Kollaborationstool als gewaltiges Sicherheitsrisiko?

Die Frage, wer Zugriff auf welche Dateien hat und welche sensitiven Daten mit Personen außerhalb des Teams oder gar außerhalb des Unternehmens geteilt wurden, können selbst Sicherheitsverantwortliche in den allermeisten Fällen nicht oder nur sehr schwer beantworten. Um zu verstehen, wie es zu diesen Blind Spots kommt, muss man wissen, wie das Kollaborationstool MS-Teams hinter den Kulissen arbeitet.

Wie die Zusammenarbeit im Kollaborationstool Teams funktioniert

Zunächst ist es entscheidend zu verstehen, dass Microsoft Teams kein Datenspeicher ist, sondern hierfür andere Microsoft 365-Tools verwendet. So werden Benutzer und Gruppen im Azure Active Directory angelegt und verwaltet, E-Mails in Exchange Online, persönliche Daten in OneDrive und die Daten für die Zusammenarbeit schließlich in SharePoint Online gespeichert.

Wenn ein Nutzer ein Team anlegt, passieren automatisch folgende Dinge im Hintergrund:

• Eine Website wird in SharePoint online erstellt.
• Lokale SharePoint-Gruppen werden angelegt und erhalten Berechtigungen für die Website.
• Azure AD-Gruppen werden eingerichtet und innerhalb der lokalen SharePoint-Gruppen eingefügt.
• Team-Eigentümer fügen Team-Mitglieder hinzu, die zu den Azure AD-­Gruppen hinzugefügt werden. Zu den Team-Mitgliedern können dabei je nach Konfiguration der Website interne und externe Mitglieder gehören.
• Ein verborgenes Postfach und ein verborgener Kalender werden in Exchange online erstellt.

Chaos per Default

All dies ist bereits jetzt recht unübersichtlich. Richtig kompliziert wird es, wenn die Mitglieder Teams aktiv verwenden. Stellen wir uns hierfür ein kleines Team vor. Dieses besteht aus einem Team-Owner und weiteren Mitgliedern der Abteilung. Allerdings müssen einige Dateien auch mit Personen aus anderen Bereichen, etwa der Personalabteilung, oder mit Externen geteilt werden. Dies kann auf unterschiedliche Weise geschehen. So ist es etwa möglich, Kanäle (Channels) einzurichten, zu denen Mitglieder eingeladen werden.

Darüber hinaus können Dateien auch über Links oder per Chat geteilt werden. Jeder dieser Wege birgt dabei Datenrisiken. Beim Teilen von Dokumenten in Kanälen besteht beispielsweise die Gefahr, dass auch Personen Zugang zu sensitiven Informationen erhalten, die diesen gar nicht für ihre Arbeit benötigen und auf diese Weise das Least-Privilege-Modell verletzt wird. Teilt ein Mitglied eine Datei per Link, so weiß niemand außer dieser Person von dieser Offenlegung. All dies führt zu einer großen internen und externen Datenexposition.

Mangelnde Transparenz

Gerade geteilte Links sind für Sicherheitsverantwortliche nur sehr schwer nachzuvollziehen. Wird eine Datei auf diese Weise einer externen Person zugänglich gemacht, ist dieser Zugang weder in Teams noch in Azure AD sichtbar. Ein manuelles Aufspüren ist zwar möglich, aber ausgesprochen aufwändig: So müssen Sicherheitsverantwortliche die Metadaten sämtlicher Dateien einzeln überprüfen, um festzustellen, wer auf welche Art Zugriff hat. Microsoft Teams verfügt über keine klare, zentralisierte Übersicht über Personen, mit denen Dateien geteilt wurden. Externe sind nur sehr mühsam in SharePoint Online zu identifizieren, die Team-Mitglieder wiederum befinden sich nicht in SharePoint Online, sondern nur in Teams und Azure AD.

Ohne zentrale Übersicht und Kontrolle ist man nicht in der Lage

• zu visualisieren, wer Zugang zu welchen Ressourcen hat
• zu erkennen, wo sich Konzentrationen sensitiver Daten befinden
• Risiken zu priorisieren und Gegenmaßnahmen einzuleiten
• abnormales Verhalten im Zusammenhang mit sensiblen Daten zu identifizieren

Die ohnehin durch exzessives Teilen vergrößerte Angriffsfläche nimmt auf diese Weise weiter zu. Während in der Prä-Cloud-Ära Freigaben und Sicherheitsgruppen (fast) ausschließlich von der IT-Abteilung erstellt wurden, ist die Datei-Freigabe durch die Nutzer ein wesentliches Element der Cloud-basierten Zusammenarbeit. Mit Teams können SharePoint-Sites, Team-Sites, Links zu Ordnern und zu Dateien freigegeben werden – ganz ohne Wissen und Kontrolle der IT-Abteilung. Dass von diesem Feature reichlich Gebrauch gemacht wird, zeigen die Zahlen, die im Rahmen von Risikobewertungen gewonnen wurden: So verfügt ein durchschnittliches Unternehmen über 26,3 TB lokal gespeicherte Dateien mit insgesamt 53 Millionen Berechtigungen, während die M365-Daten zwar nur 6,7 TB ausmachen, dabei allerdings 130 Millionen Berechtigungen aufweisen.

Kontrolle über das Kollaborationstool gewinnen

Sicherheitsverantwortliche haben auch mit Microsoft-Bordmitteln Möglichkeiten, das Teilen von Sites, Ordnern und Dateien im Kollaborationstool zu kontrollieren. Dabei befinden sie sich jedoch stets im Spannungsfeld zwischen der reibungslosen Zusammenarbeit und einer möglichst hohen Sicherheit. Reduzieren sie beispielsweise Freigabemöglichkeiten deutlich oder blockieren sie diese etwa komplett, hat dies nicht nur Auswirkungen auf die Produktivität der Mitarbeiter: Fühlen diese sich in ihrer Arbeit eingeschränkt, umgehen sie in aller Regel die Maßnahmen, was wiederum zu Schatten-IT mit ihren bekannten Risiken führt.

Wir haben gesehen, dass die Kontrolle der Nutzer bei Teams nur sehr schwer umsetzbar ist. Stattdessen sollte man deshalb die Dateien ins Zentrum der Sicherheitsstrategie setzen. Eine datenzentrierte Sicherheit blickt auf die wertvollsten Assets eines Unternehmens: seine sensitiven Daten. Überwacht man deren Nutzung, ist man in der Lage, zu weit gefasste Rechte zu reduzieren – ohne dass es dabei zu Produktivitätseinschränkungen kommt. Durch die intelligente Analyse des Nutzerverhaltens erkennen hochentwickelte Lösungen, wer welche Dateien für seine Arbeit benötigt und wer nicht. Allein auf diese Weise wird der Explosionsradius im Kollaborationstool erheblich reduziert. Gleichzeitig sind sie in der Lage, abnormales Nutzerverhalten zu erkennen, indem die Aktivitäten mit Metadaten wie Datenklassifizierungen oder Geodaten angereichert werden. Auffällige Aktionen können auf diese Weise früh und präzise erkannt und gestoppt werden – ganz gleich, ob sich es sich bei dem auffälligen Nutzerkonto um ein Team-Mitglied oder einen Gastnutzer handelt.

Der Autor Michael Scheffler ist Country Manager DACH von Varonis Systems.

Lesen Sie auch: Sicherheitsstrategie: Effektiver Schutz gegen Cyber-Angriffe