Auf das, was in den letzten Wochen passiert ist, waren viele Unternehmen nicht richtig vorbereitet. Heimarbeit, vor allem in diesen Ausmaßen, war für viele Unternehmen zuvor keine Option. Die Corona-Krise hat nun zahlreiche Angestellte ins Home-Office gezwungen und dabei einige Schwachstellen offengelegt: Nicht selten sind Mitarbeiter jetzt mit veralteter Hard- oder Software unterwegs, arbeiten mit unsicheren Anwendungen oder nutzen sogar Netzwerke, die offen für Angriffe sind.
Unter diesen Bedingungen fürchten viele IT-Abteilungen nun um ihre Unternehmensdaten. Klar: Wenn ein Account kompromittiert wird und so ein Angreifer ins Netzwerk eindringt, kann er im schlimmsten Fall das gesamte Unternehmen lahmlegen.
Dabei lässt sich die Sicherheit im Home-Office mit wenigen Schritten bereits um ein Vielfaches erhöhen. Microsoft hat hierzu einige Features, bekanntere und unbekanntere, die Sie als Admin dabei unterstützen. Wir haben Ihnen 7 Schritte zusammengestellt, mit denen Sie Ihre Mitarbeiter und Ihre Unternehmensdaten in ein sichereres Netzwerk führen können.
Weg vom Infrastructure Security Management hin zum Identity & Access Management
Prinzipiell gilt: In Zeiten von zunehmender Cloud-Nutzung sollte Identity Management zentraler Bestandteil Ihrer Security Maßnahmen sein. Wo früher mehr oder minder dicke Firewalls und VPN-Zugriffe die Netzwerke von Unternehmen geschützt haben, macht diese Schutzmaßnahme aus heutiger Sicht nicht immer Sinn. Spätestens wenn Ihre Mitarbeiter mobil arbeiten, brauchen sie auch von außerhalb Ihrer „Burgmauern“ weitreichende Zugriffe auf die Ressourcen in Ihrem Netzwerk.
Hinzu kommt, dass heute die meisten Angriffe über manipulierte E-Mails oder mithilfe unsicherer Passwörter gestartet werden. Mit wenigen Klicks können Angreifer so ein Netzwerk infiltrieren, indem Sie sich quasi als Freund und Bekannter ins Unternehmen hineinschleichen.
Sorgen Sie also dafür, dass die Accounts und digitalen Identitäten Ihrer Nutzer sicher sind und verhindern Sie so Einbrüche in Ihr Netzwerk.
7 Schritte für mehr Identitäts-Sicherheit im Home-Office
Schritt 1: Machen Sie die Leitung zu Ihrem Netzwerk sicher
Sinn und Zweck einer Cloud ist unter anderem eine räumliche Unabhängigkeit und Flexibilität. Eine gute Cloud-Lösung macht eine direkte Verbindung ins Büro-Netzwerk somit in der Regel überflüssig. Sie werden das leidige Thema trotzdem kennen: Hin und wieder kommen Ihre Mitarbeiter nicht um eine Verbindung ins Office herum, etwa um Remote auf bestimmte lokale Programme oder Dateien zuzugreifen.
Der erste Schritt auf dem Weg zu einem sichereren Home-Office ist es also, die Leitung ins Firmen-Netzwerk abzusichern. VPN-Lösungen sind hier eine weit verbreitete Lösung. Noch sicherer und von Ihren Mitarbeitern einfacher nutzbar, ist allerdings der Einsatz eines Application Proxy. Dank Azure AD-Anbindung ermöglicht Microsoft seinen Nutzern, lokale Anwendungen sicher von außen zu erreichen.
Wie genau der Application Proxy funktioniert, was die Voraussetzungen sind und wie Sie ihn einrichten, erklärt Microsoft im doc zum Azure Active Directory-Anwendungsproxy.
Schritt 2: Richten Sie für Ihre Nutzer MFA ein
Schritt 2 bildet eine der einfachsten, zuverlässigsten und gleichermaßen am häufigsten vernachlässigten Maßnahmen, die Sie als Admin durchführen können: Richten Sie eine Multifaktor-Authentifizierung für Ihre Nutzer ein. So werden die Konten Ihrer Mitarbeiter effektiver gegen fremden Zugriff geschützt.
