Sicherheit aus Sicht der Supply Chain
Im Bereich der Supply Chain kann ein Unternehmen verschiedene Rollen übernehmen: Entweder als Teil der Lieferkette selbst oder als Manager bzw. Verantwortlicher für die Lieferkette. Die herkömmliche Due-Diligence-Prüfung und Sicherheitsbewertungen, die CISOs für Partner innerhalb der Lieferkette durchführen, sind angesichts der steigenden Häufigkeit und Auswirkungen von Angriffen auf Lieferketten nicht mehr ausreichend. Regelungen wie die NIS 2.0 der EU und Vorgaben von Cyber-Versicherern verlangen von allen beteiligten Unternehmen, Risiken häufiger und dynamischer zu bewerten.
Microsoft bietet mit den Defender-Produkten geschützte APIs an, die eine unternehmensübergreifende (cross-tenant) Kommunikation auf dem neuesten Stand der Technik ermöglichen und praktisch in Echtzeit den Sicherheitsstatus abbilden. Selbstverständlich sind auch die klassischen Berichte als Nachweis verfügbar.
Sicherheit für Microsoft 365
M365 Security Essentials Workshops
Zu Beginn organisieren wir gemeinsam mit Ihnen eine Reihe von Online-Workshops über Microsoft Teams. Dabei beschränken wir die Dauer der Workshops auf maximal zwei Stunden.
Die Workshops behandeln folgende Themen:
- Im Kickoff-Workshop präsentieren wir den "Plan zur Implementierung" und definieren den Umfang des Projekts. Abhängig von der gewählten Kombination der Essentials-Produkte analysieren und besprechen wir die notwendigen technischen Details mit Ihnen. Gegebenenfalls vereinbaren wir weitere Termine mit Ihren internen Verantwortlichen.
- Technische Voraussetzungen klären wir in der erforderlichen Tiefe mit den Themenverantwortlichen für Identitätsmanagement oder Netzwerk/Firewall
- Auftretende Fragen während der Konzeption der Implementierungsdetails werden individuell mit Ihren Verantwortlichen besprochen.
- Abschließende Präsentation Ihres "Plan for Implementation" für die Security Essentials.
Inhalte der Workshops
Office Essentials
Office Essentials konfiguriert und verwendet Microsoft Defender für Office. Defender für Office schützt Exchange/Outlook, OneDrive sowie Teams/SharePoint. Eingehende E-Mails werden in vier Phasen gefiltert. Diese Phasen sind:
- Rand-Schutz (Edge Protection)
- Absender-Intelligenz (Sender Intelligence)
- Inhalt-Filterung (Content Filtering)
- Schutz nach Zustellung (Post-Delivery Protection)
Im Allgemeinen durchläuft eine eingehende E-Mail vor der Zustellung alle diese Phasen. Der tatsächliche Weg, den die E-Mail nimmt, hängt jedoch von der Konfiguration ab.
Wir stellen vorgefertigte Richtlinienvorgaben für Anti-Spam, Anti-Phishing und Anti-Malware bereit. Zudem bieten wir je eine konfigurierbare Richtlinie für sichere Links (Safe Links) und sichere Anhänge (Safe Attachments) an.
Endpoint Essentials
Endpoint Essentials konfiguriert und verwendet Microsoft Defender für Endpoint. Defender für Endpoint ist eine cloudbasierte Lösung, die Windows, macOS, Linux, Android und iOS Geräte vor Ransomware, dateiloser Malware und anderen Angriffen schützt.
Defender für Endpoint überwacht kontinuierlich das Dateisystem, Dateien sowie laufende Prozesse und Programme. Für eine reibungslose Implementierung sind Systemordner und Standardserverrollen bereits automatisch ausgeschlossen.
