselungEperi eperi Cloud Data Protection (CDP) https://eperi.com/de/cloud-data-protection-office-365/

DLPSymantec Symantec Web Security Service https://www.symantec.com/products/cloud-delivered-web-security-

services

Titus Titus Classification Suite https://www.titus.com/classification-office-365.php

Varonis DatAdvantage for Office 365 https://www.varonis.com/products/datadvantage/office-365/

Digital Guardian Digital Guardian Office 365 Data Security

https://digitalguardian.com/solutions/microsoft-office-365-security

Clearswift Cloud Security https://www.clearswift.com/solutions/cloud-security

BackupVeeam Veeam Backup for Microsoft Office 365 https://www.veeam.com/backup-microsoft-office-365.html

Acronis Acronis Backup https://www.acronis.com/en-us/business/backup/office-365/