Es ist egal, welche Kombination Sie aus Wissen (zum Beispiel Passwort), Besitzen (zum Beispiel Security-Token) und physischen Merkmalen (zum Beispiel Fingerprint) wählen, MFA sollte bei Ihnen Pflicht sein.
Wie die Multifaktor-Authentifizierung bei Microsoft funktioniert, erfahren Sie im Microsoft doc.
Schritt 3: Legen Sie fest, wen Sie wo reinlassen möchten
Dank MFA haben Sie unbefugten Zugang deutlich erschwert, durch Conditional Access machen Sie es Angreifern zusätzlich schwierig, sich in Ihrem Netzwerk „frei“ zu bewegen. Erlauben Sie nur autorisierten Zugriff auf kritische Apps oder schützen Sie sensible Daten durch spezielle Vorkehrungen. Durch bedingten Zugang in Zusammenspiel mit Azure AD steuern Sie genau, wer mit welchen Geräten und unter welchen Bedingungen auf Ihr Netzwerk und einzelne Ressourcen zugreifen darf.
Die Einstellungen zum Conditional Access finden Sie unter „Policies“ in den Microsoft Azure-Einstellungen. Hier können Sie gezielt einzelne Policies festlegen, viele Vorlagen sind bereits vorhanden. Eine ausführliche Anleitung finden Sie auch hier im Microsoft doc.
Schritt 4: Bereinigen Sie die Devices Ihrer Mitarbeiter
Gerade beim hektischen Umstieg ins Home-Office in den letzten Wochen herrschte wohl in vielen Unternehmen Chaos. Egal, ob Sie bereits fit für den massiven Home-Office-Einsatz waren, ob Sie in Ihrem Unternehmen Bring-your-own-device leben (müssen) oder, ob Sie in aller Eile noch Ihre Hardware-Ressourcen mit neuen Laptops aufgestockt haben – sichere und vertrauenswürdige Software ist auf jedem Device ein absolutes MUSS.
Steuern Sie, welche Anwendungen Ihre Mitarbeiter einsetzen dürfen. Im einfachsten Fall, etwa wenn Sie auf BYOD setzen, heißt das: Geben Sie ein eigenes Arbeitsprofil mit den passenden Anwendungen vor.
Im besten Fall allerdings verwalten Sie die Geräte Ihrer Mitarbeiter zentral und einheitlich. MDM (Mobile Device Management) und MAM (Mobile Application Management) bieten in Windows 10 bzw. Microsoft 365 umfangreiche Möglichkeiten zur Verwaltung mobiler Geräte. Hier können Sie detailliert festlegen, welche Software installiert werden darf und welche Anwendungen nicht erlaubt sind. Sie können diese mit ein paar Klicks zentral freigeben, ausrollen und anschließend verwalten. Eine ausführliche Anleitung bietet auch hier ein Microsoft doc zur „Mobilen Geräteverwaltung“.
Schritt 5: Bekämpfen Sie Schatten-IT
Nutzer weichen gerne auf eigene Lösungen aus, wenn bestimmte Anwendungen fehlen. Oder sie werden kreativ, um bequem mit gewohnten Tools arbeiten zu können. Viele IT-Admins kennen das Problem Schatten-IT sicherlich nur zu gut. Sollten Sie aus irgendeinem Grund die Software für Ihre Mitarbeiter nicht zentral vorgeben und verwalten können, kann Ihnen zumindest eine Alternative im Kampf gegen Schatten-IT helfen: Cloud Discovery.
Cloud Discovery überprüft, welche Anwendungen auf den Devices Ihrer Mitarbeiter zum Einsatz kommen und vergleicht sie mit über 16.000 Apps im Katalog von Cloud App Security. So lassen sich zweifelhafte Anwendungen aufspüren und gegebenenfalls Sicherheitslücken eliminieren.
Die Dokumentation zu Cloud App Security sowie Cloud Discovery von Microsoft gibt es im doc.
