Das Fitnessprogramm für die IT-Sicherheit

by Christian Decker | Mär 12, 2019

Kennen Sie Ihr Gewicht, Ihren gewöhnlichen Blutdruck und Ruhepuls? Vielleicht sogar Blut- und Leberwerte? Zumindest ein paar seiner Gesundheitsdaten dürften jedem Menschen geläufig sein. Aber kennen Sie auch die Gesundheitsdaten Ihrer IT-Landschaft? Mit dem Microsoft Secure Score bleiben Server und Anwendungen fit.

Es ist eine Binsenweisheit, dass IT-Security kein dauerhafter Zustand ist, sondern sich IT-Administratoren im ständigen Wettlauf befinden, um auf neue Bedrohungen zu reagieren und sich neu entdeckten Fehlern der Vergangenheit zu stellen. Dieses – theoretische – Wissen schlägt sich im praktischen Handeln nicht immer in ausreichendem Maße nieder. Das belegen eindrucksvoll die Ransomware-Epidemien der vergangenen Jahre, die auf monate- und jahre-alte Sicherheitslücken basierten.

Für die gab es zwar längst Patches und Updates. Aber es finden sich eben noch genügend Systeme, die nicht zuverlässig gepflegt und dadurch zum Sicherheitsrisiko werden. Große und kleine Firmen waren von WannaCry & Co. betroffen, Privatleute und wichtige öffentliche Infrastrukturen wie Hafenanlagen, Bahn und Krankenhäuser – mit gravierenden Folgen. Aber wie kann man eine Wiederholung wirksam verhindern? 

Security-Tool mit Motivationshilfe

Einen guten Überblick über grundlegende Sicherheitsfragen im Umfeld von Office 365 bekommen IT-Administratoren mit Hilfe des Web-Dienstes Microsoft Secure Score. Dieser liefert nicht nur Daten zum aktuellen Status, sondern dient auch als virtueller Assistent, der Empfehlungen gibt, um eine „gesunde“ Grundlage für eine sichere IT-Umgebung schaffen.

Auskunft über den erreichten Status gibt eine Maßzahl, der Secure Score, der die bereits getroffenen Maßnahmen bewertet. Diese zunächst abstrakte Zahl bekommt eine einleuchtende Bedeutung durch das Benchmarking mit anderen Unternehmen derselben Größe oder derselben Branche. So kann man nicht nur sehen, wie viele der maximal erreichbaren „Punkte“ bereits erreicht sind, sondern auch, wie man im Vergleich zu ähnlichen Firmen steht – besser oder schlechter als der Durchschnitt. Damit wird das Ziel des Secure Scores deutlich: Er soll eine Motivation bieten, die eigenen Maßnahmen zu verbessern und sich im Benchmark nach vorn zu arbeiten.

Security-Niveau kontinuierlich ausbauen

Mit Hilfe des Secure Scores kann der IT-Administrator aber auch Fortschritte in Security-Fragen planen, indem er einen neuen, höheren Scorewert vorgibt. Dann zeigt das Tool Wege auf, mit welchen Maßnahmen die Sicherheit sich schnell verbessern lässt. So kann das Niveau der IT-Security Schritt für Schritt ausgebaut und erhöht werden. Je höher der Zielwert eingestellt wird, desto mehr sogenannte „Actions“ müssen durchgeführt werden, um diesen zu erreichen. Die Vorschläge beginnen mit grundlegenden Maßnahmen, mit denen sich schnell positive Effekte erzielen lassen.

Einer der ersten Tipps ist beispielsweise die Absicherung der Administratoren-Accounts für Office 365. So sollten diese nicht nur per Zugangsname und Passwort, sondern mittels Multi-Faktor-Authentifizierung (MFA) geschützt werden. In der Empfehlung des Webtools taucht allerdings nicht nur der Zugang des gerade aktiven Administrators auf. Er bekommt auch darüber Auskunft, welche anderen Admins noch keine MFA eingerichtet haben, so dass er auch diese ansprechen kann. 

Maßnahmenkatalog bietet Unterstützung

Jeder globale Administrator bekommt die To-Do-Liste der vorgeschlagenen Maßnahmen angezeigt. Diese lassen sich nach zahlreichen Kriterien filtern, beispielsweise wie stark die Auswirkungen auf die User-Accounts sind, wie hoch der Ressourcenbedarf für die Umsetzung ist oder ob es sich um Maßnahmen in Bezug auf Verhalten, die Konfiguration oder ein Review handelt.

Klickt man eine der Aktionen an, erhält man eine Beschreibung der Maßnahme, einen Überblick über Auswirkungen und Aufwand, sowie die Möglichkeit, die Maßnahme direkt einzuleiten, wenn es sich beispielsweise um eine Umkonfiguration handelt. Bevor die Aktion abgeschlossen wird, erhält der Anwender nochmals eine Information darüber, was nun gerade geändert wird, und welche Auswirkungen dies auf die Nutzer-Accounts hat. Auf diese Weise sollen Fehlkonfigurationen weitgehend ausgeschlossen werden. 

