Die Situation ändert sich

Als ZeroDay-Attacke ist dieses Szenario in IT-Fachkreisen bekannt. Dabei nehmen Hacker bestimmte Nutzer eines IT-Systems ins Visier und kapern deren Rechner. 200 Tage bleiben solche Angriffe im Schnitt unentdeckt – ausreichend Zeit, um den Angriff auf immer mehr Rechner auszuweiten und Geschäftsprozesse auszuspionieren.

Kurz: Die Zeiten, in denen rachsüchtige, gekündigte Mitarbeiter, ausgerüstet mit privaten USB-Sticks, die größte Gefahr für die Unternehmens-IT darstellten und Firmen ihre IT mit einfachen Firewalls und günstigem Virenschutz vor Hackerangriffen schützen konnten, sind vorbei. Der Bereich hinter der Firewall ist nicht mehr sicher, signaturbasierte Systeme sind Angriffen wie der ZeroDay-Attacke schutzlos ausgeliefert. Denn immer mehr Dienste sind miteinander verbunden. Von überall greifen Mitarbeiter auf das Firmennetzwerk zu und nutzen die Daten aus der Cloud. Doch auch heute gibt es Möglichkeiten, Unternehmensdaten wirksam zu schützen:

Die Komplettlösung Microsoft 365 ist ein gutes Beispiel, um aufzuzeigen, welche drei Bereiche grundlegend sind, um heutigen Sicherheitsrisiken entgegenzuwirken.

Auch interessant: Airpaq: Der Rucksack aus der Cloud

Punkt 1 – Die Identität

Das Azure Active Directory ist Bestandteil der Sicherheit beim Identitätsmanagement. Über Microsoft 365 lässt sich etwa der Zugriff auf Dokumente außerhalb des Unternehmensnetzwerkes definieren, bis hin zur Multifaktorauthentifizierung (MFA). Aber auch andere Faktoren wie der Zugriff aufs Netzwerk über ungewöhnliche Standorte lassen sich berücksichtigen. Und sollte ein Angreifer doch einmal Informationen gestohlen haben und ihm entsprechende Benutzerinformationen bekannt sein sollten, wird er das Dokument mangels des zweiten Faktors zur Authentifizierung gar nicht erst öffnen können.

Accounts mit erhöhten Berechtigungen sind bei Hackern besonders begehrt. Mit Privileged Identity Management lassen sich diese besonders schützen. So vielen Mitarbeitern wie nötig, so wenigen Mitarbeitern wie möglich – das reduziert das Risiko, dass ein Angreifer Zugriff erhält oder Daten versehentlich sogar selbst kompromittiert werden. Mit Active Directory Privileged Identity Management lässt sich nachverfolgen, welcher Administrator welche besonderen Rechte besitzt. IT-Abteilungen können den Admin-Status auch befristen oder deren Ausübung von einer MFA-Anmeldung abhängig machen. Der Bereich Identity-Management lässt sich mit intelligenten Funktionen somit weiter ausbauen.

Auch interessant: Vernetzt und flexibel: Der digitale Arbeitsplatz

Eine bekannte Falle

Das Szenario ist hinlänglich bekannt: Eine gefälschte E-Mail landet im Posteingang –vom „echten“ Absender kaum zu unterscheiden. Ein Klick auf einen Link genügt und Malware bahnt sich den Weg in die IT-Infrastruktur. Sobald der Code aufgeführt wurde, kann der Hacker weitere Aktionen ausführen, den Rechner übernehmen und weitere schadhafte Anwendungen nachladen. Lateral Movement nennt sich der Schritt, der hieraus folgt: die Ausbreitung auf andere Bereiche der IT-Infrastruktur. Das Unternehmen und Geschäftsprozesse werden ausgespäht. Der Angreifer kann ungehindert herausfinden, wer im Unternehmen wofür zuständig ist, weitere Gefahren entstehen.

Exchange Online Protection heißt die Lösung in Microsoft Office 365 . Eingehende E-Mails werden auf Viren, Malware und Spam geprüft. Eine weitere Stufe ist danach mit Office 365 Advanced Threat Protection (ATP) im Rahmen von Microsoft 365 möglich. In einer Sandbox werden gefährliche Anhänge in einem geschlossenen Raum geprüft und können von dort aus keinem Schaden anrichten. Und auch sogenannte „Lookalike Domains“, die sich als vertrauenswürdige Adressen ausgeben, können mit ATP abgewehrt werden.

Punkt 2 – Die Geräte

Windows Defender und Windows Firewall springen ein, sollte doch ein Hacker den Weg in einen Rechner finden. Es hält den Angreifer dann davon ab, schadhaften Code auszuführen.

