Sicherheit und Compliance in der Microsoft‑365‑Arbeitsumgebung sind heute wichtiger denn je. Microsoft 365 zählt zu den führenden Plattformen am Markt für Kommunikation, Zusammenarbeit und Datenspeicherung. Daher steht Microsoft unter besonderer Beobachtung der Öffentlichkeit, wenn es um die Einhaltung und Anpassungen dieser Themen geht.
Eine korrekte Konfiguration des Microsoft‑365‑Tenants ist entscheidend, damit Sie die Sicherheit Ihrer Unternehmens- und Kundendaten gewährleisten können. Dies erreichen Sie nur, indem Sie regulatorische Compliance sicherstellen. Ein Beispiel hierfür ist die Einhaltung des aktuellen Schweizer Datenschutzgesetzes (DSG). Das DSG stellt strenge Anforderungen an den Schutz und die Bearbeitung von Personendaten.
Um diese Compliance zu gewährleisten, müssen Sie verschiedene Massnahmen in Ihrem Microsoft‑365‑Tenant umsetzen.
Dieser Leitfaden bietet einen Überblick über besonders entscheidende Konfigurationseinstellungen, die Sie in Ihrem Unternehmen berücksichtigen sollten, um Ihren Microsoft-365-Tenant optimal zu sichern.
Multi‑Faktor‑Authentifizierung (kurz MFA) ist ein Muss, um die Sicherheit der Benutzerkonten zu verstärken. Es erfordert eine zweite Form der Authentifizierung, was einen zusätzlichen Schutz gegen unbefugten Zugriff bietet. Neben dem Passwort kann dies eine einmalige PIN sein, die an ein Mobiltelefon gesendet wird, eine Authentifizierungs‑App wie Microsoft Authenticator oder ein biometrisches Merkmal wie ein Fingerabdruck oder Gesichtserkennung.
Durch diese zusätzliche Sicherheitsstufe wird es für Angreifer wesentlich schwieriger, Zugang zu (sensiblen) Daten zu erlangen, selbst wenn sie das Passwort eines Benutzers kompromittieren können.
Die Implementierung von MFA in Ihrem Microsoft-365-Tenant trägt wesentlich zur Erhöhung der Sicherheit bei und verstärkt die Erfüllung von Compliance-Anforderungen.
Durch die Implementierung von rollenbasierten Zugriffskontrollen (RBAC) können Sie sicherstellen, dass Benutzer nur auf die Daten und Funktionen zugreifen können, die für ihre Rolle notwendig sind – was das Risiko von Datenverlusten minimiert.
Microsoft Entra-Rolle: Globaler Administrator
Berechtigungen: Verwalten des Zugriffs auf alle administrativen Features in Microsoft Entra ID und auf Dienste, die im Verbund mit Microsoft Entra ID genutzt werden. Zuweisen von Administratorrollen für andere Personen, Zurücksetzen des Kennworts für alle Benutzer und alle anderen Administratoren.
Microsoft Entra-Rolle: Benutzer-Administrator
Berechtigungen: Erstellen und Verwalten aller Aspekte von Benutzern und Gruppen, Verwalten von Supporttickets, Überwachen der Dienstintegrität. Ändern von Kennwörtern für Benutzer, Helpdesk Administratoren und andere Benutzeradministratoren.
Microsoft Entra-Rolle: Rechnungsadministrator
Berechtigungen: Tätigen von Einkäufen, Verwalten von Abonnements, Verwalten von Supporttickets, Überwachen der Dienstintegrität.
Eine Detailliertere Liste zu allen Rollenbeschreibungen finden sie hier: Azure-Rollen, Microsoft Entra-Rollen und Administratorrollen für klassische Abonnements
Passen Sie die Einstellungen an die Datenschutzgesetze und -vorschriften an, die für Ihr Unternehmen gelten. Dies beinhaltet Richtlinien zur Datenaufbewahrung, Datenverschlüsselung und zum Schutz vor Datenverlust.
Durch diese Massnahmen erreicht das Unternehmen Folgendes:
Rechtliche Compliance: Sicherstellung, dass alle gesetzlichen und regulatorischen Anforderungen eingehalten werden, wodurch das Risiko von Bussgeldern und Sanktionen minimiert wird.
