Microsoft 365 – ein Fall für die ­IT-Sicherheit

Cyberkriminelle lieben Microsoft 365

Über 340 Millionen Microsoft-365-Anwender und 280 Millionen Teams-User weltweit: Diese beeindruckenden Zahlen belegen nicht nur Microsofts Erfolg, sondern auch, dass einer der attraktivsten «Märkte» für Cyberkriminelle entstanden ist. Überall dort, wo das (schnelle) Geld zu machen ist, sind Hacker nicht weit. Denn die kriminellen Waffen aus dem stationären Netzwerkgeschehen wirken genauso gut in der Cloud. So ist es nicht verwunderlich, dass Spam, Phishing-Attacken, Ransomware oder schadhafte Dateianhänge auch bei Microsoft 365 eine reale Gefahr darstellen.

Malware und Sicherheitslücken als Spassverderber

2022 konnten IT-Administratoren und Security Operation auf ihren Dashboards «Schwarz auf Weiss» erkennen, welche Bedrohungstypen an der nativen Sicherheit von Microsoft vorbeigeschlüpft sind.

1. HTML-Betrug: Diese Malwarefamilie umfasst eine Vielzahl von HTML-basierten Inhalten wie betrügerische Websites, HTML-basierte E-Mails und E-Mail-Anhänge. Diese werden mit dem Ziel verbreitet, dem Opfer Geld oder andere «Gewinne» abzuluchsen. 
2. HTML/Phishing.Agent: Diese Malwarefamilie verwendet bösartigen HTML-Code, der häufig im Anhang einer Phishing-E-Mail eingesetzt wird. Wird dieser angeklickt, öffnet sich im Webbrowser eine Phishing-Website, die sich als offizielle Bank-, Zahlungsdienst- oder Social-Networking-Website sowie als gefakte Microsoft-365-Anmeldeseite ausgibt. 
3. DOC/Betrug: Eine Masche, die hauptsächlich Microsoft-Word-Dokumente mit verschiedenen Arten von betrügerischen Inhalten umfasst. Sie werden zumeist per E-Mail verbreitet. 

Bösartige Dokumente, die über E-Mails und infizierte Websites übertragen werden, machen immer noch den grössten Anteil der Bedrohungen für Unternehmen aus. Von anderer Seite droht eine neue Gefahr, diese an der Spitze abzulösen. Sharepoint entwickelt sich immer mehr zum Dreh- und Angelpunkt von Microsoft 365 und ruft so neue Begehrlichkeiten von Cyberkriminellen hervor. Zudem schiessen neue Funktionen von Drittanbietern wie Pilze aus dem Boden. Ob hier sicherheitstechnisch alles in Ordnung ist oder mal wieder «Produktivität vor Security» gilt, bleibt abzuwarten. Auch wenn Microsoft seit Jahren seine Betriebssysteme und Software kontinuierlich verbesserte, bleiben Sicherheitslücken ein heikles Thema. Im «BeyondTrust / Microsoft Vulnerabilities Report 2022» wurden 1212 Schwachstellen aufgeführt. Diese betreffen sowohl die On-Premises-Angebote als auch die in der Cloud. 

«Microsoft Takeover»: Kontendiebstahl unbedingt vorbeugen 

Konten- und Identitätsdiebstähle zählen zu den klassischen Alltagsproblemen im Internet. Selbstverständlich passiert dies auch Unternehmen täglich – und dank Microsoft 365 mehr denn je. Administratoren haben alle Hände voll zu tun, feindliche Übernahmen von Mitarbeiter-Accounts in den Griff zu bekommen. Laut einer Studie von Vectra AI gaben 71 Prozent der befragten Firmen an, dass deren Microsoft-365-Konten irgendwann einmal unter fremder Kontrolle gestanden haben. Gelangt ein Hacker über diesen Weg in die Cloud, stehen ihm im wahrsten Sinne alle Türen und Tore offen. 

Fun Fact am Rande: Wenn Mitarbeitende die Firma verlassen («Offboarding»), werden deren Microsoft-365-Konten spät oder gar nicht geschlossen, wie Eset-Forscher herausgefunden haben. Ex-Firmenangehörige haben noch viel zu lang Zugriff und könnten, wenn sie wollten, weiterhin Daten einsehen, manipulieren oder löschen. Viele Unternehmen haben das Problem der Cloud-Zugänge noch nicht in ihren Offboarding-Prozess aufgenommen.

«IT-Security ist nicht das Kerngeschäft von Onlineplattformen»

Die Cloud ist einfach; die Cloud ist schnell; die Cloud ist bequem. Das denken sich aber auch die Cyberkriminellen auf der Suche nach lohnender Beute. Was man immer bedenken sollte, sagt ­Rainer Schwegler, Manager Territory Schweiz bei Eset. Interview: Coen Kaat 

Welche Schritte raten Sie Unternehmen, die den Weg in die Cloud beschreiten möchten?

