Bevor Cloud-Dienste populär wurden, war eine Client-Server-Struktur gang und gäbe. Bei dieser Struktur gab es eine klare Verteilung: Der Anwender mit seinem Client im Unternehmen hatte nur die Rechte, die ihm durch die Administratoren eingeräumt wurden. Auf der anderen Seite hatten Administratoren vollumfänglichen Zugriff auf alles.
Dadurch, dass die Server meist im eigenen Unternehmen untergebracht waren (der klassische Server Keller), war ein Zugriff von außen kaum möglich. Dies hatte aber auch den Nachteil, das externe Partner nicht mitarbeiten konnten. Viel musste über Dateiaustausch (FTP, Disk, CD), Email oder Papier erledigt werden.
Der Wandel hin zu Cloud-Diensten und die Verbreitung von Mobilgeräten löst diese klassische Struktur immer mehr ab. Anwender möchten heute nicht mehr zwingend im Großraumbüro sitzen, wenn sie ihre Arbeit genauso gut oder sogar besser im Home-Office oder in einer anderen Stadt erledigen können.
Diese Änderung bringt aber viele neue Herausforderungen mit sich. Eine der Wichtigsten ist nun die Gesamtbetrachtung der Sicherheit für Daten und Informationen im Unternehmen in Bezug auf Zugriffe, Sicherheit und Wiederherstellbarkeit. Hier wird von sog. „Zero-Trust Netzwerken“ gesprochen, d.h. die Sicherheitsmaßnahmen sind unabhängig von den Netzwerkbereichen, in denen sich Clients und Server befinden.
Diese teilt sich in allgemeine Empfehlungen für Anwender und plattformspezifische Empfehlungen auf:
Allgemeine Empfehlungen
Bei den allgemeinen Empfehlungen geht es primär um die Anwender und deren Gewohnheiten:
- Verwendung von ausreichend langen Passwörtern (z.B. mindestens 12 Zeichen)
- Sperren von Mobilgeräten, Desktop PCs, Laptops beim Verlassen des Arbeitsplatzes
- 2‑Faktor-Authentifizierung verwenden
- Kein Account Sharing
- Getrennte Admin- und Benutzeraccounts
- Verwendung von Conditional Access
Zudem sind aber auch unternehmensweite Regelungen nötig:
- Klassifizierung der Geschäftsdaten in Verbindung mit Schutzmaßnahmen
- Datenverschlüsselung „at Rest“ & „at Transport“, d.h. Transportverschlüsselung über SSL und IPsec, bzw. Datenverschlüsselung bis hin zu „Bring Your Own Key“
- Einführung von Diensten wie PIM (Azure AD Privileged Identity Management), AIP (Azure Information Protection) und ATP (Azure Advanced Threat Protection).
- Klärung, ob Kontakte in das Telefonbuch auf dem Mobiltelefon gesynct werden dürfen
- Sicherstellen, dass Geschäftsdaten und private Daten sich auf dem Endgerät nicht vermischen
Plattformspezifische Empfehlungen am Beispiel von SharePoint Online
Die plattformspezifischen Empfehlungen teilen sich in zwei große Bereiche auf:
- Tenantweite Einstellungen
- Site Collection Einstellungen
Tenantweite Security Einstellungen
Hier geht es z.B. um Einstellungen ob und wie Gastaccounts berechtigt werden dürfen, Sharing-Einstellungen. Diese werden über die Administrationsseiten konfiguriert.
Site Collection Security Einstellungen
Bei diesen Einstellungen ist ein Site Collection Administrator oder Site Owner verantwortlich. Es betrifft die interne Organisation der Berechtigungsstruktur etc.
Hier gibt es einige Best Practices:
SharePoint Security Do‘s
- Gruppen (AD oder SharePoint) verwenden, um Benutzer zu managen
- Klare zuständige Person innerhalb der Seite benennen:
- Verantwortlich für Berechtigungsstruktur, Prüfung der Berechtigungen
- Verantwortlich für Hinzufügen und Entfernen von Benutzern zu Gruppen
- Entfernen von Berechtigungen auf sensitive Inhalte, wenn der Zugriff nicht mehr nötig ist
- Zeitliche Beschränkung für Zugriff mit Gastaccounts
- Nutzung flacher Strukturen und Aggregation von Inhalten über z.B. Hub Sites („Hub anstatt Sub“)
SharePoint Security Don’ts
- Elementberechtigungen
- Komplexe Strukturen
- Eigene Berechtigungen für jede Liste/Bibliothek
- Sehr viele Unterseiten mit eigenen Berechtigungsgruppen
- Erlauben, dass Gäste weitere Gäste einladen können
Stephan Dalke
Solution Architect