Sicherheit in Microsoft Teams
Viele Unternehmen haben bereits Microsoft Teams eingeführt oder sind gerade dabei. Aufgrund offener Fragen zur Sicherheit in Microsoft Teams wird jedoch oft gezögert. Speziell geht es um die Themen:
- Sicherheitslücken schließen und
- Wildwuchs an neuen Teams vermeiden.
Microsoft bietet eine Vielzahl an Einstellungen und Konfigurationen an, um Microsoft Teams an individuelle Anforderungen anzupassen.
Die Herausforderung besteht für viele Administratoren jedoch darin, zu wissen, welche Möglichkeiten überhaupt bestehen und wo man welche Einstellung vornehmen kann.
Alternativ helfen auch Lösungen wie my-IAM TeamSpace, Ihre Teams, Compliance-Konform und zentral zu verwalten.
Identitätssicherheit in MS Teams
Jeder Anwender muss sich über sein Microsoft-Konto anmelden, um Microsoft Teams nutzen zu können. Die Art der Authentifizierung hängt also von den Einstellungen in Ihrem Azure Active Directory ab.
Da es sich hierbei also, für gewöhnlich, um denselben Login handelt wie auch bei Windows oder anderen Office-Apps, kann dieser an Microsoft Teams weitergeleitet werden. Damit ist es nicht nötig, dass der Benutzer seinen Benutzernamen und sein Passwort erneut eingeben muss (Single Sign-on).
Für mobile Nutzer können Sie zusätzliche Konfigurationen vornehmen, um strengere Authentifizierungsregeln festzulegen. So kann beispielsweise mit Intunes gearbeitet werden, um zulässige Konten und Geräte zusätzlich einzuschränken.
Außerdem ist es möglich, mit einer zertifikatbasierten Authentifizierung zu arbeiten, insofern Ihr Exchange-Online-Konto entsprechend konfiguriert ist.
Compliance
Compliance, oder auch Regelkonformität, wird in Microsoft Teams durch Features von Microsoft 365 bereitgestellt. Diese umfassen:
- Informationsbarrieren,
- Kommunikationskonformität und
- Aufbewahrungsrichtlinien.
Informationsbarrieren dienen dazu, die Kommunikation und somit den Informationsaustausch zwischen bestimmten Benutzern oder Benutzergruppen zu verhindern. Solche Einstellungsmöglichkeiten können beispielsweise nützlich sein, wenn Mitarbeiter, die an einem Projekt mit hoher Sicherheitsstufe arbeiten, Informationen dazu nicht nach außen tragen dürfen (versehentlich oder absichtlich).
Diese Richtlinien werden über das Microsoft 365 „Security & Compliance Center“ via PowerShell cmdlets konfiguriert.
Kommunikationskonformität bedeutet, Chats und Teams-Inhalte auf unangemessene Inhalte zu scannen, damit auf diese reagiert werden kann. Es kann dabei sowohl um beleidigende Inhalte, als auch vertrauliche und interne Informationen gehen. Microsoft stellt als Basis immer einige vordefinierte Regeln in Microsoft 365 zur Verfügung. Diese können aber auch um eigene Regeln ergänzt werden.
Aufbewahrungsrichtlinien für Daten in Microsoft Teams dienen dazu sicherzustellen, dass
- wichtige Daten nicht verloren gehen,
- überflüssige oder gar strafbare Daten dagegen automatisch entfernt werden.
Entsprechend kann man sowohl Aufbewahrungs- als auch Löschrichtlinien konfigurieren. Standardmäßig werden Informationen zu Chats und Kanälen in Microsoft Teams unbegrenzt aufgehoben, bis sie manuell gelöscht werden. Nach einer manuellen Löschung sind die Daten dauerhaft gelöscht, insofern Sie keine Datensicherung durch Drittsoftware verwenden.
Regeln zum Aufbewahren und Löschen von Daten können für Kanäle und Chats unterschiedlich definiert werden. Zudem kann festgelegt werden, ob diese für die ganze Organisation oder nur einzelne Benutzer(-gruppen) gelten. Die Konfiguration kann entweder über das Microsoft 365 “Compliance Center” oder das “Security & Compliance Center” via PowerShell cmdlets vorgenommen werden.
