Office 365 sicher im Unternehmen einsetzen

Wenn ein Unternehmen Office 365 nutzt, die Cloud-Version von Microsoft Office, dann sollte der Administrator sicherstellen, dass keine vertraulichen Daten in unbefugte Hände geraten.

Microsoft hat zwar bereits etliche Sicherheitsfunktionen in seine Cloud-Lösung eingebaut. Aber als Administrator können Sie noch mehr tun, um stets die vollständige Kontrolle über die Unternehmensdaten zu behalten.

Dazu gehört beispielsweise, den Zugriff durch mobile Geräte zu regulieren, Synchronisierungen – etwa mit Facebook – zu unterbinden oder eine 2-Faktor-Authentifizierung zu erzwingen. Wenn alle Stellschrauben angezogen sind, dann bieten sich zusätzlich externe Lösungen an, um Office 365 noch sicherer zu machen.

Rufen Sie zunächst das Admin-Center von Office 365 auf und navigieren Sie zu den „Diensteinstellungen“. Hier ist vor allem der Abschnitt „E-Mail, Kalender und Kontakte“ wichtig. Dort legen Sie etwa fest, ob Mitarbeiter berechtigt sind, ihre Kalender zu veröffentlichen. Desgleichen lässt sich per Schalter die Kontakte-Synchronisierung mit Facebook und LinkedIn verhindern. Außerdem lassen sich Rechte zur Freigabe von Standortinformationen entziehen.

Ebenfalls in den „Diensteinstellungen“ verwalten Sie unter „Mobiler Zugriff“ die Berechtigungen von Smartphones und Tablets. Über die „Gerätesicherheitseinstellungen“ lässt sich zum Beispiel festlegen, wie lang Kennwörter mindestens sein müssen, um eine Verbindung mit Office 365 herzustellen.

Unter „Kennwörter“ finden Sie auch die „Kennwortablaufrichtlinie“. Hier können Sie den Zeitraum definieren, nach dem der Benutzer ein neues Kennwort vergeben muss, um sich weiterhin mit Office 365 verbinden zu können.

Wenn ein mobiles Gerät verloren geht oder gestohlen wird, dann lassen sich vertrauliche Unternehmensdaten löschen und der Zugriff auf Office 365 lässt sich verhindern. Dazu nehmen Sie im Admin-Center ein Zurücksetzen des Geräts vor. Dabei löschen Sie entweder nur Unternehmensdaten oder Sie setzen das Gerät auf die Werkseinstellungen zurück.

Zudem lässt sich einstellen, dass nur Geräte ohne Jailbreak beziehungsweise ohne Root-Rechte zugelassen sind.

Mit der Multi-Faktor-Authentifizierung in Office 365 lassen sich sicherheitskritische Benutzerkonten im Unternehmen wirksam vor Hacker-Angriffen und unautorisierten Anmeldungen sichern.

Dazu klicken Sie im Admin-Center von Office 365 auf den Menüpunkt „Benutzer und Gruppen“ und anschließend auf „Aktive Benutzer“. Sie erhalten eine Liste aller angelegten Benutzer und aktivieren darin die Option „Mehrstufige Authentifizierungsanforderungen einrichten“. Wenn sich ein Benutzer das nächste Mal für Office 365 anmeldet, dann erhält er eine Meldung, dass die mehrstufige Authentifizierung aktiviert wurde und er diese für sein Konto einrichten muss. Er erledigt das, indem er auswählt, womit er sich künftig zusätzlich zum Kennwort anmelden will, zum Beispiel über einen per SMS versendeten Code.

Alle Unternehmen, die neben Office 365 auch Microsoft Azure einsetzen, können mit Hilfe des Azure Active Direc­­tory die Multi-Faktor-Authentifizierung noch granularer einrichten.

Mit einer Funktion von Microsoft Azure lassen sich E-Mails in Office 365 verschlüsseln. Die Funktion ist Teil von Microsoft Azure Active Directory Rights Management und lässt sich ohne weitere Azure-Module buchen. Die Verschlüsselung erfolgt über Transportregeln, die auch in Microsoft Exchange vorhanden sind.

