9. November 2023 Roman Jucker

MFA, Passwordless, Phishing, Security & Governance – alles Hysterie und Marketinghype oder ist da echt was dran ?

Einmal mehr zieht Microsoft die Security-Schraube an. Im November werden in allen Microsoft365 Tenants drei separate Conditional Access Policies durch Microsoft aktiviert, welche bspw. MFA erzwingen für jeden Account. Wieso ? Weil wir Endanwender bequem sind und Komfort über Sicherheit stellen – dabei geht beides, und ich teasere kurz in diesem Artikel wie das gehen könnte.

Mehr zu der Microsoft Aktion hier: Automatic Conditional Access policies in Microsoft Entra streamline identity protection | Microsoft Security Blog

Der Weg in die Cloud, sicher UND komfortabel.

Während meiner täglichen Arbeit treffe ich immer wieder auf Kunden und deren Tenants, welche nur sehr sporadisch mit Sicherheitsvorkehrungen ausgerüstet wurden (politisch korrekt formuliert). Es fehlt so ziemlich an allem, um ein effizientes und sicheres Arbeiten in der Cloud langfristig zu gewährleisten. Aber was braucht es denn eigentlich?

– Die Benutzeridentität gilt es um alles in der Welt zu schützen.
MFA mit Passwordless Authentication hilft da. Der Endanwender muss heute sein eigenes Passwort theoretisch nicht mehr kennen, anmelden passiert am Firmennotebook per Windows Hello (Gesicht oder Fingerprint), an www.office.com per FIDO2 Key, und die AuthenticatorApp ist auch komplett auf passwordless umgestellt.
Und nein, ich muss dann nicht immer wieder MFA machen – zu 90% arbeite ich ja eh am Firmengerät und bin morgens 1mal mit Biometrie/Hello angemeldet.

– Daten in der Cloud ok, auf privaten Geräten nur unter gewissen Bedingungen
Aber die Anwender möchten von ihren privaten Macbooks arbeiten können…
Können Sie ohne Probleme, allerdings nur auf www.office.com hinter dem sogenannten Defender for Cloud Apps Proxy, welcher das herunterladen von Daten auf NICHT-Firmengeräte verbietet und unterbindet.
Der Grund dafür: Daten in Outlook, Teams und in der OfficeSuite runtergeladen auf den Mac (oder privaten Windows-Computer) sind auf dem Computer – und der Schutz von dem privaten Gerät obliegt einzig und alleine dem Mitarbeiter

– Wie sieht es denn mit Smartphones aus – kann ich da meinen privaten Kalender (Calendly) nutzen und meine App (GMail) für die Firmenmails ?
Leider ganz klar, nein. Weil die Daten dann analog dem Beispiel für Mac auf dem Gerät sind, und dort wird durch den Mitarbeiter ein externes Backup zu iCloud oder GoogleDrive erstellt. Die Daten sind weg und für das Unternehmen somit nicht mehr unter Kontrolle.
Erlaubt sind nur durch MAM (Mobile Application Management) geschützte Apps. Aber was heisst das ?
Ganz einfach, Microsoft hat nämlich in all ihre Smartphone Apps (Teams, Outlook, Edge, Office, Planner, Lists, Shareepoint, Onedrive, …) im Apple- und im Google Play Store Mechanismen zum Schutz von Firmendaten mit implementiert. Somit kann sichergestellt werden, dass diese Daten nicht den geschützten Rahmen der Microsoft Apps verlässt, und jederzeit (beim Verlust oder Diebstahl eines Gerätes, oder Mitarbeiterkündigung) remote gelöscht werden können (nur Daten der Firma, NICHT die Daten des Mitarbeites wie Fotos etc.)

– Kontinuierliches Adaptieren und Implementieren von neuen Methoden und Möglichkeiten in der Microsoft Cloud?
Microsoft 365 und im Speziellen Entra ID (früher Azure Active Directory) sollte mindestens halbjährlich „nachgeschärft“ werden.
Innerhalb von Entra, im Bereich von Conditional Access Policies werden immer neue Features möglich, um bspw. ein Entwenden eines Anmeldetokens des Anwenders zu erschweren (Ein Hacker erschwindelt sich durch eine Phishing Attacke ein Token vom CEO und kann dann so interne Mails an alle Versenden – das Mail kommt dann effektiv vom CEO)

Roman Jucker

Roman Jucker

Cloud Solution Architect
anrufen