Wie schütze ich mich vor unbefugtem Zugriff auf meine Clouddienste? Wie kann ich verhindern, dass Mitarbeiter mit ihrem privaten PC auf Daten in der Cloud zugreifen?
Diese Fragestellung diskutieren wir mit unseren Kunden immer wieder in unseren Cloudworkshops. Öffentliche Clouddienste wie Microsoft 365 sind zunächst einmal nur mit Benutzernamen und Passwort geschützt. Der Benutzername ist in der Regel identisch mit der Emailadresse; Passwörter lassen sich im Zweifel ausprobieren oder per Phishing „ergaunern“. Sind die Zugangsdaten einmal kompromittiert, kann sich der Angreifer frei bewegen – und die verbreiteten Verpflichtungen des Kennwortwechsels erst viel zu spät greifen (in der Regel alle 30 – 90 Tage). Dass ein zweiter Schutzfaktor sinnvoll ist, ist bekannt – spätestens, seit Banken die PSD2-Richtlinie umgesetzt haben, in der ein zweiter Faktor für den Zugriff auf das Online Banking Pflicht ist.
Die Cloud ist jedoch keine Bankingseite, an der ich mich ab und zu anmelde, um meinen Kontostand zu prüfen. Im Gegenteil: Ich melde mich täglich 100-fach an der Cloud an, um Emails abzurufen, an Dokumenten zu arbeiten oder mit meinen Kollegen zu kommunizieren. Ich muss nicht jedes Mal mein Passwort neu eingeben, weil die sogenannte Session offengehalten wird. Läuft diese ab, erfordert es eine erneute Anmeldung und im Zuge der Multifaktorauthentifizierung (MFA) auch einen zweiten Verifizierungsfaktor.
Und hier entsteht ein Problem: Viele Menschen empfinden gerade die Multifaktorauthentifizierung als lästig. Diese wird zusätzlich unpraktikabel, wenn Mitarbeiter gar kein Mobilgerät zur Authentifizierung besitzen, weil Sie eigentlich nur im Büro arbeiten. Auch ein Telefonanruf auf einem Festnetzgerät kann einen alternativen zweiten Schutzfaktor darstellen: Anrufe, die den Anwender regelmäßig zur Bestätigung eines neuen Anmeldeversuches auffordern, möchte auf Dauer allerdings niemand annehmen.
Idealerweise sollte es daher möglich sein, bei jedem Zugriff weitere Faktoren abzuprüfen, die allerdings nicht jedes Mal eine Interaktion des Endbenutzers erfordern. Man kennt das Verhalten aus Clouddiensten im privaten Umfeld: Greife ich das erste Mal von einem Gerät zu, muss dieser Zugriff beispielsweise über eine TAN via SMS bestätigt werden, bei den kommenden Anmeldungen aber nicht mehr.
Diese idealtypische Vorstellung gewinnt beim Modern Workplace noch an Bedeutung, da in der Regel nicht nur ein Service, sondern eine Vielzahl von Zugriffen, Apps und Daten geschützt werden sollen. In der Cloudplattform Microsoft 365 liefert Microsoft ein komplettes Toolset, um eben solche Einrichtungen vorzunehmen. Sowohl das erforderliche Repository, die Geräteverwaltung, als auch die notwendigen Zugriffsrichtlinien ermöglichen nicht nur die Absicherung von Identitäten durch weitere Faktoren, sondern bieten zudem eine granulare Konfigurationsmöglichkeit zur Absicherung von Zugriffen in Abhängigkeit verschiedenster Faktoren. Dieses Toolset heißt Conditional Access oder bedingter Zugriff.
Hiermit kann überprüft werden, ob das Gerät, von dem aus auf Exchange Online oder MS Teams zugegriffen wird, vom Unternehmen verwaltet ist und den Sicherheitsanforderungen genügt. Weiterhin lässt sich überprüfen ob der Zugriff aus dem Unternehmensnetzwerk erfolgt. Beispielsweise kann man einrichten, dass der Zugriff auf das Cloud-ERP nur aus dem Unternehmensnetz erfolgen darf. Anhand der Geräte-IP lässt sich überprüfen, von welchem Ort sich das Gerät anmeldet. So kann der Zugriff aus unsicheren Ländern verweigert werden. Diese verschiedenen Kriterien oder Signale lassen sich selbstverständlich auch kombinieren oder im Zweifel doch durch eine MFA-Abfrage zusätzlich absichern.
Die Digitalisierung und die erhöhte Mobilität bringen große Änderung für die IT-Systemumgebungen und die Anforderungen an die IT-Sicherheit mit sich. In einer Welt, in der grundsätzlich jede Ressource über das öffentliche Internet erreichbar ist, reichen Benutzername und Passwort als alleiniger Schutz nicht mehr aus. Durch den Conditional Access wird jede Anmeldung und jeder Zugriff auf eine Applikation von einer statischen Kennwortabfrage zu einer fallbezogenen Entscheidung unter Berücksichtigung vieler Faktoren, die den Zugriff durch zusätzliche Faktoren absichern oder gänzlich unterbinden kann.
Das Beste hieran ist: All diese Maßnahmen lassen sich ohne Zutun des Benutzers einrichten und verwalten. Das Schutzniveau des Benutzers verbessert deutlich sich – und zwar ohne, dass dieser zwangsläufig aktiv werden muss.
