Regelmäßiger Securitycheck
Wählen Sie in der Kachel für die Sicherheitsbewertung den Punkt "Ihre Bewertung verbessern", gelangen Sie zu einer Liste mit Aktionen, die Hinweise darauf liefert, wo es Lücken im Setup gibt. Insgesamt folgt die Bewertung einem Punktesystem und in einer eigenen Spalte sehen Sie zu dem gelisteten Element, wie hoch der erzielte "Score" für den Fall ist, dass Sie die Lücke schließen. Dies ist aber nur am Rande eine Hilfe und wohl eher von untergeordnetem Mehrwert. Zu verschieden sind die Interessen der Unternehmen und ein pauschaler Faktor hilft bestimmt in einigen, aber nicht in allen Fällen. Dem erfahrenen Admin geht es da wohl eher um die gefundene Verbesserungsmöglichkeit. Wählen Sie ein Element aus, erhalten Sie in einem weiteren Dialog ergänzende Details.

Hier lohnt es sich, genau hinzuschauen. Am Beispiel unserer Testumgebung wurden diverse, bislang nicht konfigurierte Richtlinieneinstellungen von "MS Teams" erkannt, die ungewünschte Nebeneffekte bergen. Dazu gehören beispielsweise der Umgang mit Gastteilnehmern oder auch die Einstellung, dass sich jeder zum "Presenter" in einem Meeting machen kann. Hinter der Option "Implementiert" erfahren Sie, wie und wo dies zu beheben ist. Eine Schritt-für-Schritt-Anleitung hilft Ihnen dann dabei, die Lücken endgültig zu schließen.

Sie haben hier aber noch mehr Möglichkeiten, beispielsweise mit dem Befehl "Status und Aktionsplan bearbeiten". Hier können Sie das Risiko akzeptieren oder anderweitig kennzeichnen, auch mit einer Kommentarfunktion. Andere Mitarbeiter aus dem Admin-Team sehen dann, dass sich ein Kollege bereits mit dem Aspekt beschäftigt hat und was das Ergebnis ist. Nicht jede vermeintliche Verbesserungsaktion ist hier auch relevant. Beispielsweise gibt es Gründe, dass "Cloud-Only"-Benutzerkonten administrative Berechtigungen besitzen, aber kein MFA verwenden, wie es bei Notfallkonten nun einmal der Fall ist. Dies stößt in der Bewertung auf, hat aber in diesem Fall einen guten Grund und wäre hier als "Risiko akzeptiert" zu kennzeichnen.

Vorlagen als Basis für die Bewertung
Der Umgang mit Daten ist ein weiterer und wichtiger Bestandteil, der neben der Betrachtung von "Security" zu den aktuellen Aufgaben eines Administrators gehört. Die Funktionen aus dem Bereich "Compliance" bieten jede Menge Möglichkeiten, diesen Anforderungen zu begegnen.

Haben Sie im Admin Center den Bereich "Compliance" gewählt, sehen Sie die relevanten Werkzeuge auf der linken Seite. Ganz oben thront der Compliance Manager. Ähnlich wie das Security Center, mit dem wir uns eben auseinandergesetzt haben, ist der Compliance Manager die Schaltzentrale in Bezug auf die Einhaltung von Datenschutz und regulatorischen Standards. Auch hier begegnen Ihnen ein Punktesystem und Verbesserungsaktionen, die etwaige Lücken zeigen. Hier besitzt auch jedes gefundene Element einen Status, der sich zuweisen und dessen Fortschritt sich dokumentieren lässt.

"Bewertungen" ist eine Funktion, die einer Organisation dabei hilft, sich gegenüber einem Branchen- oder Regionalstandard einzuordnen. Als Grundlage dazu dienen Bewertungsvorlagen. Wenn Sie eine Bewertung erstellen, können Sie aus einem Katalog aus knapp 700 Vorlagen auswählen, was Basis der Bewertung sein soll, also gegen welche Vorlage Sie ihre Organisation bewertet haben möchten. Knapp 20 dieser Vorlagen sind standardmäßig enthalten. Hierbei handelt es sich um die wichtigsten Definitionen, wie beispielsweise ISO 27001 oder auch "EU GDPR". Die weiteren Vorlagen sind vom Typ "Premium" und separat zu erwerben. Sie decken spezifische Bereiche weltweiter Zertifizierungen ab.

