Microsoft Teams korrekt absichern

Microsoft Teams ist beliebt, gerät aber immer stärker ins Visier von Hackern. Wie Sie den Schutz der Kollaborations-Software am besten bewerkstelligen, schildert Bert Skorupski, Senior Manager Sales Engineering bei Quest Software, im ersten Teil eines zweiteiligen Gastbeitrages.

Bereits vor der aktuell grassierenden Pandemie erfreuten sich Collaboration-Tools wie Microsoft Teams in Unternehmen zunehmender Beliebtheit. Der Boom des Homeoffice im Zuge der Pandemie bedeutet jedoch einen weiteren Boom dieser Lösungen. Mit der immer größer werdenden Schar an Nutzern stellt sich für IT-Teams allerdings zunehmend die Frage nach der Absicherung dieser Coworking-Umgebungen. Ein besonderes Augenmerk gilt hier der Kollaborationslösung von Microsoft, da in der Mehrzahl der Organisationen diese Software zum Einsatz kommt.

Anders als in der Vergangenheit, in der Unternehmen ihre Anwendungs-, Datei-, Exchange- und SharePoint-Server sowie unter Umständen ihren Skype-for-Business-Server innerhalb ihres durch eine Firewall abgesicherten Perimeters bzw. innerhalb des internen Netzwerks betreiben konnten, handelt es sich bei Teams um eine Cloud-Lösung auf Basis von Microsoft 365. Der Fokus der IT-Administratoren muss folglich auf der Absicherung der Anwender liegen, nicht auf der des Netzwerkes. Vor allem der Schutz der Anmeldedaten sollte hierbei Priorität genießen – starke Passwörter und der Einsatz einer Multi-Faktor-Authentifizierung bilden jedoch lediglich das Mindestmaß an Sicherheit.

Ferner sollten die Sicherheitsverantwortlichen auf die Möglichkeit zurückgreifen, die Sicherheitsfunktionen des Cloud-Service von Microsoft voll auszuschöpfen, um sicherzustellen, dass Nutzer über Teams nur von bestimmten (bekannten) Standorten aus und nur mit zugelassenen Endgeräten Zugriff auf die Unternehmensressourcen haben. Doch die tatsächliche Absicherung von MS Teams bedarf noch weitergehender Schritte. In diesem ersten Teil meines Beitrags werde ich auf grundsätzliche Fragen zur Sicherheit von Microsoft Teams eingehen und anschließend auf die Rolle von Microsoft-365-Gruppen und externen Zugriff eingehen. Der zweite Teil widmet sich der Rolle von Richtlinien, der Sicherung von Dateien sowie den unterschiedlichen Administratorenrollen und ihren Rechten.

Ist Teams sicher?

Ist Teams sicher? Diese Frage stellen sich alle IT-Verantwortlichen, die vor der Einführung der Microsoft-Kollaborations-Lösung stehen. Ein klares Ja oder Nein als Antwort wäre zu kurz gegriffen. Treffender müsste diese „Ja, aber“ lauten. Denn es hängt wesentlich von den Administratoren ab, inwieweit Mitarbeiter und Unternehmensdaten bei der Nutzung von MS Teams geschützt sind.

Die Hauptfunktionen von Teams bestehen aus den Möglichkeiten zu chatten, Besprechungen zu planen und durchzuführen, Anrufe zu tätigen sowie gemeinsam an Dateien zu arbeiten. Die Lösung bündelt also verschiedene Tätigkeiten, die vormals auf Basis einzelner Tools umgesetzt wurden. Teams gewährleistet, dass die Kommunikation und die Dateifreigaben nur unter bekannten, autorisierten Benutzern erfolgt, die über entsprechende Zugriffsrechte verfügen. Doch wie bei den Türen und Fenstern eines Hauses kommt es für die Administration von Teams darauf an, die Sicherheitsmaßnahmen – analog zu den Schlössern am Haus – durchdacht zu platzieren, um ein optimales Gleichgewicht zwischen Sicherheit und Benutzerfreundlichkeit zu finden.

