Als ich anfing in der IT zu arbeiten, war der Stand der Dinge ein IBM System/55 mit OS/2 und Lotus Notes. Auch wenn viele Anwendungen ein 3270-Terminal benötigten, deutete der Übergang der Kommunikation vom Mainframe zum PC auf den zukünftigen Mittelpunkt des Unternehmens hin: Mailserver. Die Grenzen von Email sind ziemlich schnell erreicht worden: Für die Arbeit im Team braucht man oft etwas Unmittelbareres. Google schlug 2009 mit Waves eine Lösung vor, eine Art kontinuierlicher Dialog, ohne Anfang und Ende. Es selbst endete jedoch fast sofort, nach zwei Jahren wurde der Dienst eingestellt, und unsere heissgeliebten – ehrlich gesagt ziemlich leeren – Waves wurden geschlossen.

Das vergangene Jahr hat aufgrund von COVID-19 viele Unternehmen gezwungen, anders zu arbeiten, die Distanz zwischen den Menschen zu vergrössern und sie zu zwingen, nach Kollaborationslösungen zu suchen. Office 365 (O365) ist sicherlich die einfachste Kollaborationsplattform, auf die man umsteigen kann, wenn man bereits ein Office-Paket hat: Sie bietet ein Tool für jeden Bedarf und ermöglicht es, ein geografisch verteiltes Büro zu schaffen.

Die Sicherheit von O365 ist ziemlich gut. Es gab lange Zeit keine bekannten schwerwiegenden öffentlichen Sicherheitslücken. Angesichts der grossen Zielgruppe muss Microsoft jedoch eine Balance zwischen Sicherheit und Benutzerfreundlichkeit finden.

Microsoft Teams ist ein Knotenpunkt für die Teamarbeit, der alles, was Ihr Team braucht, mit der Leistungsfähigkeit der Microsoft 365-Anwendungen zusammenbringt. Teams kann, wie jeder Hub, auf mehrere Komponenten zugreifen, sowohl intern in O365 als auch extern (z.B. Dropbox). Angesichts seines grundlegenden Zwecks als Vermittler der Kommunikation zwischen Menschen wurde viel getan, um die Kommunikation zwischen Unternehmensmitgliedern und externen Personen zu vereinfachen. Und da das System nicht komplex genug ist, gibt es eine Konvergenz zwischen Skype for Business und Teams.

Obwohl sie dem Namen nach bekannt sind, sind die Technologien, mit denen O365 funktioniert, sehr komplex und werden von Administratoren kleiner Unternehmen, die sich mehr um den Betrieb als um die Sicherheit kümmern, oft unterschätzt.

Dessen sind sich auch die Angreifer bewusst, die – im Gegensatz zu vielen Administratoren – die Funktionsweise von O365 sehr gut studiert haben: Verschiedene Indikatoren zeigen uns, dass O365 ein beliebtes Ziel ist und wie hoch die Erfolgsquote eines Angriffs ist (z.B. Barracuda erklärt, dass 30% der Angriffe mit einer Kontoübernahme enden).

Die Analyse der Angriffe zeigt auch, dass sie nicht dank technologischer Schwächen, sondern dank naiver Benutzer oder Administratoren erfolgreich sind.

Die Verwendung von Online-Kollaborationsplattformen zu vermeiden, könnte eine instinktive Lösung sein. Bedenken Sie jedoch, dass die “lokale” Sicherheit schlechter funktioniert hat und auch weiterhin schlechter funktioniert. In jedem Fall müssen Administratoren diese komplexen Technologien mit mehr Überzeugung angehen,d die Hunderte von verfügbaren Optionen studieren und nur das aktivieren, was für ihr Unternehmen unbedingt notwendig ist.

Hier sind einige Punkte, auf die Sie achten sollten, um Ihre Microsoft Teams-Sicherheitsumgebung zu härten.

Zu prüfende Bereiche

Wie bereits erwähnt, basieren O365 und Teams auf komplexen und miteinander verknüpften Technologien. Wir empfehlen, die Implikationen zu studieren und die eingebrachten Fragen in den folgenden Bereichen zu überprüfen.

