Der Wert des Microsoft E5-Plattform-Ansatzes für die Cybersicherheit

Autor: Tom Bond

Der Wert und die Gesamtbetriebskosten (TCO) von Microsoft E5 können, wenn sie richtig eingesetzt werden, sowohl Kosteneinsparungen als auch betriebliche Effizienz ermöglichen.

Für Unternehmen, die eine branchenführende Zusammenarbeit und die richtigen Sicherheitsvorkehrungen zur Unterstützung des modernen Arbeitsplatzes bereitstellen möchten, bietet das Microsoft E5-Abonnement eine Kombination aus Tools zur Verbesserung der Benutzerfreundlichkeit und zur Erhöhung der Cybersicherheit.

"Wir können uns E5 nicht leisten, es ist viel zu teuer!"

Diese Worte habe ich schon unzählige Male gehört, und es ist kein Geheimnis, dass sich die Kosten für die Microsoft 365 E5-Lizenzierung in die Höhe schrauben können, aber die Gesamtbetriebskosten (TCO) erzählen eine ganz andere Geschichte. Schauen wir uns das Microsoft 365 E5-Paket, die darin enthaltenen Produkte und die tatsächlichen Kosten einmal etwas genauer an. 

Auch wenn jedes Unternehmen anders ist, gibt es doch viele Gemeinsamkeiten. Wir müssen zusammenarbeiten, oft in verschiedenen Zeitzonen und Tausende von Kilometern voneinander entfernt. Wir wissen, dass die alten Arbeitsweisen, bei denen jeder nur im Büro sitzt, nicht mehr möglich sind - dafür hat Covid gesorgt.

Es ist kein Geheimnis, dass das Microsoft 365-Setup mit den traditionellen Office-Anwendungen und Collaboration-Perlen wie Teams, SharePoint, OneDrive und anderen für viele Unternehmen ein überzeugendes Argument ist, um das heutige Paradigma der Remote-Arbeit zu ermöglichen. Die modernen Sicherheitsanforderungen stellen eine viel schwierigere Herausforderung dar, insbesondere in Verbindung mit der explosionsartigen Zunahme von Endgeräten. Modernes Arbeiten geht weit über den Windows-PC hinaus und umfasst nun auch Macs, Tablets und Telefone mit Android- und iOS-Betriebssystemen. Jetzt müssen wir sehr unterschiedliche Geräte sichern und verwalten, sowohl vor Ort als auch remote.

Wir haben unsere Netzwerkgrenzen von früher verloren - unser zuverlässiger Graben, der unsere Burg schützte, ist nicht mehr vorhanden. Wir haben Daten an mehr Orten als je zuvor - vor Ort, Dateifreigaben, Cloud-Speicher, Sharepoint, Teams. Dieses reichhaltige Ökosystem miteinander verbundener Tools erleichtert die Zusammenarbeit, aber die Sicherung dieser Daten wird zu einem Albtraum.

Die Welt der Informationssicherheit - lange Zeit die Bastion der Firewalls und Netzwerkgeräte - ist jetzt überschwemmt von Schlagwörtern und Akronymen wie SIEM, SOC, SOAR, XDR, CSPM und vielen anderen. Es stellt sich unweigerlich die Frage: "Welche Tools brauche ich, um mein Unternehmen zu sichern?"

Die Antwort ist einfach - "Alle."

Wir befinden uns in einer Welt, in der sich der uralte Fluch der Systemausweitung verstärkt hat, ohne dass es eine realistische Möglichkeit gibt, ihn zu stoppen. Wir müssen nun herausfinden, wie wir eine uneinheitliche Reihe von Anwendungen sichern, die über viele Dienstanbieter verteilt sind und keinen Backend-Zugang haben, der die Aufgabe früher vereinfachte.

Mit dem Verlust der Netzwerkgrenzen während des Ansturms auf die Cloud sehen wir als Nutzer das Schöne - wir können uns von überall aus mit unseren Diensten verbinden, mit vielen verschiedenen Endpunkten und zu jeder Zeit. Wir brauchen nur einen Benutzernamen und ein Passwort...

Als IT-Abteilung sehen wir den Schrecken. Unsere Benutzer können sich von jedem Ort aus mit jedem Dienst verbinden, wann immer sie wollen, unabhängig davon, ob die IT-Abteilung zur Überwachung und Unterstützung verfügbar ist. Angreifer können von jedem Ort der Welt aus einen Einbruch versuchen, und alles, was sie brauchen, sind ein Benutzername und ein Passwort...

