Datensicherheit in hybriden Office-365-Umgebungen

Wir erleben gerade – nicht zuletzt aufgrund von Office 365 – eine globale Verlagerung von rein lokaler Informationstechnologie zu hybriden IT-Umgebungen, bei denen Daten sowohl vor Ort als auch in der Cloud gespeichert werden. Die Gründe für diese Art der Datenspeicherung reichen von (bewährten) Unternehmensprozessen bis zu regulatorischen Anforderungen. So werden etwa häufig sensible Daten nach wie vor lokal gespeichert, während weniger problematische Daten in die Cloud wandern, um dort besser bearbeitet und geteilt werden zu können. Für die IT-Sicherheit bedeutet dies jedoch eine große Herausforderung, da sie on-premise-Schutz und Cloud-Security vereinen müssen. Auch die Analysten von Gartner sehen durch die hybride Datenspeicherung ein steigendes Risiko von Sicherheitsverstößen: „Unstrukturierte Datenspeicher sind in den Unternehmen chronisch zu wenig verwaltet und zu großzügig zugänglich gemacht worden. Die fortschreitende Einführung von Cloud-Speichern und Kollaborationsplattformen in den letzten Jahren hat es noch komplizierter gemacht, der Situation Herr zu werden.“

Auch neue gesetzliche Regelungen wie die DSGVO vergrößern die Herausforderungen, vor denen IT- und Datenverantwortliche stehen. Gerade Audits und ein übersichtliches Reporting wird durch die hybride Speicherlandschaft deutlich erschwert. In aller Regel müssen Informationen aus den unterschiedlichsten Quellen mit teilweise unterschiedlichen Informationen (für on-premise auf der einen und Cloud-Speicher auf der anderen Seite) geprüft, bewertet, zusammengefasst und manuell erstellt werden. Scheinbar einfache und datensicherheitsrelevante Fragen wie: Wer greift auf welche Daten und E-Mails zu, ändert, verschiebt oder löscht sie? Welche Dateien enthalten kritische bzw. personenbezogene Daten? Welche Daten werden nicht mehr genutzt/benötigt?, können kaum beantwortet werden.

Dabei ist gerade die Frage nach nicht mehr benötigten Daten ausgesprochen relevant. Diese auch Dark Data genannten Dateien, also solche, die gesammelt und gespeichert werden, aber keinen praktischen Geschäftswert besitzen, nehmen nicht nur (teuren) Speicherplatz weg, sondern stellen auch ein vielfach unterschätztes Sicherheitsrisiko dar. Die dahinterstehende Logik ist ganz einfach: Je mehr Daten gespeichert werden, desto mehr müssen geschützt werden – und desto größer ist das Risiko, wenn es zu einem Verstoß kommt. Alte Dateien, die dem Unternehmen vielleicht nicht mehr sehr wichtig erscheinen, könnten für einen Angreifer, der nach Informationen sucht, äußerst interessant und wertvoll sein, gerade wenn es sich dabei um personenbezogene Daten von Kunden und Mitarbeitern sowie um wertvolles geistiges Eigentum handelt. Und dieses Problem wird von Office 365 noch vergrößert, wenn man sich all die global zugänglichen Dateifreigaben, SharePoint-Websites, OneDrive-Ordner und extern freigegebene Links vergegenwärtigt.

Je nach Abonnement (E1 bis E5) bietet Office 365 eine Reihe eingebauter Sicherheits-Features, die einen gewissen Schutz für die Daten bieten, die innerhalb der Plattform bleiben und diese nie verlassen. In der Realität sind Daten jedoch mobil und ständig in Bewegung, wandern etwa von Mails auf SharePoint und auf lokale Speicher. Gerade für letztere ist Office 365 jedoch blind. Was bedeutet dies nun für die IT-Sicherheit? Ohne eine einheitliche Sichtweise kann nicht (oder nur äußerst schwierig) nachvollzogen werden, wer wann was mit den Daten macht, geschweige denn wer überhaupt auf welche OneDrive-Ordner, SharePoint-Websites und Exchange-Postfächer zugreifen kann. Und auch die Identifizierung gefährdeter Dateien und sensibler Ordner, die extern freigegeben wurden, sowie nicht mehr benötigter Berechtigungen gestaltet sich aufwändig bis unmöglich.

Cloud-Security hat sich längst als bedeutender und ernstzunehmender Markt etabliert. So helfen etwa Cloud-Access Security Broker (CASB) dabei, die unbefugte Nutzung von Cloud-Diensten (Shadow-IT) einzudämmen, den Zugriff auf nicht genehmigte Cloud-Anwendungen zu blockieren und die externe Freigabe von Daten ohne entsprechende Genehmigung zu verhindern. Dies sind alles nützliche und sinnvolle Funktionen, dennoch stoßen sie an Grenzen: Die DLP- und DCAP-Funktionalitäten von CASBs sind meist in Bezug auf die Flexibilität der Nutzung für unterschiedliche Cloud-Anwendungen, einheitliche Richtlinien oder Integration mit anderen Datensicherheitsprodukten eingeschränkt. Durch die mangelhafte Interaktion mit anderen Sicherheitslösungen müssen die IT-Sicherheitsverantwortlichen relevante Informationen aus unterschiedlichen Silos zusammensuchen. Dies ist nicht nur zeit- und ressourcenaufwändig, sondern sorgt auch dafür, dass häufig der Kontext einer möglichen Datenschutzverletzung nicht gesehen wird.

