Microsoft Teams ist die weltweit marktführende App für Zusammenarbeit und Videokonferenzen. Doch immer wieder werden Sorgen und Befürchtungen hinsichtlich IT-Sicherheit und Datenschutz laut. Aber wie steht es um die Microsoft Teams Sicherheit wirklich?
Kommunikation: Der Schlüssel zum Erfolg
Daten sind das Herzstück jedes Unternehmens. Daher ist es entscheidend, dass die Tools, die wir am Arbeitsplatz verwenden, unsere Daten sicher halten und ihre Integrität schützen. 2020 mussten Millionen von Unternehmen auf der ganzen Welt ihre Geschäftsarchitektur und ihre Arbeitsweise schnell ändern, um Mitarbeiter zu unterstützen, die aus der Ferne arbeiten. Das Arbeiten von zu Hause aus kann in vielerlei Hinsicht schwierig sein, aber eine der schwierigsten Herausforderungen ist die der Zusammenarbeit und Kommunikation. Diese beiden Aspekte sind der Schlüssel zum Erfolg eines Teams; von detaillierten Planungssitzungen bis hin zu Plaudereien an der Kaffeemaschine kommunizieren wir, um Ideen auszutauschen, Unterstützung anzubieten und als Unternehmen zu wachsen.
Sie benötigen Beratung zum Thema Microsoft Teams?
Dann schreiben Sie uns!
Aus diesem Grund sind in den letzten Monaten eine Reihe von bestehenden und neu entstehenden Tools für die Zusammenarbeit und Videokonferenzen extrem populär geworden. Microsoft steht derzeit an der Spitze des Marktes, gefolgt von Cisco, Google und Slack. Seit dem Start im Jahr 2017 hat sich Teams zur am schnellsten wachsenden App von Microsoft entwickelt. Im April 2021 hatte Teams laut CEO Satya Nadella 145 Millionen täglich aktive Nutzer – das sind fast doppelt so viele wie die 75 Millionen, die im April 2020 gemeldet wurden, vor dem ersten großen Höhepunkt der Coronavirus-Pandemie.
Fester Bestandteil des Microsoft Portfolios
Teams ist ein fester Bestandteil von Microsofts Portfolio an Office-365-Cloud-Anwendungen. Es lässt sich nahtlos in SharePoint, OneDrive und Outlook integrieren und bietet robuste Dateifreigabefunktionen sowie eine starke Instant-Messaging- und Videokonferenzfunktion, die bis zu 300 Personen pro Meeting zulässt.
All dies hatte dazu geführt, dass Teams allgemein als die Nummer eins unter den Kooperations- und Videokonferenz-Apps akzeptiert wurde. Aber mit so vielen Menschen, die sich weltweit darauf verlassen, wie sicher ist Microsoft Teams?
Microsoft Teams Sicherheit
Microsoft stuft alle seine Office-365-Produkte in eine von vier Compliance-Kategorien ein: A, B, C und D. Teams befindet sich in Kategorie C, was bedeutet, dass die Sicherheits-Compliance-Verpflichtungen standardmäßig aktiviert sind. In dieser Kategorie ist Teams mit einer Reihe von regulatorischen Sicherheitsstandards konform, darunter ISO 27001, ISO 27018 und HIPAA Business.
Teams nutzt darüber hinaus unterschiedliche Sicherheitsfunktionen, um diese Compliance-Anforderungen zu erfüllen, die Administratoren über Active Directory aktivieren können; darunter team- und organisationsweite Zwei-Faktor-Authentifizierung und Single Sign-On. Dies bedeutet, dass die Kontosicherheit nicht an Passwörter oder Gerätesicherheit gebunden ist, was besonders wichtig für Unternehmen ist, in denen die App auf den persönlichen mobilen Geräten der Mitarbeiter genutzt wird.
Active Directory ermöglicht es Teams außerdem, alle Daten bei der Übertragung und im Ruhezustand zu verschlüsseln, um sie vor unbefugter Einsichtnahme zu schützen. Zudem werden in SharePoint und OneNote gespeicherte Dateien mit Verschlüsselungsprotokollen gesichert, die jeweils über die beiden Apps bereitgestellt werden.
Datenspeicherung in Teams
Alle Daten, die Sie über Teams senden, sei es eine Datei oder eine Sofortnachricht, werden in Azure gespeichert und gesichert. Azure wird über Rechenzentren in 54 globalen Regionen bereitgestellt, was es Microsoft ermöglicht, die Daten von Teams basierend auf der Region des jeweiligen Unternehmens zu speichern. Das bedeutet, dass alle Daten in Übereinstimmung mit den Datensicherheitsbestimmungen der Region gespeichert werden, in der das jeweilige Unternehmen tätig ist.
