Home » Fachbeiträge » Cybersecurity » Microsoft 365 in der Praxis

Microsoft 365 in der Praxis

Microsoft 365 bietet Nutzenden die Möglichkeit, ortsunabhängig von jedem unterstützten Endgerät aus zu arbeiten. Auch wenn die Plattform auf den ersten Blick wie ein lückenloses Funktionspaket aussieht, offenbaren sich in der Praxis zum Teil gravierende Mängel, vor allem in den Bereichen Datensicherheit und Compliance.

2 Min. Lesezeit
Foto: ©AdobeStock/Andreas-Prott

Weitgehend vollständig, aber ziemlich unvollkommen

Microsoft 365 (ehemals Office 365) ist eine Kombination aus einem Onlinedienst, einer Office-Webanwendung und einem Office-Software-Abonnement von Microsoft Office. Der Service bietet Nutzenden die Möglichkeit, ortsunabhängig von jedem unterstützten Endgerät aus zu arbeiten. Auch wenn die Plattform auf den ersten Blick wie ein lückenloses Funktionspaket aussieht, offenbaren sich in der Praxis zum Teil gravierende Mängel, vor allem in den Bereichen Datensicherheit und Compliance. Diese wiederum haben bewirkt, dass sich inzwischen ein Marktplatz für Add-ons und Dienstleistungen von Drittanbietern etabliert hat.

M 365 gilt damit als eine der vollständigsten und bestintegrierten Office- und Kommunikationsplattformen auf dem Markt, weshalb seine Beliebtheit in den letzten Jahren sowohl bei Privatanwendern als auch in Unternehmen deutlich nach oben gegangen ist.

Mit M 365 gespeicherte Daten befinden sich in Rechenzentren von Microsoft. Die Webanwendungen unter Microsoft 365 Online beinhalten die Onlineversionen von Word, Outlook, PowerPoint, Excel, SharePoint, Exchange und OneDrive sowie je nach gebuchtem Paket auch Teams, Access, Publisher, Intune und Azure Information Protection. Als zusätzliche Dienste stehen Microsoft Defender for Business, Teams Essentials und Windows 365 zur Verfügung. Die Paketzusammenstellungen ändern sich des Öfteren, die Funktionalitäten innerhalb einzelner Anwendungen und übergeordneter Dienste werden ständig weiterentwickelt.

Studien haben gezeigt, dass M 365-Anwender auch häufig geschäftskritische und sensible Daten über Teams austauschen. Das macht die M 365-Umgebung für Angreifer zu einem
sehr attraktiven Angriffsziel, um Daten zu kapern. M 365 bietet bereits ab Werk ein umfangreiches Set an Microsoft Security-Technologie. Die einzelnen Microsoft-Bausteine sind auch gut miteinander integriert und bieten als Mehrwert beispielsweise, Incidents übergreifend analysieren zu können. Unter dem Strich bringt M 365 sehr viel Sicherheit mit, aber
sie funktioniert nicht out of the box, sondern man muss sich darum kümmern. Und das ist keineswegs trivial, wie viele Experten sagen.

Ohne ein komplementäres Backup und Recovery birgt M 365 zudem Risiken vor Datenverlusten. Viele Unternehmen, die Cloud-Dienste wie Microsoft 365 nutzen, gehen fälschlicherweise davon aus, dass sie sich nun nicht mehr um Backups, Wiederherstellung und die Sicherheit ihrer Daten kümmern müssten. Weit gefehlt – Microsoft folgt hier dem Prinzip der sogenannten „Shared Responsibility“, also der geteilten Verantwortung. Mit Microsoft 365 sind die Kunden selbst dafür verantwortlich, ihre Datensicherheit zu konfigurieren und gleichzeitig ihre Compliance-Anforderungen zu erfüllen. Auch haftet Microsoft nicht für den Verlust von Daten und E-Mails in Microsoft 365 und bietet bis heute keine nativen Sicherungs-und Wiederherstellungsoptionen an.

Obwohl die Software beeindruckende Funktionen für die Zusammenarbeit und den Chat bietet, lässt sie ihre Nutzenden allein, wenn es um Archivierung und dabei die Einhaltung
von Vorschriften und gesetzlichen Bestimmungen geht. Eine gesetzeskonforme, sichere Speicherung und Verwaltung der MS Teams-Kommunikation ist mit Bordmitteln nicht möglich.

Da für viele Unternehmen kein Weg an M 365 vorbeiführt – trotz der bekannten Schwächen – haben unabhängige Anbieter und Berater ihre Chance erkannt und kommen mit Produkten und Services, welche die Mankos und Risiken ausgleichen. M 365 wird damit zu einem Ökosystem – und jeder weitere Anbieter stärkt die Position von Microsofts Office- und Kommunikationsplattform.

 

Stefan Mutschler

Andere interessante Fachbeiträge

Hand präsentiert Zertifizierungs-Symbol

Warum Zertifizierungen allein nicht ausreichen

Die Cyberangriffe der letzten Monate haben gezeigt, dass auch Schwachstellen in Prozessen und Anwendungen von Dienstleistern ein Risiko für die Sicherheit von Organisationen darste...

Justitia-Statue

Warum Unternehmen ein ISMS brauchen

Die Implementierung eines Informationssicherheits-Managementsystems (ISMS) ist für viele Unternehmen heute unerlässlich, um die zahlreichen neuen Gesetze im Bereich der Cybersicher...

Gesundheits-App

Digitale Gesundheitsförderung und mobile Sicherheit

Die Gesundheitsförderung durch Apps ist auf mobilen Endgeräten allgegenwärtig geworden. Von Fitnesstracking über Ernährungsberatung bis hin zur Unterstützung bei der Krankheitsther...