Bereits vor der aktuell grassierenden Pandemie erfreuten sich Collaboration-Tools wie Microsoft Teams in Unternehmen zunehmender Beliebtheit. Der Boom des Homeoffice im Zuge der Pandemie bedeutet jedoch einen weiteren Boom dieser Lösungen. Mit der immer größer werdenden Schar an Nutzern stellt sich für IT-Teams allerdings zunehmend die Frage nach der Absicherung dieser Coworking-Umgebungen. Ein besonderes Augenmerk gilt hier der Kollaborationslösung von Microsoft, da in der Mehrzahl der Organisationen diese Software zum Einsatz kommt.
Anders als in der Vergangenheit, in der Unternehmen ihre Anwendungs-, Datei-, Exchange- und SharePoint-Server sowie unter Umständen ihren Skype-for-Business-Server innerhalb ihres durch eine Firewall abgesicherten Perimeters bzw. innerhalb des internen Netzwerks betreiben konnten, handelt es sich bei Teams um eine Cloud-Lösung auf Basis von Microsoft 365. Der Fokus der IT-Administratoren muss folglich auf der Absicherung der Anwender liegen, nicht auf der des Netzwerkes. Vor allem der Schutz der Anmeldedaten sollte hierbei Priorität genießen – starke Passwörter und der Einsatz einer Multi-Faktor-Authentifizierung bilden jedoch lediglich das Mindestmaß an Sicherheit.
Ferner sollten die Sicherheitsverantwortlichen auf die Möglichkeit zurückgreifen, die Sicherheitsfunktionen des Cloud-Service von Microsoft voll auszuschöpfen, um sicherzustellen, dass Nutzer über Teams nur von bestimmten (bekannten) Standorten aus und nur mit zugelassenen Endgeräten Zugriff auf die Unternehmensressourcen haben. Doch die tatsächliche Absicherung von MS Teams bedarf noch weitergehender Schritte. In diesem ersten Teil meines Beitrags werde ich auf grundsätzliche Fragen zur Sicherheit von Microsoft Teams eingehen und anschließend auf die Rolle von Microsoft-365-Gruppen und externen Zugriff eingehen. Der zweite Teil widmet sich der Rolle von Richtlinien, der Sicherung von Dateien sowie den unterschiedlichen Administratorenrollen und ihren Rechten.
Ist Teams sicher?
Ist Teams sicher? Diese Frage stellen sich alle IT-Verantwortlichen, die vor der Einführung der Microsoft-Kollaborations-Lösung stehen. Ein klares Ja oder Nein als Antwort wäre zu kurz gegriffen. Treffender müsste diese „Ja, aber“ lauten. Denn es hängt wesentlich von den Administratoren ab, inwieweit Mitarbeiter und Unternehmensdaten bei der Nutzung von MS Teams geschützt sind.
Die Hauptfunktionen von Teams bestehen aus den Möglichkeiten zu chatten, Besprechungen zu planen und durchzuführen, Anrufe zu tätigen sowie gemeinsam an Dateien zu arbeiten. Die Lösung bündelt also verschiedene Tätigkeiten, die vormals auf Basis einzelner Tools umgesetzt wurden. Teams gewährleistet, dass die Kommunikation und die Dateifreigaben nur unter bekannten, autorisierten Benutzern erfolgt, die über entsprechende Zugriffsrechte verfügen. Doch wie bei den Türen und Fenstern eines Hauses kommt es für die Administration von Teams darauf an, die Sicherheitsmaßnahmen – analog zu den Schlössern am Haus – durchdacht zu platzieren, um ein optimales Gleichgewicht zwischen Sicherheit und Benutzerfreundlichkeit zu finden.
Den für Administratoren zur Absicherung wichtigsten Parameter bildet die Identität des Benutzers – oder um im Bilde zu bleiben, die Eingangstür. Ein Vorteil aller Microsoft-365-Anwendungen, einschließlich Teams, ist es, dass sich die Benutzeridentität in Azure Active Directory (Azure AD) befindet und sich dort vom IT-Team verwalten lässt. Die jüngsten Weiterentwicklungen der Sicherheitsfunktionen von Azure AD für Identitäten bilden einen großen Sprung nach vorn für alle Anwendungen, die darauf zurückgreifen.
