Im Rahmen der aktuellen Cyber-Sicherheitslage Stichwort „Ukraine“ ruft das BSI zu einer erhöhten Wachsamkeit und Reaktionsbereitschaft auf. Wir als aConTech helfen Ihnen daher in dieser Situation, Ihre Umgebung ganz einfach zu verstehen und gegen Cyberangriffe zu wappnen. Im Folgenden erhalten Sie daher entsprechende Handlungsempfehlungen und eine Übersicht zum Business Continuity Management (BCM) als Planungsgrundlage. Zudem geben wir Ihnen hilfreiche Anregungen für die Umsetzung entsprechender Sicherheitsmaßnahmen zur Disaster Recovery an die Hand – basierend auf der Microsoft Cloud Technologie.
Einstieg: Verfügbarkeit und Resilienz von Microsoft 365 Services.
Business Continuity Management (BCM) bildet auch in der Microsoft Cloud die Planungsgrundlage für Hochverfügbarkeit. Für die Microsoft 365 Services baut Resilienz auf 3 Säulen auf:
- redundante Architektur
- Replikation der Daten und
- automatisierte Integritätschecks
Hinter einer redundanten Architektur verbergen sich physikalisch redundante Hardware, Netzwerke und Rechenzentren. Durch die Replikation der Daten zwischen Rechenzentren wird Hochverfügbarkeit bei lokalen Ausfällen und im Katastrophenfall erreicht. Über automatisierte Integritätschecks erfolgt eine automatische Wiederherstellung der Services bei Datenverlust oder Datenkorruption. Zusätzlich zum automatischen von Microsoft bereit gestellten Failover lässt sich ein zusätzlicher „manueller“ Service Failover nach Kundenanforderungen aufsetzen.
Was bedeutet das nun konkret für zwei populäre M365 Anwendungen?
OneDrive und SharePoint
OneDrive und SharePoint nutzen primär zwei Assets: Metadaten und Blob Storage.
Metadaten enthalten u.a. den Speicherort, Checksummen und den Zugriffsschlüssel für die in Blob Storage gespeicherten Inhalte. Die Metadaten werden in Azure SQL Database gespeichert. Azure SQL wiederum nutzt eine eigene BCM Implementation, die unter anderem eine Replikation in ein zweites regionales Rechenzentrum und in ein eigenes Point in Time Restore (PITR) Backup System bereitstellt.
Azure Blob Storage Files werden simultan in ein primäres und in ein sekundäres Rechenzentrum geschrieben. Nach dem Schreiben werden die Checksummen mit den Metadaten abgeglichen, um eine mögliche File Korruption auszuschließen und in zukünftigen Lesevorgängen Originalität zu garantieren. SharePoint nutzt außerdem Append-Only Storage um bereits gespeicherte Files unverändert zu lassen und eine „In-Product“ Versionierung bereitzustellen. Mit lokal redundantem Storage (LSR) wird eine hohe Zuverlässigkeit in den Azure Regionen erreicht. Ein aConTech Blog zur Storage Redundanz findet sich hier.
Ein automatisiertes Failover, der durch das Monitoring von Grenzwerten getriggert wird, leitet bei Bedarf den Kundenzugriff auf den nächsten Blob Container oder ein sekundäres Rechenzentrum um.
Per Default stehen die letzten 500 File Versionen eines jeden Files zur Verfügung. Dieser Wert kann manuell erhöht oder erniedrigt werden. File Restores sind bis 30 Tage in die Vergangenheit möglich und können z.B. bei Ransomware Angriffen genutzt werden.
Deleted Items in der Recycle Bin sind für 93 Tage wiederherstellbar. Danach gehen Sie in die Site Collection Recycle Bin, wo sie für weitere 93 Tage wiederherstellbar sind. Gelöschte Blob Storage Inhalte werden mit dem Soft Delete Feature gegen versehentliche oder bösartige Löschung geschützt. Während 14 Tagen können derartig gelöschte Inhalte wiederhergestellt werden.
Exchange Online
Jede Postfachdatenbank wird in einer Datenbankverfügbarkeitsgruppe gehostet und in getrennte Rechenzentren in derselben Region repliziert. In der Regel sind das Datenbankkopien in 4 Rechenzentren, wovon drei als hochverfügbar und eine als verzögerte Kopie verteilt sind. Die vierte Kopie ist für ein selten auftretendes systemweites logisches Beschädigungsereignis vorgesehen. Weitere Features schützen die Postfachdaten in Exchange Online vor Datenverlust auf Systemebene. Dazu gehören u.a. Protokolldateiüberprüfungen, Onlinedatenbanküberprüfungen und ein ausfallsicheres Dateisystem.
