Social Distancing und Home Office haben diverse Aktivitäten von Unternehmen, Verwaltungen und Privatpersonen ins Internet verlagert. Anwender verwenden deshalb in rasch zunehmendem Ausmass neue Applikationen und Plattformen zur online Kommunikation und zur Zusammenarbeit. Einige der populären Anwendungen haben durch diese besondere Situation in sehr kurzer Zeit Millionen von Benutzern erreicht. Interaktionen, die zuvor in der physischen Welt stattgefunden haben, werden nun über digitale Plattformen abgewickelt, deren Sicherheit nicht immer bekannt ist und die teilweise sogar bekannte Schwachstellen aufweisen. Werden die Sicherheitsaspekte nicht ausreichend berücksichtigt, können leicht unerwünschte Effekte auftreten, insbesondere, da Angriffe auf diese Plattformen durch die grosse Anzahl von Benutzern für Angreifer zunehmend interessant geworden sind.

Microsoft Teams ist eine Lösung, die Videokonferenzen, Besprechungen, Notizen und Dateiaustausch kombiniert und sich mit Apps erweitern lässt. Teams ist in Microsoft 365 (M365, vormals Office 365) integriert und Bestandteil der meisten M365-Subskriptionen. Teams ist eine der populärsten Anwendungen für virtuelle Meetings, nicht zuletzt als Folge der grossen Verbreitung von M365.

Die nachfolgenden Abschnitte geben eine Übersicht der wichtigsten Begriffe und der Möglichkeiten für Anwender und für Administratoren zur Absicherung von Teams.

Teilnehmerrollen und Benutzertypen

Die Bedeutung der im Zusammenhang mit Teams verwendeten Bezeichnungen ist leider nicht immer leicht verständlich und sie werden in den Unterlagen von Microsoft nicht konsistent verwendet. Eine Zusammenstellung der wichtigsten Begriffe ist daher hilfreich.

Teilnehmerrollen

Für Anwender, d.h. Benutzer, die an Teams-Meetings teilnehmen oder solche organisieren, sind vor allem die Teilnehmerrollen relevant (Participant Roles, englische Bezeichnungen sind in Klammern angegeben):

• Organisator (Organizer): Der Meeting-Organisator ist derjenige Anwender, der eine Teams-Besprechung erstellt. Nur Benutzer mit einem M365-Account bzw. einer Teams-Lizenz können Organisatoren sein und können alle Teilnehmeraspekte kontrollieren.
• Moderator (Presenter): Ein Benutzer mit der Berechtigung, Informationen in einer Besprechung zu präsentieren. Ein Organisator ist immer auch ein Moderator und bestimmt, wer sonst noch Moderator sein kann. Ein Organisator kann dies festlegen, wenn eine Besprechung erstellt wird oder während der Besprechung, d.h. ein Moderator kann auch einen Teilnehmer während der Besprechung zu einem Moderator machen.
• Teilnehmer (Attendee): Ein Benutzer, der zu einer Besprechung eingeladen wurde, aber nicht als Moderator berechtigt ist.

Benutzertypen

Es wird zwischen folgenden Benutzertypen unterschieden:

• Nutzer, die zum Mandaten gehören: Teilnehmer, die zur gleichen M365 Organisation (Tenant) gehören, wie der Organisator (Ersteller) des Meetings. Dies sind Benutzer, die über ein Konto im Azure AD der entsprechenden Organisation verfügen. Hierzu gehören auch eingeladene Gastkonten.
• Nutzer, die nicht zum Mandaten gehören: Diese Benutzer haben kein Konto im Azure AD der entsprechenden Organisation und es gibt zwei Arten davon:
  • Verbundbenutzer (Federated Users, External Users): Verbundbenutzer verfügen über gültige Anmeldeinformationen in einer anderen Organisation bzw. in einem anderen M365 Tenant. Verbundbenutzer können an Besprechungen teilnehmen und nach der Teilnahme an der Besprechung zu Moderatoren gemacht werden. Sie können jedoch keine Besprechungen in Organisationen erstellen, mit denen sie verbunden sind.
  • Anonyme Benutzer: Anonyme Benutzer haben keine Azure AD Identität und sind nicht mit der Organisation verbunden (federated), welcher der Meeting-Ersteller angehört. Anonyme Benutzer können keine Besprechungen als Moderator erstellen oder daran teilnehmen. Sie können jedoch nach der Teilnahme zum Moderator gemacht werden.

Einstellungsmöglichkeiten für Anwender

Viele sicherheitsrelevante Einstellungen für Teams werden durch den Teams-Administrator bzw. den M365-Administrator zentral eingestellt. Als Anwender kann man dennoch ein paar Vorkehrungen treffen, um unerwünschten Personen die Meeting-Teilnahme zu erschweren.

