So könnte man die Zahlen interpretieren, wenn man nach den aktuell aktivierten Konten mit Multi-Faktor Authentifizierung in der Microsoft Cloud sucht.
Oder sollten wir uns freuen, dass fast die Hälfte der geschäftlichen Nutzer von MS365 einen zweiten Faktor zum Passwort verwendet?
In den letzten Wochen habe ich mich mit einigen Unternehmen zum Thema Cloud Security ausgetauscht, die alle unterschiedliche Anforderungen an die Sicherheit haben.
Bei allen gab es thematische Überschneidungen und ähnliche Fragen.
- Was müssen wir tun, damit unsere MS Cloud Accounts sicher sind?
- Was können wir zusätzlich zur MFA aktivieren?
- Wie gehen wir mit Gästen und privaten Geräten um?
- Wie machen es andere?
Worauf haben sich die meisten Kunden als Basissicherheit geeinigt?
Aktivierung der MFA
- Nutzung eines zweiten Faktors zusätzlich zum Passwort, entweder per App auf dem Smartphone oder z.B. mit Yubikeys
Abschaltung veralteter Anmeldeverfahren
- Die Anmeldung in der Cloud sollte nur mit aktuellen verschlüsselten Verfahren möglich sein, d.h. alte Betriebssysteme mit unsicheren Verfahren, bei denen ggf. das Passwort mitgelesen werden kann, werden gesperrt.
Anmeldung aus Drittstaaten verbieten
- Die Anmeldung aus Ländern, in denen keiner der Mitarbeiter arbeitet, kann unterbunden werden. Dies ist kein ultimativer Schutz, hilft aber zumindest automatisierte Angriffe zu reduzieren.
Vollzugriff nur mit Firmengeräten
- Es wird geprüft, ob es sich bei dem Endgerät um ein vom Unternehmen verwaltetes Gerät handelt. Nur Firmengeräte erhalten Vollzugriff auf Dokumente z.B. im Sharepoint.
Umgang mit Gästen
- Gäste können z.B. nur auf den öffentlichen Bereich des Sharepoints oder auf Teamgruppen zugreifen, Mitarbeiter können interne Bereiche nicht mit Externen teilen.
- Es ist auch möglich, Gästen die Nutzung eines zweiten Faktors vorzuschreiben
Externe Geräte (privat)
- Hier wird es spannend, die meisten erlauben nur den Zugriff auf Outlook / E-Mail.
- Einigen reicht ein zweiter Faktor für den Zugriff.
- Andere wollen auch die App auf dem Gerät kontrollieren und ggf. löschen können.
Der Ansatz für eine sichere Konfiguration hängt auch von der Architektur ab, hybride Umgebung vs. Cloud only.
Welche Aussage unterstützt Du?
Team A: 55% haben kein Bock auf IT-Security
Team B: Klasse 45% der Konten nutzen einen zweiten Faktor
Wer wissen möchte wie Passkeys funktionieren, hier der Artikel: GEN-Z ERKLÄRT PASSKEYS! PASSWÖRTER SIND CRINGE!