logo

Fünf Tipps zur Verbesserung der Sicherheit von Microsoft Teams

Überblick über Microsoft Teams

Microsoft Teams ist eine Online-Plattform, über die Teams nahtlos und produktiv zusammenarbeiten können. Die Anwendung ist Bestandteil der Suite Office 365 und kann unter Windows, Mac, Linux, iOS und Android ausgeführt werden. Sie ermöglicht die Remote-Kommunikation über nahezu alle Desktop-PCs und Mobilgeräte.

In Microsoft Teams stehen die folgenden Funktionen und Dienste zur Verfügung:

  • Chat: Mit dieser Funktion können sich die Nutzer private Nachrichten senden und Dateien an die Nachrichten einer Unterhaltung anhängen. Für den Austausch von Dateien in Chats kommt OneDrive for Business zum Einsatz.
  • Teams: Über diese Registerkarte können Benutzer Teams erstellen oder bestehenden Teams beitreten, um die Gruppenzusammenarbeit und Unterhaltungen in Teamkanälen zu starten. Wenn ein Benutzer ein Team erstellt, wird im Wesentlichen eine Office 365-Gruppe auf dem Backend-System erstellt.
  • Kalender: Dieser Dienst synchronisiert die Outlook-Kalender der Benutzer und ermöglicht so die Planung von Besprechungen und Projekten.
  • Anrufe: Über diese Registerkarte können Benutzer Sprach- und Videoanrufe tätigen und entgegennehmen. Grundlage für die Funktion „Anrufe“ ist das Skype-Framework. Viele Unternehmen nutzen für die Kommunikation anstelle von Skype for Business bereits Microsoft Teams.

Microsoft Teams Security
Sicherheit in Microsoft Teams

Sicherheitsbedenken im Zusammenhang mit Microsoft Teams

Microsoft Teams ist ein leistungsstarkes Tool zur Unterstützung der abteilungs- und unternehmensübergreifenden Zusammenarbeit. Die Offenheit der Anwendung hat jedoch auch zu Bedenken geführt, da eine unbegrenzte Anzahl von Benutzern uneingeschränkt Dateien und Daten austauschen können. IT-Profis sehen insbesondere in den nachfolgend aufgeführten Funktionen eine Herausforderung für die Sicherheit.

Ausgewählte verwandte Themen:
  • Gastzugriff: Über die Funktion „Gastzugriff“ können Teambesitzer Personen außerhalb des Unternehmens zur Teilnahme an Teamaktivitäten einladen. Diese Gäste können auf alle Kanäle, Chats, freigegebenen Dateien und Besprechungen des Teams zugreifen. Sie müssen lediglich eine geschäftliche oder private E-Mail-Adresse angeben. Abgesehen davon gibt es keinerlei Einschränkungen oder Sicherheitsüberprüfungen zur Steuerung der Zugriffsrechte von Gästen. Aus diesem Grund gibt es vielfach Bedenken, dass sensible oder vertrauliche Daten relativ einfach in die Hände von Personen gelangen können, die nicht dem Unternehmen angehören.
  • Berechtigungsmodell: Um eine agile, selbst organisierte Zusammenarbeit zwischen Mitarbeitern unterschiedlicher Abteilungen oder Bereiche zu ermöglichen, setzt Microsoft Teams bewusst auf ein offenes Berechtigungsmodell.
    • Jeder Benutzer kann demnach Teambesitzer werden, indem er ein Team erstellt und andere Benutzer in das Team einlädt.
    • Jedes Teammitglied kann auf alle Daten in den öffentlichen Kanälen des Teams zugreifen, unter anderem auch auf Chat-Nachrichten, Besprechungsinhalte und freigegebene Dateien. Die Teammitglieder können Dateien untereinander austauschen und neue Kanäle erstellen.
    • Auch Gäste, die nicht dem Unternehmen angehören, können Dateien austauschen und sogar neue Kanäle innerhalb des Teams erstellen.

