Sicherheits- und Compliance-Management in Microsoft 365

Sicherheit und Compliance in der Microsoft‑365‑Arbeitsumgebung sind heute wichtiger denn je. Microsoft 365 zählt zu den führenden Plattformen am Markt für Kommunikation, Zusammenarbeit und Datenspeicherung. Daher steht Microsoft unter besonderer Beobachtung der Öffentlichkeit, wenn es um die Einhaltung und Anpassungen dieser Themen geht.

Eine korrekte Konfiguration des Microsoft‑365‑Tenants ist entscheidend, damit Sie die Sicherheit Ihrer Unternehmens- und Kundendaten gewährleisten können. Dies erreichen Sie nur, indem Sie regulatorische Compliance sicherstellen. Ein Beispiel hierfür ist die Einhaltung des aktuellen Schweizer Datenschutzgesetzes (DSG). Das DSG stellt strenge Anforderungen an den Schutz und die Bearbeitung von Personendaten.

Um diese Compliance zu gewährleisten, müssen Sie verschiedene Massnahmen in Ihrem Microsoft‑365‑Tenant umsetzen.

Dieser Leitfaden bietet einen Überblick über besonders entscheidende Konfigurationseinstellungen, die Sie in Ihrem Unternehmen berücksichtigen sollten, um Ihren Microsoft-365-Tenant optimal zu sichern.

Multi-Faktor-Authentifizierung (MFA) aktivieren – derzeit eine der effektivsten Sicherheitsmassnahmen

Multi‑Faktor‑Authentifizierung (kurz MFA) ist ein Muss, um die Sicherheit der Benutzerkonten zu verstärken. Es erfordert eine zweite Form der Authentifizierung, was einen zusätzlichen Schutz gegen unbefugten Zugriff bietet. Neben dem Passwort kann dies eine einmalige PIN sein, die an ein Mobiltelefon gesendet wird, eine Authentifizierungs‑App wie Microsoft Authenticator oder ein biometrisches Merkmal wie ein Fingerabdruck oder Gesichtserkennung.

Durch diese zusätzliche Sicherheitsstufe wird es für Angreifer wesentlich schwieriger, Zugang zu (sensiblen) Daten zu erlangen, selbst wenn sie das Passwort eines Benutzers kompromittieren können.

Die Implementierung von MFA in Ihrem Microsoft-365-Tenant trägt wesentlich zur Erhöhung der Sicherheit bei und verstärkt die Erfüllung von Compliance-Anforderungen.

Rollenbasierte Zugriffskontrolle («Role-Based Access Control», RBAC) einführen

Durch die Implementierung von rollenbasierten Zugriffskontrollen (RBAC) können Sie sicherstellen, dass Benutzer nur auf die Daten und Funktionen zugreifen können, die für ihre Rolle notwendig sind – was das Risiko von Datenverlusten minimiert.

Globaler Administrator

• Microsoft Entra-Rolle: Globaler Administrator

• Berechtigungen: Verwalten des Zugriffs auf alle administrativen Features in Microsoft Entra ID und auf Dienste, die im Verbund mit Microsoft Entra ID genutzt werden. Zuweisen von Administratorrollen für andere Personen, Zurücksetzen des Kennworts für alle Benutzer und alle anderen Administratoren.

Benutzer-Administrator

• Microsoft Entra-Rolle: Benutzer-Administrator

• Berechtigungen: Erstellen und Verwalten aller Aspekte von Benutzern und Gruppen, Verwalten von Supporttickets, Überwachen der Dienstintegrität. Ändern von Kennwörtern für Benutzer, Helpdesk Administratoren und andere Benutzeradministratoren.

Rechnungsadministrator

• Microsoft Entra-Rolle: Rechnungsadministrator

• Berechtigungen: Tätigen von Einkäufen, Verwalten von Abonnements, Verwalten von Supporttickets, Überwachen der Dienstintegrität.

Eine Detailliertere Liste zu allen Rollenbeschreibungen finden sie hier: Azure-Rollen, Microsoft Entra-Rollen und Administratorrollen für klassische Abonnements

Datenschutz- und Compliance-Einstellungen anpassen

Passen Sie die Einstellungen an die Datenschutzgesetze und -vorschriften an, die für Ihr Unternehmen gelten. Dies beinhaltet Richtlinien zur Datenaufbewahrung, Datenverschlüsselung und zum Schutz vor Datenverlust.

Durch diese Massnahmen erreicht das Unternehmen Folgendes:

• Rechtliche Compliance: Sicherstellung, dass alle gesetzlichen und regulatorischen Anforderungen eingehalten werden, wodurch das Risiko von Bussgeldern und Sanktionen minimiert wird.