Den für Administratoren zur Absicherung wichtigsten Parameter bildet die Identität des Benutzers – oder um im Bilde zu bleiben, die Eingangstür. Ein Vorteil aller Microsoft-365-Anwendungen, einschließlich Teams, ist es, dass sich die Benutzeridentität in Azure Active Directory (Azure AD) befindet und sich dort vom IT-Team verwalten lässt. Die jüngsten Weiterentwicklungen der Sicherheitsfunktionen von Azure AD für Identitäten bilden einen großen Sprung nach vorn für alle Anwendungen, die darauf zurückgreifen.

Funktionen wie konfigurierbare MFA-Kontooptionen, Kontosperreinstellungen und die Unterstützung für Single-Sign-On über Anwendungen hinweg sind grundlegende Funktionen, die sich zu sehr effektiven Säulen der Identitätssicherheit entwickelt haben. Premium-Funktionen für die Azure-AD-Verwaltung wie Identity Protection nutzen Informationen zur Kontoaktivität in AD, um riskante Bedrohungen in allen Microsoft-Cloud-Anwendungen zu identifizieren, zu erkennen und zu untersuchen. Darüber hinaus können fortschrittliche Funktionen für das Azure AD Privileged Identity Management wie Conditional Access ebenfalls auf diese Informationen zurückgreifen, um privilegierte Identitäten besser abzusichern, da diese Zugang zum Herzstück der Unternehmens-IT bieten.

Schutz auf Basis von Microsoft-365-Gruppen und Absicherung der Teams-Anwendung

Eine weitere wichtige Säule der Sicherheitsarchitektur von Microsoft Teams ist die Microsoft-365-Gruppe. Jedes Team ist mit einer Microsoft-365-Gruppe verbunden. Die Mitgliedschaft in dieser Gruppe definiert, „wer“ auf „was“ in einem Team zugreifen darf (siehe Abbildung 1). Der Zugriff auf die Daten und die Rechte eines Teams werden von den Eigentümern und Mitgliedern dieses Teams geregelt, was durch ihre Mitgliedschaft in der zugehörigen Microsoft-365-Gruppe bestimmt wird.

Sind die Identitäten der Nutzer erst einmal durch die Security-Verantwortlichen geschützt, sollten verschiedene Bereiche der Teams-Anwendung und des Dienstes überprüft bzw. konfiguriert werden. Ein wichtiger Aspekt ist hierbei der Lebenszyklus von einzelnen Teams – also beispielsweise die Erstellung, Nutzung und deren Auflösung. Hier sollten einige Best Practices durch die Administratoren beachtet werden:

  • Regeln durchsetzen – Die IT-Teams müssen sicherstellen, dass alle Teams mehr als nur einen Besitzer haben. Ist dies nicht der Fall und scheidet der betreffende Besitzer aus dem Unternehmen aus, fehlt es an einem Verantwortlichen für die Daten und Sicherheitseinstellungen für das betreffende Team.
  • Richtlinien zum Ablauf anwenden – Je länger ein Team in Gebrauch ist, desto mehr Daten sammeln sich an. Alle sensiblen Informationen, die vom Team gespeichert werden, stellen ein potenzielles Sicherheitsrisiko dar. Dies gilt umso mehr, sofern das Team bereits seinen Zweck erfüllt hat und die abgelegten Daten nicht mehr in Gebrauch sind. Alle Gast- und externen Zugriffe bleiben erhalten, es sei denn, der Administrator ändert den Status des Teams. Ablaufrichtlinien ermöglichen es dem Teambesitzer, eine Gruppe zu erneuern, sollte diese noch benötigt werden.