Es liegt auf der Hand, dass dieses Berechtigungsmodell einen einfachen Datenaustausch und eine effiziente Zusammenarbeit ermöglicht, die Steuerung und Nachverfolgung der einzelnen Aktivitäten der IT-Abteilung jedoch ziemliches Kopfzerbrechen bereitet.

  • App-Verwaltung: Benutzer können die Funktionen von Teamkanälen erweitern, indem sie Apps in Form von benutzerdefinierten Registerkarten, Bots oder Connectors hinzufügen. Über eine App können Benutzer in einem Kanal Inhalte und Aktualisierungen direkt über ihre bevorzugten Drittanbieterdienste wie Trello und GitHub abrufen. Oftmals verlangen diese Apps jedoch (oder setzen sogar voraus), dass die Benutzer ihnen Zugriff auf ihre Daten gewähren. Dadurch entsteht die Gefahr, dass Unternehmensdaten unrechtmäßig an externe Parteien übertragen werden. Da sehr viele Microsoft-Partner ihre Produktivitäts-Apps im Teams-Store veröffentlichen, muss die IT nun ein zusätzliches Sicherheitsrisiko überwachen und steuern.
  • Datenlebenszyklusmanagement: Das Grundprinzip von Teams, eine offene Kommunikation und einen einfachen Dateiaustausch zu ermöglichen, steht den Anforderungen einer sicheren Data Governance entgegen, die strenge Protokolle für die Erfassung, Nutzung, Aufbewahrung und Löschung sensibler Informationen beinhaltet. Zudem sehen Sicherheits- und Compliance-Standards wie HIPAA und PCI DSS Data-Governance-Maßnahmen wie die unternehmensweite Kennzeichnung, Überwachung und Nachverfolgung von Inhalten sowie den angemessenen Umgang mit Daten vor, die veraltet sind oder deren Klassifizierung sich geändert hat. Ein solches Maß an Kontrolle für die Vielzahl der über Teams ausgetauschten Chat-Nachrichten und Dateien zu gewährleisten, bringt ziemliche Herausforderungen mit sich.
  • Datenlecks: Ohne angemessene Sicherheitsvorkehrungen kann ein Teams-Nutzer vorsätzlich oder versehentlich vertrauliche Informationen mit unberechtigten Empfängern austauschen. Dies birgt Risiken für das geistige Eigentum, den Compliance-Status und das Ansehen des Unternehmens. Da Teams als SaaS-Plattform Datenpakete über die Cloud sendet und empfängt, besteht außerdem die Gefahr, dass Schadsoftware oder Angreifer Dateien bei der Übertragung abfangen und für böswillige Zwecke missbrauchen.
Ausgewählte verwandte Themen:

Grundlagen der Sicherheit in Microsoft Teams

Glücklicherweise profitiert Teams von der Integration in wichtige Elemente der Sicherheitsarchitektur von Microsoft:

  • Der Austausch von Dateien basiert auf der Technologie von SharePoint.
  • Teamunterhaltungen werden in einem speziellen Gruppenpostfach in Exchange Online gespeichert.
  • Azure Active Directory (Azure AD) speichert und verwaltet Teamdaten und -mitgliedschaften. Es verwaltet außerdem die Benutzerauthentifizierung für die Teams-Plattform.

Bevor Sie den Mitarbeitern Ihres Unternehmens Zugriff auf Teams ermöglichen, sollten Sie die folgenden Einstellungen überprüfen und konfigurieren:

  • Konfiguration der Authentifizierung in Azure AD für die Benutzeranmeldung in Teams
  • Globale Sicherheitseinstellungen in Office 365: Viele Einstellungen werden in Teams oder SharePoint, OneDrive und Exchange übernommen, die mit Teams zusammenarbeiten.