Bei der Anzahl der Vorlagen dürfte hier kein Wunsch offenbleiben. Wenn doch, können Sie eigene Bewertungsvorlagen erstellen. Hierzu dient eine speziell formatierte Excel-Datei. Dies mutet auf dem ersten Blick etwas umständlich an, Microsoft hält aber eine gute Beschreibung parat, die zeigt, worauf es dabei ankommt.

Wenn Sie sicher sind, welche Vorlage Sie verwenden möchten, können Sie eine oder mehrere Bewertungen erstellen. Dies geht einfach und selbsterklärend. Im Compliance Manager wählen Sie hierzu "Bewertungen" und dann "Bewertung hinzufügen". Im nächsten Schritt gilt es, aus den eben erwähnten Vorlagen die passende auszuwählen und damit ist in dem Assistenten die Bewertung auch schon erzeugt. Sie können mehrere Bewertungen parallel und unabhängig "aktiv" administrieren. Sogar eine Gruppierung wird dem Administrator hier angeboten.

Wählen Sie eine Bewertung aus, gelangen Sie zur Liste mit Aktionen aus den Ergebnissen und dem Status der "Bewertung". Hier lassen sich Aktionen an Personen zuweisen und Betreffende erhalten eine E-Mail mit einem Hinweis auf die Aufgabe und einen Link, der zum Compliance Manager führt, um den Workflow zu starten. Ferner bestehen Möglichkeiten, um den Status zum Stand der Implementierung oder auch resultierender Tests zu dokumentieren, oder auch, um das Element als erledigt zu schließen.

Umgang mit Datenschätzen
Eine Herausforderung, die sich Unternehmen in der heutigen Zeit stellen müssen, ist der Schutz ihrer Informationen. Es ist nämlich gar nicht so einfach herauszufinden, auf welche Art und Weise ein Unternehmen mit Informationen oder besser mit Dokumenten umgeht. Stellen Sie sich die Fülle an Daten vor, die bereits ein kleines Unternehmen besitzt. Bevor Sie sich Gedanken um den Schutz von Informationen machen, sollten Sie sich zuerst einige einfache Fragen beantworten.

Diese Antworten sind bestimmt nicht pauschal für jedes Unternehmen gleich, aber ein paar grundlegende Aspekte sind immer von Bedeutung, unabhängig von der Branche: Was sind genau meine Daten? Wo liegen diese überall? Wie ist der Umgang damit? Drei einfache Fragen. Versuchen Sie, diese für ihr Unternehmen zu beantworten. Wenn Sie sich inhaltlich damit auseinandersetzen und Anregungen benötigen, sei Ihnen dieses sechsteilige Microsoft-Lernmodul empfohlen.

"Bezeichnungen" sind ein wesentliches Element im Umgang mit Dokumenten. Microsoft vergleicht Bezeichnungen oder auch "Label", bei englischer Portalsprache, mit einem Stempel, den eine Organisation ihren Dokumenten aufdrückt. Er bestimmt genau, was mit einem Dokument geschehen soll, und zwar in Bezug auf Vertraulichkeit und Aufbewahrung. Bezeichnungen werden über Richtlinien bereitgestellt. Sie definieren, auf welche Inhalte die sogenannten Stempel anzuwenden sind. Auch geben Sie je nach Situation einem User die Entscheidung, ob eine "Bezeichnung" benutzt wird oder ob dies automatisch geschehen soll – zum Beispiel, weil erkannt wurde, dass ein Dokument einem bestimmten Typ entspricht oder darin Textpassagen enthalten sind, die eine Verschlüsselung aus Sicht des Unternehmens erfordern.

ln/dr/Klaus Bierschenk

Im dritten Teil der Workshopserie zeigen wir, wie Sie E-Mails und Dokumente schützen und dabei auf sogenannte Bezeichnungen zurückgreifen. Im ersten Teil haben wir das Admin Center als Dreh- und Angelpunkt beleuchtet und eine Begriffsklärung in Sachen Defender vorgenommen.