Jeder, der mit Microsoft 365 arbeitet, weiß, dass man Dateien ganz einfach mit anderen Nutzern teilen kann. Das kann jedoch schnell dazu führen, dass Daten ungewollt an Personen weitergeleitet werden, die eigentlich keinen Zugriff darauf haben sollten. 

Um auf potentielle Sicherheitslücken und einen sicheren Umgang mit der Cloud aufmerksam zu machen, haben wir – Michael und Jan aus dem Team von CloudGestalt – uns mit Elisa zusammengesetzt und darüber gemeinsam eine Podcast-Folge aufgenommen.

Was heißt eigentlich Teilen?

Die Teilen-Funktion ermöglicht vereinfacht gesagt den Zugriff auf freigegebene Dokumenten oder Dateien an einem zentralen Ablageort. So gut wie jede Website ist mit einer Teilen-Schaltfläche bestückt, die meist auch nicht entfernt oder deaktiviert werden kann. Dennoch gibt es eine Vielzahl an Möglichkeiten, die Freigabe innerhalb der Microsoft 365 Umgebung einzuschränken, um die Datensicherheit deines Unternehmens zu gewährleisten.

Wir bei CloudGestalt schränken das Teilen immer auf eine bestimmte Sicherheitsgruppe ein, um das allgemeine Risiko eines Datenverlusts an Dritte zu verhindern. 

Eine sehr gute Möglichkeit, um sicherzustellen, dass nur vorgesehene Personen Zugriff auf die geteilten Inhalte erhalten, ist Multifaktor-Authentifizierung (MFA).

Aber was bedeutet Multi-Faktor-Authentifizierung überhaupt?

MFA ist eine Authentifizierungsmethode, bei dem der Benutzer zwei oder mehr Verifizierungen abschließen muss, um Zugang zu einer Ressource oder einer Anwendung wie M365 erlangen.

Anstatt nur nach einem Benutzernamen und einem Kennwort zu fragen, erfordert MFA also einen oder mehrere zusätzliche Überprüfungsfaktoren, wodurch die Wahrscheinlichkeit eines erfolgreichen Cyber-Angriffs sinkt.

Und wie funktioniert das?

MFA funktioniert, indem zusätzliche Identifizierungen verlangt werden. Einer der am häufigsten genutzten MFA-Faktoren sind OTPs (One Time Password). OTPs sind 4- bis 8-stellige Codes, die die vorgesehene Person per E-Mail, SMS oder über eine mobile Anwendung wie den Microsoft Authenticator erhält. In bestimmten Abständen oder bei jeder Authentifizierungsanfrage wird ein neuer Code generiert. 

Dieser Code wird nach einer korrekten Eingabe der Benutzerdaten zu einer weiteren Verifizierung genutzt. 

So wird Dritten, die fälschlicherweise über den Benutzernamen sowie das Passwort verfügen, weiterhin der Zugriff verweigert.  

Aber wie kommen Dritte überhaupt an meine Benutzerdaten? Hacker erlangen Zugangsdaten und andere vertrauliche Informationen durch Phishing-Angriffe. Phishing hat sicherlich jeder schon erlebt. Es ist der Versand gefälschter E-Mails, die einen dazu verleiten, auf einen Betrug hereinzufallen, indem man sensible Daten preisgibt. 

Wie funktioniert Phishing und warum ist es heute so wichtig, darüber Bescheid zu wissen?

Phishing-Mails nutzen Social Engineering Strategien (Fälschungen, Irreführungen und Lügen, um Internetnutzer zu manipulieren), um Benutzer zu unüberlegtem Handeln anzuregen.

Phishing-Kampagnen beginnen immer mit einer schädlichen E-Mail. Ein Angriff tarnt sich als Nachricht von einer legitimen Firma. Je mehr die Phishing E-Mail der einer imitierten Firma gleicht, desto höher ist die Wahrscheinlichkeit, dass man darauf hereinfällt. Die Ziele der Angreifer variieren, aber meist geht es darum persönliche Informationen oder Zugangsdaten zu stehlen. Es reicht bereits wenn nur eine Person auf eine Phishing-Mail hereinfällt, um einen schweren Datenverstoß anzurichten. 