Sicherheitstipps für Microsoft Teams

Mit einer Kombination aus integrierten Funktionen und Tools von Drittanbietern können Sie die Sicherheit von Microsoft Teams weiter verbessern. Die folgenden fünf Best Practices unterstützen Sie bei der sicheren Bereitstellung von Teams in Ihrem Unternehmen.

1. Richten Sie die App-Verwaltung ein

Die Apps im Teams-Store lassen sich in drei Kategorien unterteilen:

  • Integrierte Apps von Microsoft
  • Apps von Drittanbietern
  • Maßgeschneiderte interne Apps

Eine Möglichkeit zur Verbesserung der Sicherheit besteht darin, die Nutzung bestimmter Apps auf der Grundlage ihrer Herkunft und ihres Umgangs mit Daten einzuschränken:

  • Mit den Einstellungen für die Verwaltung von Apps im Teams Admin Center können Sie steuern, welche Apps Sie blockieren oder im Unternehmen verfügbar machen möchten.
  • Auch mit den App-Berechtigungsrichtlinien können Sie bestimmte Apps für bestimmte Benutzer blockieren oder verfügbar machen.

2. Verwalten Sie Teams auf globaler Ebene

Standardmäßig kann jeder Benutzer mit einem Postfach in Exchange Online Teams erstellen und Teambesitzer werden. Wenn Sie die Anzahl der Benutzer mit dieser Berechtigung einschränken möchten, können Sie eine Office 365-Gruppe erstellen, deren Mitglieder exklusive Berechtigungen zur Erstellung neuer Gruppen und damit auch neuer Teams haben.

Konfigurieren Sie außerdem globale Teams-Einstellungen für Ihr Unternehmen. Mit unternehmensweiten Voreinstellungen können Sie beispielsweise definieren,

  • ob Benutzer mit Personen außerhalb des Unternehmens kommunizieren können,
  • ob Dateien ausgetauscht und in der Cloud gespeichert werden können und
  • welche Authentifizierungsanforderungen für den Zugriff auf Besprechungsinhalte erfüllt sein müssen.

Zeigen Sie Ihren Benutzern im Rahmen von Mitarbeiterschulungen, wie sie private Kanäle einrichten, auf die nur bestimmte Teammitglieder zugreifen können. Wenn einzelne Teammitglieder vertrauliche Inhalte gemeinsam bearbeiten möchten, sollten sie anstelle eines Standardkanals, auf den alle Mitglieder und Gäste zugreifen können, einen privaten Kanal einrichten. Beachten Sie jedoch, dass zum Zeitpunkt der Verfassung dieses Artikels Microsoft noch keine umfassende Unterstützung für die Sicherheit und Compliance von Inhalten in privaten Kanälen bietet.

3. Konfigurieren Sie einen sicheren Gastzugriff

Mit den Einstellungen für den Gastzugriff im Teams Admin Center können Sie festlegen, welche Zugriffsrechte Gastbenutzern gewährt werden. Um größtmögliche Sicherheit zu gewährleisten, können Sie den Gastzugriff standardmäßig deaktivieren. Alternativ können Sie den Gastzugriff aktivieren, jedoch bestimmte Berechtigungen etwa für die Bildschirmübertragung oder für Peer-to-Peer-Anrufe deaktivieren.

4. Implementieren Sie eine Informationssicherheitsarchitektur

Die Einrichtung einer Informationssicherheitsarchitektur ist nicht nur für die Vermeidung von Datenlecks entscheidend, sondern auch für die Einhaltung von Compliance- und gerichtlichen Anforderungen.

Ihre Teams-Daten werden abhängig davon, wo sich der Office 365-Mandant Ihres Unternehmens befindet, in einer bestimmten geografischen Region der Azure Cloud-Infrastruktur gespeichert. Da in unterschiedlichen Regionen auch unterschiedliche Datensicherheitsstandards gelten können, sollten Sie sicherstellen, dass der Speicherort Ihrer Teams-Daten Ihren geschäftlichen Anforderungen entspricht.