• Datensicherheit: Verbesserung der Sicherheitsmassnahmen zum Schutz sensibler Unternehmens- und Kundendaten vor unbefugtem Zugriff und Datenverlust.

• Vertrauen der Kunden: Stärkung des Vertrauens Ihrer Kunden in die Fähigkeit Ihres Unternehmens, persönliche und geschäftliche Daten zu schützen.

• Risikominimierung: Reduzierung des Risikos von Sicherheitsverletzungen, die zu finanziellen Verlusten und Reputationsschäden führen könnten.

• Effiziente Datenverwaltung: Optimierung durch klare Richtlinien zur Datenaufbewahrung und Datenlöschung.

E-Mail-Sicherheit stärken

Microsoft bietet zahlreiche Möglichkeiten, Ihr Sicherheitsniveau zu erhöhen. Nutzen Sie Funktionen wie:

• Advanced Threat Protection

• Anti‑Phishing

• Anti‑Spam

• Anti‑Malware

IT‑Dienstleister und Sicherheitsexperten können Sie bei der Implementierung unterstützen.

Audit-Logging und Monitoring aktivieren

Die Aktivierung von Audit-Logs ist entscheidend für die Überwachung von Aktivitäten und das frühzeitige Erkennen von Sicherheitsvorfällen.

Audit-Logging zeichnet detaillierte Protokolle über Benutzeraktivitäten und Systemereignisse auf. Dazu gehören:

• Wer auf welche Daten zugegriffen hat

• Welche Änderungen vorgenommen wurden

• Wann und von welchem Gerät Zugriffe oder Änderungen vorgenommen wurden

Wichtig:

Auch das DSG verlangt eine nachvollziehbare Überwachung sicherheitsrelevanter Vorgänge – jedoch ohne Überwachung von Mitarbeitenden.

Geräteverwaltung und -sicherheit verbessern

Nutzen Sie Tools wie Microsoft Intune, um Mobilgeräte zu verwalten und Sicherheitsrichtlinien umzusetzen.

Intune ermöglicht Folgendes:

• Verwaltung von Geräten

• Bereitstellung von Apps

• Durchsetzung von Sicherheitsrichtlinien

• Kontrolle über Zugriffsrechte

So gewährleisten Sie, dass mobile Geräte sicher und DSG-konform betrieben werden.

Sichere Dateifreigabe und Zusammenarbeit gewährleisten

Die Konfigurationen von SharePoint und OneDrive sind wichtig damit Daten sicher gespeichert und nur mit berechtigten Personen geteilt werden können. Dies ist entscheidend für den Schutz Ihrer sensiblen Informationen und kann durch verschiedene Massnahmen erreicht werden. Dafür gibt es spezialisierte Fachleute, die Ihnen dabei helfen können und Ressourcen, die Ihnen zur Verfügung stehen.

Schritte zur sicheren Konfiguration:

1. Zugriffskontrollen festlegen: Stellen Sie sicher, dass nur autorisierte Benutzer Zugriff auf bestimmte Dokumente und Bibliotheken haben. Nutzen Sie gruppenbasierte Berechtigungen und rollenbasierte Zugriffskontrollen (RBAC).

2. Datenverschlüsselung: Aktivieren Sie die Verschlüsselung sowohl für ruhende Daten als auch für Daten, die übertragen werden. Dies schützt die Informationen vor unbefugtem Zugriff.

3. Freigaberichtlinien: Konfigurieren Sie Freigaberichtlinien, um den externen und internen Zugriff zu steuern. Sie können z.B. festlegen, dass Links nur an authentifizierte Benutzer gesendet werden oder dass der Zugriff nach einer bestimmten Zeit abläuft.

4. Auditing und Überwachung: Aktivieren Sie Audit-Logs und überwachen Sie regelmässig die Aktivitäten in Ihren SharePoint- und OneDrive-Umgebungen. Dies hilft, verdächtige Aktivitäten frühzeitig zu erkennen und darauf zu reagieren.

5. Datenverlustprävention («Data Loss Prevention», DLP): Implementieren Sie DLP-Richtlinien, um den ungewollten Abfluss sensibler Daten zu verhindern. Diese Richtlinien können automatisch bestimmte Aktionen blockieren oder Benachrichtigungen senden, wenn eine Regel verletzt wird.

6. Schulung und Sensibilisierung: Stellen Sie sicher, dass Ihre Mitarbeitenden regelmässig Schulungen zur sicheren Nutzung von SharePoint und OneDrive erhalten. Bewusstsein für Sicherheitsrisiken und Best Practices ist entscheidend für den Schutz der Daten.

Wer hilft?