Deshalb ist Phishing heutzutage eine der kritischsten Bedrohungen für Unternehmen: 

Phishing entwickelt sich stets weiter, um zu verhindern, dass technische Sicherheitsmaßnahmen oder die Opfer selbst die Täuschung durchschauen. Genau aus diesem Grund ist es unerlässlich, dass Organisationen kontinuierlich ihr Personal weiterbilden und die Mitarbeiter die neuesten Phishing-Strategien direkt erkennen. Diese “menschliche Verteidigungslinie” ist enorm wichtig, da technische Maßnahmen allein nicht ausreichen, um die Daten innerhalb eines Unternehmens zu schützen.

Und wie kann ich meine Daten vor menschlichen Fehlern schützen?

Es hat den Anschein, dass das Ablegen von Dateien in der Cloud gleichzeitig eine Sicherung der Daten darstellt. Das ist leider nicht richtig. Daher ist es wichtig, zwischen Cloud-Speicher (Storage) und Cloud-Backup (Sicherung) zu unterscheiden. Bei einer Cloud-Speicherlösung wie SharePoint oder OneDrive liegt der Fokus auf der Benutzerfreundlichkeit, einfacher Ablage von Daten und der Verfügbarkeit auf verschiedenen Endgeräten für verschiedene User. 

Das dabei oft übersehene Problem: Wird eine Datei auf einem beliebigen Gerät gelöscht, erlischt der Zugriff aller Endgeräte. Wird die Datei auf einem beliebigen Gerät mit einem Virus infiziert, wird dieser auf alle Endgeräte übertragen, die mit dem geteilten Konto verbunden sind.

Bei dem Cloud-Backup hingegen werden Kopien der Dateien automatisch und regelmäßig in die Cloud gesichert. Das versichert, dass immer eine aktuelle Sicherung der Daten erstellt wird und dann auch wiederhergestellt werden kann. Unsere Backup-Lösung von CloudGestalt bietet Euch die Möglichkeit, eure Dateien jederzeit leicht wiederherzustellen und immer zugriffsbereit zu sein. 

Und was kann ich sonst noch tun für eine sichere Cloud-Umgebung?

Apps blockieren, die nicht relevant sind. Es gibt eine Vielzahl zusätzlicher Outlook Apps oder Teams Apps. Doch braucht man diese wirklich? Wir sagen ganz klar nein. All diese Apps sind sogenannte Third Party Applications (auf Deutsch 3rd Party App). Das bedeutet, dass die Anwendung, wie z.B. eine Wetter App oder FindTime App eines außenstehenden Anbieters auf persönliche und auch meistens auf unternehmensrelevante Daten zugreift. Um sowas zu verhindern, kann man diese Apps blockieren, dass diese gar nicht erst installiert werden können.

Und wer kümmert sich jetzt um die Datensicherheit in der Cloud? Du!

Microsoft 365 bietet Dir viele Möglichkeiten um einfach, strukturiert und flexibel zu arbeiten sowie gemeinsam mit Deinem Team orts- und geräteunabhängig Zugriff auf alle relevanten Dateien zu haben. Um dabei keine Angst vor Verlust oder Missbrauch Deiner Daten haben zu müssen, haben wir Dir hiermit einige Tipps an die Hand gegeben, potentielle Sicherheitslücken zu schließen.

Wenn du weitere Fragen zur Anwendung und Personalisierung von Microsoft 365 oder Interesse an einer ganz individuellen Daten-Sicherheitsanalyse für Dein Unternehmen hast, wende dich gern an CloudGestalt – wir helfen Dir gern weiter! Alle wichtigen Kontaktinformationen und die Möglichkeit direkt ein unverbindliches, kostenloses Erstgespräch zu buchen findest Du unter https://cloudgestalt.com