Gastzugang

Mit der Funktion Gastzugang können Teameigentümer Personen von ausserhalb der Organisation zur Teilnahme an Teamaktivitäten einladen. Gäste haben vollen Zugriff auf Team-Kanäle, Chats, gemeinsame Dateien und Meetings. Dies kann ein Sicherheitsproblem darstellen, da es schwierig ist zu kontrollieren, welche Informationen dabei mit der Aussenwelt ausgetauscht werden.

Berechtigungen

Microsoft hat Teams absichtlich mit einem offenen Berechtigungsmodell konzipiert, um die selbstorganisierte Zusammenarbeit zu vereinfachen:

• Jeder Benutzer kann ein Team erstellen und andere Benutzer einladen (Teambesitz)
• Jedes Teammitglied hat vollen Zugriff auf alle Daten in den öffentlichen Kanälen des Teams, einschliesslich Chat-Nachrichten, Meeting-Inhalte und freigegebene Dateien
• Jedes Teammitglied kann Dateien freigeben und neue Kanäle erstellen
• Ein Gast von ausserhalb kann Dateien freigeben und sogar neue Kanäle innerhalb des Teams erstellen
• Mitglieder sind ausserhalb der Organisation sichtbar

Teilen von Daten

Ein Teams-Benutzer kann absichtlich oder versehentlich Informationen mit nicht autorisierten Empfängern austauschen.

App Management

Die Funktionen von Teamkanälen können durch das Hinzufügen von Apps erweitert werden, die die Form von benutzerdefinierten Registerkarten, Bots oder Konnektoren haben können. Mit einer App können Benutzer in einem Kanal Inhalte und Aktualisierungen direkt von ihren bevorzugten Drittanbieterdiensten, wie z.B. GitHub, abrufen. Allerdings verlangen diese Apps oft von den Benutzern, dass sie ihnen den Zugriff auf ihre Daten erlauben, was einer unzulässigen Weitergabe von Unternehmensdaten an externe Dritte darstellt.

Policy prüfen

Teams verfügt über ein sehr komplexes WebUI, über das jedoch nicht alle Parameter sichtbar sind. Ausserdem ist es kompliziert, alle Änderungen und die neuen Einstellungen über das WebUI zu prüfen und zu verfolgen.

Wir schlagen vor, Powershell zu verwenden, um die Einstellungen aufzulisten, sie mit einer Referenzrichtlinie zu vergleichen und die neuen Anpassungen zu prüfen. Zum Beispiel:

PS> Connect-MicrosoftTeams -Credential $credential
PS> $session = New-CsOnlineSession -Credential $credential
PS> Import-Pssession $session -AllowClobber -DisableNameChecking
PS> Get-CsTeamsClientConfiguration
Identity                         : Global
Allowe-mailIntoChannel             : True
RestrictedSenderList             :
AllowDropBox                     : True
AllowBox                         : False
AllowGoogleDrive                 : True
AllowShareFile                   : False
AllowEgnyte                      : False
AllowOrganizationTab             : True
AllowSkypeBusinessInterop        : True
ContentPin                       : RequiredOutsideScheduleMeeting
AllowResourceAccountSendMessage  : False
ResourceAccountContentAccess     : NoAccess
AllowGuestUser                   : False
AllowScopedPeopleSearchandAccess : False
AllowRoleBasedChatPermissions    : False
...

Um die oben genannten Bereiche zu analysieren, müssen Sie die folgenden Funktionen durchgehen:

Die offizielle Dokumentation finden Sie auf der Microsoft-Website unter Skype for Business. Suchen Sie nach Set-, um die Beschreibung aller Parameter zu erhalten.

Policy

Eine Policy ist eng mit dem vom Unternehmen implementierten Geschäftsmodell verknüpft. Aus diesem Grund sind die Werte der folgenden Parameter Vorschläge, die vor einer Implementierung validiert werden müssen.