• IT-Administratoren: Ihre internen IT-Administratoren können die Konfigurationen durchführen und überwachen. Sie haben oft das technische Wissen und die Zugriffsrechte, um diese Änderungen vorzunehmen.
• IT-Sicherheitsbeauftragte: Diese Spezialisten helfen dabei, Sicherheitsrichtlinien zu entwerfen und umzusetzen, die den Schutz Ihrer Daten gewährleisten.
• Microsoft Partner und Berater: Externe Berater, die auf Microsoft 365 spezialisiert sind, können wertvolle Unterstützung bieten. Sie haben Erfahrung mit der Implementierung und Optimierung von SharePoint und OneDrive.

Wo findet man einen Leitfaden?

• Microsoft Dokumentation: Microsoft bietet umfassende Leitfäden und Dokumentationen zur Konfiguration von SharePoint und OneDrive. Diese Ressourcen sind detailliert und werden regelmässig aktualisiert.

Durch die Nutzung dieser Ressourcen und die Zusammenarbeit mit qualifizierten Fachleuten, wie IT-Dienstleistern, Sicherheitsexperten und Microsoft-zertifizierten Partnern können Sie sicherstellen, dass Ihre Daten in SharePoint und OneDrive sicher gespeichert und nur mit berechtigten Personen geteilt werden.

Netzwerksicherheit stärken

Etablieren Sie sichere VPN‑Verbindungen und konfigurieren Sie Ihre Netzwerksicherheitseinstellungen gezielt, um unbefugte Zugriffe zu verhindern.

Eine Netzwerksegmentierung hilft, sensible Daten zu schützen und den Datenverkehr zu kontrollieren.

Trennen Sie interne und externe Systeme:

• Gastnetzwerke: kein Zugriff auf interne Ressourcen

• Netzwerke für Mitarbeitende: starke Authentifizierung, rollenbasierte Zugriffe

• Staging‑Netzwerke: Testumgebungen getrennt von Produktivsystemen

Der Zero-Trust-Ansatz stellt sicher, dass jede Verbindung überprüft wird, bevor ein Zugriff erlaubt ist. Virtuelle lokale Netzwerke (VLANs) helfen zusätzlich, interne Systeme zu isolieren und Sicherheitsrichtlinien konsequent umzusetzen.

Starke Passwortrichtlinien und moderne Authentifizierung umsetzen

Setzen Sie auf starke Passwortrichtlinien und moderne Authentifizierungsmechanismen, um den Schutz sensibler Unternehmensdaten sicherzustellen. Eine hohe Passwortqualität ist eine wesentliche Sicherheitsmassnahme, reicht für sich allein jedoch nicht aus. Entscheidend ist, Passwortrichtlinien als festen Bestandteil der Sicherheitsstrategie zu etablieren und durch zusätzliche Schutzmechanismen sinnvoll zu ergänzen.

Statt regelmässiger Passwortänderungen empfiehlt Microsoft den Einsatz von Multi-Faktor-Authentifizierung (MFA), Passwortschutzmechanismen sowie die Vermeidung schwacher oder kompromittierter Passwörter. Diese Massnahmen erhöhen das Sicherheitsniveau deutlich, ohne die Benutzerfreundlichkeit unnötig einzuschränken.

Um die Umsetzung der Passwortrichtlinien sicherzustellen, genügt es nicht, diese lediglich zu dokumentieren. Sie müssen in den Arbeitsalltag integriert und regelmässig überprüft werden. Durch automatisierte Kontrollen, kontinuierliche Schulungen und klar definierte Prozesse kann sichergestellt werden, dass die Richtlinien nicht nur bekannt sind, sondern auch konsequent angewendet werden.

Für weitere Informationen und detaillierte Anleitungen zur Implementierung strenger Passwortrichtlinien in Microsoft 365 besuchen Sie die folgende Seite: Microsoft 365 Kennwortwortrichtlinien

Schulungen zur Sensibilisierung der Benutzer durchführen

Die Schulung Ihrer Mitarbeitenden in Bezug auf Cybersicherheit und Datenschutz ist entscheidend, um das Bewusstsein zu schärfen und Sicherheitsrisiken zu minimieren. Gut informierte Mitarbeitende sind besser in der Lage, potenzielle Bedrohungen zu erkennen und entsprechend zu handeln, was den Schutz sensibler Unternehmensdaten erheblich verbessert.

Die Vorteile der Schulung von Mitarbeitenden liegen auf der Hand:

• Erhöhtes Sicherheitsbewusstsein: Regelmässige Schulungen sensibilisieren Ihre Mitarbeitenden für die verschiedenen Arten von Cyberbedrohungen, und wie diese erkannt und vermieden werden können.

• Kritischer Umgang mit E-Mail-Anhängen: Durch Schulungen lernen Mitarbeitende, verdächtige E-Mail-Anhänge zu erkennen und nicht ungeprüft zu öffnen, was das Risiko von Phishing-Angriffen und Malware-Infektionen reduziert.

