In den vergangenen Jahren haben immer mehr Unternehmen für unterschiedlichste Zwecke Cloud-Technologien eingeführt. Die meisten von ihnen nutzen Cloud-Dienste zunächst primär für die Speicherung von Dateien. Durch Speichern in der Cloud können große wie kleine Unternehmen ihre Kosten kontrollieren und profitieren zugleich von einer hohen Datenverfügbarkeit. Vor allem zwei Angebote von Microsoft werden häufig genutzt, um Dateien in der Cloud zu speichern: Microsoft OneDrive richtet sich an Privatkunden und ist Teil der E-Mail-Dienste von Microsoft. OneDrive for Business ist eine Cloud-Dateispeicheroption speziell für Unternehmen und in der Regel Bestandteil eines Office 365-Abonnements.
Bei der Wahl eines Cloud-Dateidienstes berücksichtigen Unternehmen verschiedenste Faktoren, unter anderem die Kosten, den Standort der Rechenzentren, die Performance, die verfügbaren Speicheroptionen und die Integration in andere Plattformen. Ein wichtiges Thema, das häufig zu wenig beachtet wird, ist die Sicherheit der Plattform. Allzu oft vertrauen Unternehmen diesen Diensten blind, weil die Anbieter behaupten, sie seien sicher. Überzeugen Sie jedoch stets selbst davon, dass ausreichende Sicherheitskontrollen gewährleistet werden. Das wichtigste Kriterium bei der Wahl eines Cloud-Dateispeicherdienstes sollte die Sicherheit Ihrer Daten sein.
Im Folgenden erläutere ich die wichtigsten Sicherheitsfunktionen von OneDrive for Business und stelle fünf Best Practices vor, mit denen Sie die Sicherheit Ihrer Unternehmensdaten gewährleisten können.
Wie sicher ist OneDrive for Business?
OneDrive for Business enthielt bereits bei der Veröffentlichung grundlegende Sicherheitsfunktionen, die von der Authentifizierung über Kontrollmöglichkeiten bis hin zur verschlüsselten Speicherung reichen. Seitdem hat Microsoft die Sicherheitskontrollen in OneDrive for Business kontinuierlich weiter verbessert, um auch anspruchsvollen geschäftlichen Anforderungen gerecht zu werden.
Wichtige Sicherheitsfunktionen
Datenverschlüsselung
Die gesamte Kommunikation mit dem OneDrive for Business-Dienst wird mit SSL/TLS gesichert:
- Alle SSL-Verbindungen für die Kommunikation mit OneDrive for Business über das Internet sind mit 2048 Bit verschlüsselt.
- Daten werden zwischen Rechenzentren über ein privates Netzwerk übertragen und dabei ebenfalls verschlüsselt.
Diese beiden Funktionen stellen sicher, dass Ihre Inhalte beim Zugriff oder bei der Replikation in ein anderes Rechenzentrum jederzeit geschützt sind.
Auch ruhende Daten werden mit BitLocker sowohl auf Festplattenebene als auch auf Dateiebene verschlüsselt. Die Verschlüsselung von einzelnen Dateien bietet einen besonders guten Schutz, da jede Datei mit einem individuellen Schlüssel verschlüsselt wird und auch spätere Änderungen an der Datei mit diesem Schlüssel verschlüsselt werden. Die Schlüssel werden getrennt von den Inhalten gespeichert. Bei der Verschlüsselung kommt der Advanced Encryption Standard (AES) mit 256-Bit-Schlüsseln zum Einsatz, der den Anforderungen des Federal Information Processing Standard (FIPS) 140-2 entspricht.
Die letzte Komponente der Verschlüsselung ist in den SQL-Inhaltsdatenbanken angesiedelt. Dort sind Informationen zum Speicherort, die zum Zusammenstellen der Inhalte erforderlichen Informationen und die Schlüssel zur Entschlüsselung der Daten gespeichert.
Benutzerberechtigungen und Freigaben
Globale Administratoren und SharePoint-Administratoren können OneDrive for Business über das OneDrive Admin Center verwalten. Hier lassen sich Konfigurations- und Dateifreigabeeinstellungen sowie grundlegende Berechtigungen definieren. Innerhalb der Suite Microsoft Office 365 gibt es eine 1:1-Beziehung zwischen OneDrive for Business und SharePoint Online; d. h. jeder OneDrive-Speicherort entspricht einer Websitesammlung in SharePoint Online. Sicherheitseinstellungen und Berechtigungen werden deshalb in OneDrive for Business auf dieselbe Weise verwaltet wie in SharePoint.
Über die Freigabeeinstellungen im OneDrive Admin Center werden die Freigabe-Links gesteuert. In der Kategorie „Standardlinktyp“ können Administratoren bestimmen, welcher Linktyp standardmäßig verwendet werden soll, wenn Benutzer Elemente freigeben:
- Teilbar: Diese Einstellung ist verfügbar, wenn alle Benutzer von SharePoint Online Dateien extern freigeben dürfen. Damit hat jeder Benutzer, der den Link besitzt, auch Zugriff auf den Link.
