Microsoft 365 für Vereine, 3. Sicherheit

Urs Schöni

31. Oktober 2022

Golf Gc7589eab5 1280

Sicherheitseinstellungen vor dem Start

Bevor der erste Benutzer erfasst wird, ist der beste Zeitpunkt, um über nötige Sicherheiteinstellungen nachzudenken, denn sie sind nie einfacher einzuführen als jetzt. Für die Benutzer sind sie gegeben und tauchen nicht als neue Vorschriften am Horizont auf und haben dadurch eine deutlich höhere Akzeptanz.

Nebenbei: wenn immer Sicherheitseinstellungen festgelegt und umgesetzt werden, muss das Ziel sein, die Benutzenden von der Notwendigkeit zu überzeugen und ihnen die Mittel in die Hände zu geben, um einfach und unkompliziert damit zu arbeiten. Wenn die Vorschriften als Schikane oder als mühsam empfunden werden, werden sie mit allen möglichen Mitteln umgangen. Darum auch hier, auch wenn es Tech Business ist, geht es letztendlich um Menschen.

Die folgenden Empfehlungen sind als solche zu werten und es gibt immer gut begründete Abweichungen dazu. Am Schluss müssen die Sicherheitsbestimmungen euren Betrieb effizient und effektiv schützen, das ist das einzige das zählt.
Ich habe die Empfehlungen nach den folgenden Themen gegliedert:

  • Sicherung der Benutzeranmeldungen
  • Datensicherheit
  • Administration

Sicherung der Benutzeranmeldungen

Registration G7c9822c97 640

Weisst du, welches das am häufigsten benutzte Passwort in der Schweiz ist?
Es ist „123456“ … das zweithäufigste „12345678“. Dies und weitere erheitende Tatsachen zum Thema Passwörter kann man bei Nordpass ersehen. Das zeigt die Notwendigkeit, warum man die Anmeldedaten besser absichern muss. Um eine genügend hohe Sicherheit sicherzustellen, stehen im Microsoft 365 einige Mittel zur Verfügung. Die wichtigsten drei sind:

  • 2 Faktor Authentifizierung
  • Passwort Komplexität und Länge
  • Self Service Kennwortzurücksetzung

2 Faktor Authentifizierung

Der 2. Faktor wird vor allem im Bankenumfeld schon seit einiger Zeit verwendet und auch heute kann man bei Cloud-Anmeldungen immer noch den zweiten Faktor in Form eines SMS sehen. Die Banken haben schon seit einiger Zeit auf sicherere Methoden umgestellt und auch im M365 Umfeld stehen uns bessere Möglichkeiten zur Verfügung. SMS für den 2. Faktor wird nicht mehr empfohlen und deshalb als unsicher betrachtet, da die Meldung  unverschlüsselt zum Telefon übermittelt wird und abgefangen werden kann.

Das Mittel der Wahl, was auch von Microsoft empfohlen wird, ist die Verwendung eines Authenticator Apps. Mittels eines vereinbarten Geheimnisses werden von der App zeitabhängige Zahlencodes generiert, sogenannte TOTP (Time based One Time Password), die immer 30 Sekunden gültig sind. Natürlich stellt Microsoft solche Authenticator Apps zur Verfügung, aber auch Google und andere Anbieter verfügen über solche Apps. Sie sind entweder im Google Play Store oder Apple Store verfügbar unter dem Stichwort „Authenticator“. Es gibt allerdings auch viele Passwort Verwaltungen, wo man diese TOTP einrichten und generieren kann (Beispiel KeePassXC).

Wo und wie richtet man die 2-Faktor Authentifizierung ein?
Dazu gibt es wie immer mehrere Möglichkeiten. Hier der empfohlene Weg:

Einstellungen->Einstellungen der Organisation->Dienste->Multi-Faktor-Authentifizierung (Illustration siehe Screenshot unten)

Passwortkomplexität

Dies ist eine Möglichkeit, um zu simple Passwörter zu verhindern. Im Idealfall verwenden die Benutzer für jede Anwendung ein anderes Passwort und deren Komplexität ist 20 Zeichen lang und mindestens je ein Zeichen aus Zahl, Kleinbuchstaben, Grossbuchstaben und Sonderzeichen. Solche Passwörter kann sich niemand mehr merken und die Verwendung eines Passwortmanagers wie KeePassXC ist zwingend nötig (siehe oben). Es geht aber auch einfacher, indem man sich einen Satz merkt und daraus das Passwort generiert.
Beispiel: „Ich lebe in Musterwil und wurde 1960 geboren!„, Passwort dazu: „IliMwuw1960g!“. So kann man immerhin ein Passwort mit 13 Zeichen generieren, das alle vier Zeichensätze beinhaltet.