Wir empfehlen als allgemeine Richtlinie, sich an den folgenden Werten zu orientieren, um die Funktionalität von Teams zu minimieren und die besprochenen Risiken zu mindern. Wenn Sie bestimmte Funktionen benötigen, prüfen Sie, ob es möglich ist, eine Ad-hoc-Richtlinie zu erstellen und diese einer Untergruppe zuzuweisen.

Die Microsoft Tools

Diese Parameter sind nützlich, um einige mit Teams verbundene Risiken zu reduzieren, aber in jedem Fall sind die von O365 zur Verfügung gestellten Tools ein guter Ausgangspunkt (auch wenn sie nicht produktspezifisch sind): Wenn Sie neu bei O365 sind, prüfen Sie Admin Centers Security and Compliance oder den Microsoft Security Score. Untersuchen Sie, ob die vorgeschlagenen Anpassungen für Sie richtig sind und folgen Sie den Schritt-für-Schritt-Anweisungen, um sie zu implementieren.

Dies wird Sie zunächst auf ein höheres Niveau der Sicherheit und des Vertrauens in das Produkt bringen. Später können Sie fortgeschrittenere Tools verwenden, um den Zustand Ihrer Infrastruktur zu überwachen.

Zusammenfassung

Microsoft investiert viel in die Sicherheit ihrer Produkte, insbesondere der Cloud-Lösungen. Dennoch muss Microsoft, um die Mehrheit der Nutzer zufriedenzustellen, ein Gleichgewicht zwischen Benutzerfreundlichkeit und Sicherheit finden. Es ist sehr wahrscheinlich, dass die meisten der von Teams angebotenen Möglichkeiten in Ihrem Unternehmen nicht benötigt werden. In diesem Fall ist es sinnvoll, alle Einstellungen zu überprüfen und Unnötiges zu deaktivieren. Beginnen Sie mit der Implementierung der von den Microsoft-Tools vorgeschlagenen Anpassungen.

In einer zweiten Phase überwachen Sie mithilfe von Powershell die Einstellungen in Bezug auf einen Referenzstatus und identifizieren und bewerten neue Massnahmen, die in den neuesten Versionen eingeführt wurden, um das Produkt optimal für die Bedürfnisse Ihres Unternehmens zu konfigurieren.

Über den Autor

Rocco Gagliardi ist seit den 1980er Jahren im Bereich der Informationstechnologie tätig. In den 1990er Jahren hat er sich ganz der Informationssicherheit verschrieben. Die Schwerpunkte seiner Arbeit liegen im Bereich Security Frameworks, Routing, Firewalling und Log Management.

Links

• https://blog.barracuda.com/2019/05/02/threat-spotlight-account-takeover/
• https://docs.microsoft.com/en-us/MicrosoftTeams/teams-architecture-solutions-posters
• https://docs.microsoft.com/en-us/powershell/module/skype/?view=skype-ps
• https://docs.microsoft.com/en-us/powershell/module/skype/set-csteamschannelspolicy?view=skype-ps
• https://docs.microsoft.com/en-us/powershell/module/skype/set-csteamsclientconfiguration?view=skype-ps
• https://docs.microsoft.com/en-us/powershell/module/skype/set-csteamsguestcallingconfiguration?view=skype-ps
• https://docs.microsoft.com/en-us/powershell/module/skype/set-csteamsguestmeetingconfiguration?view=skype-ps
• https://docs.microsoft.com/en-us/powershell/module/skype/set-csteamsguestmessagingconfiguration?view=skype-ps
• https://docs.microsoft.com/en-us/powershell/module/skype/set-csteamsmeetingbroadcastpolicy?view=skype-ps
• https://docs.microsoft.com/en-us/powershell/module/skype/set-csteamsmeetingpolicy?view=skype-ps
• https://docs.microsoft.com/en-us/powershell/module/skype/set-cstenantfederationconfiguration?view=skype-ps
• https://docs.microsoft.com/en-us/powershell/module/skype/set-cstenantpublicprovider?view=skype-ps
• https://srcincite.io/blog/2021/01/12/making-clouds-rain-rce-in-office-365.html