theNet von CLOUDFLARE

Kompromisse bei der nativen Sicherheit von Microsoft 365

Absicherung der größten Angriffsfläche des Unternehmens

Die Technologien, die wir zur Verbesserung der Effizienz in unserem Unternehmen einsetzen, können oft jedoch auch böswilligen Akteuren ermöglichen, sich einfacher Zugang zu verschaffen.

Business productivity and collaboration suites like Microsoft 365 and Google Workspace provide great examples of this trade-off. These suites include an impressive variety of applications designed to be easy to access, use, and move data between that consequently, also make for a large attack surface, facilitate lateral movement, and illicit access for any attacker who finds a way in.

Je weiter diese Anwendungssuites verbreitet sind, desto mehr Anreize haben Angreifer, Schwachstellen in ihnen zu finden. Da Microsoft 365 laut einer aktuellen Okta-Umfrage etwa doppelt so viele Kunden hat wie vergleichbare Produkte von Mitbewerbern, ist es ein besonders attraktives Ziel.

This is not a reason to avoid using Microsoft 365. Microsoft invests heavily in security and offers native security as part of the 365 suite. Rather, Microsoft’s popularity — and accompanying risk — is a reason to supplement the suite with additional security services as suggested in its shared responsibility model. Doing so will strengthen your organization’s security posture against both isolated Microsoft vulnerabilities and more systemic weaknesses.

Welche sind die wichtigsten ersten Schritte? Und wie können Unternehmen diese Schritte setzen, ohne dabei die von Microsoft 365 gebotene Effizienz zu gefährden?


Schritt 1: Phishing-Schutz verbessern

Die überwiegende Mehrheit der Cyberangriffe beginnt mit Phishing – mehr als 90 %, wie jüngste Untersuchungen zeigen.

Um Phishing zu verhindern, verwendet Microsoft 365 eine native E-Mail-Überprüfung, die bösartige Nachrichten herausfiltert. Die Daten zeigen, dass dieser Dienst nicht jeden Angriff stoppen kann. Cloudflare fand heraus, dass Nutzern von Microsoft 365 2020 über 900.000 Phishing-E-Mails durch die systemeigene Sicherheit geschleust wurden. Von diesen übersehenen E-Mails betrafen etwa 50 % eine kürzlich eingerichtete Domain und weitere 15 % enthielten eine bösartige URL.

Außerdem ist Microsoft E-Mail – wie die meisten Cloud-E-Mail-Anbieter – anfällig für andere Arten von Angriffen:

Im Einklang mit der Microsoft-Philosophie der „geteilten Verantwortung“ können zusätzliche Schutzebenen erforderlich sein, um Angriffe zu verhindern. Ein wichtiger Ausgangspunkt ist:

  • E-Mail-Link-Isolierung: Um Nutzer vor bösartigen Links zu schützen, die entweder unbemerkt bleiben oder nachträglich gutartige Links ersetzen. Microsoft bietet eine allgemeine Browserisolierung als Plug-in an, aber die lokale Ausführung der Isolierung beansprucht viel Hauptspeicher und kann die Benutzerfreundlichkeit beeinträchtigen. Ziehen Sie stattdessen einen robusteren Dienst in Betracht, der in der Cloud läuft, kein Traffic-lastiges Screen-Streaming verwendet und Nutzer daran hindert, potenziell gefährliche Aktionen wie die Eingabe von Anmeldeinformationen auf nicht zugelassenen Websites durchzuführen.

  • Erweiterte Cloud-E-Mail-Sicherheit: Sie umfasst Sentiment-Analysen, Graphen der Vertrauenswürdigkeit des Absenders, automatisches Blockieren und andere Tools, die so kalibriert werden können, dass sie bösartige E-Mails abfangen, die Microsoft 365 bekanntermaßen entgehen.


Schritt 2: Malware-Scans verbessern

Phishing zu verhindern ist ein wichtiger Sicherheitsschritt, aber bei weitem nicht der einzige. Andere Angriffsarten dienen dazu, Malware auf Endgeräten und in der Netzwerkinfrastruktur zu installieren. Dies kann per E-Mail, auf bösartigen Websites, die automatisch Downloads auslösen, oder durch andere Methoden geschehen.

Der wichtigste Anti-Malware-Dienst von Microsoft 365 heißt Defender und wird auf den Endgeräten installiert. Application Guard, ein Browser-Plugin, kann ebenfalls helfen, indem es bösartige Websites – und jegliche Malware – sicher in einer Sandbox hält.

