Microsoft Teams Security - Absichern von virtuellen Meetings

Microsoft Teams Security

Absichern von virtuellen Meetings

Tomaso Vasella
von Tomaso Vasella
am 14. April 2020
Lesezeit: 12 Minuten

Keypoints

So sichern Sie Microsoft Teams ab

  • Aufgrund der COVID-19 Pandemie finden viele Sitzungen, Vorträge und Schulungen online statt
  • Microsoft Teams ist eine der am häufigsten für virtuelle Meetings eingesetzten Lösungen
  • Solche Lösungen sind durch die rasant steigenden Benutzerzahlen für Angreifer zunehmend interessant
  • Durch verschiedene Massnahmen auf Seite Anwender und Administrator kann zu einer sicheren Verwendung von Teams beigetragen werden

Social Distancing und Home Office haben diverse Aktivitäten von Unternehmen, Verwaltungen und Privatpersonen ins Internet verlagert. Anwender verwenden deshalb in rasch zunehmendem Ausmass neue Applikationen und Plattformen zur online Kommunikation und zur Zusammenarbeit. Einige der populären Anwendungen haben durch diese besondere Situation in sehr kurzer Zeit Millionen von Benutzern erreicht. Interaktionen, die zuvor in der physischen Welt stattgefunden haben, werden nun über digitale Plattformen abgewickelt, deren Sicherheit nicht immer bekannt ist und die teilweise sogar bekannte Schwachstellen aufweisen. Werden die Sicherheitsaspekte nicht ausreichend berücksichtigt, können leicht unerwünschte Effekte auftreten, insbesondere, da Angriffe auf diese Plattformen durch die grosse Anzahl von Benutzern für Angreifer zunehmend interessant geworden sind.

Microsoft Teams ist eine Lösung, die Videokonferenzen, Besprechungen, Notizen und Dateiaustausch kombiniert und sich mit Apps erweitern lässt. Teams ist in Microsoft 365 (M365, vormals Office 365) integriert und Bestandteil der meisten M365-Subskriptionen. Teams ist eine der populärsten Anwendungen für virtuelle Meetings, nicht zuletzt als Folge der grossen Verbreitung von M365.

Die nachfolgenden Abschnitte geben eine Übersicht der wichtigsten Begriffe und der Möglichkeiten für Anwender und für Administratoren zur Absicherung von Teams.

Teilnehmerrollen und Benutzertypen

Die Bedeutung der im Zusammenhang mit Teams verwendeten Bezeichnungen ist leider nicht immer leicht verständlich und sie werden in den Unterlagen von Microsoft nicht konsistent verwendet. Eine Zusammenstellung der wichtigsten Begriffe ist daher hilfreich.

Teilnehmerrollen

Für Anwender, d.h. Benutzer, die an Teams-Meetings teilnehmen oder solche organisieren, sind vor allem die Teilnehmerrollen relevant (Participant Roles, englische Bezeichnungen sind in Klammern angegeben):

Benutzertypen

Es wird zwischen folgenden Benutzertypen unterschieden:

Einstellungsmöglichkeiten für Anwender

Viele sicherheitsrelevante Einstellungen für Teams werden durch den Teams-Administrator bzw. den M365-Administrator zentral eingestellt. Als Anwender kann man dennoch ein paar Vorkehrungen treffen, um unerwünschten Personen die Meeting-Teilnahme zu erschweren.

Warteraum verwenden

Der Ersteller einer Teams-Besprechung (Organisator) kann steuern, wer direkt an Teams-Meetings teilnehmen kann und wer zuerst in einem Warteraum (Lobby) auf Zulassung warten muss. Nachdem ein Meeting erstellt wurde, kann der Organisator über die Meeting-Optionen Einstellungen für den Wartebereich vornehmen.

Optionen für Meetings

Wenn sich ein Teilnehmer im Wartebereich befindet, muss ihn ein anderer Teilnehmer, der über die entsprechenden Rechte verfügt zum Meeting zulassen. Was die verfügbaren Einstellungen der Option für den Wartebereich bewirken ist in der gezeigten Tabelle zusammengefasst.

