Currently set to Index
Currently set to Follow

Bevor Cloud-Dienste populär wurden, war eine Client-Server-Struktur gang und gäbe. Bei dieser Struktur gab es eine klare Vertei­lung: Der Anwender mit seinem Client im Unter­nehmen hatte nur die Rechte, die ihm durch die Adminis­tra­toren einge­räumt wurden. Auf der anderen Seite hatten Adminis­tra­toren vollum­fäng­li­chen Zugriff auf alles.

Dadurch, dass die Server meist im eigenen Unter­nehmen unter­ge­bracht waren (der klassi­sche Server Keller), war ein Zugriff von außen kaum möglich. Dies hatte aber auch den Nachteil, das externe Partner nicht mitar­beiten konnten. Viel musste über Datei­aus­tausch (FTP, Disk, CD), Email oder Papier erledigt werden.

Der Wandel hin zu Cloud-Diensten und die Verbrei­tung von Mobil­ge­räten löst diese klassi­sche Struktur immer mehr ab. Anwender möchten heute nicht mehr zwingend im Großraum­büro sitzen, wenn sie ihre Arbeit genauso gut oder sogar besser im Home-Office oder in einer anderen Stadt erledigen können.

Diese Änderung bringt aber viele neue Heraus­for­de­rungen mit sich. Eine der Wichtigsten ist nun die Gesamt­be­trach­tung der Sicher­heit für Daten und Infor­ma­tionen im Unter­nehmen in Bezug auf Zugriffe, Sicher­heit und Wieder­her­stell­bar­keit. Hier wird von sog. „Zero-Trust Netzwerken“ gespro­chen, d.h. die Sicher­heits­maß­nahmen sind unabhängig von den Netzwerk­be­rei­chen, in denen sich Clients und Server befinden.

Diese teilt sich in allge­meine Empfeh­lungen für Anwender und platt­form­spe­zi­fi­sche Empfeh­lungen auf:

 

Allge­meine Empfeh­lungen

Bei den allge­meinen Empfeh­lungen geht es primär um die Anwender und deren Gewohn­heiten:

  • Verwen­dung von ausrei­chend langen Passwör­tern (z.B. mindes­tens 12 Zeichen)
  • Sperren von Mobil­ge­räten, Desktop PCs, Laptops beim Verlassen des Arbeits­platzes
  • 2‑Faktor-Authen­ti­fi­zie­rung verwenden
  • Kein Account Sharing
  • Getrennte Admin- und Benut­zer­ac­counts
  • Verwen­dung von Condi­tional Access

 

Zudem sind aber auch unter­neh­mens­weite Regelungen nötig:

  • Klassi­fi­zie­rung der Geschäfts­daten in Verbin­dung mit Schutz­maß­nahmen
  • Daten­ver­schlüs­se­lung „at Rest“ & „at Trans­port“, d.h. Trans­port­ver­schlüs­se­lung über SSL und IPsec, bzw. Daten­ver­schlüs­se­lung bis hin zu „Bring Your Own Key“
  • Einfüh­rung von Diensten wie PIM (Azure AD Privi­leged Identity Manage­ment), AIP (Azure Infor­ma­tion Protec­tion) und ATP (Azure Advanced Threat Protec­tion).
  • Klärung, ob Kontakte in das Telefon­buch auf dem Mobil­te­lefon gesynct werden dürfen
  • Sicher­stellen, dass Geschäfts­daten und private Daten sich auf dem Endgerät nicht vermi­schen

 

Platt­form­spe­zi­fi­sche Empfeh­lungen am Beispiel von Share­Point Online

Die platt­form­spe­zi­fi­schen Empfeh­lungen teilen sich in zwei große Bereiche auf:

  • Tenant­weite Einstel­lungen
  • Site Collec­tion Einstel­lungen

 

Tenant­weite Security Einstel­lungen

Hier geht es z.B. um Einstel­lungen ob und wie Gastac­counts berech­tigt werden dürfen, Sharing-Einstel­lungen. Diese werden über die Adminis­tra­ti­ons­seiten konfi­gu­riert.

Site Collec­tion Security Einstel­lungen

Bei diesen Einstel­lungen ist ein Site Collec­tion Adminis­trator oder Site Owner verant­wort­lich. Es betrifft die interne Organi­sa­tion der Berech­ti­gungs­struktur etc.

 

Hier gibt es einige Best Practices:

Share­Point Security Do‘s

  • Gruppen (AD oder Share­Point) verwenden, um Benutzer zu managen
  • Klare zustän­dige Person inner­halb der Seite benennen:
    • Verant­wort­lich für Berech­ti­gungs­struktur, Prüfung der Berech­ti­gungen
    • Verant­wort­lich für Hinzu­fügen und Entfernen von Benut­zern zu Gruppen
  • Entfernen von Berech­ti­gungen auf sensi­tive Inhalte, wenn der Zugriff nicht mehr nötig ist
  • Zeitliche Beschrän­kung für Zugriff mit Gastac­counts
  • Nutzung flacher Struk­turen und Aggre­ga­tion von Inhalten über z.B. Hub Sites („Hub anstatt Sub“)

 

Share­Point Security Don’ts

  • Element­be­rech­ti­gungen
  • Komplexe Struk­turen
    • Eigene Berech­ti­gungen für jede Liste/Bibliothek
    • Sehr viele Unter­seiten mit eigenen Berech­ti­gungs­gruppen
  • Erlauben, dass Gäste weitere Gäste einladen können

Stephan Dalke

Solution Archi­tect



Kontakt

Ihr Anliegen. Unsere Experten. Erleben Sie netunite. Wir freuen uns auf Ihre Anfrage.
Gerne sind wir auch telefonisch unter 089/8906599-0 oder per E-Mail unter info@netunite.eu für Sie erreichbar.

netunite AG
Lindwurmstraße 97
80337 München


Pflichtfeld

Pflichtfeld


Absenden
Absenden

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen zu Cookies erhalten Sie in unserer Datenschutzerklärung. Akzeptieren