Die Konfiguration der Antiviren-Richtlinien erfolgt über den Microsoft Endpoint Manager, ehemals Intune. Mit Hilfe von gruppenbasierten Richtlinien werden benutzerdefinierte Scans, Ausnahmen und weitere Einstellungen erstellt. Für jede Geräteklasse werden zwei Azure AD Sicherheitsgruppen eingerichtet: Die erste Gruppe umfasst die Pilotgeräte bzw. Geräte für den schrittweisen Rollout, während die zweite Gruppe alle Geräte der jeweiligen Geräteklasse beinhaltet.
Identity Essentials
Identity Essentials konfiguriert und verwendet Microsoft Defender for Identity. Defender für Identity ist eine cloudbasierte Sicherheitslösung, die lokale Active Directory-Signale nutzt, um fortschrittliche Bedrohungen, gefährdete Identitäten und bösartige Insider-Aktionen zu identifizieren, erkennen und untersuchen. Dabei schützt Defender für Identity das lokale Active Directory, selbst wenn dieser Dienst in der Cloud betrieben wird. Die heute weit verbreiteten hybriden Architekturen mit einem lokalen Active Directory und einem verbundenen Azure AD werden ebenfalls abgedeckt.
Während der Implementierung werden die zugehörigen Sensoren, als Agentdienste, auf allen Active Directory-Controllern installiert. Die Sensoren prüfen anhand von aufgezeichnetem Netzwerkverkehr und sicherheitsrelevanten Logeinträgen, ob verdächtige Aktionen in den Protokollen SMB, Kerberos und NTLM vorliegen. Daraus resultierende Vorfälle, die Konfiguration sowie Ausnahmen werden zentral im Microsoft 365 Defender-Portal verwaltet.
Endpoint Manager Essentials
Endpoint Manager Essentials konfiguriert und verwendet Microsoft Endpoint Manager, ehemals Intune oder Configuration Manager.
Microsoft Endpoint Manager verwaltet Android-, Android Enterprise-, iOS-, macOS-, Windows 10- und Windows 11-Geräte. Dabei unterstützt es auch den Schutz von unternehmenseigenen und Bring-Your-Own-Devices. Der Configuration Manager managt Client- und Servercomputer innerhalb Ihres Netzwerks.
Endpoint Manager Essentials arbeitet eng mit Cloud-Diensten wie Azure AD und Defender für Endpoint zusammen. Dadurch können infizierte oder nicht konforme Geräte automatisch vom Zugriff auf M365 ausgeschlossen werden.
Endpoint Manager stellt Betriebssystemkonfigurationen bereit, verwaltet Softwareinstallationen und überprüft die Gerätekonformität. Die Endpunktanalyse bietet Metriken und Empfehlungen zur Integrität und Leistung Ihrer Windows-Clientgeräte.
Windows Autopilot richtet neue Geräte ein oder setzt vorhandene Geräte zurück, um sie wiederzuverwenden. Der gesamte Lebenszyklus von Windows-Geräten, von der ersten Bereitstellung bis zum Lebensende, wird verwaltet und vereinfacht.
Privileged Account Management Essentials
Unternehmen sollten die Anzahl der Personen, die Zugang zu sensiblen Informationen oder Ressourcen haben, minimieren. Dadurch wird die Wahrscheinlichkeit verringert, dass ein böswilliger Akteur Zugang erhält oder ein autorisierter Benutzer versehentlich auf eine sensible Ressource zugreift.
Gemäß dem Microsoft Enterprise Access Model erstellen wir zunächst ein vereinfachtes Two-Tier-Modell. Dabei liegt der Fokus auf der Trennung von Benutzerkonten und Administratorkonten. Zudem werden Notfallzugangskonten (emergency access accounts) inklusive Gerät und FIDO2-Key eingerichtet.
Sicherheit unter M365
Neun Tipps für mehr Sicherheit in der Microsoft Cloud
Wenn Sie der Ansicht sind, dass die Nutzung der Microsoft Cloud (sei es Microsoft Azure oder M365) automatisch zu einer höheren Sicherheit führt, müssen wir Sie leider eines Besseren belehren. Die Sicherheit hängt weiterhin von Ihren eigenen Konfigurationen und Verhaltensweisen ab. Microsoft bietet mit seinen Produkten lediglich die Funktionalitäten und Möglichkeiten, die Sie an Ihre individuellen Bedürfnisse und Gegebenheiten anpassen müssen. Aus diesem Grund betont Microsoft in seinen Publikationen wiederholt, dass Kunden selbst für den Schutz ihrer Daten, Benutzer und Geräte verantwortlich sind und die Sicherheit in der Microsoft Cloud gewährleisten müssen.
