Home » Fachbeiträge » Cybersecurity » Microsoft 365 in der Praxis

Microsoft 365 in der Praxis

Microsoft 365 bietet Nutzenden die Möglichkeit, ortsunabhängig von jedem unterstützten Endgerät aus zu arbeiten. Auch wenn die Plattform auf den ersten Blick wie ein lückenloses Funktionspaket aussieht, offenbaren sich in der Praxis zum Teil gravierende Mängel, vor allem in den Bereichen Datensicherheit und Compliance.

2 Min. Lesezeit
Foto: ©AdobeStock/Andreas-Prott

Weitgehend vollständig, aber ziemlich unvollkommen

Microsoft 365 (ehemals Office 365) ist eine Kombination aus einem Onlinedienst, einer Office-Webanwendung und einem Office-Software-Abonnement von Microsoft Office. Der Service bietet Nutzenden die Möglichkeit, ortsunabhängig von jedem unterstützten Endgerät aus zu arbeiten. Auch wenn die Plattform auf den ersten Blick wie ein lückenloses Funktionspaket aussieht, offenbaren sich in der Praxis zum Teil gravierende Mängel, vor allem in den Bereichen Datensicherheit und Compliance. Diese wiederum haben bewirkt, dass sich inzwischen ein Marktplatz für Add-ons und Dienstleistungen von Drittanbietern etabliert hat.

M 365 gilt damit als eine der vollständigsten und bestintegrierten Office- und Kommunikationsplattformen auf dem Markt, weshalb seine Beliebtheit in den letzten Jahren sowohl bei Privatanwendern als auch in Unternehmen deutlich nach oben gegangen ist.

Mit M 365 gespeicherte Daten befinden sich in Rechenzentren von Microsoft. Die Webanwendungen unter Microsoft 365 Online beinhalten die Onlineversionen von Word, Outlook, PowerPoint, Excel, SharePoint, Exchange und OneDrive sowie je nach gebuchtem Paket auch Teams, Access, Publisher, Intune und Azure Information Protection. Als zusätzliche Dienste stehen Microsoft Defender for Business, Teams Essentials und Windows 365 zur Verfügung. Die Paketzusammenstellungen ändern sich des Öfteren, die Funktionalitäten innerhalb einzelner Anwendungen und übergeordneter Dienste werden ständig weiterentwickelt.

Studien haben gezeigt, dass M 365-Anwender auch häufig geschäftskritische und sensible Daten über Teams austauschen. Das macht die M 365-Umgebung für Angreifer zu einem
sehr attraktiven Angriffsziel, um Daten zu kapern. M 365 bietet bereits ab Werk ein umfangreiches Set an Microsoft Security-Technologie. Die einzelnen Microsoft-Bausteine sind auch gut miteinander integriert und bieten als Mehrwert beispielsweise, Incidents übergreifend analysieren zu können. Unter dem Strich bringt M 365 sehr viel Sicherheit mit, aber
sie funktioniert nicht out of the box, sondern man muss sich darum kümmern. Und das ist keineswegs trivial, wie viele Experten sagen.

Ohne ein komplementäres Backup und Recovery birgt M 365 zudem Risiken vor Datenverlusten. Viele Unternehmen, die Cloud-Dienste wie Microsoft 365 nutzen, gehen fälschlicherweise davon aus, dass sie sich nun nicht mehr um Backups, Wiederherstellung und die Sicherheit ihrer Daten kümmern müssten. Weit gefehlt – Microsoft folgt hier dem Prinzip der sogenannten „Shared Responsibility“, also der geteilten Verantwortung. Mit Microsoft 365 sind die Kunden selbst dafür verantwortlich, ihre Datensicherheit zu konfigurieren und gleichzeitig ihre Compliance-Anforderungen zu erfüllen. Auch haftet Microsoft nicht für den Verlust von Daten und E-Mails in Microsoft 365 und bietet bis heute keine nativen Sicherungs-und Wiederherstellungsoptionen an.

Obwohl die Software beeindruckende Funktionen für die Zusammenarbeit und den Chat bietet, lässt sie ihre Nutzenden allein, wenn es um Archivierung und dabei die Einhaltung
von Vorschriften und gesetzlichen Bestimmungen geht. Eine gesetzeskonforme, sichere Speicherung und Verwaltung der MS Teams-Kommunikation ist mit Bordmitteln nicht möglich.

Da für viele Unternehmen kein Weg an M 365 vorbeiführt – trotz der bekannten Schwächen – haben unabhängige Anbieter und Berater ihre Chance erkannt und kommen mit Produkten und Services, welche die Mankos und Risiken ausgleichen. M 365 wird damit zu einem Ökosystem – und jeder weitere Anbieter stärkt die Position von Microsofts Office- und Kommunikationsplattform.

 

Stefan Mutschler

Andere interessante Fachbeiträge

Compliance-konform kommunizieren

Datenschutz und Compliance werden häufig synonym verwendet. Dabei umfasst Compliance deutlich mehr als die reine Einhaltung rechtlicher Vorgaben. Oft geht es bei den Compliance-Richtlinien, die sich Unternehmen selbst setzen, um Transparenz, die Vermeidung von Korruption oder um Datensparsamkeit – kurz: um den sicheren Umgang mit Daten und Informationen. Das fängt bei E-Mail-Inhalten an.

Passworteingabe mit Tastatur und Smartphone

Trügerische Sicherheit

Viele Unternehmen setzen eine Multi-Faktor-Authentifizierung (MFA) ein, um wertvolle Informationen abzusichern. Allerdings schützt eine MFA kaum besser als Passwörter und kann genauso leicht kompromittiert werden. Wenn möglich, sollten Unternehmen sich deshalb bemühen, eine Phishing-resistente MFA zu verwenden.

Übers Ziel hinaus – Datenschützer und Microsoft 365

Das Gremium der unabhängigen Datenschutzbehörden des Bundes und der Länder, die Datenschutzkonferenz (DSK), kam im November 2022 zu dem Ergebnis, dass eine datenschutzkonforme Nutzung des Produktes Microsoft 365 (MS 365) nicht möglich ist. Bereits im Jahr 2020 hatte die Mehrheit der Datenschützer Microsoft eine Absage erteilt.