Empfehlung für die Mindest-Komplexität: 10 Zeichen, 3 verschiedene Zeichensätze

Im M365 kann man die Mindestanforderungen an ein Passwort leider nicht einstellen und Microsoft hat die Bedingen hard codiert. Die genaue Beschreibung der Bedingungen ist hier zu finden.

Noch ein Wort zum Ablauf der Gültigkeit eines Passwortes: dies war früher eine Sicherheitsmassnahme, die weitherum empfohlen wurde. Aber ist in Kombination mit der 2-Faktor Authentifiztierung wird diese Massnahme nicht mehr empfohlen und sollte auf „läuft nie ab“ eingestellt sein (in „Einstellungen der Organisation, Reiter Sicherheit)

Self-Service Zurücksetzen des Kennworts

In vielen Anwendungen ist das heute Standard und trägt zum Komfort der Benutzenden und zur Arbeitsentlastung des Suppports bei. Dies sollte eingeschaltet werden unter diesem Link.

2 Faktor

Datensicherheit

Cybersecurity Ge730874bb 640

Der Sicherheit der Daten sollte man gebührend Aufmerksamkeit schenken. Die Sicherheit wird in drei Bereiche aufgeteilt:

  • Vertraulichkeit, nur die berechtigeten Personen haben Zugriff auf die Daten
  • Integrität, Daten können nicht unbeabsichtigt geändert werden, Änderungen sind nachvollziehbar und auf Personen bezogen
  • Personen, die Daten bearbeiten müssen, haben ungehinderten Zugriff darauf

Dies wird häufig auch mit dem englischen Begriff CIA umschrieben (Confidentiality, Integrity, Access). Um die Datensicherheit in diesen Bereichen sicherstellen zu können, kann man eine Reihe von Werkzeugen nutzen und empfohlene Massnahmen umsetzen:

  • Nur mit persönlichen Benutzern arbeiten. Unpersönliche Benutzer wie zum Beispiel info@…, die von mehreren Benutzern verwendet werden, sollten nur als Mailbox verwendet werden und nicht für Datenbearbeitung. Jeder Benutzer sollte eindeutig einer Person zugeordnet werden können.
  • Versionierung: die Versionierung der Dateieien ist standardgemäss in jeder Bibliothek eingeschaltet (ersichtlich in den Bibliothekseinstellungen, siehe Screenshot). Die Versionen werden mittels den drei Punkten neben dem Dateinamen aufgerufen (siehe Bild unten). Wenn eine Vorgängerversion betrachtet oder sogar aktiviert werden soll, kann man einfach auf das Datum der gewünschten Version klicken.
  • In SharePoint und OneDrive gibt es zwei Papierkörbe, die gelöschte Daten zusammen 93 Tage aufbewahren. Das sind der normale Papierkorb und der Admin Papierkorb (=endgültiger Papierkorb der Websitesammlung).  Wenn Dateien im normalen Papierkorb gelöscht werden, verbleiben sie für den Rest der 93 Tage im Papierkorb der Websitesammlung. Nach 30 Tagen werden sie automatisch in den Admin Papierkorb geschoben. Aus beiden kann man Dateien wieder herstellen. Der Zugriff auf den Admin Papierkorb ist allerdings einem Administrator vorbehalten.
  • Da Daten aus dem Papierkorb gelöscht werden können, ist es möglich, dass Dateien endgültig nicht wieder hergestellt werden können, wenn die 93 Tage abgelaufen sind. Es ist auch möglich, dass Daten mutwillig und mit böser Absicht gelöscht und gezielt aus den Papierkörben entfernt werden.
    Dafür empfehlen wir die Verwendung eines NAS Speichers. Da viele Modelle verfügbar sind, verzichte ich hier auf Details. Ein Gerät, das wir im Umfeld von kleinen Büros immer wieder einsetzen, ist das Synology DS220+das mit 2 TB Speicherplatz auf rund Fr. 550 zu stehen kommt. Über die Funktion „Active Backup für Office 365“ kann man zuverlässig die Daten ab der Cloud auf das Gerät sichern und im Bedarfsfall auch wieder herstellen.
Datensicherheit