Klicken Sie in der Weboberfläche von Office 365 auf „Administrator“ und wählen Sie „Exchange“. Dort erstellen Sie unter „Nachrichtenfluss“ eine neue Regel über den Menüpunkt  „Neue Regel erstellen…“. Wählen Sie bei „Diese Regel anwenden, wenn…“ die Kriterien aus, bei denen Office 365 die E-Mails verschlüsseln soll. Ein Beispiel: „Der Empfänger befindet sich außerhalb der Organisation“. Treffen Sie bei „Folgendermaßen vorgehen…“ die Auswahl „Nachrichtensicherheit ändern…“ und wählen Sie dann „Office 365-Nachrichtenverschlüsselung anwenden“.

Für Unternehmenskunden hat die Deutsche Telekom einen verschlüsselten Zugang zu Microsofts Office 365 eingeführt. Er basiert auf einer Technik von Cipher Cloud, einem Start-up aus San José. Cipher Cloud bildet eine Art Grenzkontrolle für den Datenverkehr über die Cloud.

Ein Gateway stellt dabei den reibungslosen Zugriff auf Office 365 sicher und ermöglicht es dem Admin, die Einhaltung von Sicherheitsrichtlinien zu erzwingen. Dieses Gateway muss einmalig in die Netzwerk­infrastruktur des Unternehmens eingebunden werden.

Ein integrierter Mail Transfer Agent (MTA) sorgt dafür, dass alle eingehenden E-Mails verschlüsselt werden, bevor sie in den Postfächern abgelegt werden. Die Schlüssel bleiben dabei in Unternehmenshand, ein Zugriff auf geschützte Daten durch unautorisierte Besucher ist nicht möglich. Erst beim Abrufen durch einen autorisierten Benutzer werden die Dateien wieder entschlüsselt.

Auch Dienste anderer Cloud-Anbieter wie Salesforce und Amazon Web Services lassen sich auf diese Weise schützen.

Cloud App Security der japanischen Firma Trend Micro ist im Prinzip ein Malware-Scanner für Office 365 und wird direkt per Microsoft-API integriert.

Über eine dynamische Sandbox-Funktion erkennt Cloud App Security etwa schädliche E-Mail-Anhänge und Zero-Day-Exploits. Zudem lässt sich die Freigabe von Compliance-Daten in Exchange, SharePoint und OneDrive steuern.

Da es sich um einen reinen Cloud-Service handelt, muss der Admin keine zusätzliche Software installieren, auch muss der E-Mail-Verkehr nicht umgeleitet werden.

Cloud App Encryption ist ebenfalls eine Lösung von Trend Micro. Sie stülpt sich wie eine Extra-Wolke über die Office-365-Cloud und sorgt dafür, dass alle Daten mit AES 256 verschlüsselt werden, bevor sie in Office 365 abgelegt werden. Auch hier erfolgt die Cloud-zu-Cloud-Integration über eine Microsoft-API.

Das Unternehmen hat dabei die Wahl, entweder einen eigenen Schlüssel-Server einzurichten – dann bekommen weder Microsoft noch Trend Micro die Schlüssel jemals zu sehen – oder die Schlüsselverwaltung vollständig Trend Micro zu überlassen. Die dazugehö­rigen Server stehen in München.

Christian Klein ist Regional Solution Manager DACH bei Trend Micro. com! professional hat mit ihm über die Verschlüsselungstechnik für Office 365 gesprochen.

com! professional: Welche Zielgruppen haben Cloud App Security und Cloud App Encryption?

Christian Klein: Im Grunde alle Kunden mit einer Office-365-Business- oder -Enterprise- Lösung. Preislich zielen die Business-Pläne eher auf kleine und mittelständische Unternehmen ab, die Enterprise-Pläne mehr auf entsprechend größere Kunden.

Das ist jedoch oft eher eine Frage des Funktionsumfangs der jeweiligen Microsoft-Angebote. Mit Cloud App Encryption und Cloud App Security unterstützen wir alle Office-365-Business- und -Enterprise-Pläne bis auf Office 365 ProPlus für Encryption, da hier keine E-Mail-Funktion enthalten ist.

com! professional: Hat der Prozess von Microsoft gegen die erzwungene Herausgabe von Daten auf Nicht-USA-Rechnern eine Rolle gespielt bei der Entwicklung der Lösungen?