• Besseres Passwortmanagement: Schulungen fördern das Verständnis für die Bedeutung starker Passwörter und die Notwendigkeit regelmässiger Änderungen, wodurch die allgemeine Kontosicherheit erhöht wird.

• Sichere Nutzung von IT-Ressourcen: Mitarbeitende werden über sichere Praktiken bei der Nutzung von IT-Ressourcen, wie dem sicheren Surfen im Internet und dem Schutz sensibler Daten, informiert.

• Richtiger Umgang mit Daten: Mitarbeitende verstehen die Bedeutung von Datenschutz und wie sie Personendaten korrekt behandeln, speichern und weitergeben können.

Massnahmen zur Schulung Ihrer Mitarbeitenden

1. Regelmässige Schulungen und Workshops: Führen Sie regelmässige Schulungen und Workshops zu verschiedenen Aspekten der Cybersicherheit und des Datenschutzes durch. Nutzen Sie dabei aktuelle Beispiele und Simulationen von Cyberangriffen, um die Mitarbeitenden praxisnah zu sensibilisieren.

2. Online-Schulungsprogramme: Nutzen Sie Online-Schulungsplattformen, die es Mitarbeitenden ermöglichen, in ihrem eigenen Tempo zu lernen. Microsoft bietet beispielsweise Schulungsressourcen zur Cybersicherheit an, die Sie nutzen können.

3. Phishing-Simulationen: Führen Sie regelmässige Phishing-Simulationen durch, um zu testen, wie gut Ihre Mitarbeitenden auf Phishing-Versuche reagieren. Dies hilft, Schwachstellen zu identifizieren und gezielte Schulungen anzubieten.

4. Sensibilisierungskampagnen: Starten Sie interne Kampagnen zur Sensibilisierung für Cybersicherheitsthemen. Nutzen Sie Plakate, Newsletter und Intranet-Beiträge, um wichtige Sicherheitsbotschaften zu verbreiten.

5. Belohnungssysteme: Implementieren Sie ein Belohnungssystem, um Mitarbeitende zu motivieren, sichere Verhaltensweisen anzunehmen. Zum Beispiel könnten Sie diejenigen belohnen, die erfolgreich Phishing-Simulationen erkennen.

Umsetzung und Integration in den Arbeitsalltag

1. Onboarding-Prozess: Integrieren Sie grundlegende Schulungen zu Cybersicherheit und Datenschutz in den Onboarding-Prozess für neue Mitarbeitende. Dies stellt sicher, dass alle Mitarbeitenden von Anfang an über die wichtigsten Sicherheitsrichtlinien informiert sind.

2. Regelmässige Auffrischungskurse: Planen Sie jährliche oder halbjährliche Auffrischungskurse, um sicherzustellen, dass die Mitarbeitenden stets über die neuesten Bedrohungen und Sicherheitspraktiken informiert sind.

3. Rollenbasierte Schulungen: Bieten Sie spezialisierte Schulungen für verschiedene Rollen innerhalb des Unternehmens an. Mitarbeitende im IT-Bereich benötigen möglicherweise detailliertere technische Schulungen, während andere Rollen auf grundlegende Sicherheitspraktiken fokussiert sein sollten.

4. Kontinuierliche Kommunikation: Halten Sie die Kommunikation über Sicherheitsrisiken und Best Practices kontinuierlich aufrecht. Nutzen Sie regelmässige E-Mail-Updates und Meetings, um aktuelle Bedrohungen und Sicherheitsmassnahmen zu besprechen.

Telemetrie- und Diagnosedaten konfigurieren

Die richtige Konfiguration von Telemetrie- und Diagnosedaten ist entscheidend, um den Datenschutzrichtlinien Ihres Unternehmens sowie den geltenden Gesetzen zu entsprechen. Dies betrifft insbesondere die Vermeidung der Überwachung von Mitarbeitenden und die Gewährleistung des Schutzes von Personendaten.

Derzeitiger Rechtsstand Schweiz

Das DSG regelt die Bearbeitung von Personendaten. Unternehmen müssen sicherstellen, dass Telemetriedaten nur nach gültiger Rechtsgrundlage und unter Einhaltung der Datenschutzprinzipien bearbeitet werden.

Handlungsempfehlung

Die Umsetzung dieser Empfehlungen erfordert spezialisiertes Wissen und Erfahrung. Lassen Sie sich von Experten beraten, um Ihren Microsoft 365 Tenant optimal zu konfigurieren und somit die Sicherheit und Compliance Ihres Unternehmens zu maximieren.

Optimieren Sie Ihr Microsoft 365 Sicherheit- und Compliance-Management mit «Compliance 365». Erfahren Sie mehr über unsere Lösungen und Preise auf unserer Compliance 365-Seite.