Funktionen wie konfigurierbare MFA-Kontooptionen, Kontosperreinstellungen und die Unterstützung für Single-Sign-On über Anwendungen hinweg sind grundlegende Funktionen, die sich zu sehr effektiven Säulen der Identitätssicherheit entwickelt haben. Premium-Funktionen für die Azure-AD-Verwaltung wie Identity Protection nutzen Informationen zur Kontoaktivität in AD, um riskante Bedrohungen in allen Microsoft-Cloud-Anwendungen zu identifizieren, zu erkennen und zu untersuchen. Darüber hinaus können fortschrittliche Funktionen für das Azure AD Privileged Identity Management wie Conditional Access ebenfalls auf diese Informationen zurückgreifen, um privilegierte Identitäten besser abzusichern, da diese Zugang zum Herzstück der Unternehmens-IT bieten.
Schutz auf Basis von Microsoft-365-Gruppen und Absicherung der Teams-Anwendung
Eine weitere wichtige Säule der Sicherheitsarchitektur von Microsoft Teams ist die Microsoft-365-Gruppe. Jedes Team ist mit einer Microsoft-365-Gruppe verbunden. Die Mitgliedschaft in dieser Gruppe definiert, „wer“ auf „was“ in einem Team zugreifen darf (siehe Abbildung 1). Der Zugriff auf die Daten und die Rechte eines Teams werden von den Eigentümern und Mitgliedern dieses Teams geregelt, was durch ihre Mitgliedschaft in der zugehörigen Microsoft-365-Gruppe bestimmt wird.
Sind die Identitäten der Nutzer erst einmal durch die Security-Verantwortlichen geschützt, sollten verschiedene Bereiche der Teams-Anwendung und des Dienstes überprüft bzw. konfiguriert werden. Ein wichtiger Aspekt ist hierbei der Lebenszyklus von einzelnen Teams – also beispielsweise die Erstellung, Nutzung und deren Auflösung. Hier sollten einige Best Practices durch die Administratoren beachtet werden:
Externer Zugriff und Gästezugang
Die Sicherheitsarchitektur von Microsoft Teams ist so ausgelegt, dass die Zusammenarbeit der eigenen Angestellten mit Benutzern anderer Organisationen – beispielsweise Partnern – auf zwei Arten möglich ist: externer Zugriff und Gastzugang. Der auch „Föderation“ genannte, externe Zugriff erlaubt es den Mitarbeitern, deren Identität mit der Domäne des eigenen Unternehmens verknüpft ist, mit Benutzern aus anderen Domänen zusammenzuarbeiten. Der externe Zugriff ist in Teams standardmäßig aktiviert, um zu gewährleisten, dass Mitarbeiter mit Benutzern anderer Organisationen interagieren können. Dieser Zugriff lässt sich jedoch durch die Administratoren gänzlich deaktivieren oder, sofern gewünscht, regulieren. Letzteres ist auf Basis folgender Szenarien möglich:
Neben dem externen Zugriff besteht zudem die Möglichkeit zur Gewährung eines Gastzugangs. Dieser kann durch das IT-Team mittels eines Einladungsprozesses für Azure AD umgesetzt werden, bei dem ein Gastkonto im eigenen Azure-AD-Tenant eingerichtet wird. Der Zugriff auf Basis des Gastzugangs lässt sich entsprechend konfigurieren, um die damit verbunden Rechte zu definieren. Hierfür gibt es auf Tenant-Ebene zwei wichtige Einstellungsmöglichkeiten, die festlegen, ob Gäste Zugriff auf die Teams in Ihrem Teams-Tenant haben. Eine davon ist eine Microsoft-Teams-Tenant-Einstellung, die sich im Teams Admin Center befindet.
Die andere Möglichkeit findet sich im Microsoft-365-Portal und regelt den Gastzugriff auf die zugrunde liegenden Microsoft-365-Gruppen, die von einzelnen Teams verwendet werden. Sind beide Einstellungen aktiviert, kann der Gastzugriff auf bestimmte Teams von einem Administrator mit Hilfe von PowerShell deaktiviert werden, um den Zugriff auf die zugehörige Microsoft-365-Gruppe zu deaktivieren.
Ist der Gastzugang auf der Tenant-Ebene von Teams aktiviert, können Administratoren im Teams Admin Center ferner regeln, welche Rechte Gäste genießen. Sobald der Gastzugang in einem Team aktiviert ist, erfolgt eine granulare Steuerung auf Teamebene durch Einstellungen, die der Teambesitzer aktiviert oder deaktiviert. Beispielsweise kann dieser festlegen, ob Gäste Nachrichten in Kanalbeiträgen bearbeiten oder löschen können. Diese Einstellung ist von großer Bedeutung, wenn die Kommunikation dauerhaft dokumentiert werden soll.
Welche Bedeutung Richtlinien, die Sicherung von Dateien und verschiedene Administratorrollen beim Schutz von Microsoft Teams zukommen, wird im zweiten Teil eingehend erläutert.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…
Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…