Secure Score: IT-Sicherheitsbenchmark in Office 365

Secure ScoreDer in Office 365 integrierte Secure Score prüft die Sicherheit der eigenen Umgebung und sorgt so für deren kontinuierliche Verbesserung. Basierend auf den regulären Aktivitäten und auf Sicherheitseinstellungen, bewertet Secure Score die Gefahren und Risiken mit der Vergabe von Punkten. Die Gesamtpunktzahl hilft Ihnen die Entwicklung der IT-Sicherheit in Ihrer Office-365-Umgebung zu verfolgen. Gleichzeitig stellt sie einen direkten Vergleich zu den durchschnittlichen Sicherheitsvorkehrungen anderer Organisationen her.

Wie bei jeder Kennzahl kommt es auch bei Secure Score darauf an, die ermittelten Daten richtig zu interpretieren, um die notwendigen Maßnahmen ableiten zu können. In diesem Blogbeitrag wollen wir Ihnen die wichtigsten Zusammenhänge erklären, damit Sie gemeinsam mit Ihrem Administrator die passende Sicherheitsstrategie entwickeln können.

Ein Gastbeitrag von Sirko Thümer, Technologie Consultant bei der B-S-S Business Software Solutions GmbH

Kontinuierliche Verbesserung denkbar einfach – Secure Score kommt mit empfohlenen Maßnahmen

Zusammen mit Ihrem persönlichen Secure Score-Wert wird auch anhand der genutzten Office-365-Dienste der aktuell mögliche Höchstwert ermittelt. Wer beispielsweise keine mobilen Geräte im Unternehmen angebunden hat, der braucht entsprechend dafür auch keine Richtlinien definieren.

Außerdem legt Secure Score einen Zielwert für die Sicherheit der eigenen Office-365-Umgebung fest. Voreingestellt sind drei Sicherheitsintervalle: regulär (Basic), ausgewogen (Balanced) und streng (Aggressiv). Der auf diese Weise definierte Zielwert kommt mit der Liste der empfohlenen Maßnahmen, die notwendig sind den angestrebten Wert zu erreichen.

Secure Score

Jede Maßnahme enthält eine detaillierte Beschreibung über die zu minimierenden Risiken, sowie die Einschätzungen über die Auswirkungen auf Anwender. Zusätzlich erhalten Sie wertvolle Informationen über den Aufwand, der die Einführung der empfohlenen Maßnahme mit sich bringt und letztendlich auch, wie sich die Maßnahme auf die Entwicklung der Gesamtpunktzahl auswirkt.

Grundsätzlich raten wir Ihnen davon ab die empfohlenen Maßnahmen blind zu ergreifen. Die Maßnahmen sollten stets im Kontext bewertet werden.

Keine Panik bei niedrigen Secure-Score-Ergebnissen

Da jede Erhöhung des Secure Scores Maßnahmen nach sich zieht, welche entweder entsprechend Aufwand verlangen oder Einschränkungen/Anpassungen der Arbeitsweisen der Anwender bedürfen, befindet man sich permanent in einem Dreieck zwischen NutzenAufwandAnwenderfreundlichkeit.

Wobei man den Nutzen aus der reinen Secure Score-Punktzahl ziehen kann. Allerdings sollte jeder diesen für sich selbst definieren: Wie wichtig ist es meinem Unternehmen ein bestimmtes Sicherheitsfeature zu aktivieren?

Die Entscheidung in puncto Aufwand ist ebenso komplex. Sie müssen nicht nur mit der finanziellen Belastung zur Einführung einer Sicherheitsmaßnahme rechnen, beispielsweise für zusätzliche Lizenzkosten. Ebenso kann der Aufwand für die Definition von Richtlinien, die die Einführung einer Maßnahme voraussetzen, sowie Schulung der Mitarbeiter, mitunter enorm sein.

Das wohl wichtigste Feld ist trotzdem die Anwenderfreundlichkeit. Niemandem nützen die besten Sicherheitsvorkehrungen, wenn sie kein Mitarbeiter versteht oder sie umgeht, da sie den Arbeitsalltag zu stark beeinträchtigen. Dabei können sogar neue Sicherheitslücken geschaffen werden, weil sich die Nutzer angenehmere Wege schaffen. Auf der anderen Seite kann die Produktivität leiden.

Secure Score

Tricks und Tipps: Secure Score in der Praxis

Viele Empfehlungen im Secure Score basieren auf Logging und Benachrichtigung. Dabei sind allerdings die wenigsten für alle Unternehmen sinnvoll oder erhöhen die Sicherheit kaum spürbar. Beispielsweise das Benachrichtigen eines Verantwortlichen, wenn ein Nutzer wegen Spam-Versands geblockt wurde. Natürlich ist eine Richtlinie sinnvoll, die einen Administrator informiert und die entsprechende Spam-Nachricht weiterleitet, sobald ein Mitarbeiter deswegen geblockt wurde. Geblockt wird der Nutzer aber auch ohne diese Richtlinie. Der zugeschriebene Score von 15 ist dabei auch entsprechend gering.

Ebenso kann der Score durch eine ganze Reihe wöchentlicher Reports erhöht werden, zum Beispiel durch überprüfen der Malware-Berichte. Dies hat keinerlei Auswirkungen auf die Nutzer, bedarf jedoch regelmäßig eines Administrators und damit Arbeitszeit zur Kontrolle und liefert einen Score von 5.

Je höher der Ziel-Score gedreht wird, desto ungeeigneter werden die Empfehlungen für mehr und mehr Unternehmen.

Nehmen wir die empfohlene Deaktivierung von Mailbox-Delegation. Sicher, viele kleinere Unternehmen können darauf nicht verzichten, da sie schnell auf die Mails der Kollegen zugreifen müssen, wenn diese mal ausfallen. Die Umsetzung dafür ist wiederum wenig kosten- und zeitintensiv zu erledigen, der Score erhöht sich allerdings lediglich um einen Punkt.

Ein letztes Beispiel einer drastischen Empfehlung ist das Zurücksetzten der mobilen Geräte bei mehrfacher Falscheingabe des Entsperrcodes. Wenn definiert wird, dass bei unter zehn Falscheingaben sich die Geräte vollständig zurücksetzten, dann erhöht sich der Score um einen Punkt.

Secure Score effektiv einsetzen

Secure Score liefert definitiv einen sehr schnellen und unkomplizierten Überblick zu den vorhandenen und möglichen Sicherheitsmaßnahmen. Wer nun nicht auf blinde Punktejagd geht, bekommt einen sehr guten Anlaufpunkt für die Sicherheit und Nutzbarkeit der eigenen Umgebung. Wertvoll sind vor allem die einfache Auflistung der Möglichkeiten, mit gut verständlichen Kurzbeschreibungen, sowie Links, die direkt zur entsprechenden Oberfläche für die Konfiguration führen. Der Secure Score sollte dabei lediglich als Orientierung für die eigene Entwicklung und nicht als verbindliches Ziel verstanden werden.

Über den Autor: Sirko Thümer ist Technologie Consultant bei der B-S-S Business Software Solutions GmbH. Sein Schwerpunkt liegt darin, NEUARBEITEN (www.neuarbeiten.de) erfolgreich beim Kunden zu etablieren. Um dieses Ziel zu erreichen, trägt er Sorge für die effiziente Migration auf Office 365 und die Administration im laufenden Betrieb.

 

Steigen Sie in die Konversation ein

0 Kommentare

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.