Vor allem reicht Cloud-zentrische Sicherheit nicht aus, da reine Cloud-Lösungen keinen Zugriff auf und keine Informationen über die lokale Infrastruktur haben. Gleichzeitig sind die meisten lokalen Sicherheitsansätze blind für das, was in der Cloud geschieht. Nur durch entsprechende durchgehende Transparenz kann sichergestellt werden, dass nur die richtigen Personen zu jeder Zeit Zugriff auf die Daten haben. Eine einheitliche Sicht auf sämtliche Datenspeicher, ein einheitliches Management von Zugriffsrechten und ein umfassender Audit Trail sind jedoch nicht zuletzt durch die DSGVO, von größter Bedeutung. Gleichzeitig sind Unternehmen auf diese Weise auch wesentlich besser vor Insider-Bedrohungen und Cyber-Angriffen geschützt.

Office 365 ist sicherlich ein Game Changer, aber es ist offensichtlich, dass man gerade in hybriden Umgebungen die eingebauten Sicherheits-Features ergänzen muss, um maximale Transparenz und maximalen Schutz zu erlangen. Wie dies gelingen kann und worauf man achten muss, haben wir in den folgenden vier Tipps zusammengefasst:

Datenfokussierte Risikobewertungen sind ein sinnvoller erster Schritt in Richtung Datensicherheit (und DSGVO-Konformität). Sollten Sie noch kein Risk Assessment durchgeführt haben, holen Sie dies so schnell wie möglich nach. Aber auch nach der Verlagerung wesentlicher Datenbestände auf die Cloud sollten sie (erneut) ihre Risiken bewerten lassen. Gerade hier finden sich kritische Schwachstellen wie für alle Mitarbeiter zugängliche Mail-Eingänge der Geschäftsführung und ähnliches.

Man kann nur das richtig schützen, was man kennt. Was wie eine Binsenweisheit klingt, ist wie eingangs erwähnt in vielen Unternehmen leider nicht die Praxis. Sie müssen jederzeit in der Lage sein, all die Dateien zu finden, die sensible und personenbezogene Informationen enthalten. Grundlage dafür ist eine entsprechende Klassifizierung der Dateien. Mit Bordmitteln ist dies nur manuell (und für in der Cloud gespeicherte Daten!) zu bewerkstelligen, was angesichts von hunderttausenden Datensätzen eine Herkules- oder gar Sisyphosaufgabe ist. Der Schlüssel ist hierbei eine intelligente Automatisierung, die jedoch in der Lage sein muss, sämtliche Speicherorte einzubeziehen.

Immer noch haben in zahlreichen Unternehmen zu viele Mitarbeiter Zugriff auf zu viele Dateien. So zeigte der Datensicherheits-Report 2018, dass durchschnittlich 21 Prozent der Ordner eines Unternehmens für jeden Mitarbeiter zugänglich sind, in 41 Prozent der Unternehmen sämtliche Mitarbeiter Zugriff auf mindestens 1.000 sensible Dateien – wie personenbezogene Daten, Kreditkarten- oder auch medizinische Informationen – haben und bei 58 Prozent mehr als 100.000 Ordner keiner Zugriffsbeschränkung unterliegen. Office 365 verstärkt dieses Problem insofern, als dass die Berechtigungen nur eingeschränkt sichtbar und die Möglichkeiten zum Auffinden von sensiblen Daten begrenzt sind. Vor allem fehlen aber Remediation-Möglichkeiten, das heißt auf bestimmte Vorfällen (automatisiert) zu reagieren. Durch die Einführung eines Privilegienmodells auf Basis der minimalen Rechtevergabe wird sichergestellt, dass jeder Mitarbeiter nur Zugriff auf diejenigen Dateien erhält, die er für seine Arbeit tatsächlich benötigt (need-to-know-Prinzip). Um dieses auch mit Office 365 wirkungsvoll durchsetzen zu können, müssen Sie Ihre größten Risiken, unabhängig davon, ob sie lokal oder in Office 365 vorliegen, identifizieren, priorisieren und sie beheben, bevor es zu Zwischenfällen kommt.

Oftmals obliegt die Erteilung von Zugriffsrechten der IT-Abteilung, die jedoch in aller Regel nicht wissen kann, welche Dateien tatsächlich für das jeweilige Arbeitsgebiet benötigt werden und – fast noch schlimmer – wie lange dies der Fall sein wird. Zahllose längst ausgeschiedene oder versetzte Mitarbeiter haben oft noch die Zugriffsrechte, die ihnen ursprünglich erteilt wurden. Aus Security-Sicht ist das ein echter Albtraum. Sinnvoll ist es, Datenverantwortliche zu etablieren, welche nicht der IT-, sondern der entsprechenden Fachabteilung angehören und die Zugriffsrechte verantworten und gewähren. Nur mit Office 365 ist dieser Ansatz schwer umsetzbar, da die Datenverantwortlichen schwer zu identifizieren sind und auch in wichtige kritische Access Governance-Workflows, wie zum Beispiel. Berechtigungsprüfungen, einbezogen werden. Mittels Automatisierung der Berechtigungsprüfungen und Autorisierungs-Workflows können Unternehmen Zeit sparen, den IT-Aufwand reduzieren und bessere Entscheidungen zur Zugriffskontrolle treffen.

Eine wirkungsvolle Datensicherheitsstrategie muss darauf ausgerichtet sein, wer auf welche Daten vor Ort und in der Cloud zugreift. Die in Office 365 integrierten Sicherheits-Features reichen jedoch nicht aus, um auffälliges Verhalten zu zeigen, da ihnen insbesondere der detaillierte, netzwerkumfassende Kontext fehlt. Hierzu bedarf es einer durchgehenden, sämtliche Datenspeicher umfassenden Transparenz, ergänzt durch intelligente Nutzerverhaltens-Analyse (UBA), welche abnormales Nutzerverhalten erkennt und (automatisiert) entsprechende Maßnahmen einleitet. Denn letztlich darf es für die Datensicherheit keinen Unterschied machen, wo die Daten gespeichert sind.