Cyber-Security-Trends und To-dos in der Microsoft Cloud

Der Umzug in die Cloud führt unweigerlich zur Konfrontation von IT- und Prozessverantwortlichen mit neuen Herausforderungen. Compliance-Themen wie Datenschutzkonformität oder die Vertragsgestaltung mit dem Cloud Service Provider und organisatorische Brennpunkte wie die Strukturierung der neuen File-Ablage mit Microsoft Teams und Sharepoint werden breit diskutiert. Auch Sicherheitsthemen dürfen in diesem Diskurs nicht vergessen werden: Microsoft 365 bringt von Haus aus einige Sicherheitsfunktionen mit, die zu berücksichtigen sind.


Der Angriff auf Solarwinds, ein auf Netzwerkmanagement-­Software spezialisiertes US-Unternehmen, zeigt eindrücklich, welchen Stellenwert angemessene Sicherheitsmassnahmen in der Microsoft-365-Umgebung haben: Beim Angriff Ende 2020 war der Befall der Microsoft-365-Umgebung ein wichtiger Schritt, der damals zur Kompromittierung von Solarwinds und zur Verbreitung von Schadsoftware an die Kunden des Unternehmens führte. Um aus Sicht eines Angreifers Zugriff auf eine Microsoft-365-Umgebung zu erhalten, wird zunächst ein gültiger Benutzeraccount benötigt. Dieser kann auf unterschiedliche Weise erlangt werden. Zu den häufigsten Methoden gehören heute verschiedene Formen von Passwortattacken wie beispielsweise Credential-Stuffing- und Password-Spraying- sowie Phishing-Angriffe.

Konnte ein gültiger Account kompromittiert werden, bestehen viele Möglichkeiten für weiterführende Angriffe, abhängig von den Eigenheiten der kompromittierten Organisation:

A) Stehlen von vertraulichen oder geheimen Geschäftsinformationen zur Erpressung.

B) Einrichtung von Weiterleitungsregeln, sodass der Mailverkehr auf einen Account des Angreifers weitergeleitet wird.

C) Versuch, mit Mails vom kompromittierten Konto aus Geldflüsse umzuleiten (zum Beispiel CEO Fraud).

D) Nutzung des kompromittierten Accounts für Phishing-Angriffe aus dem Inneren der befallenen Organisation – beispielsweise, um an einen Admin-Account heranzukommen.

E) Angriffe auf die Lieferkette der Organisation unter Verwendung des kompromittierten Accounts.

F) Die Verwendung des E-Mail-Postfachs, um Zugriff auf andere Accounts der betroffenen Person zu erhalten, beispielsweise Social Media, für den Zugriff auf Informationen mit Erpressungspotenzial.

Aktuelle Angriffe auf Microsoft-365-Umgebungen enthüllen zudem neue Tools und Taktiken, die Cyber-Kriminellen beim Befall helfen: Hauseigene Produkte wie Power Automate und Ediscovery wirken als Brandbeschleuniger im Fall der Kompromittierung einer unzureichend sicher konfigurierten Microsoft-365-Umgebung. Power Automate wird als «das neue Power­shell» bezeichnet. Solche Tools dienen Systemadministratoren zur Automatisierung von wiederkehrenden Abläufen, können in den falschen Händen aber beispielsweise auch dazu dienen, Daten effizient, automatisiert und ohne bemerkt zu werden an einen vom Angreifer kontrollierten Server zu übermitteln. Mit Ediscovery lassen sich wiederum einfach Suchabfragen über die ganze Microsoft-365-Umgebung starten. Ediscovery ist ein Feature von Microsoft 365 zur Ermittlung und Sicherung von Beweisen in E-Mails, Geschäftskommunikation und anderen Daten, um sie in Rechtsstreitigkeiten verwenden zu können. Cyberkriminelle können mit diesem Feature, sofern der Zugriff nicht eingeschränkt ist, gezielt sensitive Informationen suchen, beispielsweise intern ausgetauschte Passwörter.

Mit einigen elementaren Vorkehrungen lassen sich Angriffe auf eine Microsoft-365-Umgebung proaktiv unterbinden oder erkennen. Unter Berücksichtigung der nachfolgenden Punkte erschwert man Angreifern das Leben.

11-Punkte-Check für ein angemessenes Sicher­heitsniveau einer Microsoft-365-Umgebung

1. Conditional Access und Mehrfaktor-Authentifizierung
Der Einsatz von Mehrfaktor-Authentifizierung (MFA) gilt heute als die empfohlene Praxis für alle über das Internet erreichbaren Systeme, auch für Microsoft 365. MFA gilt für Administratoren als MUSS-Anforderung und als SOLL-Anforderung für andere Benutzer. Die Einrichtung von MFA erfolgt am besten über eine Conditional Access Policy. Als mögliche Faktoren können nebst den Klassikern wie SMS-Code, Authenticator Apps und FIDO-2 Sticks auch andere eingerichtet werden. Der Zugriff kann von einem Gerät erfolgen, das mit beziehungsweise im Azure Active Directory (AD) registriert/joined/compliant ist, oder er erfolgt aus einem vertrauenswürdigen Netzwerk heraus. Mit Conditional Access lässt sich zudem der Zugriff auf IP-Adressen aus der Schweiz einschränken, was für lokal verankerte Organisationen klar empfohlen ist.

