Was sicheres Arbeiten in der Microsoft Cloud bedeutet und welche Fehler dabei häufig gemacht werden, haben wir in einem früheren Artikel beleuchtet. Die Frage, die sich nun viele Unternehmen stellen: Wie lässt sich die Microsoft Security nach dem Zero-Trust-Prinzip in ihrer heutigen Arbeitswelt konkret umsetzen? Eine Welt des mobilen Arbeitens, in der Menschen innerhalb und ausserhalb des Unternehmens mit unterschiedlichen Geräten auf eine Vielzahl von Daten und Informationen in der Cloud zugreifen.
Wie können wir sicherstellen, dass alle verfügbaren Informationen kontinuierlich geprüft, analysiert und gemäss definierter Richtlinien interpretiert werden, um wesentliche Entscheidungen zugunsten einer ganzheitlichen Sicherheit zu treffen? Denn je mehr verschiedene Identitäten und Applikationen unterschiedlicher Anbieter im Einsatz sind, desto komplexer werden die Schnittstellen und Prozesse – und damit auch die Kontrollierbarkeit der Vorgaben.
Das Zero-Trust-Prinzip ist ein Sicherheitskonzept, das davon ausgeht, dass nichts und niemandem automatisch vertraut wird – weder innerhalb noch ausserhalb der Firmengrenzen. Stattdessen wird jeder Zugriff streng und kontinuierlich überprüft, unabhängig davon, ob der Zugriff von einem Mitarbeitenden, einem Gerät oder einer Anwendung erfolgt.
Der Schlüssel zu mehr Sicherheit liegt darin, ein stabiles Fundament zu schaffen. Dazu gehören nicht nur klare Richtlinien, sondern auch organisatorische Aspekte. Denn die Cloud erfordert ein Konzept der „Shared Responsibility“.
— Thomas Peyer (CTO, Partner)
Der Weg: Ein starkes Fundament legen
Der Schlüssel zu mehr Sicherheit liegt darin, ein stabiles Fundament zu schaffen. Dazu gehören nicht nur klare Richtlinien, sondern auch organisatorische Aspekte. Wichtige Schritte sind beispielsweise die Definition neuer Prozesse im Change-Management, die Weiterentwicklung der Kompetenzen der Mitarbeitenden sowie eine Überarbeitung der Rollenverteilung. Denn die Cloud erfordert ein Konzept der „Shared Responsibility“. Erst auf dieser soliden Basis ist es sinnvoll, sich den technischen Herausforderungen zu widmen.
Denn: Microsoft bietet als Cloud Solution Provider umfassende Möglichkeiten, den Zero-Trust-Ansatz anzuwenden. Doch diese Möglichkeiten müssen auf Basis interner Vorgaben übersetzt und konfiguriert werden, um das erforderliche Sicherheitsniveau zu erreichen, vorhandene Risiken zu vermindern und den definierten Soll-Zustand zu erfüllen.
Challenge #0: Start – Definition aller Vorgaben
Im ersten Schritt bringen wir unsere vielseitigen Kompetenzen aus den Bereichen Recht, Technik und Sicherheit im Team zusammen, um die firmeneigenen Vorgaben gemeinsam zu definieren und dabei rechtliche, organisatorische sowie technische Aspekte zu berücksichtigen. Diese bilden die Entscheidungsgrundlage dafür, welche Policies eingespeist und unternehmensweit eingeführt und durchgesetzt werden können. Wir nennen diesen ersten Schritt «Secure Case 0». Die Basis muss stimmen, denn die frühzeitige Definition der richtigen Schutz- und Kontrollmechanismen macht später Vieles einfacher.
Secure Case 0: Security, Compliance und Governance im Fokus
Die nächste Herausforderung besteht darin, alle Sicherheitsanforderungen und Datenschutzrichtlinien einzuhalten und zu verwalten. Dazu gehören unter anderem:
- Datenschutz-Grundlagen und Vorgaben des Internen Kontrollsystems (IKS)
- Kontrollziele auf Basis der rechtlichen und regulatorischen Anforderungen, die sich aus dem Beizug eines externen Cloud Solution Providers wie Microsoft ergeben
- Nutzungsregeln für die Verwendung der MS Online Services
- Bestandsaufnahme und Dokumentation der technischen, organisatorischen und vertraglichen Massnahmen, die auf ein oder mehrere identifizierte Risiken mitigierend einwirken
Challenge #1: Die Microsoft Security Suite voll ausschöpfen
Was ist in den Microsoft-Lizenzen enthalten, und wie nutzt man die Microsoft Security Software richtig, um eine solide Sicherheitsbasis zu schaffen? Viele Unternehmen schöpfen die vorhandenen Sicherheitsfunktionen nicht voll aus. Dabei gibt es hilfreiche Ansätze wie das Microsoft Zero Trust Security Mapping. Es ermöglicht, das ungenutzte Potenzial der Lizenzen zu identifizieren und Identitäten, Geräte, Anwendungen, Daten sowie Verbindungen mithilfe von Lösungen wie Microsoft Defender und Microsoft Endpoint Manager noch umfassender zu schützen.