Wo speichert Microsoft Ihre Teams-Daten?
- Dateien: in SharePoint oder OneDrive for Business
- Meetings: im Stream
- Voicemails: in Exchange und im Posteingang des Benutzers
- Chat-Nachrichten: über eDiscovery in Exchange Online und in einer versteckten Datei im Postfach des Benutzers
Rollenzuweisung in Microsoft Teams
Schließlich weist Teams den Benutzern automatisch eine von zwei Sicherheitsstufen zu, basierend auf ihrer Rolle innerhalb des Teams.
Besitzer sind Benutzer, die eine Gruppe oder ein Team erstellen. Mitglieder sind alle anderen Personen, die vom Besitzer zum Team hinzugefügt werden.
Standardmäßig können Besitzer die Aktionen von Mitgliedern einschränken, zum Beispiel welche Inhalte sie anzeigen dürfen, ob sie Kanäle erstellen dürfen und ob sie neue Mitglieder hinzufügen dürfen. Dies gibt Besitzern eine granulare Kontrolle darüber, wie Daten in den von ihnen erstellten Gruppen freigegeben werden – sie sind im Grunde ein Administrator für das Team.
Standardmäßig haben alle Benutzer mit einem Exchange Online-Postfach die Berechtigung, ein Team zu erstellen und Eigentümer zu werden. IT-Administratoren sind jedoch in der Lage, Team-Erstellungs- und Verwaltungsrechte an bestimmte Benutzergruppen zu delegieren, wodurch sie eine engere Kontrolle über die Erstellung neuer Teams erhalten.
Teams verfügt also über eine Vielzahl von eingebauten Sicherheitsfunktionen, die Admins dank Active Directory leicht konfigurieren können, um die Anforderungen ihres Unternehmens zu erfüllen. Aber wie bei jedem andere Tool ist auch bei Microsoft Teams Sicherheit nicht zu 100 Prozent gewährleistet.
Datenverletzungen innerhalb von Teams
Anfang des Jahres 2020 entdeckte der Access-Management-Anbieter CyberArk eine Subdomain-Takeover-Schwachstelle in Teams. Dies ermöglichte es potenziellen Angreifern, ein bösartiges GIF zu verwenden, um Benutzerkonten zu übernehmen. Diese Angriffsmethode nutzte die Art und Weise aus, in der Teams Zugriffstoken verwendet, um Benutzern die Anzeige von Bildern zu ermöglichen, und funktionierte ähnlich wie ein Wurmvirus, da er sich automatisch verbreiten konnte. Das bedeutete, dass der Angreifer seinem Opfer ein bösartiges GIF schicken und sich Zugang zu seinem Konto verschaffen konnte, sobald das Opfer das Bild ansah, ohne dass das Bild geteilt oder heruntergeladen werden musste.
Da das GIF auch an mehrere Teams gesendet werden konnte, konnten Angreifer schnell und einfach die Kontrolle über mehrere Konten erlangen. Mit diesem Kontozugriff könnten Angreifer sensible und vertrauliche Informationen wie Anmeldeinformationen, Besprechungsinformationen und Wettbewerbsdaten sammeln und diese nutzen, um dem Unternehmen sowohl finanziellen als auch rufschädigenden Schaden zuzufügen. Der Bericht von CyberArk nannte dies “einen Alptraum aus der Sicherheitsperspektive”. Nachdem CyberArk die Sicherheitslücke aufgedeckt hatte, hat Microsoft sie gepatcht, bevor böse Akteure sie ausnutzen konnten.
Dies unterstreicht jedoch die Notwendigkeit für ein Unternehmen, strenge Sicherheitsprotokolle zu erstellen, bevor es Teams einführt. Microsoft Teams – wie jede andere Software – ist also nur dann sicher, wenn die Nutzer auch verantwortungsvoll damit umgehen und bestimmte Sicherheitsrichtlinien eingehalten werden. Unternehmen sollten sich nie allein auf die Sicherheit einer Anwendung verlassen, sondern immer selbst, Sicherheitsstandards und Protokoll für das Unternehmen und die Mitarbeiter einführen.
Sie benötigen Beratung zu den Themen IT-Sicherheit oder Microsoft Teams?
Dann schreiben Sie uns!
Bilder: Gerd Altmann / Pixabay (oben), TheDigitalWay / Pixabay