Warum die Sicherheit von Microsoft allein nicht ausreicht

Microsoft hat Microsoft 365 (M365) vor mehr als einem Jahrzehnt als "Office 365" eingeführt, und heute hat diese Cloud-Version seiner Produktivitätssoftware-Suite einen riesigen Marktanteil. Microsoft hält etwa 90 % des Marktes, der Rest entfällt auf Google Workspace, so eine Studie von Gartner.[i]

In der heutigen Zeit der Telearbeit hat eine andere Komponente von M365, Teams, ebenfalls enormen Zulauf erhalten. Unternehmen, die bereits M365 zum Versenden von E-Mails, Erstellen von Dokumenten und Erstellen von Präsentationen nutzen, haben nun dieses voll funktionsfähige Collaboration-Tool als Teil des gleichen Pakets. Anfang 2022 hatte Teams nach Angaben von Microsoft mehr als 270 Millionen aktive monatliche Nutzer.[ii]

Selbst in den Tagen, als die Bedenken über die Marktdominanz von Microsoft noch weit verbreitet waren, hatte der Erfolg von Microsoft aus Sicht der Unternehmensanwender immer eine positive Seite. Die finanziellen Ressourcen von Microsoft ermöglichten eine ständig verbesserte und funktionsreichere Software. Die Umarmung der Cloud-Technologie durch das Unternehmen ist ein zusätzlicher Vorteil für die Nutzer, da sie die Verwendung der Microsoft-Produkte einfacher und nahtloser macht.

Die wichtigste Ausnahme von dieser guten Nachricht ist der Bereich der Cybersicherheit. Da die Software von Microsoft und die Daten seiner Kunden in der Cloud gespeichert sind, haben böswillige Akteure versucht, Schwachstellen auszunutzen. Nur wenige Cloud-Software-Plattformen waren in den letzten Jahren ein größeres Ziel für solche Angriffe als M365.

Die Bemühungen von Microsoft, die Sicherheit von M365 zu verbessern, zeigen erste Erfolge. Produkte wie der Defender, der Teil von Microsofts E3-Version von M365 ist, bieten Anti-Spam- und Anti-Viren-Funktionen und stellen einen guten Einstiegsschutz dar. Das teurere E5-Angebot von Microsoft geht bei der E-Mail-Sicherheit noch weiter und schützt auch vor anderen Bedrohungen, z. B. durch Smartphones und andere Endgeräte, die anfällig sind.

Aber Microsoft ist keineswegs ein Sicherheitsunternehmen. Das bedeutet, dass Chief Information Security Officers (CISOs), die sich für den Datenschutz in ihrem Unternehmen ausschließlich auf Microsoft verlassen, de facto eine Entscheidung treffen, Sicherheitslösungen zu akzeptieren, die in bestimmten Bereichen nicht zum Besten gehören, was es gibt. Sie sind auch den Problemen ausgesetzt, die sich aus dem Betrieb in einer Software-Monokultur ergeben, einschließlich des Problems, dass es viele Cyberangreifer gibt, die Jahre damit verbracht haben, das System zu lernen und herauszufinden, wie man es infiltrieren kann.

Die Vorteile der mehrschichtigen Sicherheit

Es gibt sicherlich eine Gruppe von M365-Benutzern, die - zum Teil aufgrund des Kostendrucks durch ihre Vorstände oder Finanzabteilungen - alle ihre Sicherheitsanforderungen Microsoft anvertrauen. Aber selbst in dieser Gruppe gibt es einige CISOs, die der Meinung sind, dass es ideal wäre, zusätzliche Sicherheitsebenen von einem externen Anbieter wie Mimecast zu haben. Wie eine Führungskraft aus dem Bereich Cybersicherheit kürzlich in einem Interview sagte[kl1] [WS2], gibt sich ein kluger CISO, der kein Layering betreibt, wahrscheinlich aus Kostengründen mit einer suboptimalen Lösung zufrieden. Jeder CISO, der kann Schicht und ist immer noch nicht tun, fügte der Manager, "ist ein Narr".

Es gibt fünf Hauptvorteile von Lagenbildung:

1. Besserer Schutz vor bösartigen E-Mails: Ein bewährtes Verfahren für die Sicherheitsschichtung ist die Verwendung eines sicheren E-Mail-Gateways (SEG) mit M365. SEGs[kl3] [WS4] sitzen vor den M365-E-Mail-Servern und eliminieren einen Großteil der E-Mails, die eine Bedrohung durch Phishing, Kontoübernahme, VIP-Impersonation oder Ransomware darstellen.

Eine Möglichkeit, über den Wert einer SEG nachzudenken, besteht darin, sich vorzustellen, dass die eigene Organisation eine souveräne Nation ist. Ein Unternehmensanwender von M365 sollte eine SEG aus demselben Grund einsetzen, aus dem souveräne Staaten nachrichtendienstliche Operationen in Übersee durchführen: um die Bedrohung zu beseitigen, solange sie sich noch außerhalb des Landes befindet und nicht innerhalb.