Eine Stimme für die Sicherheit

Manch Anwender mag überrascht sein, dass der zunächst erlangte Score nicht einfach gehalten wird, sondern auch wieder sinkt. Ein Ausruhen auf dem erreichten Gesundheitsniveau der IT ist damit nicht möglich. Wie im richtigen Leben gilt auch hier: Wer gesund bleiben will, muss regelmäßig daran arbeiten – Patches und Updates kontrollieren, Fehlerberichte und Protokolle lesen und eventuell nötige Maßnahmen einleiten. Nur wer diese Aktivitäten auch wirklich ausführt, bekommt die entsprechenden Punkte im Score gutgeschrieben. Für den Score-Verlauf gibt es ein eigenes Widget, so dass man die Bewegungen nach unten und oben leicht verfolgen kann.

Hinter diesem Mechanismus verbirgt sich die Erkenntnis, dass die Aufmerksamkeit des IT-Administrators in der Regel dahin gerichtet wird, wo am lautesten gerufen wird. Wenn die Nutzerbetreuung das komplette Zeitbudget verschlingt und solche „geplanten Tasks“ liegenbleiben, dann hat das normalerweise zunächst keine Folgen. Mit dem Secure Score bekommt auch die Sicherheit eine Stimme, die laut um Aufmerksamkeit ruft. Bleibt die aus, droht dem Admin ein Rückgang des Scores und damit ein Verfehlen der vereinbarten Ziele.

So entsteht der nötige Druck, über das Tagesgeschäft auch die Sicherheitsaufgaben „im Hintergrund“ nicht zu vergessen. Spätestens bei der nächsten Welle von Ransom-Ware-Angriffen wird es sich rächen, wenn Sicherheits-Aufgaben vernachlässigt wurden. 

Fähigkeiten oft unterschätzt

Nach den Erfahrungen der ACP arbeitet nur ein relativ kleiner Teil der Administratoren mit dem Microsoft Secure Score, je nach Unternehmensgröße oder Branche zwischen 10 und 20 Prozent. Vom Rest kennen rund zwei Drittel zwar das Tool, sind jedoch bislang nicht aktiv geworden, und einem Drittel ist der Microsoft Secure Score völlig unbekannt.

Dabei ist die Funktion leicht zu finden: Im Security&Compliance-Center der Office-365-Bedienoberfläche ist ein Widget enthalten, das den aktuellen Secure Score für Office 365 sowie für die Windows-Server anzeigt. Darüber kann man leicht zu dem eigentlichen Microsoft Secure Score Dashboard springen. Dieses ist aber auch direkt über https://securescore.microsoft.com zu erreichen.

Fazit

Die maximal erreichbare Punktezahl ist abhängig vom eingesetzten Produkt. Sie verändert sich aber auch durch neu hinzugekommene Tasks, mit denen Microsoft auf neue Entwicklungen reagiert oder das bestehende Set um komfortable Funktionen erweitert, wie zum Beispiel hier beschrieben.

So ist der Microsoft Secure Score und das zugehörige Dashboard zu einem mächtigen Tool herangewachsen, das den Alltag des Administrators in Security-Fragen wirksam unterstützt. Es bietet eine Fülle an Vorschlägen und Informationen im Umfeld von Office-365- und Windows-Server-Umgebungen. Wer bislang den Einstieg im „Selbststudium“ gescheut hat, kann sich über externe Dienstleister wie ACP Rat und Hilfe holen, um den Start zu meistern – und in Zukunft von den bereits im Unternehmen vorhandenen Ressourcen zu profitieren.

Microsoft 365 Complete Secure Workshop Lassen Sie sich von Experten mit einem  Rundum-Service bei Microsoft Cloud-Diensten unterstützen! zum Angebot

Autor: Christian Decker

Cloud Architect│Business Unit Cloud

Ich bin seit mehr als 20 Jahren in der IT-Branche tätig. Mein Fokus in all diesen Jahren war es, Unternehmen und Menschen mit Hilfe von Technologie erfolgreicher zu machen. Bei Microsoft Österreich und dessen besten Partnern habe ich über Jahre hinweg ein tiefes Verständnis für Microsoft-Produkte und -Plattformen erworben. Insbesondere bei meinem Kompetenzschwerpunkt, der Office 365 Plattform, inklusive der Enterprise Mobility und Security Suite. Am meisten Freude bereitet es mir, Kunden dabei zu unterstützen, mit all den neuen hilfreichen Tools und Funktionen wie Teams, Yammer, OneDrive und Co. zu arbeiten.

In meiner Freizeit mache ich gerne in „Barfußschuhen“ lange Läufe und unterrichte mit Liebe die Lauftechnik ChiRunning - mehr Infos dazu gibt es unter www.wozulaufschuhe.at/