Microsoft 365: Security für das Büro in der Cloud
Integration der Softwareinfrastruktur von rein internen Lösungen zu solcher mit Einbindung in die Cloud ist für User transparent. Nicht so für Admins, hier heißt es vor allem in Sachen Sicherheit neue Wege und Werkzeuge kennenzulernen.
Der Trend ist klar: Standardsoftware wie insbesondere Office-Anwendungen gehen in die Cloud. Das ist für Privatanwender genauso praktisch wie für Firmen. Statt einer mehrere hundert Euro teuren Softwarelizenz für wenige Geräte oder Personen, die alle paar Jahre bei Erscheinen einer neuen Version ersetzt werden muss, gibt es die Funktionalität als Abo im Netz. Der Login ist von überall aus möglich – auch wenn vielleicht die eine oder andere App immer noch ein wenig komfortabler ist, wenn sie lokal installiert vorliegt, doch das ist im Abo ja oft dabei.
Für Unternehmen ist neben der Kalkulierbarkeit von regelmäßigen Abo-Kosten statt einmaliger größerer Zahlungen in unregelmäßigen Abständen plus Kosten für die Infrastruktur genau diese Benutzbarkeit ausschlaggebend, zu Software in der Cloud wechseln. Wenn aber die lokalen Apps der Bürosoftware eng verzahnt mit den Diensten in der Cloud sind oder ganz auf Webanwendungen zurückgegriffen wird, gibt es viele Stolperfallen, die das bisherige IT-Sicherheitskonzept aushebeln können.
Gerade Admins müssen sich mit neuer Software, neuen Konfigurationsmöglichkeiten, neuen Bedrohungen und vielleicht sogar neuen Sicherheitskonzepten vertraut machen. Die Administrationsschnittstellen wollen kennengelernt, Best Practices müssen auf die konkret verwendete Software angepasst werden. Und das Zusammenspiel verschiedener Komponenten gehört durchleuchtet.
“Wir müssen alle Mitarbeiter zu Hause arbeitsfähig bekommen – sofort”
Die meisten Admins hatten in den letzten 15 Monaten pandemiebedingt große Umstellung zu erledigen. “Wir müssen alle Mitarbeiter zu Hause arbeitsfähig bekommen – sofort” lautete die entsprechende Ansage. Aber um vernünftig zusammen und im Team arbeiten zu können, braucht es ja nicht nur einen Computer und ein Telefon: Zum Arbeitsplatz gehört aus IT-Sicht die ganze Infrastruktur – von Dateiablagen über interne Webanwendungen bis hin zum E-Mail Server.
Und in dieser Aufzählung sind noch nicht einmal so profane Dinge wie Switches, Router, Gateways und Netzwerkkabel genannt, die auch noch entsprechend konfiguriert und ausbalanciert sein müssen, damit nicht aus Versehen ein Praktikant alle anderen Mitarbeiter mittels eines großen Dateitransfers vom Arbeiten abhalten kann. Zumindest war das der Fall, bis die Zahl der zu Hause arbeitenden Kollegen innerhalb weniger Wochen oder gar Tage von ein paar wenigen Ausnahmen zu fast allen Mitarbeitern explodierte. Ganz egal, ob die Migration ins Homeoffice als begrüßenswerter Trend oder als unangenehme Pflicht gesehen wird, aktuell müssen Mitarbeiter von überall arbeiten können – nicht nur am Schreibtisch im Firmengebäude und nicht nur mit dem dort installierten Desktop-PC.
Nadelöhr VPN
Auch in Firmen, die eigentlich ganz gut für Kollegen im Homeoffice ausgestattet waren, stellte dies eine große Herausforderung dar. VPN-Zugänge waren für die Menge an Personen einfach nicht ausgelegt und die Masse an Daten, die über die externen Anbindungen vom Intranet ins Internet und zurück geschaufelt werden musste, überstieg alle Planungen und Situationsanalysen. Engpässe gab es überall, nicht nur in der Anbindung, alle Homeofficekandidaten brauchten plötzlich einen möglichst schnell zu beschaffenden Laptop. Neben Schwierigkeiten bei der Beschaffung so vieler Geräte war es dann auch Bürde der Admins, die Arbeitsfähigkeit der Mitarbeiter in Sachen Installation und Einrichtung herzustellen. Mit Glück war es durch Corona ausnahmsweise sogar fast egal, wie weit die IT-Budgets überzogen werden mussten, mit Pech gab es durch Sparen an den schlimmst möglichen Stellen weitere Steine auf dem Weg.
Die einfachste Lösung, nämlich die VPN-Kapazitäten aufzubohren und die Kollegen zur Not auch private Geräte nutzen zu lassen, um sich per Remote Desktop mit dem Arbeitsrechner zu verbinden, scheiterte in aller Regel nicht an ohnehin meist weggewischten Sicherheitsbedenken, sondern schlicht und einfach an der Menge des Datenverkehrs. Die WAN-Anbindung des Firmengebäudes würde sich schließlich keinesfalls rechtzeitig aufrüsten lassen – denn es war ja nicht nur die eigene Firma, die dringend mehr Bandbreite benötigte. Niemand bastelt gerne an einem Excel-Sheet, wenn es viele Sekunden dauert, bis die Anzeige aufgeholt hat.
SaaS to the Rescue
In vielen Fällen bestand die Rettung darin, die Büroanwendungen aus der Cloud zu benutzen. Software as a Service hat den Vorteil, dass die Kapazitätsprobleme die Probleme von jemand anderem sind – und das ist dann frei nach Douglas Adams die beste Art, etwas unsichtbar zu machen, weil sich das Gehirn weigert, sich mit Problemen anderer Leute zu beschäftigen.