Klein: Ja und nein: Bei einer Verschlüsselungslösung wie Cloud App Encryption ist es natürlich immer besser, die Schlüssel an einem anderen Ort aufzubewahren als die verschlüsselten Daten. Somit kann nur derjenige etwas mit den Daten anfangen, der sowohl die Daten als auch die entsprechenden Schlüssel hat, nämlich der Kunde.

Bei Cloud App Security bieten wir einen zusätzlichen Schutz im Bereich Content Security. Hierbei können die Daten zwar zur Analyse an uns weitergeleitet werden, jedoch bleiben sie letzten Endes in der Microsoft-Umgebung, nachdem sichergestellt wurde, dass keine Malware enthalten ist, kein Datenabfluss (DLP) und kein zielgerichteter Angriff stattfindet.

com! professional: Wie hat man sich die Funktionsweise von Cloud App Encryption vorzustellen?

Klein: Sobald eine E-Mail die Office-365-Umgebung erreicht, wird sie über eine API direkt an die Trend-Micro-Cloud weiter­geleitet, wo zunächst das Indexing zur späteren Suche der Mail und danach die Verschlüsselung der Mail stattfindet.

Die verschlüsselte Mail wird anschließend wieder an die Office-365-Umgebung zurückgeliefert, wo sie schließlich im Postfach des Users landet. Der User kann über einen Trend-Micro-Proxy transparent auf seine verschlüsselten Mails zu­greifen, sodass die Nutzung der Office-365-Umgebung nicht eingeschränkt wird.

com! professional: Was liedert Cloud App Encryp­tion an Sicherheitsfunktionen, die Microsoft nicht bereits selbst in Office 365 eingebaut hat?

Klein: Im Bereich Cloud App Encryption bietet Trend Micro dem Kunden die Möglichkeit, die Schlüsselverwaltung ent­weder selbst zu übernehmen oder sie komplett Trend Micro zu überlassen, wodurch die Trennung von Daten und Schlüssel in jedem Fall gewährleistet ist. Somit behält der Kunde zu jedem Zeitpunkt die Hoheit über seine Daten. Im Bereich Cloud App Security liefert Trend Micro einen erweiterten, dynamischen Schutz zur Erkennung aktueller Bedrohungen und zielgerich­teter Angriffe. Hierbei sind besonders die Repu­tationsservices sowie die Sandbox-Analyse zu erwähnen, die neue, völlig unbekannte Attacken – häufig durch Spear-Phishing ausgelöst – erkennen und blocken kann.

com! professional: Ist die Nutzung einer API zur Integration in Office 365 ein Alleinstellungsmerkmal?

Klein: Auch andere Hersteller verwenden diese Schnittstelle, benötigen aber häufig zusätzliche Hardware – für jeden Standort redundant – für die Schlüsselverwaltung und bieten keine Sandbox-Analyse.

com! professional: Trend Micro ist ein japanisches Unternehmen. Wenn ich bei Cloud App En­cryption die Schlüsselverwaltung Trend Micro überlasse, unterliege ich dann dem japanischen Datenschutzrecht?

Klein: Nein. Die Server für die Schlüsselverwaltung befinden sich in einem deutschen Rechenzentrum, erfüllen also europäische beziehungsweise deutsche Sicherheits- und Compliance-Standards.

com! professional: Wie sieht die Partnerschaft zwischen Trend Micro und Microsoft aus?

Klein: Trend Micro ist bereits seit vielen Jahren Microsoft Gold Partner und schützt seit über 15 Jahren Collaboration-Lösungen von Microsoft wie Exchange und SharePoint – und bietet diesen Schutz nun auch Kunden, die in die Microsoft-Cloud gehen.

com! professional: Welche Preisgestaltung haben die Lösungen?

Klein: In Anlehnung an die Preisgestaltung von Microsoft bietet auch Trend Micro ein Subscription-Modell an, das sich auf einen Jahrespreis bezieht.