Ein gelöschtes Postfach kann innerhalb 30 Tagen mit sämtlichen Inhalten wiederhergestellt werden. Dies gilt auch wenn eine Benutzerlizenz nicht zugeordnet ist, aber in dieser Zeit wieder zugeordnet wird. Es gibt Methoden, um Postfächer von z.B. versehentlich gelöschten Azure AD Benutzern wiederherzustellen.
Wofür muss ich als Cloud Nutzer dann noch selbst sorgen?
Eine entsprechend hohe Resilienz wie oben beschrieben, ist für eine On Premise gehostete Lösung nur mit entsprechend hohem Kosten- und Ressourcenaufwand zu erreichen. Es gibt allerdings zusätzliche Maßnahmen, die speziell bei Nutzung von Cloud Services unbedingt empfohlen sind. Startpunkte stellen die Security der IT-Infrastruktur im unmittelbaren Einflussbereich des Benutzers und die Umsetzung spezieller Benutzer- oder Organisationsanforderungen dar. Laut Microsoft sind 98% dieser Angriffe mit einfachen Mitteln zu vermeiden. Leider sind diese oft nicht oder nur unzureichend umgesetzt: Hier erhalten Sie einen Überblick über fünf Maßnahmen für mehr Cybersicherheit.
M365 Lizenzen mit erweiterten Security Features
Mit der M365 E3 Lizenz (oder der Business Premium für Organisationen bis maximal 300 Nutzern) lassen sich grundsätzliche Anforderungen wie Conditional Access, Multifactor Authentication und Mobile Device Management bereits umsetzen. Für die Umsetzung aller relevanten Anforderungen ist die M365 E5 Lizenz (oder eine E3 mit der E5 Security Erweiterung) die ultimative Antwort. Damit lassen sich beispielsweise ein lokales Active Directory und lokale Server in die Überwachung miteinschließen, Ransomware Angriffe über den Attack Simulator abbilden, Bedrohungsanalyse inklusive Reaktionen weiter automatisieren oder der Internet-Datenverkehr mit Cloud App Security überwachen.
Conditional Access (CA) / bedingter Zugriff und Multifaktor Authentifizierung (MFA)
Ein Sign-In ohne Passwort bzw. unter bedingter Abfrage zusätzlicher Faktoren stellt bei Bankanwendungen heute bereits einen gesetzlich geforderten Standard dar.
Für jede kritische Unternehmens-IT stellen CA, MFA mit Windows Hello ein (freiwilliges) Umsetzungs-Muss dar, da viele Angriffe mit gehackten Passwörtern starten. aConTech bietet Festpreispakete für die Umsetzung von CA /MFA an. Tiefergehende technische Infos zu Conditional Access finden Sie auf unserem Blog, z.B. unter Conditional Access: Sitzungsbasierte Sicherheitseinstellungen oder Conditional Access für Ihre Exchange On-Premise Umgebung.
Backup & Disaster Recovery
„Leider ist man nicht davor gefeit, dass ein Storage System ausfällt, Daten versehentlich gelöscht werden oder ein E-Mailanhang mit einem Verschlüsselungstrojaner geöffnet wird. Noch schlimmer ist es, wenn ein ganzer Standort ausfällt, z.B. aufgrund einer Naturkatastrophe, eines regionalen Stromausfalls usw.“. Mit beispielsweise AvePoint Cloud Backup stellt aConTech seinen Kunden eine führende SaaS Lösung für Office 365, Salesforce, Dynamics 365 und Google Workspace mit minimalem Umsetzungsaufwand zur Verfügung. Weitere aConTech Services zum Thema Backup und Disaster Recovery finden Sie auch in unserem passenden Blogartikel. aConTech liefert Ihnen auch Templates für Notfallhandbücher und erstellt Pläne für Ihre spezifische Umsetzung von Disaster Recovery.
Patch & Update Management
Neben den Standard Microsoft Lösungen Intune und SCCM bietet aConTech mit Patch My PC eine einfache Lösung für das automatisierte Updaten von Drittanbieter Software an. Eine Kurzbeschreibung findet sich in unserem Blogartikel über Softwarepaketierung mit Intune und Patch my PC.
Mit unserem regelmäßigen M365 Update Call behalten Sie zudem weiterhin den Überblick über Veränderungen im Microsoft 365 Portfolio und erhalten dazu unsere Experteneinschätzung.