Bedingter Zugriff
Microsoft Teams nutzt Exchange Online, SharePoint Online und Skype for Business Online für elementare Features, wie Besprechungen, Kalender, Chats und Dateifreigabe. Daher beruhen auch die Konfigurationen zum bedingten Zugriff auf diese Features auf den dazugehörigen Apps.
Zusätzlich kann man aber auch eigene Richtlinien für den bedingten Zugriff auf Microsoft Teams definieren. Es handelt sich bei diesen Richtlinien um “Wenn-Dann”-Aussagen. Es kann bestimmt werden, ob beim Erfüllen der Regeln der Zugriff blockiert, erlaubt, oder in Abhängigkeit von weiteren Regeln erlaubt wird.
Wir empfehlen, die Richtlinien für Microsoft Teams auch für die oben genannten Apps zu hinterlegen, da es sonst zu unerwartetem Verhalten kommen kann. Beispielsweise können Zugriffe auf Ressourcen in SharePoint Online an Benutzer gewährt sein, da die Richtlinien für diese App weniger streng sind, als für Microsoft Teams.
Lesen Sie mehr darüber, wie Microsoft Teams in die M365 Welt eingebettet ist in unserem Artikel: „Was geschieht, wenn ich ein neues Team in Microsoft Teams erstelle?“
Gastzugriffe
Gäste in Ihren Teams stellen eine mögliche Schwachstelle in der Sicherheit dar. Daher bietet Microsoft eine Reihe von Konfigurationsmöglichkeiten an:
- Gäste insgesamt erlauben oder nicht
- Gäste in Teams erlauben oder nicht
- wer Gäste einladen darf
- ob Gäste auf Dokumente zugreifen dürfen oder nicht
- und mehr
Diese Einstellungen werden direkt im Azure Active Directory vorgenommen, oder im Falle von Daten, direkt in SharePoint. Außerdem können direkt an einzelnen Teams weitere Einstellungen durch den Team-Admin vorgenommen werden. Beispielsweise können Sie die Erstellung von Kanälen durch Gäste regulieren.
Schutz vor Datenverlust (DLP)
In allen Microsoft 365 Services können Richtlinien eingerichtet werden, die sensible Daten identifizieren, monitoren und automatisch beschützen. Solche sensiblen Daten können beispielsweise Kreditkartennummern, Krankenakten oder Sozialversicherungsnummern sein.
Insofern es eine passende DLP-Richtlinie gibt, werden vertrauliche Informationen in Chats automatisch gelöscht und Dokumente können von Benutzer(-gruppen) nicht geöffnet werden.
Die Konfiguration solcher Richtlinien erfolgt für Microsoft Teams über das Microsoft 365 „Security & Compliance Center“. Außerdem können Sie über das Microsoft 365 “Admin Center” einsehen, wo Ihre Daten gespeichert werden. Diese Information könnte in Bezug auf DSGVO für Ihr Unternehmen von Bedeutung sein.
eDiscovery und Überwachungsprotokolle
Microsoft Teams speichert per Default die meisten Informationen. Es ermöglicht Ihnen, die Informationen später zu suchen und zu analysieren. Damit können Sie schneller Sicherheitslücken finden und nachvollziehen. Diese Daten umfassen zum Beispiel Chatnachrichten, Kanal-Nachrichten in einem Team, Gifs, Emojis, Chat-Links und bearbeitete Nachrichten. Nicht abgedeckt sind dagegen Tonaufnahmen, Codeausschnitte, Reaktionen und Namen von Kanälen.
Zusätzlichen können Benutzer oder ganze Gruppen auf “legale Aufbewahrungspflicht” gestellt werden. Damit werden Daten im Zusammenhang mit diesen Benutzern vor Manipulation geschützt. Diese Einstellung können Sie im Microsoft 365 „Security & Compliance Center“ vornehmen.
Im Microsoft 365 „Security & Compliance Center“ kann außerdem das Aufzeichnen von Überwachungsprotokollen aktiviert werden. Damit wird protokolliert, wie Benutzer Teams verwenden. Somit können Aktivitäten gefunden werden, die auf Sicherheitsprobleme hindeuten. Beispielsweise wenn Benutzer(gruppen) mehr Rechte haben, als angedacht.
Überwachungsprotokolle gibt es zum Beispiel für Team-Erstellung und –Löschung, Kanal hinzufügen und Änderung von Einstellungen.