Warteraum verwenden

Der Ersteller einer Teams-Besprechung (Organisator) kann steuern, wer direkt an Teams-Meetings teilnehmen kann und wer zuerst in einem Warteraum (Lobby) auf Zulassung warten muss. Nachdem ein Meeting erstellt wurde, kann der Organisator über die Meeting-Optionen Einstellungen für den Wartebereich vornehmen.

Wenn sich ein Teilnehmer im Wartebereich befindet, muss ihn ein anderer Teilnehmer, der über die entsprechenden Rechte verfügt zum Meeting zulassen. Was die verfügbaren Einstellungen der Option für den Wartebereich bewirken ist in der gezeigten Tabelle zusammengefasst.

Einstellungen für den Moderator

Als zweite Option kann gesteuert werden, wer im Teams-Meeting als Moderator (Presenter) agieren kann. Die Möglichkeiten von Moderatoren und Teilnehmern sind wie folgt:

Einstellungsmöglichkeiten für Teams-Administratoren

Weil Teams eng mit SharePoint, OneNote, Exchange und anderen Diensten verknüpft ist, kommt der allgemeinen Sicherheit von M365 besondere Bedeutung zu. Beispielsweise ist es empfehlenswert, für alle Benutzer Zweifaktor-Authentisierung zu aktivieren und die Rechte der Benutzer auf das erforderliche Minimum einzuschränken. Darüber hinaus bietet Teams verschiedene spezifische Einstellungsmöglichkeiten für Administratoren im Teams Admin Center und teilweise in der Teams App. Eine Übersicht über die in Teams eingebauten Sicherheitsfunktionalitäten kann bei Microsoft nachgelesen werden. Die wichtigsten Einstellungen, die Administratoren zentral vornehmen können, sind in den folgenden Abschnitten beschrieben.

Teams-Einstellungen

Für jedes definierte Team lassen sich Einstellungen für die Berechtigungen und für die Kanäle vornehmen, die am besten soweit wie möglich eingeschränkt werden.

Teams Policies

Mittels Teams Policies lassen sich verschiedene Aspekte für Meeting-Benutzer zentral festlegen. Hier ist es wie bei allen Einstellungen empfehlenswert, nicht benötigte Features einzuschränken.

Besprechungseinstellungen

In den Besprechungseinstellungen kann definiert werden, ob anonyme Teilnehmer an Teams-Meetings teilnehmen können. Wenn möglich sollte dies deaktiviert werden.

Berechtigungsrichtlinien für Apps

Innerhalb von Teams lassen sich Apps verwenden. Die App-Berechtigungsrichtlinien steuern, welche Apps den Teams-Benutzern in der Organisation zur Verfügung stehen. Auch hier empfiehlt es sich, so wenig wie nötig zu erlauben.

Cloud Storage

Als Administrator kann in den Teams-Einstellungen definiert werden, welche Cloud Speicherdienste von Drittanbietern für Benutzer von Teams verfügbar sind. Diese Optionen werden dem Benutzer direkt in Teams verfügbar gemacht. Es ist empfehlenswert, diese Optionen zu deaktivieren.

Fazit

Das Absichern von Teams mag auf den ersten Blick recht einfach erscheinen, kann aber zumindest für die Teams-Administratoren komplex werden, da sich diverse Einstellungsmöglichkeiten von M365 und Teams überlagern und die von Microsoft verwendeten Begriffe nicht immer intuitiv verständlich sind. Für Administratoren ist es deshalb unumgänglich, sich eingehend mit den Sicherheitsaspekten von M365 und damit auch mit denjenigen des Azure Active Directory auseinander zu setzen. Für die Anwender gilt einmal mehr: Vertrauen ist gut, Kontrolle ist besser – besonders im Hinblick auf unerwartete Meeting-Teilnehmer und durch diese geteilte Inhalte.

Über den Autor

Tomaso Vasella hat seinen Master in Organic Chemistry an der ETH Zürich abgeschlossen und ist seit 1999 im Bereich Cybersecurity aktiv. Positionen als Berater, Engineer, Auditor und Business Developer zählen zu seinen Erfahrungen. (ORCID 0000-0002-0216-1268)

Links

• https://docs.microsoft.com/en-us/microsoftteams/enable-features-office-365
• https://docs.microsoft.com/en-us/microsoftteams/teams-policies
• https://docs.microsoft.com/en-us/microsoftteams/teams-security-guide
• https://docs.microsoft.com/office365/securitycompliance/tenant-wide-setup-for-increased-security
• https://teams.microsoft.com
• https://www.microsoft.com/en-us/microsoft-365