Administration

Family G2585d5b3c 640

Zu den empfohlenen administrativen Vorkehrungen gehören das Branding, die Namenskonvention für die Konten, die Vergebung von Benutzerrollen und das Break-Glass Konto.

Beginnen wir mit der einfachsten Massnahme, dem Break-Glass Konto. Dieses Konto dient dazu, den Admin Zugriff auf ein Konto sicherzustellen für den Fall, dass man das normale Administratorkonto durch eine Sicherheitsmassnahme irrtümlich blockiert. Um einen teuren Microsoft Support zu vermeiden, richtet man eben dieses spezielle Konto ein. Es besteht aus einem genügend komplizierten Benutzernamen (ohne Admin oder Administrator im Namen) und einem komplexen Passwort, das sicher zum Beispiel in einem Passwortmanager abgelegt ist. Es wird nicht für die üblichen Administratorenaufgaben verwendet und sollte nur einem sehr kleinen Personenkreis oder möglichst nur einer Person zugängig sein. Das Konto sollte über die Rolle „Global Admin“ verfügen. Zudem nimmt man es von den üblichen Sicherheitsmassnahmen wie 2-Faktor Authentifizierung aus.

  • Branding
    Im Admin Center kann man unter Einstellungen->Einstellungen der Organisation->Organisationsprofil die Vereinsfarbe einstellen und das Vereinslogo hochladen. Damit wird die Identität der Seiten für den Verein vereinheitlicht und erlaubt es den Benutzenden die  schnell zu erkennen, wenn sie irrtümlich ausserhalb des Microsoft 365 Bereichs gelandet sind.
  • Namenskonvention der Benutzerkonten
    Es ist empfehlenswert, immer die gleiche Struktur für Benutzernamen zu wählen. Das kann sein vorname.nachname@… aber auch andere Benennungen sind möglich. Wir kennen sogar einen Kunden, der nur Nummern anstatt Namen vergibt (2354@….). Das erhöht zwar die Sicherheit, macht es aber für Benutzer schwierig, die Richtigkeit einer Mailadresse überprüfen zu können. Wir empfehlen, die Benennung an die richtigen Namen anzulehnen.
  • Benutzerrollen
    Die Benutzenden sollten immer nur die Rolle eines „Benutzers“ erhalten ohne administrative Berechtigungen. Diese Rolle kann man gegen Schluss der Erstellung eines Benutzers wählen. Sind Vorstandmitglieder für gewisse Aufgaben, wie zum Beispiel Pflege der Mitgliederdaten, zuständig, so ist ihnen die entsprechende Rolle für die Bearbeitung der Benutzerdaten zu erteilen. Die höchste Rolle des Global Admin sollte so spärlich wie möglich verteilt werden.

Damit sollten die wichtigsten Sicherheitseinstellungen umgesetzt sein. Natürlich gibt es noch mehr Möglichkeiten, aber dafür muss man sich speziell einlesen und die Vor- uind Nachteile sorgsam abwägen. Mit jeder Sicherheitsmassnahme wird auch die Bedienung für die Benutzenden etwas schwieriger bis zu dem Ausmass, wo Massnahmen wenn immer möglich umgangen werden. Dies wiederum vermindert die Sicherheit stark und sollte vermieden werden. Sicherheitsmassnahmen sollten für Benutzenden einleuchtend und tragbar sein, was auch deren entsprechend gute Information voraussetzt. Nimm dir die Zeit, die Vereinsmitglieder genügend über die neuen Möglichkeiten bei Microsoft 365 aufzuklären. Dies geschieht im besten Fall nicht nur einmal, sondern wiederkehrend (Bsp. regelmässiger Artikel in der Vereinszeitschrift).

Im nächsten Artikel vom November werde ich erläutern, wie eine gemeinsame Datenablage gestaltet werden kann.