Rainer Schwegler: Grundsätzlich empfehlen Security-Experten Unternehmen, nur ausführlich geplant die Nutzung von Cloud-Angeboten anzugehen. Es ist nämlich ein gewaltiger Unterschied in puncto Security, ob man die Cloud als Datenspeicher oder dortige Softwareanwendungen nutzen möchte. Die Frage nach der Public, Private, Hybrid oder Multi-Cloud ist ausschlaggebend für die spezifischen Anforderungen und vor allem die Risikotoleranz. Je sensibler beispielsweise die Daten sind, die gespeichert oder in Services verarbeitet werden sollen, desto grösser wird der Security-Anspruch an den Dienstleister: Sicherheitslücken und Ausfallzeiten müssen per se quasi ausgeschlossen sein. 

Warum müssen sich Cloud-Nutzerinnen und -Nutzer überhaupt schützen?

Hybride Arbeitsplatzmodelle sind gefragt wie nie. Um möglichst flexibel – von zuhause oder unterwegs – arbeiten zu können, ist das Abrufen und die Speicherung arbeitsrelevanter Dateien aus der Cloud unerlässlich. Damit werden allerdings sicherheits­relevante Probleme und Risiken wie Phishing, Spam oder Malware ebenfalls in die Cloud «verschoben». Diese cloudbasierte Kommunikation und Datenverarbeitung im Unternehmensnetzwerk sollte mit einer Sicherheitslösung umfassend geschützt sein. Diese überprüft alle eingehenden E-Mails sowie Dateien in der Cloud auf potenzielle Bedrohungen und blockiert/eliminiert diese im Verdachtsfall. 

Microsoft 365 gilt als sicher. Warum ist es sinnvoll, als Unternehmen einen zusätzlichen Schutz einzusetzen?

Alle Hersteller von Onlineplattformen sind bestrebt, ihre Lösungen und die Daten ihrer Kunden so gut wie möglich abzusichern. Aber: IT-Security ist nun einmal nicht deren Kerngeschäft und so darf der Anwender nicht mehr erwarten als einen Basisschutz. Unserer Ansicht nach reicht aber genau der in der heutigen Zeit nicht mehr aus. Denn moderne Bedrohungen agieren zunehmend komplex, intelligent und sogar KI-gestützt. Dabei ist es ihnen gleichgültig, ob sie Endpoints, Server oder eben Cloud-Anwendungen wie Microsoft 365 attackieren. Genau an diesem Punkt kommen wir als IT-Security-Hersteller ins Spiel. Unsere zusätzlichen und – streng genommen – unerlässlichen Sicherheitsfeatures machen die Anwendungen von Microsoft 365 deutlich sicherer. 

Wie könnten Cyberkriminelle den Umstand aus­nutzen, dass Sharepoint immer mehr zum Dreh- und Angelpunkt von Microsoft 365 wird?

Wenn Sie beginnen, alle geschützten Informationen Ihres Unternehmens in Sharepoint zu speichern, wird es zu einem wirklich attraktiven Ziel. Daraus ergibt sich die Frage, wie Sie die Sicherheit für dieses System gestalten. Ist es wie bei einem Banktresor mit strengsten Zugangskontrollen oder eher wie bei einem Kühlschrank, bei dem jeder die Tür öffnen und herausnehmen kann, was er möchte? Die Sicherung von Sharepoint ist keine leichte Aufgabe. Die für die Verteidigung verantwortlichen Personen müssen die richtigen Arten von Sicherheitskontrollen finden, einschliesslich Audits, Suche nach anomalem Verhalten, Änderungen in der Zugriffsgeschwindigkeit. Tools wie Data Leak Prevention (DLP) können zudem verhindern, dass vertrauliche Daten eingesehen oder entwendet werden.

Wie kann ESET Cloud Office Security die Anwender von Microsoft 365 schützen?

ESET Cloud Office Security bietet eine Kombination aus Spam-Filter, Malware-Scanner, Anti-Phishing und Cloud-Sandboxing. So sichert die Lösung die Unternehmenskommunikation, Zusammenarbeit und den vorhandenen Cloud-Speicher nachhaltig ab. Darüber hinaus werden alle E-Mails und Anhänge bzw. Dateien, die via OneDrive, SharePoint oder Microsoft Teams freigegeben oder gespeichert wurden, umgehend analysiert, ggf. in Quarantäne bewegt oder letztlich beseitigt. Die Web-Konsole ermöglicht zudem einen detaillierten Überblick über verdächtige Verhaltensweisen und bietet automatische Benachrichtigungen.