Im Einklang mit Microsofts allgemeinem Engagement für die Sicherheit ist Defender auch bei der Erkennung von Malware kein unbeschriebenes Blatt. EinigeStudien haben jedoch ergeben, dass seine Entdeckungsraten hinter denen ähnlicher Produkte zurückbleiben. Darüber hinaus schaffen bestimmte Elemente seiner Funktionalität potenzielle Lücken:

  • Der Dienst ermöglicht es Nutzern, Bereiche auf ihren Systemen von Malware-Scans auszuschließen – eine gängige Praxis für Anwendungen, die nicht standardisierten Code verwenden, aber dennoch ein potenzielles Risiko. Darüber hinaus fanden Sicherheitsexperten heraus, dass die Liste der ausgeschlossenen Orte in bestimmten Versionen des Windows-Betriebssystems ungesichert gespeichert wurde. Dies bedeutete, dass Angreifer mit lokalem Zugriff sehen konnten, an welchen Stellen des Systems sie Malware installieren konnten, um nicht entdeckt zu werden.

  • Defender funktioniert standardmäßig nur mit dem Microsoft Edge-Browser. Für andere Browser sind Plugins verfügbar. Aber wenn Nutzer das Plugin aus irgendeinem Grund nicht installieren, könnten auch diese anderen Browser als Schwachstellen fungieren.

Für den Application Guard gilt das gleiche Problem wie für die Plugins. Die lokale Browserisolierung verursacht oft eine schlechte Performance des Geräts, was dazu führen kann, dass der Nutzer sie einfach abschaltet.

Um diesen Schutz zu verstärken, sollten Unternehmen mehrere Praktiken in Betracht ziehen:

  • Ergänzender Endpunktschutz: Auf der Grundlage der bestmöglichen Bedrohungsdaten und mit Regeln und Blocklisten, die für Nutzer nicht allzu leicht zu deaktivieren sind.

  • Multi-Faktor-Authentifizierung (MFA): Die mehr als nur eine Kombination aus Benutzername und Passwort verwendet, um den Zugang zu Anwendungen zu ermöglichen. Andere Authentifizierungsfaktoren sind Hardware-Sicherheitstoken und Einmalcodes, die an das Telefon des Nutzers gesendet werden. Wenn Angreifer Malware installieren können, verhindert MFA, dass sie diese Malware für den Zugriff auf Unternehmensanwendungen verwenden können.

  • E-Mail-Link-Isolierung: Wie bereits erwähnt, sollten isolierte Web-Aktivitäten in der Cloud ausgeführt werden, problemlos mit jedem Browser funktionieren und moderne Technologien verwenden, um den Ausfall von Websites zu vermeiden.


Schritt 3: Eskalation der Berechtigungen verhindern

Selbst mit einem starken E-Mail- und Malware-Schutz sollten Unternehmen darauf vorbereitet sein, dass Angreifer sich in irgendeiner Form Zugang zu ihrer Microsoft 365-Instanz verschaffen könnten. Eine solche Vorbereitung ist ein zentraler Grundsatz der modernen Sicherheit – oft zusammengefasst durch den Zero Trust-Grundsatz „Niemals vertrauen, immer verifizieren“ bei Anfragen, die zwischen beliebigen Orten in einem Netzwerk übertragen werden.

Microsoft 365 bietet verschiedene Dienste zur Verwaltung der Zugriffsrechte von Nutzern an. Doch in den letzten Jahren war laut einer Untersuchung der Firma BeyondTrust die Rechteausweitung (Privilege Escalation) die häufigste Form von Sicherheitslücke in Microsoft 365. Bei diesen Vorfällen verschaffen sich Angreifer Zugang zu einem Nutzerkonto und erweitern die Zahl der Systeme und Einstellungen, auf die damit zugegriffen kann. Das erleichtert laterale Bewegungen, den Diebstahl von Anmeldedaten und die Kompromittierung von Zielanwendungen.

Ein wichtiger Schritt zur Vorbeugung ist logistischer Natur: Entfernen Sie die Administratorrechte von so vielen Nutzern wie möglich. Eine überlastete IT-Abteilung könnte versucht sein, Nutzern übermäßigen Zugriff zu gewähren, um die Effizienz zu steigern und die Zahl der Support-Tickets zu reduzieren. Aber so hilfreich dies kurzfristig auch erscheinen mag, ist es ein weiterer wichtiger Grundsatz moderner Sicherheit, Nutzern so wenig Zugriff wie möglich zu gewähren. Darüber hinaus hat der bereits erwähnte BeyondTrust-Bericht festgestellt, dass die Aufhebung von Administratorrechten auch zu einer Verringerung der Supportanfragen im Allgemeinen führen kann. Denn „Computer funktionieren einfach besser, wenn man keine Berechtigungen hat, um sie zu schädigen.“

Unternehmen können auch Cloud Access Security Broker (CASB)-Systeme in Betracht ziehen, die Transparenz und Kontrolle darüber ermöglichen, wie Nutzer auf Cloud-Dienste wie Microsoft 365 zugreifen – einschließlich der Dateien und Daten, die diese Nutzer freigeben. Microsoft bietet einen eigenen CASB-Dienst an. Unternehmen sollten sich jedoch für eine CASB eines Drittanbieters entscheiden, die in eine umfassendere Zero Trust-Plattform integriert ist, die eine Integration mit anderen Zero Trust-Diensten ermöglicht und einen separaten Satz an Bedrohungsdaten auf ihre Sicherheitslage anwendet.


