Microsoft Office, die Cloud, Lizenzen und die Sicherheit

Publiziert am 7. März 2020 von Günter Born

[English]Firmen die auf Office 365.com als Cloud-Lösung setzen, laufen gegebenenfalls in Sicherheitsprobleme, wenn sie den 'falschen' Lizenzplan gebucht habe. Hintergrund ist, dass Microsoft Log-Dateien, je nach Abonnement für eine unterschiedliche Zeit (90 Tage bis 1 Jahr) vorhält. Das kann zum Problem führen, wenn ein Angriff auf Office 365 erst sehr spät bemerkt wird.

Anzeige

Für viele IT-Entscheider stellt die Cloud aktuell das Allheilmittel dar, um die IT-Infrastruktur über Drittanbieter bereitstellen zu lassen. Dann muss man sich 'nur noch um die Software kümmern, die in der Cloud läuft'. Speziell Microsoft bietet ja mit Azure sowie Office 365.com entsprechende Cloud-Lösungen an – und der Vertrieb wird nicht müde, die vielen tollen Vorteile zu preisen.

Obacht, an wen man sich bindet

Der geneigte Kunde hat nun bei Microsoft verschiedene Abo-Möglichkeiten (als Pläne bezeichnet) für Office365.com-Abonnements. Es gibt Office 365 E3 und Microsoft 365 E3 Pläne, und es gibt Office 365 E5 oder Microsoft 365 E5 Abonnements.  Vordergründig wird man möglicherweise nur die Preisunterschiede sehen. Aber es interessante Implikationen bei der Wahl des Abonnements, auf die ich über den nachfolgenden Tweet in Verbindung mit Microsoft Office gestoßen bin.

Die Seite Datenschutz Aktuell arbeitet sich im verlinkten Beitrag an der Frage ab, dass die IT-Sicherheit von der Auswahl des Plans für Office365.com abhängt.

Problem: Sicherheitsvorfall in Office 365

Es gibt ja immer wieder Sicherheitsvorfälle, bei denen ein Office 365-Konto durch Angreifer, z.B. über Spear-Phishing, kompromittiert wird. Die Angreifer versuchen über eine gefälschte Anmeldeseite, die oft auf einem gekaperten Server gehostet ist, Zugangsdaten für einen Azure- oder Microsoft 365-Account abzufischen.

Office 365-Anmeldung alt

Der Anmeldeversuch des Benutzers wird dann von den Angreifern mit protokolliert und im ersten Versuch abgelehnt. Das dient dazu, dass der Benutzer diese Anmeldedaten erneut eingibt, so dass die Angreifer diese verifizieren (mit der erste Eingabe abgleichen) können. Klappt der Phishing-Versuch, kann der Angreifer, je nach Konto, Kontaktdaten abziehen oder die Office365 Mails durchsuchen und beobachten. Zudem könnten Exchange Online-Konten und Outlook zum Versand von Mails missbraucht werden. Bei Azure-Konten lässt sich noch mehr Missbrauch treiben. Sind Konten mit einem Active Directory verbunden, können Angreifer sich ggf. auch im Firmennetzwerk bewegen.

Audits anhand der Log-Dateien nicht mehr möglich

Jetzt kommen wir zum Kernproblem: Wurde ein Konto in Office365 kompromittiert, müssen Sicherheitsverantwortliche herausfinden, wann das passierte, wodurch das passierte und auf welche Daten zugegriffen wurde. IT-Forensiker sehen sich dazu die Log-Dateien der Systeme an. So weit so gut.

Anzeige

Und hier laufen die Leute in der Cloud in echte Probleme, wie der Beitrag aufdeckt. Microsoft stellt die Möglichkeit sogenannte Audit Logs in Office365.com bereit. Man kann diese Audit Logs aktiveren und dann die Protokolle auf die Nutzung eines Postfaches, die Benutzeranmeldungen, administrative Tätigkeiten etc. durchsuchen lassen. Das ist das Mittel der Forensik, um einen Sicherheitsvorfall abzuarbeiten.

