Zuständigkeit, Sicherheit und Compliance bei hybrider Arbeit Hafnium wird dunkles Omen fürs Home Office

Autor / Redakteur: Dominic Kunkel / Peter Schmitz

Cloud- und Collaboration-Produkte erleben in der Corona-Pandemie einen regelrechten Boom, verbinden räumlich getrennte Mitarbeiter und unterstützen so hybride Arbeitsmodelle. Bei allen Vorzügen sollten Unternehmen jedoch auch Datensicherheit und Cyberattacken im Blick behalten, denn: Nachlässigkeiten können schwerwiegende Folgen haben – wie der Angriff auf Microsoft Exchange Server zeigt.

Firmen zum Thema

Fürs Home Office gilt: Unternehmen sollten Updates zeitnah einspielen und Cloudlösungen um weitere Schutzfunktionen ergänzen.
Fürs Home Office gilt: Unternehmen sollten Updates zeitnah einspielen und Cloudlösungen um weitere Schutzfunktionen ergänzen.
(Bild: © agcreativelab - stock.adobe.com)

Vor Beginn der Corona-Pandemie wurde das mobile Arbeiten hierzulande mehr oder weniger ausgeprägt in Unternehmen praktiziert. Besonders das Thema Homeoffice war längst nicht so selbstverständlich und flächendeckend verbreitet. Anfang 2020 mussten jedoch hierzu gezwungenermaßen schnelle Entscheidungen gefällt werden, um Mitarbeiter und Firmenexistenzen zu schützen.

Es ist kein Wunder, dass die Nachfrage nach Microsoft 365 in Corona-Zeiten so stark gestiegen ist. Denn cloudbasierte Office- und Kollaborationssoftware ist quasi prädestiniert für das Arbeiten im Homeoffice oder für flexible Hybrid-Modelle aus mobilen Arbeitsplätzen und der Büropräsenz in Teilzeit. Die hohe Skalierbarkeit macht es Unternehmen relativ leicht, auch einer großen Anzahl an Mitarbeitern kurzfristig eine Arbeitsumgebung zu Hause einzurichten. Und aus Nutzersicht ermöglichen Tools wie Outlook, Teams oder OneDrive eine reibungslose digitale Zusammenarbeit trotz räumlicher Trennung. Dabei wird leider zu oft vergessen, ein entsprechendes IT-Sicherheitskonzept zu erstellen und umzusetzen, um die firmeneigenen Daten in der Cloud zu schützen. Teils geschieht dies aus Zeitknappheit, teils aber auch aufgrund eines mangelnden Bewusstseins im Hinblick auf die potenziellen Risiken.

Datensicherheit und Zuständigkeit

Erfahrungsgemäß herrscht bei einigen Unternehmen der etwas blauäugige Gedanke vor, dass Microsoft auf sämtliche Daten der Cloud-Kunden ein wachsames Auge hat. Bis zu einem gewissen Grad entspricht dies zwar auch den Tatsachen: Microsoft hat die Verantwortung für die physische Infrastruktur der Microsoft-365-Dienste, für die Steuerungsmöglichkeiten von Benutzern und Administratoren, die logische Sicherheit sowie die Sicherheit auf Applikations-Ebene. Ähnliches gilt in einem gewissen Rahmen für den Datenschutz, behördliche Kontrollen und Branchenzertifizierungen (z.B. HIPAA).

Welchen Teil der Anwender allerdings selbst übernehmen muss, ist ihm aber meist nicht hundertprozentig klar. Ein womöglich folgenschwerer Fehler, denn im Kontext der Datensicherheit sind zahlreiche Aspekte zu klären: Was ist mit Malware, Ransomware und sonstigen Schadprogrammen, die es auf Zugangsdaten und sensible Unternehmensinformationen abgesehen haben? Wie steht es um Betriebs- und Branchenvorschriften für Dateneigentümer, Anforderungen der Rechts- und Compliance-Beauftragten und die generelle Gewährleistung einer gewissen Sensibilität für Datensicherheit innerhalb der Belegschaft? Was ist mit Hackerangriffen, versehentlichem Löschen von Daten oder boshaftem Manipulieren durch Insider Threats?

Zwar sind in Microsoft 365 einige Funktionen integriert, welche das Wiederherstellen von E-Mails oder anderen Elementen, die aus Versehen gelöscht wurden, zumindest in einem gewissen Zeitraum ermöglichen. Aber diese reichen in der Regel nicht aus, um den eigenen und gesetzlichen Vorgaben hinsichtlich Aufbewahrungsfristen und Wiederherstellungsoptionen gerecht zu werden. Schon gar nicht hat man innerhalb von Microsoft 365 die Möglichkeit, zu einem bestimmten Zeitpunkt, beispielsweise vor dem Befall durch Ransomware, zurückzukehren. Verschlüsselte Daten wieder zugänglich zu machen, wäre aber gerade in solchen Fällen von essenzieller Wichtigkeit.

Exploits in Microsoft Exchange Server

Wie schnell ein gravierendes Sicherheitsproblem in einer weit verbreiteten Office-Anwendung auftreten kann, zeigen die jüngsten Vorfälle: Anfang März dieses Jahres wurden mehrere als kritisch eingestufte Schwachstellen in verschiedenen Versionen von Microsoft Exchange Server publik. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) schätzte, dass allein in Deutschland zehntausende Rechner durch die Zero Day Exploits über das Internet angreifbar seien und zu dem damaligen Zeitpunkt möglicherweise bereits mit Malware infiziert gewesen sein könnten. Und es gilt zu beachten: Selbst wenn die Folgen eines Angriffs bis heute nicht erkennbar sind, kann ein IT-System trotzdem befallen sein.

Von den Sicherheitslücken in Exchange-Servern sind Unternehmen und Organisationen jeder Größe und Branche betroffen – und die Bedrohung dauert noch an. Bis heute nimmt die Zahl der Opfer kontinuierlich zu. Doch worin genau liegt die Gefahr? Eine Angreifergruppe nutzt die Exploits per Fernzugriff aus und verschafft sich so einen vollständigen Zugang zu den E-Mail-Konten auf dem Server. Besonders heikel: Exchange-Server besitzen in vielen Infrastrukturen standardmäßig hohe Rechte im Active Directory. Dies ebnet Cyberkriminellen den Weg für weitergehende, tiefgreifende Angriffe mithilfe der Administratorrechte eines übernommenen Systems. Diese Attacken könnten dann sogar bis zur Kompromittierung der gesamten Domäne reichen. Es besteht zudem ein erhöhtes Risiko einer Infektion mit Ransomware und eines Datenverlusts oder Datendiebstahls.

Wie können Unternehmen ihre Daten schützen?

Im Hinblick auf die Schwachstellen in Microsoft Exchange Server sollten Unternehmen – falls noch nicht geschehen – unverzüglich die von Microsoft bereitgestellten Sicherheitsupdates installieren. Zudem ist es ratsam, die im cloudbasierten Office-Paket vorhandenen Schutzfunktionen noch um weitere Schutzmaßnahmen zu ergänzen. Mit dedizierten Backup-Tools oder einer einer Lösung für Privileged Access Management lässt sich so eine vollständige und rechtskonforme Datensicherung gewährleisten. An diesen Schutzmaßnahmen führt kein Weg vorbei, schließlich gilt es, die eigenen Daten und damit einen der Grundbausteine einer Firmenexistenz zu schützen.

Über den Autor: Dominic Kunkel ist Head of Cloud & Datacenter Services bei magellan netzwerke, einem Tochterunternehmen der FERNAO Networks Holding.

(ID:47471990)