Einstellung Benutzertypen, die direkt an der Besprechung teilnehmen Benutzertypen, die zuerst in die Lobby wechseln
Personen in meinem Unternehmen
  • Benutzer innerhalb des Mandanten
  • Gast des Mandanten
  • Verbundbenutzer
  • Anonyme Benutzer
  • Einwahl über Telefonnetz
Personen in meiner Organisation und vertrauenswürdigen Organisationen
  • Benutzer innerhalb des Mandanten
  • Gast des Mandanten
  • Verbundbenutzer
  • Anonyme Benutzer
  • Einwahl über Telefonnetz
Jeder
  • Benutzer innerhalb des Mandanten
  • Gast des Mandanten
  • Anonymer Benutzer im Verbund
  • Einwahl über Telefonnetz

Einstellungen für den Moderator

Als zweite Option kann gesteuert werden, wer im Teams-Meeting als Moderator (Presenter) agieren kann. Die Möglichkeiten von Moderatoren und Teilnehmern sind wie folgt:

Aktionen Moderatoren Teilnehmer
Sprechen und Sharing von VideoJJ
Teilnahme am Meeting-ChatJJ
Ändern der Einstellungen in den BesprechungsoptionenJN
Andere Teilnehmer stumm schaltenJN
Andere Teilnehmer entfernenJN
Inhalte freigebenJN
Andere Teilnehmer aus der Lobby aufnehmenJN
Andere Teilnehmer zu Moderatoren oder Teilnehmern machenJN
Aufnahme starten oder stoppenJN
Übernehmen der Kontrolle, wenn ein anderer Teilnehmer ein PowerPoint teiltJN

Einstellungsmöglichkeiten für Teams-Administratoren

Weil Teams eng mit SharePoint, OneNote, Exchange und anderen Diensten verknüpft ist, kommt der allgemeinen Sicherheit von M365 besondere Bedeutung zu. Beispielsweise ist es empfehlenswert, für alle Benutzer Zweifaktor-Authentisierung zu aktivieren und die Rechte der Benutzer auf das erforderliche Minimum einzuschränken. Darüber hinaus bietet Teams verschiedene spezifische Einstellungsmöglichkeiten für Administratoren im Teams Admin Center und teilweise in der Teams App. Eine Übersicht über die in Teams eingebauten Sicherheitsfunktionalitäten kann bei Microsoft nachgelesen werden. Die wichtigsten Einstellungen, die Administratoren zentral vornehmen können, sind in den folgenden Abschnitten beschrieben.

Teams-Einstellungen

Für jedes definierte Team lassen sich Einstellungen für die Berechtigungen und für die Kanäle vornehmen, die am besten soweit wie möglich eingeschränkt werden.

Berechtigungen für die Teams

Teams Policies

Mittels Teams Policies lassen sich verschiedene Aspekte für Meeting-Benutzer zentral festlegen. Hier ist es wie bei allen Einstellungen empfehlenswert, nicht benötigte Features einzuschränken.

Bearbeiten von Benutzerrichtlinien

Besprechungseinstellungen

In den Besprechungseinstellungen kann definiert werden, ob anonyme Teilnehmer an Teams-Meetings teilnehmen können. Wenn möglich sollte dies deaktiviert werden.

Einstellung für anonyme Benutzer

Berechtigungsrichtlinien für Apps

Innerhalb von Teams lassen sich Apps verwenden. Die App-Berechtigungsrichtlinien steuern, welche Apps den Teams-Benutzern in der Organisation zur Verfügung stehen. Auch hier empfiehlt es sich, so wenig wie nötig zu erlauben.

Richtlinien für Apps

Cloud Storage

Als Administrator kann in den Teams-Einstellungen definiert werden, welche Cloud Speicherdienste von Drittanbietern für Benutzer von Teams verfügbar sind. Diese Optionen werden dem Benutzer direkt in Teams verfügbar gemacht. Es ist empfehlenswert, diese Optionen zu deaktivieren.

Optionen für Cloud-Speicher von Drittanbietern

Fazit

Das Absichern von Teams mag auf den ersten Blick recht einfach erscheinen, kann aber zumindest für die Teams-Administratoren komplex werden, da sich diverse Einstellungsmöglichkeiten von M365 und Teams überlagern und die von Microsoft verwendeten Begriffe nicht immer intuitiv verständlich sind. Für Administratoren ist es deshalb unumgänglich, sich eingehend mit den Sicherheitsaspekten von M365 und damit auch mit denjenigen des Azure Active Directory auseinander zu setzen. Für die Anwender gilt einmal mehr: Vertrauen ist gut, Kontrolle ist besser – besonders im Hinblick auf unerwartete Meeting-Teilnehmer und durch diese geteilte Inhalte.

Über den Autor

Tomaso Vasella

Tomaso Vasella hat seinen Master in Organic Chemistry an der ETH Zürich abgeschlossen und ist seit 1999 im Bereich Cybersecurity aktiv. Positionen als Berater, Engineer, Auditor und Business Developer zählen zu seinen Erfahrungen. (ORCID 0000-0002-0216-1268)

Links

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

×
Datenverschlüsselung in der Cloud

Datenverschlüsselung in der Cloud

Tomaso Vasella

Offerten erstellen

Offerten erstellen

Tomaso Vasella

Schweregrade und Risiken

Schweregrade und Risiken

Tomaso Vasella

Sie wollen mehr?

Weitere Artikel im Archiv

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

Sie wollen mehr?

Weitere Artikel im Archiv