Die Virtual Based Security auf Basis von Microsofts

Virtualisierungstechnologie Hyper-V bedeutet in Windows 10 einen erheblichen Sicherheitsgewinn, denn sie isoliert besonders schützenswerte Bereiche vom eigentlichen System. Dieser Wachposten in Form einer virtuellen Maschine gewährleistet die Integrität und verhindert undokumentierte und nicht authentifizierte Zugriffe auf die Speicherbereiche der Prozesse. Hacker können die geschützten Bereiche können selbst auf einem mit Malware verseuchter Rechner nicht modifizieren. Der „Device Guard“ schützt auf dieser Grundlage davor, dass nicht vertrauenswürdiger Code ausgeführt wird, der „Credential Guard“ schützt die Zugangsdaten für Netzwerkzugriffe. Setzt das Unternehmen beide Funktionen zusammen ein, erhöht es damit die Sicherheit des Windows-Systems vor Hackerangriffen.

Der Windows Defender Advanced Threat Protection (WATP) ist dann nützlich, wenn die bisherigen Mechanismen – beispielsweise aufgrund menschlichen Versagens – nicht angeschlagen haben. Mit WATP erkennen Unternehmen in ihrem Netzwerk die Bedrohungen und sind dadurch in der Lage, zu reagieren. Verhält sich ein Rechner verdächtig, werden Administratoren darüber informiert. Die Quelle kann identifiziert und die Ausbreitung im Netzwerk nachverfolgt werden. Dabei überwacht WATP die Geräte und zeigt verdächtiges Verhalten in einem Dashboard. Sollten Firewall und Virenscanner fehlbar gewesen sein, ist WATP zuverlässig dank Machine Learning. Es erkennt, wenn das Verhalten eines Rechners vom Standard abweicht. Durch den Zugriff auf den Dienst „Secure Graph“ erkennt die Software zudem zusammenhängende Angriffe und leitet sodann Gegenmaßnahmen ein. Man sollte jedoch unbedingt beachten, dass WATP die Firewall und den Virenscanner nicht überflüssig macht, sondern lediglich als weiterer Schutz in der Sicherheitsarchitektur dient.

Auch interessant: Limmaland: Office 365 für effizientes Arbeiten

Punkt 3 – Die Daten

Der dritte Punkt ist die Datenebene. Azure Information Protection (AIP) kann Dokumente und Emails mit Metadaten erweitern, identifizieren und verschlüsseln. So können Mitarbeiter bestimmten Personen den Zugriff auf Dokumente gewähren, sie für Externe freigeben und sogar außerhalb der Unternehmensgrenzen remote zurückrufen. Zum Beispiel könnte, wenn ein Risiko identifiziert wurde, eine Multifaktor-Authentifizierung angefordert werden. Die Verbreitung und Nutzung von Daten lässt sich zudem protokollieren und in Reports auswerten, die Verbreitung und Nutzung von Daten damit zielgerichtet überwachen.

Weiterhin müssen Unternehmen verhindern, dass Daten - ungewollt oder gar durch einen Mitarbeiter mit böser Absicht – den eigenen Einflussbereich verlassen. In diesem Zusammenhang ist es sinnvoll, Data Loss Prevention (DLP) zu nutzen. Damit werden sensible oder gar kritische Informationen vor der Veröffentlichung geschützt. Ein Beispiel: Mit Azure Information Protection können Dokumente als streng vertraulich eingestuft werden. Wenn ein Mitarbeiter ein streng vertrauliches Dokument dann versenden möchte, kann er mit einer im Vorfeld definierten Schutzmaßnahme an einem unautorisierten Versand gehindert werden. Darüber hinaus sind vorgefertigte Vorlagen zum Schutz von sicherheitsrelevanten Informationen, wie zum Beispiel Personalausweis-, Kreditkarte- und Sozialversicherungsnummern, verfügbar.

Das Schutzniveau erhöhen

Auch wenn hundertprozentiger Schutz nicht möglich ist, sollten Unternehmen alles daran setzen, Hackerangriffen so gut wie möglich vorzubauen. Über Microsoft 365 können Unternehmen umfassend vorsorgen. Die Lösung ist besonders für kleine und mittelständige Unternehmen lukrativ, die nur begrenzte Ressourcen für eigene interne IT-Sicherheit haben. Neben dem hier beschriebenen Abriss bietet Microsoft 365 noch viele weitere Anwendungsmöglichkeiten.

Auch interessant: 3 Tipps: So werden Mittelständler digital

Unternehmen sollten darüber hinaus ihre Mitarbeiter für Sicherheitsfragen sensibilisieren und kritische Prozesse auf Schwachstellen überprüfen.

Die Experten der Telekom stehen gerne zur Verfügung. Bei Interesse können sich Unternehmen für ein kostenfreies Beratungsgespräch an die Telekom wenden, um alle Vorteile von Microsoft 365 kennenzulernen. Auch die Bestandsaufnahme und Analyse kann das zertifizierte Team durchführen und im Bedarfsfall Lösungen implementieren und in bestehende Systeme integrieren.

Auch interessant: Mit Partnern zur digitalen Kompetenz