Die Krux ist aber, dass abhängig vom gewählten Office 365-Plan die benötigten Log-Dateien für unterschiedlich lange Zeiträume verfügbar sind.

  • 90 Tage für Office 365 E3 und Microsoft 365 E3 Pläne
  • 365 Tage für Office 365 E5 oder Microsoft 365 E5 Pläne

Wer jetzt einen Sicherheitsvorfall erleidet und einen E3-Plan für sein Office 365 oder Microsoft 365 hat, muss sich echt beeilen. Liegt ein Angriff länger als 3 Monate zurück, bevor er entdeckt wird (und das ist oft der Fall), sind keine Log-Daten mehr über die Cloud und die Audit Logs für das Konto abrufbar. Die Aufklärung eines Hacks ist über diese Schiene nicht mehr möglich.

Wer von dieser Problematik tangiert ist oder sich für die Details interessiert, sollte den deutschsprachigen Beitrag hier durchgehen. Dort werden diverse Szenarien und Fragen abgearbeitet. Beim Schreiben des Beitrags fiel mir im Hinterkopf dann noch der Beitrag Sicherheitsinfos (25.2.2020) ein. Dort hatte ich im Abschnitt Microsoft Office 365 patzt beim Schutz vor Emotet skizziert, dass beim Wechsel von einem lokalen Office auf Office 365 die meisten Office-365-Versionen die Vorgaben aus Gruppenrichtlinien ignorieren, ohne dass dies so gemeldet wird.

Diese Episode zeigt mir wieder einmal mehr, dass mit dem Wechsel zur Cloud ein 'Damokles-Schwert' über jedem IT-Verantwortlichen hängt. Die Vorstellung bei manchem Manager, durch 'Outsourcing zu einem Cloud-Anbieter' Mitarbeiter und Kenntnisse einsparen zu können, erweist sich als Fata-Morgana, die genau bis zum ersten Problem vorhält und schnell im Desaster enden kann. Die vielen Sicherheitsvorfälle in letzter Zeit, die auch Daten in der Cloud betreffen, sprechen eine deutliche Sprache – oder wie seht ihr das?

Ähnliche Artikel:
Microsoft Office 365-Anmeldung wird überarbeitet
Sicherheitsinfos (25.2.2020)
Spionage: Cloud Snooper kommuniziert via Firewalls
Warum Cloud-Fehlkonfigurationen häufig sind
Cloud-Störung bei Microsoft 365? (22.2.2020)
Cloud-Security, gute Vorsätze für 2020
Nützliche Tools für die AWS-Cloud-Sicherheit
Datenschutzbedingungen für die Microsoft-Cloud geändert
Datenleck bei Microsoft: 250 Mio. Call-Center-Datensätze in Cloud öffentlich zugänglich
Europäische Cloud Gaia X, und der Krypto-Schlüsselunfall bei einem deutschen Cloud-Anbieter

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Cloud, Office, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu Microsoft Office, die Cloud, Lizenzen und die Sicherheit

  1. Max sagt:
    7. März 2020 um 10:30 Uhr

    Lobeshymnen für die Cloud habe ich noch nie verstanden. Ich sehe durch Personal- und vermeintlichen Kosteneinsparungen, indem ich Hardware, Software und Wissen outsource, keinen "Wettbewerbsvorteil". Klar, die Flexibilität spricht wiederum für die Cloud, aber die fehlende Individualität durch individuelle Geschäftsprozesse der individuellen Kunden überwiegt in allen Fällen.

