{"id":229166,"date":"2020-03-07T00:15:00","date_gmt":"2020-03-06T23:15:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=229166"},"modified":"2020-03-06T19:32:32","modified_gmt":"2020-03-06T18:32:32","slug":"microsoft-office-die-cloud-lizenzen-und-die-sicherheit","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/03\/07\/microsoft-office-die-cloud-lizenzen-und-die-sicherheit\/","title":{"rendered":"Microsoft Office, die Cloud, Lizenzen und die Sicherheit"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2012\/07\/Office1.jpg\" width=\"55\" height=\"60\" align=\"left\" \/>[English]Firmen die auf Office 365.com als Cloud-L\u00f6sung setzen, laufen gegebenenfalls in Sicherheitsprobleme, wenn sie den 'falschen' Lizenzplan gebucht habe. Hintergrund ist, dass Microsoft Log-Dateien, je nach Abonnement f\u00fcr eine unterschiedliche Zeit (90 Tage bis 1 Jahr) vorh\u00e4lt. Das kann zum Problem f\u00fchren, wenn ein Angriff auf Office 365 erst sehr sp\u00e4t bemerkt wird.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg08.met.vgwort.de\/na\/36c1fb8e97164321aee96bb624e18f4b\" alt=\"\" width=\"1\" height=\"1\" \/>F\u00fcr viele IT-Entscheider stellt die Cloud aktuell das Allheilmittel dar, um die IT-Infrastruktur \u00fcber Drittanbieter bereitstellen zu lassen. Dann muss man sich 'nur noch um die Software k\u00fcmmern, die in der Cloud l\u00e4uft'. Speziell Microsoft bietet ja mit Azure sowie Office 365.com entsprechende Cloud-L\u00f6sungen an \u2013 und der Vertrieb wird nicht m\u00fcde, die vielen tollen Vorteile zu preisen.<\/p>\n<h2>Obacht, an wen man sich bindet<\/h2>\n<p>Der geneigte Kunde hat nun bei Microsoft verschiedene Abo-M\u00f6glichkeiten (als Pl\u00e4ne bezeichnet) f\u00fcr Office365.com-Abonnements. Es gibt Office 365 E3 und Microsoft 365 E3 Pl\u00e4ne, und es gibt Office 365 E5 oder Microsoft 365 E5 Abonnements.\u00a0 Vordergr\u00fcndig wird man m\u00f6glicherweise nur die Preisunterschiede sehen. Aber es interessante Implikationen bei der Wahl des Abonnements, auf die ich \u00fcber den nachfolgenden Tweet in Verbindung mit Microsoft Office gesto\u00dfen bin.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p dir=\"ltr\" lang=\"de\">Microsoft Office Cloud: IT-Sicherheit ist ein Lizenzproblem <a href=\"https:\/\/t.co\/P2Gsqw5AQf\">https:\/\/t.co\/P2Gsqw5AQf<\/a> <a href=\"https:\/\/t.co\/fAAAk7MTdw\">pic.twitter.com\/fAAAk7MTdw<\/a><\/p>\n<p>\u2014 Datenschutz Aktuell (@DSAgentur) <a href=\"https:\/\/twitter.com\/DSAgentur\/status\/1234946825439805441?ref_src=twsrc%5Etfw\">March 3, 2020<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Die Seite <em>Datenschutz Aktuell <\/em>arbeitet sich im verlinkten Beitrag an der Frage ab, dass die IT-Sicherheit von der Auswahl des Plans f\u00fcr Office365.com abh\u00e4ngt.<\/p>\n<h2>Problem: Sicherheitsvorfall in Office 365<\/h2>\n<p>Es gibt ja immer wieder Sicherheitsvorf\u00e4lle, bei denen ein Office 365-Konto durch Angreifer, z.B. \u00fcber Spear-Phishing, kompromittiert wird. Die Angreifer versuchen \u00fcber eine gef\u00e4lschte Anmeldeseite, die oft auf einem gekaperten Server gehostet ist, Zugangsdaten f\u00fcr einen Azure- oder Microsoft 365-Account abzufischen.