Office Apps können auf Firmennotebooks installiert werden, dazu die Infrastruktur von Diensten wie Microsoft 365 in der Cloud, und schon genügen die vorhandenen Kapazitäten doch, um die Services zu bewältigen, die sich nicht oder zumindest nicht so schnell zu einem Dienstleister auslagern lassen. Gebucht ist so ein Dienst fast genauso schnell es die Bewilligungsprozedur im Unternehmen zulassen.
Für den neuen Dienst dann Konten und rudimentäre Rechte für alle Mitarbeiter einzurichten und zu verteilen ist auch nicht das Problem, sind doch alle benötigten Daten bereits in einer Accountmanagementlösung hinterlegt, seien es nun ein Active Directory, ein LDAP oder eine andere Lösung. Das geht fast genauso schnell wie die gerade angelieferte Hardware mit einem Image zu bespielen und anschließend den Mitarbeitern in die Hand zu drücken. Ersatz für Netzlaufwerke und andere Möglichkeiten zum Dateiaustausch sind da schon schwieriger.
Zudem mussten, wo gar kein Gerät für das Homeoffice beschafft werden konnte, andere Lösungen her. In manchen Fällen wurde der Bürocomputer in der Konfiguration und bei den installierten Programmen dahingehend umgestellt, dass er – quasi unter den Arm geklemmt und nach Hause transportiert – im Wohnzimmer an der privaten Internetverbindung mit dem Netzwerk im Büro connecten konnte. Und manchmal wurden USB-Sticks mit der rudimentär benötigten Software für Laptop oder Computer zu Hause ausgegeben.
In der Falle: IT-Sicherheit
Ein wenig thematisierter Nebeneffekt dabei war und ist die drastisch verringerte IT-Sicherheit. Unverschlüsselte Festplatten und SSDs überquerten die Schwelle zwischen im Firmengebäude und außerhalb davon. Neue Software wurde schneller eingeführt als normalerweise üblich. In pandemiefreien Zeiten als unabdingbar geltende Schulungen für die Admins zu den neuen Sicherheitsoptionen, Konfigurationen und Best Practices entfielen. Genauer: Sie entfielen zugunsten des Bestrebens, möglichst schnell möglichst viele Mitarbeiter zu Hause halbwegs arbeitsfähig zu machen. Regeln, wie zum Beispiel private Geräte auf keinen Fall ins Firmennetz zu lassen, wurden ausgesetzt.
Allein in den USA hatten fast 20 Prozent der Unternehmen im letzten Jahr Sicherheitsvorfälle zu verzeichnen.
Und weil sich sogar die gewohnten Kommunikationswege änderten – und sei es nur, dass das Telefon im Büro im Gegensatz zu dem zu Hause den Namen des Anrufers anzeigte oder über ungewohnte Software in Konferenzen oder Einzelgesprächen kommuniziert worden ist – hatten es klassische Social-Engineering-Methoden plötzlich leichter, Erfolg zu haben. Es fühlten sich schließlich fast alle Gespräche ungewohnt und irgendwie nicht ganz richtig an. Studien zeigen, dass alleine in den USA fast 20 Prozent der Unternehmen im letzten Jahr Sicherheitsvorfälle zu verzeichnen hatten, die sich auf Homeoffice zurückführen lassen.
In Deutschland dürfte die Zahl höher liegen, hier wurden zeitweise anteilig noch mehr Mitarbeiter ins Homeoffice geschickt als in den USA. Immerhin waren auch die Hacker zunächst von der Entwicklung überrascht worden. Die Werkzeuge, mit denen sie normalerweise arbeiteten, waren nicht auf die veränderte Situation und die daraus resultierenden Schwachstellen ausgelegt. Das änderte sich jedoch schnell.
Sicherheitskonzepte für die Zukunft – jetzt!
Es ist an der Zeit, sich darum zu kümmern, die Sicherheitstandards wieder zu heben. Natürlich werden viele Firmen in absehbarer Zeit wieder zu mehr Präsenz im Büro zurückkehren. Das gilt aber erstens nicht für alle und schon gar nicht bedeutet dies, dass auf einen Softwareausstattungsstand von vor der Homeoffice-Welle zurückgekehrt werden wird.
Und die Cloud-Software wurde zwar nicht gekauft, aber ein Abo ist durchaus abgeschlossen, und wer weiß schon, wann es das nächste Mal so weit sein kann, dass die Mitarbeiter wieder zu Hause arbeiten müssen.
Deshalb ist es jetzt auch die richtige Zeit, die Admins zu schulen, damit mit den zum Beispiel bei Microsoft 365 mitgelieferten Werkzeugen ein vernünftiges Sicherheitskonzept erstellt und vor allem auch umgesetzt werden kann.
Egal, ob es dabei um Identitätsmanagement geht, bei dem Benutzer, Rollen und Identitäten in hybriden Umgebungen gemanagt und Privilegien vergeben werden müssen oder ob es darum geht, wie in einer solchen hybriden Umgebung wichtige Informationen, Dokumente und andere Daten vor Verlust oder Diebstahl geschützt werden können.
Kompatibilitäts- und Konfigurationsrichtlinien müssen aufgebaut werden, um den Bedrohungsschutz zu erhöhen.
Denn wenn es das nächste Mal wieder schnell gehen muss, dann ist es wieder zu spät, ein vernünftiges Rechtemanagement einzusetzen, die Authentifizierungsinfrastruktur zu verfeinern und auch die Endpunkte bei den Mitarbeitern zu Hause so weit zu managen, dass es eben nicht mehr irgendeine Maschine mit niemand-weiß-was-da-alles-installiert-ist sein muss.
Fortbildungszeit ist jetzt.