Auswirkungen auf die Effizienz minimieren

Unternehmen setzen Microsoft 365 häufig ein, um die allgemeine Produktivität des Teams und die technologische Effizienz zu verbessern. Diese Unternehmen werden sich daher fragen, ob die oben genannten Empfehlungen den Arbeitstag ihrer Nutzer mit zusätzlichen Schritten belasten, ihre Internetnutzung verlangsamen oder sie ganz von der Nutzung einiger Anwendungen abhalten werden.

Sich ausschließlich auf die zentralisierte systemeigene Sicherheit von Microsoft zu verlassen mag als der effizienteste Ansatz erscheinen. Aber mit den richtigen Zusatzleistungen lassen sich noch bestehende Lücken schließen, ohne dass die Effizienz darunter leidet. Unternehmen sollten sich nach Sicherheitsdienstleistungen umsehen, die folgendes bieten:

CAPABILITYPRODUCTIVITYTECH EFFICIENCY
Direct ‘any-to-any’ connectivity between offices, users, applications, ISPs, Internet exchange points, cloud instances, etc.
Reduced latency between geographically distant users and servers, resulting in better user experiences
Easy compatibility with any corporate application
All security and networking services — i.e. link isolation, ZTNA, CASB, WAN — live on a single homogenous network fabric, requiring no backhauling
No additional latency is required to pass traffic through multiple security services, resulting in better user experiences
Simplified onboarding and management for IT
Updatable with new features as networking needs change over time — rather than constrained by prior architectural decisions
Users are not restricted from accessing undeveloped applications further down the road
IT and Security are not precluded from adopting new protocols and services

Zusammen bieten diese Qualitäten Unternehmen und ihren Mitarbeitern Flexibilität, eine starke Netzwerk-Performance und erleichtern den Prozess der Sicherheitsmodernisierung erheblich.


Der Weg in die Zukunft

Cloudflare bietet viele der oben genannten Sicherheitsfunktionen als Teil seiner umfassenderen Zero Trust-Sicherheitsdienste an, darunter E-Mail-Cloud-Sicherheit, Isolierung von E-Mail-Links, einem Cloud Access Security Broker und Integrationen mit MFA-Anbietern.

Aber wie bereits erwähnt: Um die Sicherheit von Microsoft 365 zu erhöhen, muss man sich auch auf die Erhaltung der Effizienz konzentrieren. Cloudflare kann diese Effizienz dank einer einzigartigen Architektur bieten:

  • Ein hochgradig verflochtenes Netzwerk ist für rund 95 % der Internetnutzer weltweit innerhalb von Millisekunden erreichbar und stellt sicher, dass Mitarbeitende überall einen schnellen, direkten Zugang zu Microsoft-Servern haben.

  • Eine homogene Netzwerkstruktur, in der jeder Sicherheitsservice überall ausgeführt werden kann. So wird sichergestellt, dass der über das Cloudflare-Netzwerk abgewickelte Traffic keine zusätzlichen Latenzzeiten hat.

  • Eine starke Partnerschaft mit Microsoft, die sicherstellt, dass die Sicherheitsdienste von Cloudflare nahtlos in die Tools von Microsoft 365 integriert werden.

Erfahren Sie mehr über Cloudflare Zero Trust, wie unsere einzigartige Architektur dafür sorgt, dass Sicherheit und geschäftliche Effizienz einhergehen können.

Dieser Beitrag ist Teil einer Serie zu den neuesten Trends und Themen, die für Entscheidungsträger aus der Tech-Branche heute von Bedeutung sind.

Microsoft und Microsoft 365 sind Marken der Microsoft-Unternehmensgruppe.


Wichtigste Eckpunkte

Folgende Informationen werden in diesem Artikel vermittelt:

  • Native Schutzmechanismen von Microsoft 365

  • Microsofts Modell der geteilten Verantwortung

  • Strategien, um das native Sicherheitsfundament von Microsoft 365 zu ergänzen, ohne die Effizienz der Mitarbeiter zu beeinträchtigen


Verwandte Ressourcen


Vertiefung des Themas.

Erfahren Sie mehr über die Implementierung von Zero Trust-Sicherheit für alle Arten von Cloud-Diensten in Zero Trust-Architektur – ein Wegweiser.

Get the white paper!

Erhalten Sie eine monatliche Zusammenfassung der beliebtesten Internet-Insights!