Allerdings wird das Ökosystem für den Schutz immer vielfältiger. Insbesondere gibt es eine Reihe von Sicherheitsanbietern, die ein anderes Modell für M365-E-Mail-Sicherheit verwenden. Die Systeme dieser Anbieter von integrierter Cloud-E-Mail-Sicherheit befinden sich hinter M365 und nicht davor und haben die Aufgabe, schädliche E-Mails erneut zu prüfen und abzufangen, falls Microsofts eigene Sicherheit eine E-Mail durchlässt. Das Risiko besteht darin, dass ein Massenangriff die Fähigkeit eines solchen Systems überfordert, alle bösartigen E-Mails rechtzeitig zu erkennen, und dass ein Benutzer in der Zwischenzeit auf eine E-Mail klicken könnte.

2. Vermeidung von E-Mail-Ausfällen: Auch wenn M365 im Allgemeinen zuverlässig ist, ist es nicht perfekt. Eine Reihe von M365-Dienstunterbrechungen Ende 2020 bewies dies und war für Unternehmen in bestimmten Teilen der USA problematisch, da sie Outlook, OneDrive und Teams nicht nutzen konnten.[iii]

Darüber hinaus scheint die Häufigkeit von M365-E-Mail-Ausfallereignissen zuzunehmen. Im Bericht 2022 State of Email Security von Mimecast gaben zwei von drei Unternehmensanwendern von M365 an, dass sie in den letzten 12 Monaten einen E-Mail-Ausfall erlebt haben, der entweder eine "moderate" oder "schwere" Auswirkung auf ihr Unternehmen hatte. Das ist ein Anstieg von 49 % der M365-Nutzer, die dies 2021 sagten, und von 42 % der Nutzer, die dies 2020 sagten.

Einer der Vorteile einer guten SEG ist, dass ein E-Mail-Administrator mit wenigen Tastendrücken alle E-Mail-Aktivitäten vorübergehend auf die SEG-Plattform umstellen kann.

3. Bewahrung der Daten: Die Daten in E-Mails und anderen Unternehmenssystemen sind nicht nur "nice to have"; sie umfassen Geschäftsentscheidungen, gemeinsam genutzte Dateien, Aufzeichnungen und andere wichtige Daten. Für Unternehmen in Branchen wie dem Gesundheits- und Finanzwesen kann die Aufrechterhaltung des Systems eine gesetzliche Verpflichtung darstellen.

SEG-Anbieter bieten Archivierungslösungen an, die diesen Teil der Compliance-Anforderungen eines M365-Unternehmens vereinfachen und die E-Discovery im Bedarfsfall beschleunigen. Archivierungslösungen können auch dann hilfreich sein, wenn Daten aufgrund einer Sicherheitsverletzung durch Teams verloren gegangen sind - ein immer häufiger auftretendes Problem und ein Bereich, der zunehmend Anlass zur Sorge gibt.[iv]

4. Mehr Sicherheitsdienste und -funktionen: Durch die Konzentration auf die Produktivitätsfunktionen von M365 bietet Microsoft außerhalb der Kernbereiche der Sicherheit nicht viel an. Schulungen zur Sensibilisierung, die von entscheidender Bedeutung sind, da menschliches Versagen bei 94 % aller E-Mail-Angriffe eine Rolle spielt, sind nicht Bestandteil von M365. Ein Unternehmen muss weitere Sicherheitsebenen hinzufügen, die über die in M365 verfügbaren hinausgehen, um sicherzustellen, dass alle Bedrohungen gehandhabt werden.

5. Die Möglichkeit, eine Best-of-Breed-Sicherheitslösung aufzubauen: Unternehmen, die großen Wert auf Sicherheit legen, ziehen es vielleicht vor, eine Handvoll verschiedener Anbieter zu nutzen - einen für den Schutz ihrer E-Mail-Systeme, einen zweiten für Endgeräte und vielleicht einen dritten für die Zero-Trust-Netzwerkzugangskontrolle. Dieser Best-of-Breed-Ansatz lässt sich relativ einfach handhaben, wenn sich das Sicherheitsteam für Anbieter von Cybersicherheitslösungen entscheidet, die über eine Bibliothek offener APIs oder standardmäßige Integrationen zwischen verschiedenen Sicherheitsmarken verfügen.

Die Quintessenz

Der Erfolg von Microsoft hat das Unternehmen und seine Kunden in das Fadenkreuz von Cyberkriminellen gebracht. Die zusätzliche Sicherheit, die Microsoft seiner M365-Plattform hinzufügt, ist ermutigend und bietet einen grundlegenden Schutz gegen Spam und Viren, die durch E-Mails übertragen werden. Viele Unternehmen werden jedoch darüber hinausgehen wollen, indem sie ihre Verteidigung verstärken und ihre Abläufe mit zusätzlichen Tools und Technologien von etablierten Sicherheitsanbietern schützen. Lesen Sie, wie Mimecast Ihre Investitionen in M365 schützen kann.

[i] "As Google moves to reshape Workspace, barriers to business adoption remain," Computerworld

[ii] "Microsoft: Teams hat jetzt mehr als 270 Millionen monatlich aktive Nutzer," ZDNet

[iii] "Very Frustrating': Microsoft Office 365-Ausfall trifft die USA erneut," ZDNet

[iv] "Microsoft Teams ist die neue Grenze für Phishing-Angriffe," VentureBeat