    Da erinnere ich mich jüngst an eine Diskussion um "ERP aus der Cloud". Die Suche nach einer Alternative für ein noch gültiges On-Premises-ERP (wird durch Hersteller eingestellt, nur noch Cloud-basierte Lösungen) gestaltet sich für meinen Arbeitgeber derzeit als ein unüberwindbares Hindernis. Die Ablehnung der Cloud kann ich sehr gut nachvollziehen. Viele ERP-Systeme sind benutzerunfreundlich, technisch veraltet, zu träge oder auch einfach zu komplex. Da will ich noch nicht mal über das grottige Design diverser ERP-Lösungen reden. Zurück zum Thema…

    Gerade kapitalschwache Unternehmen müssen verstehen, dass das Insolvenzrisiko um ein Vielfaches höher ist, wenn sie sich von einem einzigen Anbieter abhängig machen, denn in vielen Cloud-Migrationsplänen sehe ich weder rotierende Backup-Lösungen (täglich wechselnde Backup-Medien), Redundanz noch alternative Zugänge, wenn die klassische Internetleitung mal ausfällt. Im Klartext: Fällt die Cloud mal aus, dann sind die Schäden um ein Vielfaches höher. Dann ist auch das Geschrei groß, wenn vor Ort kein Ansprechpartner existiert oder der Hersteller-/Provider-Support über Call-Center von Drittanbietern Personal beschäftigen lässt, dass schlechtes Deutsch spricht. HP fällt mir da immer wieder negativ auf.

    Zudem sollte man auch erkennen können, dass eine zentralisierte Infrastruktur für Kriminelle eine willkommene Einladung ist, denn man erleichtert ihnen die Arbeit. Ich kenne kaum Unternehmen, die Multi-Cloud-Lösungen (nicht zu verwechseln mit Hybrid-Cloud-Lösungen) einsetzen, um für die Eventualitäten vorbereitet zu sein. Zudem müssen zwischen den Cloud-Providern Interoperabilität und ein annähernd gleiches Ausstattungs- und Sicherheitsniveau in puncto Skalierbarkeit, Redundanz, Backup, allgemeiner IT-Sicherheit und so weiter bestehen.

    Die Abschottungspraxis in der IT zeigt allerdings, wo die Grenzen sind, schließlich wollen Unternehmen ihre Kunden über den Lock-in-Effekt dauerhaft an sich binden. IT-Sicherheit hat wie die Sicherheit allgemein ihren Preis, aber den kalkulieren Unternehmen oft nicht ein und wenn, dann oft viel zu gering. Wer genau hinschaut, erkennt, dass Cloud am Ende viel teurer ist. Da ist der Datenschutz noch nicht mal ansatzweise thematisiert worden.

    Antworten
  2. Knusper sagt:
    7. März 2020 um 16:59 Uhr

    Wenn man in einem "kapitalschwachen Unternehmen" arbeitet, erkennt man, dass man nicht alles selbst machen kann. Alles selbst hosten, selbst administrieren, aktuell halten usw. Ein guter Admin kostet (viel) Geld – jeden Monat. Er muss auch bezahlt werden, wenn alles läuft. Er sollte nicht im falschen Moment Urlaub machen oder krank werden. Um halbwegs mithalten zu können, muss man auslagern. Dieser Aspekt kommt bei vielen Clouddiskussionen zu kurz.

    Dabei wurde jetzt noch nicht mal ein schlechter oder halbwegs guter Admin erwähnt. Dieser ist eine viel größere Gefahr für so eine Firma. Da will man noch nicht mal das Thema Datenschutz thematisieren.

    Antworten
  3. Onkel Hotte sagt:
    9. März 2020 um 10:31 Uhr

    Wir haben primär E1 Lizenzen, wie es wohl da bezüglich der Vorhaltezeit ausschaut?
    Ich warte auch noch auf den Tag, an dem wir einen "Dawn Raid" Besuch bekommen werden und die Beamten von uns Emails von irgendwann mal haben wollen. Da werden sich die Chefs wundern warum das bei O365 nicht so einfach wird (wenn man nicht die entsprechend teuren Lizenzen hat)

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.