Microsoft Teams korrekt absichern – Teil 2

In diesem zweiten Teil meines Beitrags zur Absicherung von Microsoft Teams widme ich mich der Rolle von Richtlinien, der Sicherung von Dateien sowie den unterschiedlichen Administratorenrollen und ihren Rechten, um ein abschließendes Resümee zu ziehen. (Teil 1 finden Sie hier).

Stärkerer Schutz mittels Richtlinien

Microsoft Teams verfügt zudem über administrative Richtlinien, die die Möglichkeiten aller wichtigen Funktionen für die Zusammenarbeit regeln. Dazu gehören Richtlinien, die Chats, Meetings, Live-Events, Teams-Apps, Geräte, Anrufe und die Option, private Kanäle zu erstellen, festlegen.

Administratoren sind hier in der Lage, globale und spezifische Richtlinien zu definieren, die auf bestimmte Personen oder Benutzergruppen angewendet werden. Hierbei gilt, dass stets die granularste Richtlinie wirksam wird. Folglich setzt beispielsweise eine Richtlinie, die auf ein Benutzerobjekt angewendet wird, die auf globaler Ebene definierten Einstellungen außer Kraft. Jede globale Richtlinie sollte von den Verantwortlichen eingehend überprüft und grundlegend definiert werden.

Sicherheit für Dateien in Microsoft Teams

Die Sicherheitsfunktionen von Microsoft Teams umfassen auch die Speicherung von Dateien. In dieser Hinsicht besteht ein großer Vorteil von Microsoft Teams darin, dass die gesamte zugrundeliegende Sicherheitsarchitektur von SharePoint und OneDrive for Business genutzt wird, um Daten zu schützen. Beispielsweise wird die externe Freigabe von Daten im Kanal eines Teams durch die Steuerelemente für die externe Freigabe in der zugehörigen SharePoint-Website-Sammlung geregelt.

Hier gilt es für die Verantwortlichen zu beachten, dass es der Microsoft-Teams-Dienst den Nutzern ermöglicht, die Inhalte in Teams-Kanälen auch bei Drittanbietern für Cloud-Storage wie Google Drive, Box und Dropbox zu speichern. Diese Berechtigung ist standardmäßig aktiviert. Die Einstellungen für diese Berechtigung lassen sich im Microsoft Teams Admin Center verwalten. Die Aktivierung bzw. Deaktivierung dieser Funktion sollte immer im Einklang zur allgemeinen Datensicherheitsstrategie des Unternehmens erfolgen. Sofern kein zwingender Grund vorliegt, Daten außerhalb von Microsoft 365 zu speichern, sollte die Speicherung aufgrund von Sicherheits- und Governance-Vorgaben durch das Security-Team auf SharePoint und OneDrive for Business beschränkt werden.

Rollenverwaltung und privilegierte Administratorzugriffe bei Teams

Wie auch für andere Microsoft-365-Anwendungen wird der administrative Zugriff auf Microsoft Teams durch die rollenbasierte Zugriffskontrolle (RBAC) von Azure AD geregelt. Administratorkonten verfügen über eine oder mehrere der folgenden Teams-spezifischen Admin-Rollen und besitzen folglich die damit verbundenen Zugriffsrechte:

• Teams Service Administrator – Dieser hat Zugriff auf alle Verwaltungstools für Telefonie, Messaging, Meetings und die Teams selbst sowie die Möglichkeit, Einstellungen, Konfiguration und Richtlinien zu ändern
• Teams Communications Administrator – Er hat Zugriff auf die Verwaltungstools für die Zuweisung von Telefonnummern, Sprach- und Meeting-Richtlinien sowie Vollzugriff auf das Toolset zur Anrufanalyse
• Teams Communications Support Engineer – Diese Rolle erlaubt den Zugriff auf die Tools zur Fehlerbehebung bei Benutzeranrufen im Admin-Center von Microsoft Teams & Skype for Business mit einhergehender Einsicht in die Informationen zur Anrufaufzeichnungen für alle Teilnehmer
• Teams Communications Support Specialist – Er besitzt Zugriffsrechte auf die Tools zur Fehlerbehebung bei Benutzeranrufen im Microsoft Teams & Skype for Business Admin Center, inklusive Details zu bestimmten Benutzern

Darüber hinaus müssen die Verantwortlichen beachten, dass viele der privilegierten administrativen Rollen auf der Microsoft-365-Mandantenebene auch über Admin-Zugriff auf den Teams-Dienst verfügen. Sollte eine Organisation beispielsweise über drei globale Microsoft-365-Administratoren verfügen, haben alle von ihnen auch freien Zugang zu den Teams-Admin-Einstellungen. Das Security-Team muss bei der Verwaltung und dem Schutz von Microsoft Teams darauf achten, dass die globale Administratorrollen – insbesondere die des Teams Service Administrators – ein Höchstmaß an Schutz genießen und streng kontrolliert werden. Auch hier ist der Schutz der zugrundeliegenden Azure AD-Identität der wichtigste Schritt. Denn wenn ein Konto eines Teams Service Administrators von Cyberkriminellen kompromittiert wird, ist die gesamte Teams-Umgebung der betreffenden Organisation in Gefahr.

Resümee

Auch wenn noch nicht ganz abzusehen ist, inwieweit die Verlagerung der Arbeit ins Homeoffice von Dauer sein wird, lässt sich bereits eine Tendenz erkennen. Das ortsunabhängige Arbeiten wird zunehmend an Bedeutung gewinnen und die dazu nötigen Tools entsprechend unerlässlich. Umso wichtiger ist es für die Security-Verantwortlichen daher, den Schutz der Mitarbeiter und Daten des Unternehmens auch unter diesen Vorzeichen zu gewährleisten.

Die Sicherheit bei der Nutzung von Microsoft Teams ist wie erläutert eng verknüpft mit den Schutzvorkehrungen des Active Directory bzw. Azure Active Directory. Da sich letzterer jedoch nicht selten nur unzureichend mit Bordmitteln umsetzen lassen, sind die IT-Teams gut beraten, die Verwendung einer Drittanbieter-Lösung zur Absicherung des AD und Azure AD in Erwägung zu ziehen. Auch beim direkten Schutz von Teams können Lösungen von Drittanbietern wie Quest Software die Security-Verantwortlichen dabei unterstützen, ihre Kollaborations-Umgebungen abzusichern und deren Sicherheit umfassend zu gewährleisten.