Datensicherheit: Verbesserung der Sicherheitsmassnahmen zum Schutz sensibler Unternehmens- und Kundendaten vor unbefugtem Zugriff und Datenverlust.
Vertrauen der Kunden: Stärkung des Vertrauens Ihrer Kunden in die Fähigkeit Ihres Unternehmens, persönliche und geschäftliche Daten zu schützen.
Risikominimierung: Reduzierung des Risikos von Sicherheitsverletzungen, die zu finanziellen Verlusten und Reputationsschäden führen könnten.
Effiziente Datenverwaltung: Optimierung durch klare Richtlinien zur Datenaufbewahrung und Datenlöschung.
Microsoft bietet zahlreiche Möglichkeiten, Ihr Sicherheitsniveau zu erhöhen. Nutzen Sie Funktionen wie:
Advanced Threat Protection
Anti‑Phishing
Anti‑Spam
Anti‑Malware
IT‑Dienstleister und Sicherheitsexperten können Sie bei der Implementierung unterstützen.
Die Aktivierung von Audit-Logs ist entscheidend für die Überwachung von Aktivitäten und das frühzeitige Erkennen von Sicherheitsvorfällen.
Audit-Logging zeichnet detaillierte Protokolle über Benutzeraktivitäten und Systemereignisse auf. Dazu gehören:
Wer auf welche Daten zugegriffen hat
Welche Änderungen vorgenommen wurden
Wichtig:
Auch das DSG verlangt eine nachvollziehbare Überwachung sicherheitsrelevanter Vorgänge – jedoch ohne Überwachung von Mitarbeitenden.
Nutzen Sie Tools wie Microsoft Intune, um Mobilgeräte zu verwalten und Sicherheitsrichtlinien umzusetzen.
Intune ermöglicht Folgendes:
Verwaltung von Geräten
Bereitstellung von Apps
Durchsetzung von Sicherheitsrichtlinien
Kontrolle über Zugriffsrechte
So gewährleisten Sie, dass mobile Geräte sicher und DSG-konform betrieben werden.
Die Konfigurationen von SharePoint und OneDrive sind wichtig damit Daten sicher gespeichert und nur mit berechtigten Personen geteilt werden können. Dies ist entscheidend für den Schutz Ihrer sensiblen Informationen und kann durch verschiedene Massnahmen erreicht werden. Dafür gibt es spezialisierte Fachleute, die Ihnen dabei helfen können und Ressourcen, die Ihnen zur Verfügung stehen.
Zugriffskontrollen festlegen: Stellen Sie sicher, dass nur autorisierte Benutzer Zugriff auf bestimmte Dokumente und Bibliotheken haben. Nutzen Sie gruppenbasierte Berechtigungen und rollenbasierte Zugriffskontrollen (RBAC).
Datenverschlüsselung: Aktivieren Sie die Verschlüsselung sowohl für ruhende Daten als auch für Daten, die übertragen werden. Dies schützt die Informationen vor unbefugtem Zugriff.
Freigaberichtlinien: Konfigurieren Sie Freigaberichtlinien, um den externen und internen Zugriff zu steuern. Sie können z.B. festlegen, dass Links nur an authentifizierte Benutzer gesendet werden oder dass der Zugriff nach einer bestimmten Zeit abläuft.
Auditing und Überwachung: Aktivieren Sie Audit-Logs und überwachen Sie regelmässig die Aktivitäten in Ihren SharePoint- und OneDrive-Umgebungen. Dies hilft, verdächtige Aktivitäten frühzeitig zu erkennen und darauf zu reagieren.
Datenverlustprävention («Data Loss Prevention», DLP): Implementieren Sie DLP-Richtlinien, um den ungewollten Abfluss sensibler Daten zu verhindern. Diese Richtlinien können automatisch bestimmte Aktionen blockieren oder Benachrichtigungen senden, wenn eine Regel verletzt wird.
Schulung und Sensibilisierung: Stellen Sie sicher, dass Ihre Mitarbeitenden regelmässig Schulungen zur sicheren Nutzung von SharePoint und OneDrive erhalten. Bewusstsein für Sicherheitsrisiken und Best Practices ist entscheidend für den Schutz der Daten.
