So führen Sie einen Microsoft 365 Security Audit durch

Dank der Cloud-basierten M365-Dienste werden Bürojobs flexibler – Arbeiten ist damit im Grunde von überall aus möglich. Auch die Kollaboration wird mit Tools wie Microsoft Teams einfacher. Doch die Flexibilität kommt nicht ohne ein grosses «Aber»: Es braucht nun hohe Schutzmechanismen nach aussen und innen, um die IT-Infrastruktur vor Cyberangriffen zu schützen und die Cloudsicherheit zu gewährleisten. Denn Mitarbeitende sind heute stark vernetzt und nutzen unterschiedliche Geräte (Laptop, PC, Smartphone). Office 365, Power Platform und Co sind deshalb über öffentliche und einheitliche URLs zugänglich. Ohne erhöhte Massnahmen zur Office 365 Security hätten Hacker leichtes Spiel.

Wie sicher ist Microsoft 365?

Microsoft  unterstützt ihre Kundinnen und Kunden bei der Microsoft 365 Security. Neben den Produkten kaufen Nutzer auch eine Basis an Microsoft 365 und Cloud Security ein, viele Probleme werden so bereits verhindert. Um ein regelmässiges Security Audit kommen Sie dennoch nicht herum. Einen Teil des Security Audits können Sie dank Microsoft Defender for Cloud und 365Inspector mit den folgenden fünf Schritten problemlos selbst durchführen.

Schritt 1: Secure Score im Microsoft Defender prüfen

Der Microsoft Defender for Cloud zeigt in der Übersicht unter anderem den «Secure Score» an.

Übersicht im Microsoft Defender for Cloud: Der Secure Score liegt hier bei 38 Prozent.

Der Secure Score hilft, Ziele für eine erhöhte Sicherheit zu setzen. Einen Score von 100 Prozent anzupeilen wäre jedoch utopisch und daher keine gute Zielmarke. Vielmehr sollten Sie danach streben, Ihren Secure Score kontinuierlich zu verbessern.

Unter «Secure Score Recommendations» ist ersichtlich, für welche Security-Bereiche wie viele Punkte vergeben werden – sprich, wie gut Sie hier abgesichert sind – und welche Möglichkeiten zur Erhöhung der Sicherheit bestehen.

Secure Score Recommendations: Für jeden Bereich erhalten Sie maximal zehn Punkte.

Schritt 2: Vorgeschlagene Massnahmen umsetzen

Der Microsoft Defender vergibt unter «Secure Score Recommendation» nicht nur Punkte, sondern schlägt auch Massnahmen zur Gefahrenabwehr vor, wie zum Beispiel „Management ports should be closed on your virtual machines“. Klicken Sie die vorgeschlagene Massnahme an, werden das bestehende Problem und die passende Gegenmassnahme zur Behebung näher beschrieben.

Die vorgeschlagenen Massnahmen werden ausführlich beschrieben.

Sie können die vorgeschlagene Massnahme dann über «Assign Owner» einer Person zuweisen oder über «Trigger logic App» automatisch lösen lassen. Letzteres funktioniert allerdings nicht immer.

Die Massnahmen können Sie auf verschiedenen Weisen ergreifen: Trigger logic app, Exempt oder Assign owner.

Empfehlenswert ist in vielen Fällen, einen «Exempt» zu erstellen. Dieses Vorgehen ist sehr praxisnah, weil sich bestehende Sicherheitsprobleme oftmals nicht sofort lösen lassen, aber zu einem späteren Zeitpunkt geklärt sein sollten. Für den Moment akzeptieren Sie das Risiko (Waiver: risk accepted) und legen fest, wie lange es noch bestehen darf (Expiration date). Besteht das Problem nach Ablauf der Frist immer noch, legt der Defender es Ihnen wieder zur Lösung vor.

Ein sehr praxisnahes Vorgehen ist, einen «Exempt» zu erstellen. Für einen gewissen Zeitraum akzeptieren Sie das bestehende Problem. Besteht das Problem darüber hinaus, wird es Ihnen wieder vorgelegt.

Schritt 3: Security Benchmarking in «Regulatory compliance» durchführen

Unter «Regulatory compliance» können Sie ein Security Benchmarking durchführen. Sie können jede Benchmark einzeln betrachten und prüfen, ob die Control erfüllt und wer dafür zuständig ist: Microsoft als Anbieter oder Sie als Kundin oder Kunde.

Die Benchmarks sind sehr handlich und produktfreundlich gebaut: Vieles, was eingefordert wird, ist zum grossen Teil automatisiert verfügbar.

Per Security Benchmarking ersehen Sie, in welche Zuständigkeit die einzelnen Controls fallen und ob Sie erfüllt sind.

Schritt 4: Zusätzlich «365Inspect» verwenden

So hilfreich der Secure Score auch ist, er deckt im Grunde nur auf die Headline Features ab. Für einen M365 Security Audit müssen Sie zusätzlich «365Inspect» nutzen.

Für einen M365 Security Audit sollten Sie auch 365Inspect nutzen.

Über ein PowerShell-Skript untersuchen Sie mit einzelnen Modulen – den sogenannten Inspectors – die verschiedenen Bereiche von Office 365. Erstellen Sie hierzu folgende Commandline:

Mit dieser Commandline führen Sie den M365 Securíty Audit durch.

Auf Ihrem lokalen Datenträger füllt sich dann ein Verzeichnis mit verschiedenen Rohdaten. Diese müssen nun analysiert werden, um festzustellen, welche Sicherheitsmassnahmen tatsächlich durchgeführt werden müssen.

Das Verzeichnis auf dem lokalen Datenträger füllt sich mit verschiedenen Rohdaten, am Ende gibt es einen kompletten HTML-Report. 

Unter den Rohdaten befindet sich auch ein ausführlicher HTML-Report. Dieser listet alle ausgeführten Module und gefundenen Probleme (Finding) auf.

Der HTML-Report listet die ausgeführten Module und «Findings» auf.

Die einzelnen Findings gilt es zu prüfen und zu diskutieren. Zu jedem Finding erhalten Sie per Klick weitere Details mit Problembeschreibung, Risikobewertung und geeigneter Gegenmassnahme.

Details zu den einzelnen Findings mit Risikobewertung und Massnahme.

Schritt 5: Microsoft 365 Security Audit evaluieren

Aus dem Secure Score und den Suchergebnissen von 365Inspect entsteht das Microsoft 365 Security Audit. Hinzu kommen «geheime Zutaten», also Erfahrungen, die Sie in vergangenen Audits gesammelt haben. Die eigentliche Leistung des Office 365 Security Audits besteht darin, die gefundenen Probleme und ihre Risiken zu bewerten. Ohne eine Bewertung durch einen Experten oder eine Expertin ist das Audit im Grunde nicht viel wert und eher Panikmache. Der Secure Score und das Defender Toolset bieten aber eine gute Basis-Security.