Wir brauchen einen neuen Weg, und dieser neue Weg ist Zero-Trust.

Zero-Trust-Zugang - die Abschaffung des impliziten Vertrauens auf der Grundlage von Faktoren wie Netzwerkstandort oder IP-Adresse - beruht auf drei Dingen: explizite Überprüfung der Identität, Zugang mit den geringsten Rechten im gesamten Unternehmen und die Annahme einer Sicherheitslücke bei jeder Sicherheitsebene.[1]

Die Identität ist der wichtigste Baustein und ein wesentliches Unterscheidungsmerkmal zwischen den Anbietern, denn während wir die anderen Bereiche des Unternehmens sichern, sind wir auf ihre Sicherheit und Integration angewiesen, damit sie verwaltbar ist und einen sicheren Authentifizierungsmechanismus bietet. Daten, die die Authentifizierung und Autorisierung verbessern können, sind überall vorhanden, werden aber oft nicht genutzt. Wir müssen so viele Daten wie möglich nutzen - Standort, Gerät, Authentifizierungsart, Verhaltensüberwachung, gewünschter Datenzugriff und andere liefern ein gutes Bild davon, worauf der Benutzer (oder Angreifer) zuzugreifen versucht.

Wie in allen Sicherheitsbereichen gibt es oft einen Kompromiss zwischen der Bequemlichkeit für den Endbenutzer und der zu erreichenden Sicherheitslage. Unter Anwendung der Zero-Trust-Prinzipien müssen wir uns um regelmäßige und robuste Herausforderungen bemühen, wenn Benutzer auf Systeme und Daten zugreifen, aber da wir auch eine Multifaktor-Authentifizierung (MFA) benötigen, kann dies die Benutzererfahrung schnell verschlechtern.

Da auch wir von einem Verstoß ausgehen müssen, ärgern viele Organisationen ihre Nutzer einfach mit häufigen, aufdringlichen Authentifizierungsaufforderungen, aber es gibt einen besseren Weg. Durch die Nutzung von Daten aus anderen Quellen können wir eine transparentere Überprüfung durchführen. Mithilfe von Regeln für den bedingten Zugriff, XDR-Daten, CASB-Daten, Standort- und Risikomusteranalysen können wir mit Microsoft Richtlinien erstellen, die detaillierter sind und die Anzahl der Abfragen für die Benutzer reduzieren. Außerdem können wir diese Richtlinien für alle Endgeräte in einem typischen Unternehmen verwalten und anwenden; der alte Standpunkt, dass es nur Windows gibt, ist längst Geschichte.

Microsoft liefert auch die Bausteine für die Abkehr von Passwörtern. Wir können passwortlose Authentifizierungsarten wie FIDO2-Schlüssel, Windows Hello for Business und Zertifikate nutzen. Die Abkehr vom Passwort ist wesentlich sicherer und bietet ein besseres Benutzererlebnis.[2] Diese Authentifizierungsmethoden sind widerstandsfähiger gegen Phishing-Angriffe und bieten, da sie in der Regel mit biometrischen Daten auf dem Endgerät verbunden sind, ein besseres Benutzererlebnis. Microsoft nutzt sie auch, um das Zurücksetzen von Kennwörtern per Selbstbedienung zu ermöglichen, was bedeutet, dass der potenzielle Nachteil, dass Benutzer ihre Kennwörter vergessen, gemildert wird.

Die Benutzer müssen sich zwar anpassen, kommen aber schnell in den Genuss der verbesserten Erfahrung und profitieren dann von der erhöhten Sicherheit, ohne es zu merken. Diese Kombination aus verbesserter Sicherheit und Benutzerfreundlichkeit ist nur durch die Integration und Verarbeitung vieler verschiedener Sicherheitsdatenströme möglich.

Die E5-Lizenzierung von Microsoft geht über die Identität hinaus und bietet eine voll funktionsfähige Zero-Trust-Basis. Die Verwaltung von Geräten über Endpoint Manager ermöglicht die Konfiguration und Bereitstellung von XDR über Windows Defender, wobei die Ausgabeüberwachung und die Protokolldaten in die Risiko- und Compliance-Engines integriert sind und die einfache Integration in das Microsoft Sentinel SIEM nur wenige Klicks entfernt ist. Die Device-Compliance-Regeln in Endpoint Manager fließen auch nahtlos in die Regeln für den bedingten Zugriff ein und bieten eine einfache Möglichkeit, Geräte zu konfigurieren und zu überprüfen, sowohl BYOD- als auch Unternehmensgeräte.

