Home » Fachbeiträge » Cybersecurity » Microsoft 365 in der Praxis

Microsoft 365 in der Praxis

Microsoft 365 bietet Nutzenden die Möglichkeit, ortsunabhängig von jedem unterstützten Endgerät aus zu arbeiten. Auch wenn die Plattform auf den ersten Blick wie ein lückenloses Funktionspaket aussieht, offenbaren sich in der Praxis zum Teil gravierende Mängel, vor allem in den Bereichen Datensicherheit und Compliance.

2 Min. Lesezeit
Foto: ©AdobeStock/Andreas-Prott

Weitgehend vollständig, aber ziemlich unvollkommen

Microsoft 365 (ehemals Office 365) ist eine Kombination aus einem Onlinedienst, einer Office-Webanwendung und einem Office-Software-Abonnement von Microsoft Office. Der Service bietet Nutzenden die Möglichkeit, ortsunabhängig von jedem unterstützten Endgerät aus zu arbeiten. Auch wenn die Plattform auf den ersten Blick wie ein lückenloses Funktionspaket aussieht, offenbaren sich in der Praxis zum Teil gravierende Mängel, vor allem in den Bereichen Datensicherheit und Compliance. Diese wiederum haben bewirkt, dass sich inzwischen ein Marktplatz für Add-ons und Dienstleistungen von Drittanbietern etabliert hat.

M 365 gilt damit als eine der vollständigsten und bestintegrierten Office- und Kommunikationsplattformen auf dem Markt, weshalb seine Beliebtheit in den letzten Jahren sowohl bei Privatanwendern als auch in Unternehmen deutlich nach oben gegangen ist.

Mit M 365 gespeicherte Daten befinden sich in Rechenzentren von Microsoft. Die Webanwendungen unter Microsoft 365 Online beinhalten die Onlineversionen von Word, Outlook, PowerPoint, Excel, SharePoint, Exchange und OneDrive sowie je nach gebuchtem Paket auch Teams, Access, Publisher, Intune und Azure Information Protection. Als zusätzliche Dienste stehen Microsoft Defender for Business, Teams Essentials und Windows 365 zur Verfügung. Die Paketzusammenstellungen ändern sich des Öfteren, die Funktionalitäten innerhalb einzelner Anwendungen und übergeordneter Dienste werden ständig weiterentwickelt.

Studien haben gezeigt, dass M 365-Anwender auch häufig geschäftskritische und sensible Daten über Teams austauschen. Das macht die M 365-Umgebung für Angreifer zu einem
sehr attraktiven Angriffsziel, um Daten zu kapern. M 365 bietet bereits ab Werk ein umfangreiches Set an Microsoft Security-Technologie. Die einzelnen Microsoft-Bausteine sind auch gut miteinander integriert und bieten als Mehrwert beispielsweise, Incidents übergreifend analysieren zu können. Unter dem Strich bringt M 365 sehr viel Sicherheit mit, aber
sie funktioniert nicht out of the box, sondern man muss sich darum kümmern. Und das ist keineswegs trivial, wie viele Experten sagen.

Ohne ein komplementäres Backup und Recovery birgt M 365 zudem Risiken vor Datenverlusten. Viele Unternehmen, die Cloud-Dienste wie Microsoft 365 nutzen, gehen fälschlicherweise davon aus, dass sie sich nun nicht mehr um Backups, Wiederherstellung und die Sicherheit ihrer Daten kümmern müssten. Weit gefehlt – Microsoft folgt hier dem Prinzip der sogenannten „Shared Responsibility“, also der geteilten Verantwortung. Mit Microsoft 365 sind die Kunden selbst dafür verantwortlich, ihre Datensicherheit zu konfigurieren und gleichzeitig ihre Compliance-Anforderungen zu erfüllen. Auch haftet Microsoft nicht für den Verlust von Daten und E-Mails in Microsoft 365 und bietet bis heute keine nativen Sicherungs-und Wiederherstellungsoptionen an.

Obwohl die Software beeindruckende Funktionen für die Zusammenarbeit und den Chat bietet, lässt sie ihre Nutzenden allein, wenn es um Archivierung und dabei die Einhaltung
von Vorschriften und gesetzlichen Bestimmungen geht. Eine gesetzeskonforme, sichere Speicherung und Verwaltung der MS Teams-Kommunikation ist mit Bordmitteln nicht möglich.

Da für viele Unternehmen kein Weg an M 365 vorbeiführt – trotz der bekannten Schwächen – haben unabhängige Anbieter und Berater ihre Chance erkannt und kommen mit Produkten und Services, welche die Mankos und Risiken ausgleichen. M 365 wird damit zu einem Ökosystem – und jeder weitere Anbieter stärkt die Position von Microsofts Office- und Kommunikationsplattform.

 

Stefan Mutschler

Andere interessante Fachbeiträge

Wie Datenräume helfen, neue Geschäftsmodelle zu entwickeln

In der heutigen Zeit werden sehr große Datenmengen generiert und verwaltet, dennoch wird der Wert der Daten in Deutschland und Europa nicht voll ausgeschöpft. Die gemeinsame Nutzung von Daten kann und soll datengetriebene Anwendungen noch weiter vorantreiben, bei der Erfüllung regulatorischer Anforderungen helfen sowie einen finanziellen Mehrwert für Firmen schaffen.

Goldgrube Zugangsdaten

Der Diebstahl von Zugangsdaten hat sich in den letzten Jahren zu einer hochprofessionellen und besorgniserregenden Form der Cyberkriminalität entwickelt. Die Zahl der Initial-Access-Broker (IAB) ist nahezu explodiert, Ransomware-Gruppen haben sich rasant vermehrt, die Preise für Malware sind in die Höhe geschnellt und zu allem Überfluss sind sogenannte Traffers auf der Bildfläche aufgetaucht.

Pentests: Fusionen, Übernahmen und Expansionen absichern

Das schnelle Wachstum von Unternehmen, sei es durch Fusionen, Übernahmen oder einfach durch Expansion, kann zu unbekannten Schwachstellen führen. Penetrationstests sind der Schlüssel zur Identifizierung dieser Sicherheitslücken.