Microsoft Teams korrekt absichern – Teil 2

In diesem zweiten Teil meines Beitrags zur Absicherung von Microsoft Teams widme ich mich der Rolle von Richtlinien, der Sicherung von Dateien sowie den unterschiedlichen Administratorenrollen und ihren Rechten, um ein abschließendes Resümee zu ziehen. (Teil 1 finden Sie hier).

Stärkerer Schutz mittels Richtlinien

Microsoft Teams verfügt zudem über administrative Richtlinien, die die Möglichkeiten aller wichtigen Funktionen für die Zusammenarbeit regeln. Dazu gehören Richtlinien, die Chats, Meetings, Live-Events, Teams-Apps, Geräte, Anrufe und die Option, private Kanäle zu erstellen, festlegen.

Administratoren sind hier in der Lage, globale und spezifische Richtlinien zu definieren, die auf bestimmte Personen oder Benutzergruppen angewendet werden. Hierbei gilt, dass stets die granularste Richtlinie wirksam wird. Folglich setzt beispielsweise eine Richtlinie, die auf ein Benutzerobjekt angewendet wird, die auf globaler Ebene definierten Einstellungen außer Kraft. Jede globale Richtlinie sollte von den Verantwortlichen eingehend überprüft und grundlegend definiert werden.

Sicherheit für Dateien in Microsoft Teams

Die Sicherheitsfunktionen von Microsoft Teams umfassen auch die Speicherung von Dateien. In dieser Hinsicht besteht ein großer Vorteil von Microsoft Teams darin, dass die gesamte zugrundeliegende Sicherheitsarchitektur von SharePoint und OneDrive for Business genutzt wird, um Daten zu schützen. Beispielsweise wird die externe Freigabe von Daten im Kanal eines Teams durch die Steuerelemente für die externe Freigabe in der zugehörigen SharePoint-Website-Sammlung geregelt.

Hier gilt es für die Verantwortlichen zu beachten, dass es der Microsoft-Teams-Dienst den Nutzern ermöglicht, die Inhalte in Teams-Kanälen auch bei Drittanbietern für Cloud-Storage wie Google Drive, Box und Dropbox zu speichern. Diese Berechtigung ist standardmäßig aktiviert. Die Einstellungen für diese Berechtigung lassen sich im Microsoft Teams Admin Center verwalten. Die Aktivierung bzw. Deaktivierung dieser Funktion sollte immer im Einklang zur allgemeinen Datensicherheitsstrategie des Unternehmens erfolgen. Sofern kein zwingender Grund vorliegt, Daten außerhalb von Microsoft 365 zu speichern, sollte die Speicherung aufgrund von Sicherheits- und Governance-Vorgaben durch das Security-Team auf SharePoint und OneDrive for Business beschränkt werden.

Rollenverwaltung und privilegierte Administratorzugriffe bei Teams

Wie auch für andere Microsoft-365-Anwendungen wird der administrative Zugriff auf Microsoft Teams durch die rollenbasierte Zugriffskontrolle (RBAC) von Azure AD geregelt. Administratorkonten verfügen über eine oder mehrere der folgenden Teams-spezifischen Admin-Rollen und besitzen folglich die damit verbundenen Zugriffsrechte:

  • Teams Service Administrator – Dieser hat Zugriff auf alle Verwaltungstools für Telefonie, Messaging, Meetings und die Teams selbst sowie die Möglichkeit, Einstellungen, Konfiguration und Richtlinien zu ändern
  • Teams Communications Administrator – Er hat Zugriff auf die Verwaltungstools für die Zuweisung von Telefonnummern, Sprach- und Meeting-Richtlinien sowie Vollzugriff auf das Toolset zur Anrufanalyse
  • Teams Communications Support Engineer – Diese Rolle erlaubt den Zugriff auf die Tools zur Fehlerbehebung bei Benutzeranrufen im Admin-Center von Microsoft Teams & Skype for Business mit einhergehender Einsicht in die Informationen zur Anrufaufzeichnungen für alle Teilnehmer
  • Teams Communications Support Specialist – Er besitzt Zugriffsrechte auf die Tools zur Fehlerbehebung bei Benutzeranrufen im Microsoft Teams & Skype for Business Admin Center, inklusive Details zu bestimmten Benutzern

Darüber hinaus müssen die Verantwortlichen beachten, dass viele der privilegierten administrativen Rollen auf der Microsoft-365-Mandantenebene auch über Admin-Zugriff auf den Teams-Dienst verfügen. Sollte eine Organisation beispielsweise über drei globale Microsoft-365-Administratoren verfügen, haben alle von ihnen auch freien Zugang zu den Teams-Admin-Einstellungen. Das Security-Team muss bei der Verwaltung und dem Schutz von Microsoft Teams darauf achten, dass die globale Administratorrollen – insbesondere die des Teams Service Administrators – ein Höchstmaß an Schutz genießen und streng kontrolliert werden. Auch hier ist der Schutz der zugrundeliegenden Azure AD-Identität der wichtigste Schritt. Denn wenn ein Konto eines Teams Service Administrators von Cyberkriminellen kompromittiert wird, ist die gesamte Teams-Umgebung der betreffenden Organisation in Gefahr.

Resümee

Auch wenn noch nicht ganz abzusehen ist, inwieweit die Verlagerung der Arbeit ins Homeoffice von Dauer sein wird, lässt sich bereits eine Tendenz erkennen. Das ortsunabhängige Arbeiten wird zunehmend an Bedeutung gewinnen und die dazu nötigen Tools entsprechend unerlässlich. Umso wichtiger ist es für die Security-Verantwortlichen daher, den Schutz der Mitarbeiter und Daten des Unternehmens auch unter diesen Vorzeichen zu gewährleisten.

Die Sicherheit bei der Nutzung von Microsoft Teams ist wie erläutert eng verknüpft mit den Schutzvorkehrungen des Active Directory bzw. Azure Active Directory. Da sich letzterer jedoch nicht selten nur unzureichend mit Bordmitteln umsetzen lassen, sind die IT-Teams gut beraten, die Verwendung einer Drittanbieter-Lösung zur Absicherung des AD und Azure AD in Erwägung zu ziehen. Auch beim direkten Schutz von Teams können Lösungen von Drittanbietern wie Quest Software die Security-Verantwortlichen dabei unterstützen, ihre Kollaborations-Umgebungen abzusichern und deren Sicherheit umfassend zu gewährleisten.

ZDNet.de Redaktion

Recent Posts

Microsoft nennt weitere Details zu kostenpflichtigen Patches für Windows 10

Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…

7 Stunden ago

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

1 Tag ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

1 Tag ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

1 Tag ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

1 Tag ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

1 Tag ago