Angesichts des umfangreichen Materials präsentieren wir in diesem Deep Dive neun Schritte, mit denen Sie die Sicherheit in der Microsoft Cloud signifikant verbessern können.
SIEM
Security Information And Event Management
Was ist ein SIEM? Gartner definiert ein SIEM folgendermaßen:
Security information and event management (SIEM) technology supports threat detection, compliance and security incident management through the collection and analysis (both near real time and historical) of security events, as well as a wide variety of other event and contextual data sources. The core capabilities are a broad scope of log event collection and management, the ability to analyze log events and other data across disparate sources, and operational capabilities (such as incident management, dashboards and reporting).
Microsoft wird sowohl von Forrester als auch von Gartner im "Leader" Quadranten eingestuft. Das Microsoft Produktportfolio im Bereich Security ist aktuell fragmentiert und befindet sich in einem Umstrukturierungsprozess. Es sind weitere Investments somit Weiterentwicklungen angekündigt.
Das Microsoft Produktportfolio im Bereich Security ist aktuell fragmentiert und befindet sich in einem Umstrukturierungsprozess. Es stehen aktuell eine Reihe von Web Portalen zur Verfügung, die mittelfristig konsolidiert werden. Das zentrale Portal ist unten in einer kurzen Demo zu sehen.
Cybersecurity Versicherungen
Der erste Schritt zur nachhaltigen Sicherheit für Microsoft 365
Ein effektives Risikomanagement ist für jedes Unternehmen unerlässlich. Doch selbst bei der Implementierung modernster Cybersicherheitstechnologien und bewährter Verfahren sind Unternehmen einem gewissen Restrisiko ausgesetzt. In einer sich rasch entwickelnden Bedrohungslandschaft können immer wieder Lücken in der eigenen IT-Sicherheitslandschaft entstehen.
Um diese Lücken zu schließen, bieten Versicherer Policen an, die die finanziellen Auswirkungen von Datenschutzverletzungen und Ransomware-Angriffen abmildern können. Für den Abschluss solcher Policen liegen die Anforderungen an IT- und Informationssicherheit - insbesondere im industriellen Umfeld - auf einem sehr hohen Niveau.
Folgende Punkte stellen einen Auszug aus den geforderten Sicherheitsfeatures dar:
Gerätemanagement
automatische Malware Erkennung inkl. Alarmierung
Patchmanagement
kritische Patches sind innerhalb von 120h bzw. maximal 5 Arbeitstagen zu installieren
Local Admin Password Solution (LAPS)
lokale Administrationsrechte werden nicht vergeben und/oder der Zugang zu den lokalen Administrationsrechten ist mit einem sicheren Passwort geschützt
Account Tiering
es existieren mindestens zwei Accounts für den Administrator
Least Priviledge
Dienstkonten für Prozesse sind mit den geringstmöglichen Berechtigungen konfiguriert
Multi Factor Authentifizierung (MFA)
Multi-Faktor-Authentifizierung ist für sämtliche Zugriffe zu IT-Systemen zu nutzen. Das gilt für interne wie externe Mitarbeiter.
M365 Security Essentials ist ein erster Schritt hin zu einen umfassenden und nachhaltigen Absicherung der Unternehmens-IT und die Grundlage der Sicherheit für Microsoft 365. Nach Projektabschluss besitzt Ihr Unternehmen die technische Basis und die planerischen Grundlagen, allen Stakeholdern die jeweils aktuelle Lage transparent zu erläutern und die nächsten Schritte in Angriff zu nehmen.
Sie haben ein Projekt? Sprechen Sie uns an!
Wir freuen uns auf Ihre Nachricht.