2. Regulierung und Prüfung der Administratoren-­Gruppen
Die bestehenden Administratoren-Gruppen sollten regelmässig geprüft werden, insbesondere diejenigen mit globalen Administratoren. Die Anzahl der Global Admins ist auf das erforderliche Minimum zu reduzieren. Es sollte kritisch hinterfragt werden, ob die Administratoren-Berechtigungen gemäss «Need to know» realisiert sind, und es sollten keine Kompromisse eingegangen werden. Auch sollte dafür gesorgt sein, dass dedizierte Admin-Accounts nur für die Systemadministration und nicht für Alltagsarbeiten eingesetzt werden.


3. Schutz der Mitarbeitenden beim Bearbeiten von E-Mails
Mit einer Nachrichtenflussregel sollte sichergestellt werden, dass unsichere Dateiendungen, beispielsweise Word-Dokumente mit Makros, .docm, nicht als E-Mail-Attachments versendet oder erhalten werden dürfen. Ausserdem sollte für alle E-Mail-Adressen der SPF-Record, die DKIM-Signatur und der DMARC-Check konfiguriert werden, um die Mitarbeitenden bestmöglich vor schadhaften E-Mails zu bewahren.

4. Unterbinden der Weiterleitung von E-Mails
Es sollte eine Nachrichtenflussregel konfiguriert werden zur Unterbindung von automatischen Weiterleitungsregeln nach extern.

5. Nutzung der verfügbaren Reports zur Erkennung von Angriffen
Microsoft stellt diverse Reports zur Verfügung, die wichtige Sicherheitsinformationen über die Microsoft-365-Umgebung geben. Besonders wichtig sind beispielsweise
- Reports zu riskanten Anmeldungen im Azure AD («Risky Sign-ins Report»)
- Änderungen der Berechtigungen der Benutzer (via Audit Log Search)
- bestehende Regeln zur Mail-Weiterleitung (via Mail Flow Dashboard)
- auf den Geräten erkannte Malware (via Security und Compliance Center)

6. Automatismen in Power Automate und Suchabfragen in Ediscovery
Der Zugriff zu Konnektoren in Power Automate und auf Ediscovery-Funktionen sollte auf ein erforderliches Minimum reduziert werden.

7. Granulare Zugriffsberechtigungen
Berechtigungsgruppen sollten mit einem sinnvollen Verhältnis zwischen operativer Anwendbarkeit und Granularität der Berechtigungen definiert werden. Der Zugriff auf Informationen in Sharepoint und Microsoft Teams sollte soweit wie möglich eingeschränkt werden, sodass im Fall der Kompromittierung eines Accounts eines Mitarbeitenden kein Kollateralschaden für das Unternehmen entsteht. Es sollte auch darüber nachgedacht werden, ob und inwiefern man Gästen Zugriff auf die Umgebung des Unternehmens gewähren möchte.


8. Data Loss Prevention (DLP) und Microsoft Defender for Cloud Apps
Es sollte der Einsatz von einfachen, schnell realisierbaren DLP Policies geprüft werden. Beispielsweise ist es sinnvoll, das Teilen von IP-Adressen mit externen Parteien zu unterbinden. Dasselbe gilt für die Namen von Hosts bei bestehender interner Namenskonvention. Nachdem passende DLP Policies eingerichtet wurden, kann auch hierzu ein Report regelmässig geprüft werden (siehe Punkt 5). Mit Microsoft Defender for Cloud Apps lässt sich zudem der Abfluss von Daten aus der Microsoft-365-Cloud (wie etwa in eine andere Cloud) erkennen und/oder verhindern.

9. Konfiguration und Auswertung der Audit Logs
Es sollte abgeklärt werden, welche Logs innerhalb der Microsoft-365-Umgebung für das Unternehmen relevant sind und die Aufbewahrungsfrist für die Logs sollte entsprechend den Anforderungen festgelegt werden. Nur so lässt sich gewährleisten, dass im Fall einer Kompromittierung der Umgebung des Unternehmens ein angemessenes Mass an Nachvollziehbarkeit gewährleistet ist.

10. Modern Authentication vs. Basic Authentication
Die Verwendung von Modern Authentication für Sharepoint, Onedrive und Exchange sollte forciert werden, um den Missbrauch veralteter kryptographischer Technologien zu verhindern.

11. Lizenzierungsmöglichkeiten
Schliesslich sollte auch eine Lizenzierung von Microsoft Defender for Endpoints, -O365, -Cloud Apps, der Azure-AD-Pläne oder auch Microsoft Intune geprüft werden. Der Zugriff auf das gesamte Security-Sortiment von Microsoft kann durchaus einen technisch wirksamen Schutz vor Cyber­angriffen bieten.

Nicht zuletzt sollte dafür gesorgt sein, dass alle Mitarbeitenden angemessen für IT-Sicherheitsthemen sensibilisiert und sich der Bedrohungen im Alltag bewusst sind. Auch tut ein Unternehmen gut daran, die Weiterbildung der für die M365-Umgebung zuständigen Systemadministratoren zu gewährleisten: Kaum ein Quartal vergeht, ohne dass Microsoft neue Funktionen hinzufügt oder bestehende Strukturen ändert. Deshalb sollte den Mitarbeitenden die Möglichkeit eingeräumt werden, hierbei am Ball zu bleiben.

Der Autor

Niklaus Manser (ISO 27001 Lead Auditor, BSc Informatik, Digital Native) ist Leiter des IT Security Consultings bei Swiss Infosec. Seit 2011 festigte er seine technischen Kompetenzen im Rahmen von verschiedenen Jobs in der IT sowie mit einem Studium mit Fokus Software-Entwicklung an der Hochschule Luzern. Bei Projekten im Bereich IT Security oder auch in verschiedenen Mandaten als externer IT Security Officer leistet er heute einen Beitrag zur Cyber-­Gesundheit im privaten wie auch im öffentlich-rechtlichen Sektor.