Durch die Nutzung dieser Ressourcen und die Zusammenarbeit mit qualifizierten Fachleuten, wie IT-Dienstleistern, Sicherheitsexperten und Microsoft-zertifizierten Partnern können Sie sicherstellen, dass Ihre Daten in SharePoint und OneDrive sicher gespeichert und nur mit berechtigten Personen geteilt werden.
Etablieren Sie sichere VPN‑Verbindungen und konfigurieren Sie Ihre Netzwerksicherheitseinstellungen gezielt, um unbefugte Zugriffe zu verhindern.
Eine Netzwerksegmentierung hilft, sensible Daten zu schützen und den Datenverkehr zu kontrollieren.
Trennen Sie interne und externe Systeme:
Gastnetzwerke: kein Zugriff auf interne Ressourcen
Netzwerke für Mitarbeitende: starke Authentifizierung, rollenbasierte Zugriffe
Staging‑Netzwerke: Testumgebungen getrennt von Produktivsystemen
Der Zero-Trust-Ansatz stellt sicher, dass jede Verbindung überprüft wird, bevor ein Zugriff erlaubt ist. Virtuelle lokale Netzwerke (VLANs) helfen zusätzlich, interne Systeme zu isolieren und Sicherheitsrichtlinien konsequent umzusetzen.
Setzen Sie auf starke Passwortrichtlinien und moderne Authentifizierungsmechanismen, um den Schutz sensibler Unternehmensdaten sicherzustellen. Eine hohe Passwortqualität ist eine wesentliche Sicherheitsmassnahme, reicht für sich allein jedoch nicht aus. Entscheidend ist, Passwortrichtlinien als festen Bestandteil der Sicherheitsstrategie zu etablieren und durch zusätzliche Schutzmechanismen sinnvoll zu ergänzen.
Statt regelmässiger Passwortänderungen empfiehlt Microsoft den Einsatz von Multi-Faktor-Authentifizierung (MFA), Passwortschutzmechanismen sowie die Vermeidung schwacher oder kompromittierter Passwörter. Diese Massnahmen erhöhen das Sicherheitsniveau deutlich, ohne die Benutzerfreundlichkeit unnötig einzuschränken.
Um die Umsetzung der Passwortrichtlinien sicherzustellen, genügt es nicht, diese lediglich zu dokumentieren. Sie müssen in den Arbeitsalltag integriert und regelmässig überprüft werden. Durch automatisierte Kontrollen, kontinuierliche Schulungen und klar definierte Prozesse kann sichergestellt werden, dass die Richtlinien nicht nur bekannt sind, sondern auch konsequent angewendet werden.
Für weitere Informationen und detaillierte Anleitungen zur Implementierung strenger Passwortrichtlinien in Microsoft 365 besuchen Sie die folgende Seite: Microsoft 365 Kennwortwortrichtlinien
Die Schulung Ihrer Mitarbeitenden in Bezug auf Cybersicherheit und Datenschutz ist entscheidend, um das Bewusstsein zu schärfen und Sicherheitsrisiken zu minimieren. Gut informierte Mitarbeitende sind besser in der Lage, potenzielle Bedrohungen zu erkennen und entsprechend zu handeln, was den Schutz sensibler Unternehmensdaten erheblich verbessert.
Die Vorteile der Schulung von Mitarbeitenden liegen auf der Hand:
Erhöhtes Sicherheitsbewusstsein: Regelmässige Schulungen sensibilisieren Ihre Mitarbeitenden für die verschiedenen Arten von Cyberbedrohungen, und wie diese erkannt und vermieden werden können.
Kritischer Umgang mit E-Mail-Anhängen: Durch Schulungen lernen Mitarbeitende, verdächtige E-Mail-Anhänge zu erkennen und nicht ungeprüft zu öffnen, was das Risiko von Phishing-Angriffen und Malware-Infektionen reduziert.
Besseres Passwortmanagement: Schulungen fördern das Verständnis für die Bedeutung starker Passwörter und die Notwendigkeit regelmässiger Änderungen, wodurch die allgemeine Kontosicherheit erhöht wird.