Schritt 6: Schützen Sie Ihre Dokumente und Dateien
Nun haben Sie den unberechtigten Zugriff auf Ihr Netzwerk bereits deutlich erschwert und steuern, welcher Nutzer wo hinein darf. Auch die Devices Ihrer Mitarbeiter sind ein Stück weit sicherer. Zeit, um sich um die Sicherheit Ihrer Dateien zu kümmern. Denn Ihre Dateien und Dokumente sind nicht nur durch Angreifer gefährdet. Nicht selten kommt es auch durch die eigenen Mitarbeiter, durch unbedachten Umgang mit den Dokumenten, zu unbeabsichtigten Datenpannen.
Mit der Dokumentenverwaltung in SharePoint, Teams oder OneDrive legen Sie fest, wie ein Dokument von wem bearbeitet werden darf. Im Gegensatz zum Conditional Access sind hier Zugriffs- und Bearbeitungsmöglichkeiten abhängig von den Eigenschaften einer Datei. So können Nutzer etwa ein Word-Dokument nur mit bestimmten Domains teilen, sie können Dateien nur unter bestimmten Bedingungen bearbeiten oder gewisse Teile, zum Beispiel Kontodaten, nicht aus Dokumenten herauskopieren.
Die Dokumentenverwaltung ist ein sehr guter Schutz gegen Datenabfluss und versehentliche Datenlecks durch Ihre Mitarbeiter. In Microsoft 365 finden Sie die Data Loss Prevention-Einstellungen in den Security & Compliance-Einstellungen. Auch hier stellt Microsoft ein doc bereit.
Schritt 7: Sichern Sie eines Ihrer Hauptprobleme: E-Mails
Die Konten Ihrer Mitarbeiter sind nach den ersten Schritten jetzt einigermaßen gesichert. Eines der Haupteinfallstore für Cyberangriffe steht aber noch weit offen: Noch immer sind Phishing-Mails ein beliebter Startpunkt für jede Verbrecherreise durch Firmennetzwerke.
Die immer professionellere Gestaltung und die Massen an täglicher Mailkommunikation machen es Nutzern immer schwerer, gefährliche Mails zu erkennen. Sie sollten daher unbedingt auf einen guten Viren- und Malwareschutz bauen und insbesondere auch Ihre Mitarbeiter im Umgang mit Mails schulen. Erklären Sie ihnen, worauf Sie achten sollten und dass es im Zweifelsfall besser ist, erst einmal nicht zu klicken. Und sollte doch einmal etwas passiert sein, sollten Ihre Mitarbeiter unbedingt Bescheid geben!
In Microsoft 365 schützen etwa Exchange Online Protection (EoP), der Microsoft Defender und Advanced Threat Protection vor Viren, Spam und Phishing. Je nach Tarif sind eine Vielzahl an Schutzfunktionen enthalten. Die Einstellungen dafür nehmen Sie ebenfalls in den Security & Compliance-Einstellungen des Microsoft 365-Admin-Centers vor.
Fazit: Viele Angriffsstellen, viele Schutzfunktionen
Wer sein Home-Office schützen will, kann an vielen Stellen ansetzen. Konten, Zugänge, Devices, Dateien und E-Mails gehören hier zu den größten Schwachstellen. Microsoft 365 bringt dafür und für viele weitere Bereiche wertvolle Sicherheitsfunktionen mit sich und hilft Ihren Mitarbeitern, sicher und effizient im Home-Office arbeiten zu können.
Wenn Sie mehr über die All-in-One-Lösung von Microsoft wissen möchten, finden Sie in der Microsoft 365-Abteilung unserer Knowledge Cloud weitere Informationen.
Übrigens: Weitere hilfreiche Security-Features und Tipps rund um die Sicherheit von Office, Windows und Co. finden Sie auch in unserem E-Book zur Microsoft 365-Security. Für alle weiteren Fragen stehen wir Ihnen gerne zur Verfügung. Schreiben Sie uns an support@qaulityhosting.de oder rufen Sie uns an unter: 06051 916 4410.