Das Produkt Defender for Cloud Apps führt einen Cloud Access Security Broker (CASB) ein, der Anwendungen überwacht und sichert, aber auch mit Azure AD, Defender for Identity und Azure AD Identity Protection integriert ist, damit Administratoren eine Übersicht über Aktivitäten und Risiken pro Benutzer erhalten und granulare Zugriffsrichtlinien festlegen können.

Innerhalb von Azure wird eine rollenbasierte Zugriffskontrolle (RBAC) unterstützt, die Azure AD-Gruppen verwendet, die dynamisch sein können und denen Rollen zugewiesen werden können. Der Azure Privileged Identity Manager (PIM) ermöglicht es, diese Rollenskalierungen sorgfältig zu überprüfen, zu protokollieren und anzufechten, was es Unternehmen ermöglicht, Vollzeit-Administratorkonten mit hohen Rechten abzuschaffen und zu einem On-Demand-Modell mit geringeren Rechten zu wechseln. Natürlich fließen diese Daten über Azure AD zurück in die Identitäts- und Risikoeinrichtung.

Auch die Daten wurden nicht vergessen: Das Microsoft Purview-Produktset deckt das Datenlebenszyklusmanagement ab und lässt sich in die anderen Produkte integrieren. Durch die Nutzung des Windows-Endpunkts, sowohl mit nativen Funktionen als auch mit implementierten Erweiterungen, ist es möglich, Daten im gesamten Unternehmen zu sichern, von Sharepoint, Teams und Dateifreigaben bis hin zum Desktop.

Das Ergebnis der Microsoft 365 E5-Lizenz ist ein Ökosystem, das die große Mehrheit der Bausteine des modernen Unternehmens bereitstellt. Unternehmen entscheiden sich aus einer Reihe unterschiedlicher Gründe für E5, wobei die Sicherheit selten im Vordergrund steht, da ein Teil der Migration in die Cloud darin besteht, die Denkweise von der Peripherie weg zu ändern, was während und nach der Einführung geschieht, wenn die Technologie vertraut wird.

Wenn diese Unternehmen ihre Sicherheitslage überprüfen, treten unweigerlich Lücken zutage. Eine Sicherheitsbewertung durch einen Anbieter wie Orange Cyberdefense hilft dabei, diese Lücken zu verstehen und zu priorisieren sowie potenzielle Lösungen zu bewerten. Traditionell haben wir in jedem Bereich Best-of-Breed-Produkte eingesetzt, aber M365 E5 ist so umfassend, dass es eine ausgewogene, vollständige Alternative darstellt. In einem Zero-Trust-Modell ermöglicht der integrierte Ansatz von E5 bessere Entscheidungen über den Zugriff auf Ressourcen als ein isolierter Ansatz.

Nehmen wir zum Beispiel an, wir möchten ein sicheres Fernzugriffsprodukt auf einer Firewall einsetzen. Im einfachsten Fall stellen wir den Client bereit und konfigurieren dann die Firewall so, dass sie den Benutzernamen und das Kennwort überprüft, vielleicht mit einem IP-Bereich und einer Sicherheitsgruppe für die Abteilung des Benutzers. Wenn der Benutzer in der richtigen Gruppe, am richtigen Ort und mit dem richtigen Passwort ist, gewähren wir den Zugang.

Wie viel sicherer wäre dies, wenn wir auch die uns zur Verfügung stehenden Risikoinformationen einbeziehen würden? Durch die Integration mit der Azure AD-Suite für die Identität können wir nun überprüfen, ob der Benutzer ein konformes Gerät verwendet (auf Wunsch auch ein unternehmenseigenes), ob er kein Benutzerrisiko eingeht und ob sein Computer auf dem neuesten Stand ist, mit dem richtigen Virenschutz und den richtigen Patches, und wir können auch MFA durchsetzen.

Durch die Integration von Datenquellen erhalten wir eine Zugriffsentscheidung mit weitaus mehr Beweisen und somit eine stärkere Sicherheitslage. Um diese Lösung mit Best of Breed zu erreichen, müssen wir XDR-, Patch-Management-, Identitäts- und Netzwerkprodukte einsetzen und dann sicherstellen, dass sie korrekt integriert sind.