- Intern: Mit dieser Einstellung können nur Benutzer im Unternehmen auf die Links zugreifen. Wenn externe Freigaben erlaubt sind, muss bei jeder Freigabe der Linktyp erneut ausgewählt werden.
- Direkt: Auf diese Links können nur die Personen zugreifen, die der Benutzer beim Erstellen der Links angibt. Verwenden Sie diesen Linktyp, um Dateien für einen kleineren Benutzerkreis im Unternehmen oder auch für Gäste freizugeben, die sich authentifizieren müssen.
Berechtigungen für die externe Freigabe stehen auf globaler, Websitesammlungs- und Benutzerebene zur Verfügung. OneDrive for Business bietet detaillierte Kontrollmöglichkeiten, mit denen Sie verhindern können, dass einzelne Benutzer Inhalte freigeben. Über die Schieberegler im OneDrive Admin Center können Sie die Berechtigungen für externe Freigaben in SharePoint Online und OneDrive for Business sehr genau an den Anforderungen Ihres Unternehmens ausrichten.
Synchronisierung von Inhalten
Eine besonders praktische Funktion in OneDrive for Business ist die Möglichkeit, Inhalte auf verschiedenen Geräten zu synchronisieren. OneDrive for Business beinhaltet den Dienst „Dateien bei Bedarf“, der drei verschiedene Dateizustände unterstützt. Sie können damit wählen, ob bestimmte Inhalte nur online gespeichert, lokal verfügbar oder immer verfügbar sein sollen.
Über das OneDrive Admin Center können Sie den OneDrive-Synchronisierungsclient noch genauer steuern; insbesondere können Sie die Synchronisierung auf in die Domäne eingebundene Geräte beschränken oder die Synchronisierung bestimmter Dateitypen blockieren.
Mit den Richtlinien von Microsoft Intune sind weitere Einschränkungen möglich. Wenn Sie OneDrive for Business auf Firmengeräten wie Windows 10-Laptops nutzen, können Sie die Synchronisierung mit Active Directory-Gruppenrichtlinien zusätzlich beschränken. Sie können damit beispielsweise Windows 10-Benutzer auffordern, ihre lokalen Dateien nach OneDrive for Business zu verschieben.
Richtlinien für die Datensicherheit und die Verhinderung von Datenverlust
Wenn Sie für Ihre Dateien einen Cloud-Dateispeicherdienst wie OneDrive for Business nutzen, müssen Sie mithilfe von Richtlinien festlegen, welche Arten von Inhalten gespeichert und freigegeben werden dürfen. OneDrive for Business bietet fünf grundlegende Schutzfunktionen:
- Durchführen einer Überwachungsprotokollsuche für Aktivitäten
- Anwenden von Richtlinien zur Verhinderung von Datenverlust
- Anwenden von Erhaltungsrichtlinien
- Erstellen und Verwalten von eDiscovery-Fällen
- Erstellen von Warnungen für bestimmte Aktivitäten
Richtlinien zur Verhinderung von Datenverlust sind erforderlich, um den Datenfluss innerhalb des Dateispeichersystems zu steuern. Dies ist insbesondere für sensible Daten wie personenbezogene Mitarbeiter- oder Kundendaten wichtig. Diese Richtlinien verwenden Regeln, um Kreditkartennummern, Ausweisnummern und andere Arten von sensiblen Daten zu identifizieren. Jede Richtlinie kann abhängig davon angepasst werden, wie die Inhalte freigegeben werden. Es gibt beispielsweise eine Regel, die den Zugriff auf Inhalte mit Kreditkartennummern blockieren kann, wenn diese Inhalte extern freigegeben werden, oder den Zugriff auf Inhalte blockiert, die Kontoinformationen enthalten und innerhalb des Unternehmens freigegeben werden.
Tipps zur Verbesserung der Sicherheit von OneDrive for Business
Zwar bietet Microsoft leistungsstarke Schutzfunktionen, doch sind diese Funktionen vielen Unternehmen nicht bekannt oder sie wissen nicht, wie sie am besten implementiert werden. Mit den folgenden fünf Tipps können Sie die Datensicherheit in OneDrive for Business verbessern:
- Definieren Sie Richtlinien zur Verhinderung von Datenverlust und wenden Sie diese an, um den Datenfluss zu steuern.
- Beschränken Sie die Freigabe von Inhalten sowohl auf Ebene von Websitesammlungen als auch auf Benutzerebene.
- Definieren Sie Geräterichtlinien zur Beschränkung des Zugriffs und der Synchronisierung und wenden Sie diese an.
- Nutzen Sie die Funktionen von Azure für den Schutz von OneDrive for Business, beispielsweise Azure Information Protection und Richtlinien für den bedingten Zugriff.
- Ergänzen Sie die nativen Protokollierungs- und Überwachungsfunktionen von OneDrive for Business um Drittanbietersoftware, mit der Sie von besserem Einblick in das Benutzerverhalten profitieren.
Fazit
Wenn Sie mit den Sicherheitsfunktionen von OneDrive for Business vertraut sind und diese fünf Best Practices befolgen, können Sie das Verhalten der Benutzer und Administratoren in Ihrem Unternehmen besser nachvollziehen, Sicherheitsprobleme rechtzeitig beheben und Compliance-Audits erfolgreich bestehen.