Wo endet der Schutz von Microsoft 365 und wo beginnt die Eigenverantwortung des Kunden bei der Datensicherung? In unserem Beitrag Microsoft 365 und warum ein Backup unverzichtbar ist haben wir darüber aufgeklärt, dass Microsoft bei der Datensicherung nach dem Shared Responsibility Modell arbeitet und somit der Nutzer für den Schutz seiner Daten selbst verantwortlich ist.
Die Hauptverantwortung von Microsoft ist der Schutz der Cloud-Infrastruktur und damit der physische Schutz der Rechenzentren, des Netzwerks und der Hardware. Zudem stellt Microsoft lediglich grundlegende Sicherheitsfunktionen und -dienste zur Verfügung, wodurch Daten nur für einen bestimmten Zeitraum gesichert werden. Wird dieser Zeitraum überschritten, kann Microsoft beim Verlust der Daten nicht mehr auf diese zugreifen und sie auch nicht wiederherstellen.
Viele Unternehmen übersehen, dass der Schutz von Microsoft an bestimmten Punkten endet oder wissen überhaupt nicht, dass sie selbst aktiv werden müssen, um ihre Daten umfassend zu schützen. In diesem Beitrag werfen wir einen Blick auf die Schwachstellen, die Unternehmen kennen sollten, wenn sie bisher eine Sicherheitsstrategie ohne Backup Lösung nutzen.
Was unterscheidet Backups von der Datensicherung durch Microsoft 365?
Bei einem Backup werden regelmäßig Kopien von Daten erstellt und an einem separaten Ort gespeichert. Der Nutzer hat direkten Zugriff und direkte Kontrolle über dieses Backup, kann dadurch Daten ggf. wiederherstellen oder bei einem Systemausfall darauf zugreifen. Die Office 365 Daten werden dagegen lediglich georedundant gespeichert und somit vor Standort- oder Hardwareausfällen geschützt. Der Nutzer kann somit im Falle eines Systemausfalles weiterarbeiten, hat jedoch keine umfassende Datensicherung bei anderen Bedrohungen wie versehentlicher Löschung, internen und externen Sicherheitsbedrohungen oder dem Management von hybriden E-Mail Anwendungen und der Migration dieser auf Office 365.
Gegen solche Fälle hilft nur eine professionelle Lösung für Backup und Recovery. Als Nutzer sollte man bei Backups vor allem auf die 3-2-1 Regel achten. Gute Backups machen drei unabhängige Kopien jeder Datei - auf mindestens zwei verschiedenen Medien (Festplatte, Cloud). Eine dieser Kopien muss so gelagert sein, dass nicht elektronisch auf die Daten zugegriffen werden kann.
Schwachstellen, die jedes Unternehmen kennen sollte
Einer der größten Risikofaktoren für Unternehmen sind menschliche Fehler. Denn egal, wie gut die Sicherheitsmaßnahmen von M365 sind, Fehler wie das versehentliche Löschen von wichtigen Dateien oder falsche Berechtigungen für Mitarbeiter:innen können sehr schnell zu Datenverlust führen. Wie inzwischen klar sein sollte, schützt Microsoft lediglich die Plattform, übernimmt jedoch keine Verantwortung bei der unbeabsichtigten Löschung von Inhalten, wenn diese über die Standardsicherung hinausgehen. Auch Phishing-Angriffe oder unsachgemäße Konfigurationen von Freigaben können erheblichen Schaden anrichten.
Unternehmen sollten deshalb regelmäßige Schulungen für Mitarbeiter:innen durchführen, um sie für potenzielle Fehlerquellen zu sensibilisieren. Rollenbasierte Zugriffsrechte würden zusätzlich sicherstellen, dass nur berechtigte Mitarbeiter:innen auf sensible Daten zugreifen können.
Die unzureichenden Aufbewahrungsrichtlinien von Microsoft haben wir ja nun mehrfach erwähnt. Zwar werden Daten von Microsoft georedundant und temporär gespeichert, was insbesondere im Fall von versehentlich gelöschten Inhalten helfen kann, aber eben nicht, wenn der Aufbewahrungszeitraum überschritten wurde. Eine langfriste Datenaufbewahrung ist nicht standardmäßig gewährleistet, wodurch eine zusätzliche Absicherung nötig ist.
Unternehmen sollten deshalb darauf achten, eigene Aufbewahrungsrichtlinien zu definieren und sicherstellen, dass wichtige Daten über die nötige Dauer gespeichert (z.B. mit Backups) werden.
Cyberbedrohungen bleiben trotz fortlaufender Verbesserungen der Sicherheitsmaßnahmen für Office 365 ein zentrales Problem. Phishing-Angriffe und Ransomware können sich durch unsichere Endgeräte oder ungeschulte Benutzer in das System einschleichen und großen Schaden anrichten.
Um den Zugriff auf Konten besser abzusichern, sollten Unternehmen deshalb unbedingt eine Multi-Faktor-Authentifizierung aktivieren sowie Anti-Viren-Programme auf allen Geräten installieren, die auf M365 zugreifen. Zudem sollten auch hier wieder die Mitarbeiter:innen geschult werden, um für die Gefahren durch Phishing und andere Angriffsformen von außen zu sensibilisieren.
In Zeiten, wo Home-Office keine Ausnahmemöglichkeit mehr ist, gehört Microsoft Teams zu den am häufigsten genutzten Kommunikationstools in vielen Unternehmen. Doch die Sicherung der darin enthaltenden Daten, Chats und Dokumente wird oft übersehen. Obwohl Microsoft Teams Daten ein Teil der M365 Umgebung sind, gibt es kein natives Backup für Teams-Inhalte. Gehen wichtige Teams-Daten verloren oder werden gelöscht, ist der Zugriff darauf oft unwiderruflich.
Unternehmen sollten bei der Auswahl eines Backups darauf achten, dass auch die Sicherung der Teams-Daten unterstützt wird und diese regelmäßig speichern.
Fazit: Microsoft schützt, aber nicht überall
Obwohl Microsoft 365 viele Sicherheitsebenen bietet, müssen sich Unternehmen bewusst sein, wo dieser Schutz endet. Menschliche Fehler, unzureichende Aufbewahrungsrichtlinien, Cyberbedrohungen und die Sicherung von Microsoft Teams-Daten sind nur einige Bereiche, in denen Nutzer selbst aktiv werden müssen. Wir können es nicht oft genug erwähnen, aber Backup-Lösungen gewährleisten eine langfriste Datensicherheit, minimieren Risiken und bieten zusätzlichen Schutz - von innen und außen.
In unserem letzten Beitrag haben wir bereits unser MANAGED BACKUP SERVICE vorgestellt, welches einen umfassenden Schutz durch tägliche Backups und einer langfristigen Speicherung garantiert. Das Monitoring übernehmen wir, sodass Sie sich keine Gedanken über die Sicherheit Ihrer Daten machen müssen.
Kontaktieren Sie uns gerne bei weiteren Fragen!
Comments