Mit den folgenden Drittanbieter-Tools können Sie die Informationsverwaltung in Teams so konfigurieren, dass Ihre Daten nachverfolgt und geschützt werden können sowie alle geltenden Compliance-Anforderungen erfüllt werden.

  • eDiscovery und Aufbewahrung für juristische Zwecke: Mit dem Office 365-Tool eDiscovery können Sie eDiscovery-Fälle erstellen und verwalten, um gesetzliche Vorschriften zu erfüllen. Sie haben außerdem die Möglichkeit, einem eDiscovery-Fall Mitglieder mit besonderen Berechtigungen zuzuweisen und die Parameter einer Suchabfrage für Inhalte zu definieren, die für eine Untersuchung relevant sind.

Um wichtige Beweise zu sichern, können Sie die Inhalte eines Benutzer- oder Teampostfachs für juristische Zwecke aufbewahren. Dadurch wird sichergestellt, dass unveränderliche Kopien der Inhalte für die eDiscovery-Suche zur Verfügung stehen, selbst wenn die ursprünglichen Inhalte in Teams geändert wurden.

  • Inhaltssuche: Office 365 stellt Funktionen für die Inhaltssuche zur Verfügung, die umfangreiche Filter enthalten und das Durchsuchen sämtlicher Teams-Daten nach den gewünschten Inhalten ermöglichen. Sie können mit der Suchfunktion beispielsweise Inhalte auffinden, für die ein bestimmter Compliance-Standard gilt. Sie können außerdem im Rahmen eines eDiscovery-Workflows nach Inhalten suchen, um Beweise für juristische Zwecke zu sammeln.
  • Datenaufbewahrungsrichtlinien: Sie können Aufbewahrungsrichtlinien erstellen, die festlegen, wann Teams-Daten aufbewahrt werden müssen, um geschäftliche, gesetzliche oder gerichtliche Anforderungen zu erfüllen. Mit Aufbewahrungsrichtlinien können Sie außerdem die Löschung von Daten regeln, die nicht mehr benötigt werden.
  • Advanced Threat Protection (ATP): Diese Funktion erkennt und verhindert den Benutzerzugriff auf schädliche Inhalte in Teams. ATP wehrt außerdem schädliche Dateien in SharePoint und OneDrive for Business ab. Diese Anwendungen werden von Teams als Plattformen für die Speicherung und den Austausch von Dateien genutzt. Stellen Sie sicher, dass Sie ATP für SharePoint, OneDrive und Teams aktivieren.
  • Verhinderung von Datenverlust (DLP): Durch Einrichtung von DLP-Richtlinien können unbefugte Benutzer automatisch daran gehindert werden, sensible Daten über einen Teams-Kanal oder einen privaten Chat auszutauschen. Nutzen Sie DLP-Richtlinien, um ein sicheres Benutzerverhalten in Teams zu gewährleisten und Datenlecks zu vermeiden.
  • Backups: Konfigurieren Sie automatische Backups für alle Office 365-Daten in OneDrive oder auf einem lokalen Speichergerät.
  • Automatische Kennzeichnung von Informationen: Damit die Maßnahmen Ihrer DLP-Richtlinien richtig angewendet werden, müssen Sie die in Teams ausgetauschten Daten präzise klassifizieren und kennzeichnen. Hierfür benötigen Sie eine Lösung für das automatische Auffinden und Klassifizieren von Daten, mit der sich sehr genaue Klassifizierungsergebnisse erzielen lassen.

Netwrix Data Classification arbeitet mit einer leistungsstarken Datenklassifizierungstechnologie und sorgt dafür, dass sensible Informationen in Teams präzise und systematisch gekennzeichnet werden. Mit Netwrix Data Classification können Sie festlegen, welche Tags zur Kennzeichnung verwendet werden, und so sensible Dateien korrekt klassifizieren. Sie können außerdem Workflows anwenden, um Tags aus Dateien zu entfernen, die nicht mehr als sensibel eingestuft werden. Dadurch können Teams-Nutzer wieder auf die Dateien zugreifen, ohne dass Geschäftsprozesse beeinträchtigt werden.