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" title=\"Office 365-Anmeldung alt\" src=\"https:\/\/i.imgur.com\/FEdDjex.jpg\" alt=\"Office 365-Anmeldung alt\" width=\"635\" height=\"427\" \/><\/p>\n<p>Der Anmeldeversuch des Benutzers wird dann von den Angreifern mit protokolliert und im ersten Versuch abgelehnt. Das dient dazu, dass der Benutzer diese Anmeldedaten erneut eingibt, so dass die Angreifer diese verifizieren (mit der erste Eingabe abgleichen) k\u00f6nnen. Klappt der Phishing-Versuch, kann der Angreifer, je nach Konto, Kontaktdaten abziehen oder die Office365 Mails durchsuchen und beobachten. Zudem k\u00f6nnten Exchange Online-Konten und Outlook zum Versand von Mails missbraucht werden. Bei Azure-Konten l\u00e4sst sich noch mehr Missbrauch treiben. Sind Konten mit einem Active Directory verbunden, k\u00f6nnen Angreifer sich ggf. auch im Firmennetzwerk bewegen.<\/p>\n<h2>Audits anhand der Log-Dateien nicht mehr m\u00f6glich<\/h2>\n<p>Jetzt kommen wir zum Kernproblem: Wurde ein Konto in Office365 kompromittiert, m\u00fcssen Sicherheitsverantwortliche herausfinden, wann das passierte, wodurch das passierte und auf welche Daten zugegriffen wurde. IT-Forensiker sehen sich dazu die Log-Dateien der Systeme an. So weit so gut.<\/p>\n<p>Und hier laufen die Leute in der Cloud in echte Probleme, wie der Beitrag aufdeckt. Microsoft stellt die M\u00f6glichkeit sogenannte Audit Logs in Office365.com bereit. Man kann diese Audit Logs aktiveren und dann die Protokolle auf die Nutzung eines Postfaches, die Benutzeranmeldungen, administrative T\u00e4tigkeiten etc. durchsuchen lassen. Das ist das Mittel der Forensik, um einen Sicherheitsvorfall abzuarbeiten.<\/p>\n<p>Die Krux ist aber, dass abh\u00e4ngig vom gew\u00e4hlten Office 365-Plan die ben\u00f6tigten Log-Dateien f\u00fcr unterschiedlich lange Zeitr\u00e4ume verf\u00fcgbar sind.<\/p>\n<ul>\n<li>90 Tage f\u00fcr Office 365 E3 und Microsoft 365 E3 Pl\u00e4ne<\/li>\n<li>365 Tage f\u00fcr Office 365 E5 oder Microsoft 365 E5 Pl\u00e4ne<\/li>\n<\/ul>\n<p>Wer jetzt einen Sicherheitsvorfall erleidet und einen E3-Plan f\u00fcr sein Office 365 oder Microsoft 365 hat, muss sich echt beeilen. Liegt ein Angriff l\u00e4nger als 3 Monate zur\u00fcck, bevor er entdeckt wird (und das ist oft der Fall), sind keine Log-Daten mehr \u00fcber die Cloud und die Audit Logs f\u00fcr das Konto abrufbar. Die Aufkl\u00e4rung eines Hacks ist \u00fcber diese Schiene nicht mehr m\u00f6glich.<\/p>\n<p>Wer von dieser Problematik tangiert ist oder sich f\u00fcr die Details interessiert, sollte den <a href=\"https:\/\/www.datenschutzbeauftragter-info.de\/microsoft-office-cloud-it-sicherheit-ist-ein-lizenzproblem\/\">deutschsprachigen Beitrag hier<\/a> durchgehen. Dort werden diverse Szenarien und Fragen abgearbeitet. Beim Schreiben des Beitrags fiel mir im Hinterkopf dann noch der Beitrag <a href=\"https:\/\/borncity.com\/blog\/2020\/02\/25\/sicherheitsinfos-25-2-2020\/\">Sicherheitsinfos (25.2.2020)<\/a> ein. Dort hatte ich im Abschnitt <em>Microsoft Office 365 patzt beim Schutz vor Emotet <\/em>skizziert, dass beim Wechsel von einem lokalen Office auf Office 365 die meisten Office-365-Versionen die Vorgaben aus Gruppenrichtlinien ignorieren, ohne dass dies so gemeldet wird.