Wenn wir Microsoft E5 verwenden, ist die Bereitstellung von Sicherheitselementen für Endgeräte weitgehend automatisiert, und die Integration ist mit nur wenigen Klicks erledigt.

Natürlich gibt es dabei viele Nuancen, aber der wichtigste Punkt ist, dass wir unser Sicherheitsniveau erhöhen, wenn wir mehr Daten in unsere Entscheidungen über die Zugriffsebene integrieren können. Diese Integration bietet einen Gesamtüberblick, der uns wiederum dabei hilft, die Situation zu beurteilen, wenn es zu einem Verstoß oder einer größeren Bedrohung kommt.

Wenn wir dies mit einem isolierten Ansatz vergleichen, müssen wir anerkennen, dass die Verteidigung in der Tiefe mit mehreren Anbietern größer ist, obwohl das Risiko ganzheitlich betrachtet werden muss. Um mit den Angriffen auf die moderne Angriffsfläche Schritt halten zu können, sind Automatisierung und Integration erforderlich, was mit einem Plattformansatz wie dem von Microsoft einfacher zu erreichen ist. Die Integration zwischen Anbietern ist möglich und wird immer einfacher, da die Industrie auf die Herausforderung reagiert, aber Microsoft bietet dies fast von Haus aus.

Natürlich ist eine solche Plattform nicht ohne Verwaltungsaufwand - viele Produkte, die zusammenkommen, um solch detaillierte Informationen zu liefern, sind relativ neu, und die Unternehmen stehen vor einer anderen Herausforderung als in der Vergangenheit. Jede Einführung von Cloud-Technologie bringt eine erhebliche Veränderung der Fähigkeiten im Vergleich zu der alten On-Premises-Welt mit sich. Die Unternehmen müssen sich neue Fähigkeiten aneignen, weshalb es in ihrem Interesse liegt, diese Belastung so weit wie möglich zu reduzieren.

Die Microsoft-Plattform weist ein ähnliches Erscheinungsbild auf, das sich auf die Azure- und Office 365-Verwaltungserfahrung stützt. Die Ähnlichkeiten sind eine große Hilfe beim Auffinden der benötigten Konfigurationselemente, und obwohl Microsofts Streben nach neuen und verbesserten Funktionen verwirrend sein kann, bietet das einheitliche Erscheinungsbild der Suite insgesamt einen großen Vorteil.

Dennoch benötigt die M365 E5-Umgebung qualifizierte Mitarbeiter, um Warnmeldungen zu verarbeiten und Fehlalarme zu erkennen. Dies hilft dem System zu lernen und ermöglicht es den Unternehmen, proaktiv zu handeln. Microsoft bietet in diesem Bereich selbst nichts an und arbeitet mit Dienstleistern wie Orange Cyberdefense zusammen, um Managed Services einzuführen.

Das Serviceportfolio von Orange Cyberdefense umfasst proaktives und reaktives Management für die Microsoft Defender XDR-Produkte, Microsoft Sentinel SIEM und die Endpoint Manager-Umgebung sowie die Bearbeitung, Untersuchung, Triage und Alarmierung von Warnmeldungen. Dies ermöglicht es Unternehmen, die Verwaltung großer Teile ihrer Microsoft-Umgebung auszulagern und ein SOC einzurichten, das rund um die Uhr für die Überwachung der Warnmeldungen zuständig ist.

Sowohl Microsoft als auch Orange verwenden das Preismodell pro Benutzer, so dass wir in Kombination die Tools und die Sicherheit erhalten, die ein modernes Unternehmen benötigt, einschließlich der Verwaltung durch qualifizierte Experten, rund um die Uhr, 365 Tage die Woche.

So bietet Microsoft 365 E5 eine Kombination aus erstklassigen Produktivitätsanwendungen über viele Plattformen hinweg und mit den notwendigen Tools, um sie zu sichern. Im Vergleich zu einem Best-of-Breed-Lösungspaket sehen wir den Plattformansatz bei den Implementierungskosten, der Skalierbarkeit der Lizenzierung und der Integration vorne. Es ist der einfachste Weg, um das Versprechen der Cloud zu erfüllen - überall und jederzeit zu arbeiten und dabei auch noch sicher zu sein, und das alles zu geringeren Kosten als bei anderen Ansätzen.

[1] learn.microsoft.com/en-us/security/zero-trust/zero-trust-overview

[2] learn.microsoft.com/en-us/windows/security/identity-protection/hello-for-business/hello-why-pin-is-better-than-password