5. Überwachen Sie die Aktivitäten der Benutzer

Mit den Aufsichtsrichtlinien von Microsoft können Sie Chats und Teamkanäle überwachen. Darüber hinaus lässt sich die Nutzung mit verschiedenen integrierten Berichten und Funktionen überwachen:

  • Wechseln Sie im Microsoft Teams Admin Center zu „Analyse & Berichte“.
  • Wählen Sie im Microsoft 365 Admin Center „Berichte“ und anschließend „Nutzung“.
  • Verwenden Sie die Microsoft 365-Nutzungsanalyse in Power BI.

Mit einer Lösung wie Netwrix Auditor können Sie die Aktivitäten in Teams noch genauer nachverfolgen. Netwrix Auditor ermöglicht eine umfassende und detaillierte Überwachung von Ereignissen und Aktivitäten, z. B. von:

  • Benutzeranmeldungen in Teams
  • Teammitgliedschaften und Änderungen an Teams
  • allen Änderungen von Daten, die in normalen und in privaten Unterhaltungen in Teams ausgetauscht werden
  • Berechtigungen für den Datenzugriff und Änderungen dieser Berechtigungen
  • Installation von Anwendungen in Teams

Häufig gestellte Fragen zu Microsoft Teams

Ist Microsoft Teams sicher?

Teams entspricht als Tier D-Dienst den EU-Modellklauseln (EUMC), HIPAA, ISO 27001 und ISO 27018 sowie den Standards SSAE 16 SOC 1 und SOC 2.

Darüber hinaus wird Teams von Azure AD unterstützt, das Sicherheitskontrollen wie Single Sign-On und zweistufige Authentifizierung bereitstellt.

Werden Daten in Microsoft Teams verschlüsselt?

Microsoft Teams bietet derzeit noch keine End-to-End-Verschlüsselung. Die Daten werden in allen Phasen der Übertragung und bei der Speicherung verschlüsselt. Zwischendienste können die Inhalte bei Bedarf entschlüsseln, um beispielsweise Daten in Aufbewahrungsdatensätzen zu speichern.

Ruhende Daten werden in SharePoint gespeichert und dort verschlüsselt. Notizen werden in OneNote gespeichert und verschlüsselt. Chat-Inhalte werden bei der Übertragung und bei der Speicherung verschlüsselt.

Zur Verbesserung der Datensicherheit auf mobilen Endgeräten unterstützt der mobile Microsoft Teams-Client die App-Schutzrichtlinien von Microsoft Intune.

Welche Protokolle verwendet Microsoft Teams?

Microsoft Teams verwendet folgende Protokolle:

  • 264 für Video
  • ICE zur Einrichtung von Medien
  • MNP24 für die Signalisierung
  • OPUS für Besprechungen
  • SILK für Peer-to-Peer- und Sprachanrufe
  • VBSS für die Desktop-Freigabe

Können Aktivitäten in Microsoft Teams überwacht werden?

Ja. Mit den folgenden Funktionen können Sie die Aktivitäten und Nutzung in Teams überwachen:

  • Aufsichtsrichtlinien
  • Funktion „Analyse & Berichte“ im Microsoft Teams Admin Center
  • Befehl „Berichte“ > „Nutzung“ im Microsoft 365 Admin Center
  • Microsoft 365-Nutzungsanalyse in Power BI

Auch mithilfe von Netwrix Auditor können Sie Anmeldungen, Mitgliedschaften, Berechtigungen und Datenzugriffe in Teams überwachen.

Office 365 Administrator’s Guide
Mehr große lesefreude
Microsoft Teams SysAdmin Magazine
Tags
Active Directory CISSP Cyber attack Data classification Data security GDPR IT compliance IT security Office 365 Risk assessment SharePoint Windows Server
...