<\/p>\n<p>Diese Episode zeigt mir wieder einmal mehr, dass mit dem Wechsel zur Cloud ein 'Damokles-Schwert' \u00fcber jedem IT-Verantwortlichen h\u00e4ngt. Die Vorstellung bei manchem Manager, durch 'Outsourcing zu einem Cloud-Anbieter' Mitarbeiter und Kenntnisse einsparen zu k\u00f6nnen, erweist sich als Fata-Morgana, die genau bis zum ersten Problem vorh\u00e4lt und schnell im Desaster enden kann. Die vielen Sicherheitsvorf\u00e4lle in letzter Zeit, die auch Daten in der Cloud betreffen, sprechen eine deutliche Sprache \u2013 oder wie seht ihr das?<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/03\/01\/microsoft-office-365-anmeldung-wird-berarbeitet\/\">Microsoft Office 365-Anmeldung wird \u00fcberarbeitet<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/02\/25\/sicherheitsinfos-25-2-2020\/\">Sicherheitsinfos (25.2.2020)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/02\/27\/spionage-cloud-snooper-kommuniziert-via-firewalls\/\">Spionage: Cloud Snooper kommuniziert via Firewalls<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/02\/23\/warum-cloud-fehlkonfigurationen-hufig-sind\/\">Warum Cloud-Fehlkonfigurationen h\u00e4ufig sind<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/02\/22\/cloud-strung-bei-microsoft-365-22-2-2020\/\">Cloud-St\u00f6rung bei Microsoft 365? (22.2.2020)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/01\/12\/cloud-security-gute-vorstze-fr-2020\/\">Cloud-Security, gute Vors\u00e4tze f\u00fcr 2020<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/01\/07\/ntzliche-tools-fr-die-aws-cloud-sicherheit\/\">N\u00fctzliche Tools f\u00fcr die AWS-Cloud-Sicherheit<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/01\/08\/datenschutzbedingungen-fr-die-microsoft-cloud-gendert\/\">Datenschutzbedingungen f\u00fcr die Microsoft-Cloud ge\u00e4ndert<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/01\/22\/datenleck-bei-microsoft-250-mio-call-center-datenstze-in-cloud-ffentlich-zugnglich\/\">Datenleck bei Microsoft: 250 Mio. Call-Center-Datens\u00e4tze in Cloud \u00f6ffentlich zug\u00e4nglich<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/02\/17\/europische-cloud-gaia-x-und-der-krypto-schlsselunfall-bei-einem-deutschen-cloud-anbieter\/\">Europ\u00e4ische Cloud Gaia X, und der Krypto-Schl\u00fcsselunfall bei einem deutschen Cloud-Anbieter<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Firmen die auf Office 365.com als Cloud-L\u00f6sung setzen, laufen gegebenenfalls in Sicherheitsprobleme, wenn sie den 'falschen' Lizenzplan gebucht habe. Hintergrund ist, dass Microsoft Log-Dateien, je nach Abonnement f\u00fcr eine unterschiedliche Zeit (90 Tage bis 1 Jahr) vorh\u00e4lt. Das kann zum &hellip; <a href=\"https:\/\/borncity.com\/blog\/2020\/03\/07\/microsoft-office-die-cloud-lizenzen-und-die-sicherheit\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7263,270,426],"tags":[1171,4322,4328],"class_list":["post-229166","post","type-post","status-publish","format-standard","hentry","category-cloud","category-office","category-sicherheit","tag-cloud","tag-office","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/229166","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=229166"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/229166\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=229166"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=229166"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=229166"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}