Bevor Cloud-Dienste populär wurden, war eine Client-Server-Struktur gang und gäbe. Bei dieser Struktur gab es eine klare Vertei­lung: Der Anwender mit seinem Client im Unter­nehmen hatte nur die Rechte, die ihm durch die Adminis­tra­toren einge­räumt wurden. Auf der anderen Seite hatten Adminis­tra­toren vollum­fäng­li­chen Zugriff auf alles.

Dadurch, dass die Server meist im eigenen Unter­nehmen unter­ge­bracht waren (der klassi­sche Server Keller), war ein Zugriff von außen kaum möglich. Dies hatte aber auch den Nachteil, das externe Partner nicht mitar­beiten konnten. Viel musste über Datei­aus­tausch (FTP, Disk, CD), Email oder Papier erledigt werden.

Der Wandel hin zu Cloud-Diensten und die Verbrei­tung von Mobil­ge­räten löst diese klassi­sche Struktur immer mehr ab. Anwender möchten heute nicht mehr zwingend im Großraum­büro sitzen, wenn sie ihre Arbeit genauso gut oder sogar besser im Home-Office oder in einer anderen Stadt erledigen können.

Diese Änderung bringt aber viele neue Heraus­for­de­rungen mit sich. Eine der Wichtigsten ist nun die Gesamt­be­trach­tung der Sicher­heit für Daten und Infor­ma­tionen im Unter­nehmen in Bezug auf Zugriffe, Sicher­heit und Wieder­her­stell­bar­keit. Hier wird von sog. „Zero-Trust Netzwerken“ gespro­chen, d.h. die Sicher­heits­maß­nahmen sind unabhängig von den Netzwerk­be­rei­chen, in denen sich Clients und Server befinden.

Diese teilt sich in allge­meine Empfeh­lungen für Anwender und platt­form­spe­zi­fi­sche Empfeh­lungen auf:

 

Allge­meine Empfehlungen

Bei den allge­meinen Empfeh­lungen geht es primär um die Anwender und deren Gewohnheiten:

  • Verwen­dung von ausrei­chend langen Passwör­tern (z.B. mindes­tens 12 Zeichen)
  • Sperren von Mobil­ge­räten, Desktop PCs, Laptops beim Verlassen des Arbeitsplatzes
  • 2‑Faktor-Authen­ti­fi­zie­rung verwenden
  • Kein Account Sharing
  • Getrennte Admin- und Benutzeraccounts
  • Verwen­dung von Condi­tional Access

 

Zudem sind aber auch unter­neh­mens­weite Regelungen nötig:

  • Klassi­fi­zie­rung der Geschäfts­daten in Verbin­dung mit Schutzmaßnahmen
  • Daten­ver­schlüs­se­lung „at Rest“ & „at Trans­port“, d.h. Trans­port­ver­schlüs­se­lung über SSL und IPsec, bzw. Daten­ver­schlüs­se­lung bis hin zu „Bring Your Own Key“
  • Einfüh­rung von Diensten wie PIM (Azure AD Privi­leged Identity Manage­ment), AIP (Azure Infor­ma­tion Protec­tion) und ATP (Azure Advanced Threat Protection).
  • Klärung, ob Kontakte in das Telefon­buch auf dem Mobil­te­lefon gesynct werden dürfen
  • Sicher­stellen, dass Geschäfts­daten und private Daten sich auf dem Endgerät nicht vermischen

 

Platt­form­spe­zi­fi­sche Empfeh­lungen am Beispiel von Share­Point Online

Die platt­form­spe­zi­fi­schen Empfeh­lungen teilen sich in zwei große Bereiche auf:

  • Tenant­weite Einstellungen
  • Site Collec­tion Einstellungen

 

Tenant­weite Security Einstellungen

Hier geht es z.B. um Einstel­lungen ob und wie Gastac­counts berech­tigt werden dürfen, Sharing-Einstel­lungen. Diese werden über die Adminis­tra­ti­ons­seiten konfiguriert.

Site Collec­tion Security Einstellungen

Bei diesen Einstel­lungen ist ein Site Collec­tion Adminis­trator oder Site Owner verant­wort­lich. Es betrifft die interne Organi­sa­tion der Berech­ti­gungs­struktur etc.

 

Hier gibt es einige Best Practices:

Share­Point Security Do‘s

  • Gruppen (AD oder Share­Point) verwenden, um Benutzer zu managen
  • Klare zustän­dige Person inner­halb der Seite benennen: 
    • Verant­wort­lich für Berech­ti­gungs­struktur, Prüfung der Berechtigungen
    • Verant­wort­lich für Hinzu­fügen und Entfernen von Benut­zern zu Gruppen
  • Entfernen von Berech­ti­gungen auf sensi­tive Inhalte, wenn der Zugriff nicht mehr nötig ist
  • Zeitliche Beschrän­kung für Zugriff mit Gastaccounts
  • Nutzung flacher Struk­turen und Aggre­ga­tion von Inhalten über z.B. Hub Sites („Hub anstatt Sub“)

 

Share­Point Security Don’ts

  • Element­be­rech­ti­gungen
  • Komplexe Struk­turen
    • Eigene Berech­ti­gungen für jede Liste/Bibliothek
    • Sehr viele Unter­seiten mit eigenen Berechtigungsgruppen
  • Erlauben, dass Gäste weitere Gäste einladen können

 

Stephan Dalke

Solution Archi­tect



Kontakt zur netunite AG

Ihr Anliegen. Unsere Experten. Erleben Sie netunite. Wir freuen uns auf Ihre Anfrage.
Gerne sind wir auch telefonisch unter 089/8906599-0 oder per E-Mail unter info@netunite.eu für Sie erreichbar.

netunite AG
Lindwurmstraße 97
80337 München

    Pflichtfeld
    Pflichtfeld
     
    Pflichtfeld
     
    Pflichtfeld