Challenge #2: Jenseits von Microsoft – weitere Aspekte der Cloud-Sicherheit
Was ist darüber hinaus wichtig, um sicher in der Cloud-Lösung zu arbeiten? Die Cybersecurity Reference Architecture verweist auf weitere wichtige Bereiche für eine lückenlose Cloud-Sicherheit. Einer davon ist die Governance rund um die Microsoft Entra ID (ehemals Azure AD): Entlang einer Governance-Strategie werden Richtlinien und Prozesse definiert, die sicherstellen, dass nur autorisierte Personen Zugang zu den richtigen Ressourcen haben.
Neben der Verwaltung und Sicherung von Zugriffs- und Einsichtsrechten rückt zunehmend auch die Informationssicherheit in den Fokus – unabhängig davon, wo die Informationen gespeichert sind oder von wem und wo sie verarbeitet werden. Die gute Nachricht: Unternehmen, die die Microsoft Cloud nutzen, verfügen heute über zahlreiche Möglichkeiten, den Schutz ihrer Informationen gezielt zu verbessern.
Mit dem richtigen Framework den Bogen spannen
Das von MondayCoffee entwickelte Framework verknüpft alle relevanten Aspekte der Cloud-Sicherheit. Angefangen bei der Definition von organisatorischen und technischen Richtlinien (siehe oben Secure Case 0) bis hin zur konkreten Umsetzung von Sicherheitsmassnahmen (Secure Case 1–3).
Secure Case 1–3: Schutz von Identitäten, Informationen und Geräten
Sind die grundlegenden Vorgaben definiert (Secure Case 0), geht es an den Grundschutz. Dafür werden alle Massnahmen auf Identitäten, Informationen und Geräte angewendet. Die Herausforderung liegt darin, alle definierten Schutz- und Kontrollmassnahmen umzusetzen und regelmässig zu überprüfen.
Identitätsschutz: Identitäten müssen zuverlässig identifiziert und dokumentiert werden, sei es von Benutzern, Gruppen oder neu auch von Anwendungen oder Gast-Accounts. Die Verwaltung von Identitäten erfolgt durch Tools wie Entra ID, die Zugriffe vor allem in Zeiten von Mobile Work sicher steuern und überprüfen. Empfehlenswert ist auch ein Lifecycle Management. Es automatisiert die Archivierung und Löschung inaktiver Workspaces, indem es Richtlinien definiert, Benutzer oder Administratoren auf die Inaktivität aufmerksam macht und so für Übersichtlichkeit und Effizienz in Microsoft 365 sorgt.
Informationsschutz: Mit Lösungen wie Information Protection und der Defender Suite schützt Microsoft Unternehmensinformationen vor unbefugtem Zugriff und Datenlecks.
Endpoint Protection: Anwendungen wie Browser oder mobile Apps, die auf die Unternehmens-Cloud zugreifen, werden durch eine zentrale Verwaltung (z. B. mit Intune) und den Einsatz der Defender Suite geschützt. Dabei entscheidet der Compliance-Status der Geräte darüber, wem der Zugriff oder die Einsicht gewährt oder verweigert wird.
Fokus aufs Fundament –
gerade in Zeiten von AI
Moderne Zusammenarbeit funktioniert nur, wenn sie sicher ist. Sicherheit kann man aber nur verstehen, wenn man die Collaboration-Szenarien und die unterschiedlichsten Arbeitsweisen kennt. Wir sind mit der Microsoft Cloud gross geworden, haben langjährige Erfahrung im Bereich Zero Trust für M365 und etablieren seit über 20 Jahren als Collaboration-Spezialisten moderne Arbeitsweisen in Unternehmen. Collaboration und Security denken wir als eine Einheit und vollumfassend. Wir kennen die Herausforderungen und typischen Fehler und wissen, wo man anfangen sollte und wie man das interdisziplinäre Zusammenspiel meistert.
Fokus aufs Fundament – gerade in Zeiten von AI
Mit der Einführung von KI-Tools wie dem Microsoft Copilot gewinnt der Schutz von Daten und Identitäten an Bedeutung. Denn ohne ein solides Sicherheitsfundament können auch KI-Tools nicht sicher und effizient arbeiten. MondayCoffee unterstützt Unternehmen dabei, die richtigen Richtlinien zu definieren, um auch in Zeiten von KI sicheres (mobiles) Arbeiten zu gewährleisten.
