So führst du einen Microsoft 365 Security Audit durch
Erhöhe die Security deiner M365-Dienste mit fünf einfachen Schritten. Matthias Gessenay zeigt im How-to, wie du einen Microsoft 365 Security Audit selbst durchführst und die Ergebnisse interpretierst.
Dank der Cloud-basierten M365-Dienste werden Bürojobs flexibler – du kannst im Grunde von überall aus arbeiten. Auch die Kollaboration wird mit Tools wie Microsoft Teams einfacher. Doch die Flexibilität kommt nicht ohne ein grosses «Aber»: Es braucht nun hohe Schutzmechanismen nach aussen und innen, um die IT-Infrastruktur vor Cyberangriffen zu schützen und die Cloudsicherheit zu gewährleisten. Denn Mitarbeitende sind heute stark vernetzt und nutzen unterschiedliche Geräte (Laptop, PC, Smartphone). Office 365, Power Platform und Co sind deshalb über öffentliche und einheitliche URLs zugänglich. Ohne erhöhte Massnahmen zur Office 365 Security hätten Hacker leichtes Spiel.
Wie sicher ist Microsoft 365?
Microsoft unterstützt dich bei der Microsoft 365 Security. Neben den Produkten kaufst du auch eine Basis an Microsoft 365 und Cloud Security ein, viele Probleme werden so bereits verhindert. Um ein regelmässiges Security Audit kommst du dennoch nicht herum. Einen Teil des Security Audits kannst du dank Microsoft Defender for Cloud und 365Inspector mit den folgenden fünf Schritten problemlos selbst durchführen.
Schritt 1: Secure Score im Microsoft Defender prüfen
Der Microsoft Defender for Cloud zeigt in der Übersicht unter anderem den «Secure Score» an.
Übersicht im Microsoft Defender for Cloud: Der Secure Score liegt hier bei 38 Prozent.
Der Secure Score hilft, Ziele für eine erhöhte Sicherheit zu setzen. Einen Score von 100 Prozent anzupeilen wäre jedoch utopisch und daher keine gute Zielmarke. Vielmehr solltest du danach streben, deinen Secure Score kontinuierlich zu verbessern.
Unter «Secure Score Recommendations» ist ersichtlich, für welche Security-Bereiche wie viele Punkte vergeben werden – sprich, wie gut du hier abgesichert bist – und welche Möglichkeiten zur Erhöhung der Sicherheit bestehen.
Secure Score Recommendations: Für jeden Bereich erhältst du maximal zehn Punkte.
Schritt 2: Vorgeschlagene Massnahmen umsetzen
Der Microsoft Defender vergibt unter «Secure Score Recommendation» nicht nur Punkte, sondern schlägt auch Massnahmen zur Gefahrenabwehr vor, wie zum Beispiel «Management ports should be closed on your virtual machines». Klickst du die vorgeschlagene Massnahme an, werden das bestehende Problem und die passende Gegenmassnahme zur Behebung näher beschrieben.
Die vorgeschlagenen Massnahmen werden ausführlich beschrieben.
Du kannst die vorgeschlagene Massnahme dann über «Assign Owner» einer Person zuweisen oder über «Trigger logic App» automatisch lösen lassen. Letzteres funktioniert allerdings nicht immer.
Die Massnahmen können Sie auf verschiedenen Weisen ergreifen: Trigger logic app, Exempt oder Assign owner.
Empfehlenswert ist in vielen Fällen, einen «Exempt» zu erstellen. Dieses Vorgehen ist sehr praxisnah, weil sich bestehende Sicherheitsprobleme oftmals nicht sofort lösen lassen, aber zu einem späteren Zeitpunkt geklärt sein sollten. Für den Moment akzeptierst du das Risiko (Waiver: risk accepted) und legst fest, wie lange es noch bestehen darf (Expiration date). Besteht das Problem nach Ablauf der Frist immer noch, legt der Defender es dir wieder zur Lösung vor.
Ein sehr praxisnahes Vorgehen ist, einen «Exempt» zu erstellen. Für einen gewissen Zeitraum akzeptierst du das bestehende Problem. Besteht das Problem darüber hinaus, wird es dir wieder vorgelegt.
Schritt 3: Security Benchmarking in «Regulatory compliance» durchführen
Unter «Regulatory compliance» kannst du ein Security Benchmarking durchführen. Du kannst jede Benchmark einzeln betrachten und prüfen, ob die Control erfüllt ist und wer dafür zuständig ist: Microsoft als Anbieter oder du als Kundin oder Kunde.
Die Benchmarks sind sehr handlich und produktfreundlich gebaut: Vieles, was eingefordert wird, ist zum grossen Teil automatisiert verfügbar.
Per Security Benchmarking ersehen Sie, in welche Zuständigkeit die einzelnen Controls fallen und ob du sie erfüllt hast.
Schritt 4: Zusätzlich «365Inspect» verwenden
So hilfreich der Secure Score auch ist, er deckt im Grunde nur die Headline-Features ab. Für einen M365 Security Audit musst du zusätzlich «365Inspect» nutzen.
Für einen M365 Security Audit solltest du auch 365Inspect nutzen.
Über ein PowerShell-Skript untersuchst du mit einzelnen Modulen – den sogenannten Inspectors – die verschiedenen Bereiche von Office 365. Erstelle hierzu folgende Commandline:
Mit dieser Commandline führst du den M365 Securíty Audit durch.
Auf deinem lokalen Datenträger füllt sich dann ein Verzeichnis mit verschiedenen Rohdaten. Diese müssen nun analysiert werden, um festzustellen, welche Sicherheitsmassnahmen tatsächlich durchgeführt werden müssen.
Das Verzeichnis auf deinem lokalen Datenträger füllt sich mit verschiedenen Rohdaten, am Ende gibt es einen kompletten HTML-Report.
Unter den Rohdaten befindet sich auch ein ausführlicher HTML-Report. Dieser listet alle ausgeführten Module und gefundenen Probleme (Finding) auf.
Der HTML-Report listet die ausgeführten Module und «Findings» auf.
Die einzelnen Findings gilt es zu prüfen und zu diskutieren. Zu jedem Finding erhältst du per Klick weitere Details mit Problembeschreibung, Risikobewertung und geeigneter Gegenmassnahme.
Details zu den einzelnen Findings mit Risikobewertung und Massnahme.
Schritt 5: Microsoft 365 Security Audit evaluieren
Aus dem Secure Score und den Suchergebnissen von 365Inspect entsteht das Microsoft 365 Security Audit. Hinzu kommen «geheime Zutaten», also Erfahrungen, die du in vergangenen Audits gesammelt hast. Die eigentliche Leistung des Office 365 Security Audits besteht darin, die gefundenen Probleme und ihre Risiken zu bewerten. Ohne eine Bewertung durch Expertinnen und Experten ist das Audit im Grunde nicht viel wert und eher Panikmache. Der Secure Score und das Defender Toolset bieten aber eine gute Basis-Security.
.