Sichere Nutzung von IT-Ressourcen: Mitarbeitende werden über sichere Praktiken bei der Nutzung von IT-Ressourcen, wie dem sicheren Surfen im Internet und dem Schutz sensibler Daten, informiert.
Richtiger Umgang mit Daten: Mitarbeitende verstehen die Bedeutung von Datenschutz und wie sie Personendaten korrekt behandeln, speichern und weitergeben können.
Regelmässige Schulungen und Workshops: Führen Sie regelmässige Schulungen und Workshops zu verschiedenen Aspekten der Cybersicherheit und des Datenschutzes durch. Nutzen Sie dabei aktuelle Beispiele und Simulationen von Cyberangriffen, um die Mitarbeitenden praxisnah zu sensibilisieren.
Online-Schulungsprogramme: Nutzen Sie Online-Schulungsplattformen, die es Mitarbeitenden ermöglichen, in ihrem eigenen Tempo zu lernen. Microsoft bietet beispielsweise Schulungsressourcen zur Cybersicherheit an, die Sie nutzen können.
Phishing-Simulationen: Führen Sie regelmässige Phishing-Simulationen durch, um zu testen, wie gut Ihre Mitarbeitenden auf Phishing-Versuche reagieren. Dies hilft, Schwachstellen zu identifizieren und gezielte Schulungen anzubieten.
Sensibilisierungskampagnen: Starten Sie interne Kampagnen zur Sensibilisierung für Cybersicherheitsthemen. Nutzen Sie Plakate, Newsletter und Intranet-Beiträge, um wichtige Sicherheitsbotschaften zu verbreiten.
Belohnungssysteme: Implementieren Sie ein Belohnungssystem, um Mitarbeitende zu motivieren, sichere Verhaltensweisen anzunehmen. Zum Beispiel könnten Sie diejenigen belohnen, die erfolgreich Phishing-Simulationen erkennen.
Onboarding-Prozess: Integrieren Sie grundlegende Schulungen zu Cybersicherheit und Datenschutz in den Onboarding-Prozess für neue Mitarbeitende. Dies stellt sicher, dass alle Mitarbeitenden von Anfang an über die wichtigsten Sicherheitsrichtlinien informiert sind.
Regelmässige Auffrischungskurse: Planen Sie jährliche oder halbjährliche Auffrischungskurse, um sicherzustellen, dass die Mitarbeitenden stets über die neuesten Bedrohungen und Sicherheitspraktiken informiert sind.
Rollenbasierte Schulungen: Bieten Sie spezialisierte Schulungen für verschiedene Rollen innerhalb des Unternehmens an. Mitarbeitende im IT-Bereich benötigen möglicherweise detailliertere technische Schulungen, während andere Rollen auf grundlegende Sicherheitspraktiken fokussiert sein sollten.
Kontinuierliche Kommunikation: Halten Sie die Kommunikation über Sicherheitsrisiken und Best Practices kontinuierlich aufrecht. Nutzen Sie regelmässige E-Mail-Updates und Meetings, um aktuelle Bedrohungen und Sicherheitsmassnahmen zu besprechen.
Die richtige Konfiguration von Telemetrie- und Diagnosedaten ist entscheidend, um den Datenschutzrichtlinien Ihres Unternehmens sowie den geltenden Gesetzen zu entsprechen. Dies betrifft insbesondere die Vermeidung der Überwachung von Mitarbeitenden und die Gewährleistung des Schutzes von Personendaten.
Das DSG regelt die Bearbeitung von Personendaten. Unternehmen müssen sicherstellen, dass Telemetriedaten nur nach gültiger Rechtsgrundlage und unter Einhaltung der Datenschutzprinzipien bearbeitet werden.
Die Umsetzung dieser Empfehlungen erfordert spezialisiertes Wissen und Erfahrung. Lassen Sie sich von Experten beraten, um Ihren Microsoft 365 Tenant optimal zu konfigurieren und somit die Sicherheit und Compliance Ihres Unternehmens zu maximieren.
Optimieren Sie Ihr Microsoft 365 Sicherheit- und Compliance-Management mit «Compliance 365». Erfahren Sie mehr über unsere Lösungen und Preise auf unserer Compliance 365-Seite.