Gut zu wissen: Überwachungsprotokolle zeichnen erst ab dem Zeitpunkt der Aktivierung auf.
Schutz von Meetings und Anrufen
Meetings lassen sich durch Besprechungsrichtlinien schützen. Diese können Sie im “Teams Admin Center” festlegen. Man kann dabei festlegen, welche Benutzer in der Lobby warten müssen und wer dem Meeting direkt beitreten darf. Außerdem kann konfiguriert werden, was für Rechte ein Teilnehmer vs. dem Leiter des Meetings hat, z.B. in Hinblick auf Präsentationsrecht oder die Möglichkeit, andere Teilnehmer stumm zu schalten.
Unabhängig von Meetings können für Anrufe Richtlinien festgelegt werden. Diese können zum Beispiel bestimmen, ob private Anrufe über Microsoft Teams geführt werden dürfen, Anrufweiterleitung oder Voicemail-Einstellungen. Im “Teams Admin Center” kann unter anderem die Verschlüsselung der Voicemail konfiguriert werden, als auch die Voicemail-Transkription, welche standardmäßig aktiviert ist.
Des Weiteren können Anrufe in Microsoft Teams blockiert werden. Jedoch gilt dies dann für den gesamten Mandanten und ist nicht auf einzelne Benutzer beschränkbar. Diese Richtlinien dienen in erster Linie dazu, Phishing und Spam zu verhindern.
Zusammenfassung
Microsoft Teams bietet viele verschiedene Sicherheitsfeatures, die aufgrund der Zusammenarbeit mit anderen Microsoft Apps ermöglicht werden. Dadurch müssen sie aber auch in verschiedenen Portalen konfiguriert werden.
Einstellung | Ort | Bemerkung |
Authentifizierung | Azure Portal | Es handelt sich hierbei um die allgemeinen Authentifizierungseinstellungen zum Azure Active Directory. |
Informationsbarrieren | Microsoft 365 „Security & Compliance Center“ via PowerShell cmdlets | |
Konformität der Kommunikation | Microsoft 365 “Compliance Center” | |
Aufbewahrungsrichtlinien | Microsoft 365 “Compliance Center” oder “Security & Compliance Center” via PowerShell cmdlets | |
Aufbewahrungsort der Daten | Microsoft 365 “Admin Center” | Kann nur eingesehen werden. |
Bedingter Zugriff / Conditional Access | Azure Portal | Muss für MS Teams, also auch die Apps, die von MS Teams genutzt werden, konfiguriert werden, um die Sicherheit zu gewährleisten. Apps: Exchange Online, SharePoint Online und Skype for Business Online |
Gastzugriffe | Azure Portal & Microsoft Teams App (für das jeweilige Team) | Im Azure Portal können an verschiedenen Punkten Einstellungen vorgenommen werden, wie Azure AD Konfiguration, Gruppen-Konfiguration, SharePoint-Konfiguration |
Schutz vor Datenverlust (DLP) | Microsoft 365 „Security & Compliance Center“ und Microsoft 365 “Admin Center” | |
eDiscovery und Überwachungsprotokolle | Microsoft 365 „Security & Compliance Center“ | |
Besprechungs- und Anrufrichtlinien | „Teams Admin Center“ | |
Schutz von Voicemail | „Teams Admin Center“ |
Fazit
Microsoft Teams bietet durch die vielen Einstellungsmöglichkeiten ein vielseitiges Sicherheitssystem, durch das Sie Ihr Unternehmen schützen können.
Durch die komplexe Zusammenarbeit verschiedener Microsoft Dienste innerhalb von Microsoft Teams, kann es für den zuständigen Administrator schwer sein, den Überblick zu wahren. Es ist wichtig, die Sicherheitskonfigurationen in allen Diensten korrekt vorzunehmen, da es sonst zu ungewolltem Verhalten kommen kann.
Dieser Artikel wurde auf Basis der Dokumentation von Microsoft zusammengestellt, um einen groben und schnellen Überblick zu dem Thema Sicherheit in Teams zu schaffen. Sollten Sie weitergehende Informationen benötigen, empfehlen wir einen Blick in diese Dokumentation von Microsoft.
Für weitere Informationen und die Betreuung bei der Implementierung von Microsoft Teams können Sie uns gerne kontaktieren.