Anti-Malware / Antivirus
Mit der Installation von Windows 10 oder M365 geht typischerweise nur eine initiale Aktivierung von Microsoft 365 Defender einher, die lediglich einen Mindestschutz im Unternehmensumfeld bietet. Mit den tiefgreifenden E5 Security Features lassen sich weitere sehr empfehlenswerte Defender Komponenten einrichten. Dazu gehören Defender for Office, Defender for Identity, Defender for Cloud Apps und Defender for Endpoint (Server). Diese Komponenten müssen initial aktiviert und konfiguriert werden. Weitergehende Informationen zu einzelnen Komponenten finden Sie hier: Defender for Office – Initiale Einstiegspunkte vor Angriffen schützen und hier: Microsoft Cloud App Security – Heben Sie Ihre Cloud Security auf ein neues Level.
Neben genannten Defender Komponenten kann auch eine Nutzung der Windows 10 Enterprise Security Features wie Application Control Guard, Application Guard, Credential Guard, Device Guard, Exploit Guard, Remote Desktop Credential Guard individuell in Betracht gezogen werden.
Als Einstieg für Verbesserungen im Security Umfeld empfehlen wir unsere Assessments. Eine finanzielle Förderung durch Microsoft fragen wir gerne für Ihre Organisation an.
Weitergehende Maßnahmen
Mit der Umsetzung oben genannter Maßnahmen verbleibt ein Restrisiko im BCM Kontext. Dieses Risiko von wenigen Prozent geht leider mit proportional umgekehrten Aufwänden und Kosten zur weiteren Risikoreduktion einher. Dazu könnte beispielsweise gehören:
- Exchange Online: Die wichtigsten Accounts (GF, Produktion, Buchhaltung, etc.) werden bei einem anderen unabhängigen, DS-GVO konformen Anbieter angelegt und bereitgehalten, ggf. mit anderer Domain oder Weiterleitung.
- Teams: Alternative Konferenzlösung, wie Zoom, WebEx, Google Meet bzw. eine Teams Failover SaaS Lösung, die nicht auf Azure gehostet ist.
- Fernwartung: Microsoft Remote Assistance, AnyDesk oder TeamViewer.
- SharePoint: Bereitstellung der wichtigsten Dateien aus dem Backup (Buchhaltung, Administration, Produktionsdaten und Rezepte) auf lokalem Fileshare, NAS oder Fileshare eines anderen Cloud Anbieters.
- Telefonie: Kombibetrieb einer klassischen Telefonanlage mit einem Session Border Controller (SBC), Handyumleitung oder einzelne Telefonaccounts bei Drittanbietern.
Exklusives Microsoft Cloud Security Assessment
Der nächste Schritt? Sichern Sie sich jetzt Ihr exklusives Microsoft Cloud Security Assessment, um Ihre Organisation zukünftig vor Cyberbedrohungen zu schützen. Dabei durchlaufen wir mit Ihnen die folgenden Schritte:
- Assessment Ihrer kompletten M365, Azure AD und Endpoint Manager Umgebung durch einen aConTech Cloud Security Specialist
- Best Practice Empfehlung auf Basis erprobter ISO27001 und TISAX®, sowie GDPR Security Best Practices und BaselinesAuf Wunsch mit ISMS Audit Bericht für Ihren CISO/CIO/ISM
- Überprüfung aller Security und datenschutzrelevanten Einstellungen der Microsoft Cloud (inkl. Security und Compliance Center) Kleinere Findings können sofort umgesetzt werden -größere werden mit Empfehlung in die Audit Checkliste aufgenommen.
- Erstellung einer Roadmap zur Erhöhung der Sicherheit dank der Microsoft Cloud, optimaler Einsatz der lizenzierten Produkte und Planung der nächsten relevanten Schritte.
Und das Beste: Das Assessment kann unter bestimmten Voraussetzungen auch von Microsoft anteilig gesponsert werden. Informieren Sie sich über Ihre Chancen zum exklusiven Angebot und der Disaster Recovery in der Cloud!
Profitieren auch Sie von aConTechs umfangreichen und langjährigen Erfahrung mit der Disaster Recovery in der Microsoft Cloud. Wir machen Ihren Arbeitsplatz sicher und flexibel, damit Sie sich auf Ihr Hauptgeschäft konzentrieren können. Für heute und morgen. Für eine sichere Zukunft. Kontaktieren Sie uns und fragen Sie jetzt Ihr exklusives Microsoft Cloud Security Assessment an!