Externer Zugriff und Gästezugang

Die Sicherheitsarchitektur von Microsoft Teams ist so ausgelegt, dass die Zusammenarbeit der eigenen Angestellten mit Benutzern anderer Organisationen – beispielsweise Partnern – auf zwei Arten möglich ist: externer Zugriff und Gastzugang. Der auch „Föderation“ genannte, externe Zugriff erlaubt es den Mitarbeitern, deren Identität mit der Domäne des eigenen Unternehmens verknüpft ist, mit Benutzern aus anderen Domänen zusammenzuarbeiten. Der externe Zugriff ist in Teams standardmäßig aktiviert, um zu gewährleisten, dass Mitarbeiter mit Benutzern anderer Organisationen interagieren können. Dieser Zugriff lässt sich jedoch durch die Administratoren gänzlich deaktivieren oder, sofern gewünscht, regulieren. Letzteres ist auf Basis folgender Szenarien möglich:

  • Offene Föderation – Die Standardeinstellung ermöglicht es den eigenen Angestellten, Benutzer aus einer anderen Domäne zu finden, anzurufen, mit ihnen zu chatten und Meetings zu planen.
  • Bestimmte Domänen zulassen – Diese Einstellung beschränkt den externen Zugriff auf die vom Administrator zuvor definierten Domänen und sperrt den Zugriff für Benutzer aus allen anderen. Dies kann sinnvoll sein, wenn nur mit vertrauenswürdigen Partnern, Lieferanten und Kunden eine Zusammenarbeit stattfinden soll.
  • Bestimmte Domänen blockieren – Diese Einstellung erlaubt den externen Zugriff auf/von allen externen Domänen außer denen, die vom IT-Team blockiert werden. Administratoren können sich für diese Option entscheiden, wenn die Kommunikation mit bekannten Konkurrenten und bestimmten Parteien unterbunden werden soll, da dies unter Umständen ein Risiko für das eigene Unternehmen darstellen würde.

Neben dem externen Zugriff besteht zudem die Möglichkeit zur Gewährung eines Gastzugangs. Dieser kann durch das IT-Team mittels eines Einladungsprozesses für Azure AD umgesetzt werden, bei dem ein Gastkonto im eigenen Azure-AD-Tenant eingerichtet wird. Der Zugriff auf Basis des Gastzugangs lässt sich entsprechend konfigurieren, um die damit verbunden Rechte zu definieren. Hierfür gibt es auf Tenant-Ebene zwei wichtige Einstellungsmöglichkeiten, die festlegen, ob Gäste Zugriff auf die Teams in Ihrem Teams-Tenant haben. Eine davon ist eine Microsoft-Teams-Tenant-Einstellung, die sich im Teams Admin Center befindet.

Die andere Möglichkeit findet sich im Microsoft-365-Portal und regelt den Gastzugriff auf die zugrunde liegenden Microsoft-365-Gruppen, die von einzelnen Teams verwendet werden. Sind beide Einstellungen aktiviert, kann der Gastzugriff auf bestimmte Teams von einem Administrator mit Hilfe von PowerShell deaktiviert werden, um den Zugriff auf die zugehörige Microsoft-365-Gruppe zu deaktivieren.

Ist der Gastzugang auf der Tenant-Ebene von Teams aktiviert, können Administratoren im Teams Admin Center ferner regeln, welche Rechte Gäste genießen. Sobald der Gastzugang in einem Team aktiviert ist, erfolgt eine granulare Steuerung auf Teamebene durch Einstellungen, die der Teambesitzer aktiviert oder deaktiviert. Beispielsweise kann dieser festlegen, ob Gäste Nachrichten in Kanalbeiträgen bearbeiten oder löschen können. Diese Einstellung ist von großer Bedeutung, wenn die Kommunikation dauerhaft dokumentiert werden soll.

Welche Bedeutung Richtlinien, die Sicherung von Dateien und verschiedene Administratorrollen beim Schutz von Microsoft Teams zukommen, wird im zweiten Teil eingehend erläutert.

 

Themenseiten: Collaboration, Quest Software

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Microsoft Teams korrekt absichern

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *