Umgang mit externen Benutzern in M365 in Sachen Sicherheit
Hallo zusammen,
ich würde gerne von euch erfahren, wie ihr den Umgang mit externen Benutzern in Microsoft 365 organisiert, insbesondere im Hinblick auf Zugriffs- und Sicherheitsrichtlinien.
Aktuell stehen wir vor der Herausforderung, externe Zugänge sicher zu gestalten. Ich habe mich auch basierend auf Microsoft-Best Practices und der Empfehlung eines externen M365-Beraters für den Einsatz des Microsoft Authenticator (MFA) entschieden. Kleine Randinfo, wir benutzen MS Teams und teilen darüber Daten (Stammdaten, Adressdaten etc.)
Allerdings stoße ich intern auf Widerstand. Man argumentiert, der Aufwand für externe Partner und Kunden sei zu hoch. Häufig hören wir von externen Nutzern, dass sie keine Firmenhandys besitzen und daher keine „firmenrelevanten“ Apps wie den Authenticator auf dem Privathandy verwenden möchten.
Meine Entscheidung wird dadurch zunehmend in Frage gestellt, teilweise sogar umgangen, indem Daten über unsichere Wege wie Dropbox geteilt werden, was ich als noch gravierender betrachte.
Mir sind aktuell nur zwei Authentifizierungsmethoden für externe Benutzer bekannt: E-Mail-OTP und Microsoft Authenticator. Natürlich kann man technisch über Conditional Access etwas bauen, aber muss ich mich als IT-Leiter mit meinen Sicherheitsrichtlinien wirklich an die externen Benutzer anpassen?
Mich würde interessieren:
Viele Grüße
ich würde gerne von euch erfahren, wie ihr den Umgang mit externen Benutzern in Microsoft 365 organisiert, insbesondere im Hinblick auf Zugriffs- und Sicherheitsrichtlinien.
Aktuell stehen wir vor der Herausforderung, externe Zugänge sicher zu gestalten. Ich habe mich auch basierend auf Microsoft-Best Practices und der Empfehlung eines externen M365-Beraters für den Einsatz des Microsoft Authenticator (MFA) entschieden. Kleine Randinfo, wir benutzen MS Teams und teilen darüber Daten (Stammdaten, Adressdaten etc.)
Allerdings stoße ich intern auf Widerstand. Man argumentiert, der Aufwand für externe Partner und Kunden sei zu hoch. Häufig hören wir von externen Nutzern, dass sie keine Firmenhandys besitzen und daher keine „firmenrelevanten“ Apps wie den Authenticator auf dem Privathandy verwenden möchten.
Meine Entscheidung wird dadurch zunehmend in Frage gestellt, teilweise sogar umgangen, indem Daten über unsichere Wege wie Dropbox geteilt werden, was ich als noch gravierender betrachte.
Mir sind aktuell nur zwei Authentifizierungsmethoden für externe Benutzer bekannt: E-Mail-OTP und Microsoft Authenticator. Natürlich kann man technisch über Conditional Access etwas bauen, aber muss ich mich als IT-Leiter mit meinen Sicherheitsrichtlinien wirklich an die externen Benutzer anpassen?
Mich würde interessieren:
- Welche MFA-Lösungen oder Sicherheitsmechanismen setzt ihr für externe Nutzer in M365 ein?
- Nutzt ihr Conditional Access Policies, um je nach Nutzergruppe zu steuern?
- Welche Erfahrungen habt ihr mit der Akzeptanz durch Partner, Dienstleister oder Kunden gemacht?
Viele Grüße
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 672586
Url: https://administrator.de/forum/umgang-mit-externen-benutzern-in-m365-in-sachen-sicherheit-672586.html
Ausgedruckt am: 13.05.2025 um 22:05 Uhr
10 Kommentare
Neuester Kommentar
Zumindest zum letzten Punkt is es ganz einfach: Chef muss entscheiden - denn da gibt es keinen "richtigen" oder "falschen" generellen Weg, das hängt nunmal stark von den Anforderungen ab die jeder Laden für sich entscheiden muss. Denn die Sicherheit darf natürlich nicht den Laden zum erliegen bringen, damit ist auch keinem geholfen.
GRUNDSÄTZLICH würde ich aber immer schon mal hinterfragen ob es eine gute Idee ist alles auf MS "only" zu setzen, wenn morgen dort die Preise mal eben verdoppelt werden hängst du sonst richtig drin. Ebenso sollte es meines erachten klar sein - Daten einfach über "irgendwelche" Wege zu versenden geht nicht, ABER es ist dann auch deine Aufgabe für diese Fälle eben nutzbare Wege zu erzeugen (zB. Terminal-Server falls es sich um Laptop-user handelt,...). Ich kann nunmal auch jeden Vertriebler verstehen der sich den Kram dann einfach bei $anbieter selbst hochlädt damit der nich vorm Kunden sitzt und sagt "ich würde gerne die Zahlen sagen, aber leider hab ich die nicht". Denn dann ist er zwar sicher, aber ggf. auch sicher nach kurzer Zeit seinen Job los.
Und wenn die Firma keine Geräte bietet dann kannst du eben auch nicht vom Mitarbeiter _erwarten_ das er/sie seine privat-geräte für die Firma zur Verfügung stellt, geschweige denn auch aktuell hält. Wer kümmert sich denn um die Einrichtung des Authenticators aufm Privat-Telefon? Als Mitarbeiter hab ich ja auch ein interesse an der Sicherheit _meiner_ Daten, damit fällt schonmal aus das ich dir mein Gerät in die Hand gebe oder dir einen Zugriff darauf erlaube. Genauso wie es vom Mitabeiter durchaus legitim ist wenn er/sie eben privat/geschäft komplett trennnen will, das gilt eben auch für Apps. Dann muss die Firma eben passende Geräte stellen - das muss nicht zwingend ein Telefon sein, es gibt auch durchaus Token-Generatoren fürs Schlüsselbund, die laufen ganz offline (kenne ich noch vom grossen gelben Gummivogel, falls es das da heute noch gibt...), denn selbst ein Firmentelefon kann ein Mitarbeiter eben auch berechtigt im Office lassen (bzw. zuhause nur in die Ecke legen), die Firma kann eben auch nicht erwarten das man privaten Strom bzw. Internet dafür bereitstellt, die Token-Generatoren laufen über jahre auf Batterie...
Und aus meiner Sicht hast du den ersten Fehler bereits gemacht (zumindest so wie es sich liest): Das Umsetzen ohne die Mitarbeiter entsprechend "mitzunehmen". Dir muss klar sein - selbst wenn solche Änderungen generell ggf. gut gemeint (und sogar sinnvoll) sein mögen, es ist eine Änderung des Arbeitsablaufs. Dieses sollte _vorher_ von der Chefetage entsprechend mitgeteilt werden, am besten mit klarer Begründung warum dem so ist (und nich nur "aus Sicherheitsgründen", das is so ne gummifloskel mittlerweile....) und ggf. auch entsprechend die Optionen _vorher_ gegeben werden das die Mitarbeiter mal "gehört" werden so das man auf entsprechende Fälle eingehen kann. Ich kenne zumindest kaum einen Mitarbeiter der begeistert ist wenn man dem praktisch sagt "was du die letzten x Jahre gemacht hast war sch.... ab jetzt mach es so weil ich es alles besser weiss". Und dann erzeugt man eben genau diese Fälle - die Personen suchen sich Wege... Blockst du in der Firewall nu Cloud-Storages wirst du rausfinden das auch private Mobil-Telefone Kamars haben um Bildschirme abzufotografieren, USB-Sticks mittlerweile ganz schön gross sind oder es auch ca. 100 andere Wege gibt an den Firmen-Systemen vorbeizukommen.. Wenn der Mitarbeiter es versteht UND es auch nen nutzbaren "legalen" Weg gibt sparst du dir hier gleich viel Ärger...
GRUNDSÄTZLICH würde ich aber immer schon mal hinterfragen ob es eine gute Idee ist alles auf MS "only" zu setzen, wenn morgen dort die Preise mal eben verdoppelt werden hängst du sonst richtig drin. Ebenso sollte es meines erachten klar sein - Daten einfach über "irgendwelche" Wege zu versenden geht nicht, ABER es ist dann auch deine Aufgabe für diese Fälle eben nutzbare Wege zu erzeugen (zB. Terminal-Server falls es sich um Laptop-user handelt,...). Ich kann nunmal auch jeden Vertriebler verstehen der sich den Kram dann einfach bei $anbieter selbst hochlädt damit der nich vorm Kunden sitzt und sagt "ich würde gerne die Zahlen sagen, aber leider hab ich die nicht". Denn dann ist er zwar sicher, aber ggf. auch sicher nach kurzer Zeit seinen Job los.
Und wenn die Firma keine Geräte bietet dann kannst du eben auch nicht vom Mitarbeiter _erwarten_ das er/sie seine privat-geräte für die Firma zur Verfügung stellt, geschweige denn auch aktuell hält. Wer kümmert sich denn um die Einrichtung des Authenticators aufm Privat-Telefon? Als Mitarbeiter hab ich ja auch ein interesse an der Sicherheit _meiner_ Daten, damit fällt schonmal aus das ich dir mein Gerät in die Hand gebe oder dir einen Zugriff darauf erlaube. Genauso wie es vom Mitabeiter durchaus legitim ist wenn er/sie eben privat/geschäft komplett trennnen will, das gilt eben auch für Apps. Dann muss die Firma eben passende Geräte stellen - das muss nicht zwingend ein Telefon sein, es gibt auch durchaus Token-Generatoren fürs Schlüsselbund, die laufen ganz offline (kenne ich noch vom grossen gelben Gummivogel, falls es das da heute noch gibt...), denn selbst ein Firmentelefon kann ein Mitarbeiter eben auch berechtigt im Office lassen (bzw. zuhause nur in die Ecke legen), die Firma kann eben auch nicht erwarten das man privaten Strom bzw. Internet dafür bereitstellt, die Token-Generatoren laufen über jahre auf Batterie...
Und aus meiner Sicht hast du den ersten Fehler bereits gemacht (zumindest so wie es sich liest): Das Umsetzen ohne die Mitarbeiter entsprechend "mitzunehmen". Dir muss klar sein - selbst wenn solche Änderungen generell ggf. gut gemeint (und sogar sinnvoll) sein mögen, es ist eine Änderung des Arbeitsablaufs. Dieses sollte _vorher_ von der Chefetage entsprechend mitgeteilt werden, am besten mit klarer Begründung warum dem so ist (und nich nur "aus Sicherheitsgründen", das is so ne gummifloskel mittlerweile....) und ggf. auch entsprechend die Optionen _vorher_ gegeben werden das die Mitarbeiter mal "gehört" werden so das man auf entsprechende Fälle eingehen kann. Ich kenne zumindest kaum einen Mitarbeiter der begeistert ist wenn man dem praktisch sagt "was du die letzten x Jahre gemacht hast war sch.... ab jetzt mach es so weil ich es alles besser weiss". Und dann erzeugt man eben genau diese Fälle - die Personen suchen sich Wege... Blockst du in der Firewall nu Cloud-Storages wirst du rausfinden das auch private Mobil-Telefone Kamars haben um Bildschirme abzufotografieren, USB-Sticks mittlerweile ganz schön gross sind oder es auch ca. 100 andere Wege gibt an den Firmen-Systemen vorbeizukommen.. Wenn der Mitarbeiter es versteht UND es auch nen nutzbaren "legalen" Weg gibt sparst du dir hier gleich viel Ärger...
1
CA kann man global für alle externen Benutzer erstellen. Was auch geht ist das MFA vom Heim-Tenant zu akzeptieren nennt sich MFA-Trust.
Ich glaube, das Kind plantscht bereits im Brunnen.
Es wird jetzt schon per Dropbox geteilt. D.h. es gibt inm meinen Augen nur zwei Szenarien, das wieder rückgängig zu machen.
1. Es muss für den User deutlich einfacher werden als mit Dropbox
2. Der User muss von sich aus Dropbox meiden und den "offiziellen" Weg gehen wollen.
Ersteres schließe ich fast komplett aus. Denn dazu muss man nicht nur die Seite der eigenen User sehen, sondern auch die, der externen User. Für die eigenen User kann man das ganz einfach gestalten. Aber ob da die externen mitziehen? Klar, die können einem fast egal sein. Aber wenn da schon Kontakt mit den internen Uysern besteht, dann werden die da mit Sicherheit rumweinen, dass es früher doch viel einfacher war udn es ja auch sehr gut funktionierte.
Für MFA sehe ich da im Grunde nur von der Firma gestellte Nummern-Generator-Nubsis (aka Tokens). Alles andere wird zu aufwendig für die. Und schon den Nubsi immer dabei zu haben ist meh. Ich hatte da früher als Außendienstler auch so einen. Funktionierte gut, schön war anders.
Dein Weg, zumindest meiner Meinung nach, ist erst mal deine User da mitzunehmen, sodass sie von sich aus nur noch den offiziellen Weg gehen wollen, auch wenn die Gegenseite rumweint. Also erstmal für grundlegendes Verständnis für die Sicherheitsproblematik sorgen. Je nach Affinität der User kann man da auch mit Horrorszenarien kommen. Sowas bleibt bei reinen Tastendrückern oftmals besser hängen als Technikgedöns.
Es wird jetzt schon per Dropbox geteilt. D.h. es gibt inm meinen Augen nur zwei Szenarien, das wieder rückgängig zu machen.
1. Es muss für den User deutlich einfacher werden als mit Dropbox
2. Der User muss von sich aus Dropbox meiden und den "offiziellen" Weg gehen wollen.
Ersteres schließe ich fast komplett aus. Denn dazu muss man nicht nur die Seite der eigenen User sehen, sondern auch die, der externen User. Für die eigenen User kann man das ganz einfach gestalten. Aber ob da die externen mitziehen? Klar, die können einem fast egal sein. Aber wenn da schon Kontakt mit den internen Uysern besteht, dann werden die da mit Sicherheit rumweinen, dass es früher doch viel einfacher war udn es ja auch sehr gut funktionierte.
Für MFA sehe ich da im Grunde nur von der Firma gestellte Nummern-Generator-Nubsis (aka Tokens). Alles andere wird zu aufwendig für die. Und schon den Nubsi immer dabei zu haben ist meh. Ich hatte da früher als Außendienstler auch so einen. Funktionierte gut, schön war anders.
Dein Weg, zumindest meiner Meinung nach, ist erst mal deine User da mitzunehmen, sodass sie von sich aus nur noch den offiziellen Weg gehen wollen, auch wenn die Gegenseite rumweint. Also erstmal für grundlegendes Verständnis für die Sicherheitsproblematik sorgen. Je nach Affinität der User kann man da auch mit Horrorszenarien kommen. Sowas bleibt bei reinen Tastendrückern oftmals besser hängen als Technikgedöns.
Zitat von @Bumblebee3rd:
Meine Entscheidung wird dadurch zunehmend in Frage gestellt, teilweise sogar umgangen, indem Daten über unsichere Wege wie Dropbox geteilt werden, was ich als noch gravierender betrachte.
Mich würde interessieren:
Viele Grüße
Meine Entscheidung wird dadurch zunehmend in Frage gestellt, teilweise sogar umgangen, indem Daten über unsichere Wege wie Dropbox geteilt werden, was ich als noch gravierender betrachte.
Mich würde interessieren:
- Welche MFA-Lösungen oder Sicherheitsmechanismen setzt ihr für externe Nutzer in M365 ein?
- Nutzt ihr Conditional Access Policies, um je nach Nutzergruppe zu steuern?
- Welche Erfahrungen habt ihr mit der Akzeptanz durch Partner, Dienstleister oder Kunden gemacht?
Viele Grüße
Das Ablegen in Dropbox kannst du den Menschen ganz schnell abtrainieren, hierfür kannst du einfach MAM Policies schreiben, somit kannst du Datenabfluss in adere Richtungen (privat, Cloud usw. ) gezielt verbieten, du kannst auch einen Browser vorgeben (Edge) mit dem Unternehmensinhalte in Form von Links usw. geöffnet werden.
Ich halte den Ansatz für richtig darauf zu achten, wohin die M365 Daten fließen, MAM und Conditional Access bieten dir dafür eigentlich alle Möglichkeiten, Dropbox ist bei vorhandenem Sharepoint/OneDrive einfach unnötig, es reicht wenn Microsoft die Daten hat.
Guten Morgen zusammen,
vielen Dank für euren bisherigen Input.
Vielleicht habe ich mich anfangs etwas unklar ausgedrückt. Unsere internen Mitarbeitenden hatten mit der Umstellung auf MFA keine Schwierigkeiten, im Gegenteil, der Wechsel verlief erstaunlich reibungslos.
Das ist allerdings nur der erste Schritt. Langfristig plane ich, unsere Geräte vollständig über Microsoft Intune zu registrieren, sodass im Idealfall kein MFA mehr nötig ist, weil die Geräte bereits vertrauenswürdig sind. Aber bis dahin ist es natürlich noch ein langer Weg.
Das eigentliche Problem betrifft die externen Benutzer, in unserem Fall vor allem Kunden. Hier stoßen wir auf viel Widerstand, weil sie sich authentifizieren sollen. Es wird teils so dargestellt, als sei MFA eine unzumutbare Hürde. Dabei ist es platt gesagt nichts anderes, als wenn man den Personalausweis vorzeigen muss.
@maulwurf222 Die Realität ist, dass viele dieser externen Nutzer ausschließlich mit Benutzername und Passwort arbeiten, also keinerlei zusätzliche Absicherung wie MFA nutzen.
Hintergrund des ganzen Themas ist, dass wir letztes Jahr gehackt wurden, und zum Glück nichts passiert ist (wie so oft kommt die Sicherheit zu kurz). Seitdem sehe ich es als meine Pflicht, nicht nur unsere eigenen Daten, sondern auch die Daten unserer Kunden zu schützen, auch wenn das bedeutet, dass der Zugang für externe Partner etwas aufwändiger wird.
Viele Grüße
vielen Dank für euren bisherigen Input.
Vielleicht habe ich mich anfangs etwas unklar ausgedrückt. Unsere internen Mitarbeitenden hatten mit der Umstellung auf MFA keine Schwierigkeiten, im Gegenteil, der Wechsel verlief erstaunlich reibungslos.
Das ist allerdings nur der erste Schritt. Langfristig plane ich, unsere Geräte vollständig über Microsoft Intune zu registrieren, sodass im Idealfall kein MFA mehr nötig ist, weil die Geräte bereits vertrauenswürdig sind. Aber bis dahin ist es natürlich noch ein langer Weg.
Das eigentliche Problem betrifft die externen Benutzer, in unserem Fall vor allem Kunden. Hier stoßen wir auf viel Widerstand, weil sie sich authentifizieren sollen. Es wird teils so dargestellt, als sei MFA eine unzumutbare Hürde. Dabei ist es platt gesagt nichts anderes, als wenn man den Personalausweis vorzeigen muss.
@maulwurf222 Die Realität ist, dass viele dieser externen Nutzer ausschließlich mit Benutzername und Passwort arbeiten, also keinerlei zusätzliche Absicherung wie MFA nutzen.
Hintergrund des ganzen Themas ist, dass wir letztes Jahr gehackt wurden, und zum Glück nichts passiert ist (wie so oft kommt die Sicherheit zu kurz). Seitdem sehe ich es als meine Pflicht, nicht nur unsere eigenen Daten, sondern auch die Daten unserer Kunden zu schützen, auch wenn das bedeutet, dass der Zugang für externe Partner etwas aufwändiger wird.
Viele Grüße
Moin,
Aus meiner Sicht muss das Ganze zuerst organisatorisch aufgebaut, geprüft und freigegeben werden. Danach müssen die MA und Dritte informiert werden. Das sollte auch beinhalten, wer was zu tun hat und an wen man sich bei Fragen wenden kann.
Dann sollte ein PoC folgen. Und zwar nicht nur 3-4 Wochen sondern einige Monate. Um evtl. Fallstricke, etc zu finden und den Prozess auf Herz und Nieren zu testen.
Passt soweit alles, kann der Rollout erfolgen.
Gruß,
Dani
Welche MFA-Lösungen oder Sicherheitsmechanismen setzt ihr für externe Nutzer in M365 ein?
bei uns kannst du zwischen Fido Key und Authenticator App wählen. Alternativ bei Bedarf kann auch eine Telefonnummer hinterlegt werden.Nutzt ihr Conditional Access Policies, um je nach Nutzergruppe zu steuern?
Wir nutzen CAP. Bei uns ist MFA Pflicht - Punkt. Egal ob für VPN oder eine Web App. Wir machen da seit zwei Jahren keine Ausnahme mehr.Welche Erfahrungen habt ihr mit der Akzeptanz durch Partner, Dienstleister oder Kunden gemacht?
Es gibt hier keine Wahlmöglichkeit. Wer bei uns Zugriff auf Systeme, Anwendungen und Daten haben möchte, muss mitziehen. Ansonsten gibt es eben keine Geschäftsbeziehung. Es ist schon auch eine Frage der Haftung für einen Dritten bei einem Sicherheitsvorfall. Da sind schon Unternehmen dran gestorben...Aus meiner Sicht muss das Ganze zuerst organisatorisch aufgebaut, geprüft und freigegeben werden. Danach müssen die MA und Dritte informiert werden. Das sollte auch beinhalten, wer was zu tun hat und an wen man sich bei Fragen wenden kann.
Dann sollte ein PoC folgen. Und zwar nicht nur 3-4 Wochen sondern einige Monate. Um evtl. Fallstricke, etc zu finden und den Prozess auf Herz und Nieren zu testen.
Passt soweit alles, kann der Rollout erfolgen.
Gruß,
Dani
3Zitat von @Bumblebee3rd:
Das eigentliche Problem betrifft die externen Benutzer, in unserem Fall vor allem Kunden. Hier stoßen wir auf viel Widerstand, weil sie sich authentifizieren sollen. Es wird teils so dargestellt, als sei MFA eine unzumutbare Hürde. Dabei ist es platt gesagt nichts anderes, als wenn man den Personalausweis vorzeigen muss.
Das eigentliche Problem betrifft die externen Benutzer, in unserem Fall vor allem Kunden. Hier stoßen wir auf viel Widerstand, weil sie sich authentifizieren sollen. Es wird teils so dargestellt, als sei MFA eine unzumutbare Hürde. Dabei ist es platt gesagt nichts anderes, als wenn man den Personalausweis vorzeigen muss.
Stimmt prinzipiell.. Und jetzt lass mich das mal anders fragen: Wenn du morgen in nen Bus steigst - musst du da deinen Ausweis vorzeigen weil du ne Dienstleistung in Anspruch nimmst? Musst du im Supermarkt deinen Ausweis vorzeigen um dort einzukaufen?
Du siehst das Problem etwas einseitig... Klar ist es für dich kein Problem, aber: Der Kunde hat ggf. 20, 200 oder 200.000 Dienstleister. Und somit redest du ggf. nicht von einem Account sondern eben von entsprechend vielen. Und dummerweise hast du ggf. beim Kunden die Policy das Kennwörter auch nicht im Browser gespeichert werden dürfen (was auch sinnvoll ist weil die ja idR. leicht im Betrieb ausgelesen werden können). Also nen Passwort-Manager (der wieder ne Lizenz erfordert), ggf. sogar noch mit zig unterschiedlichen Gruppen (die verwaltet werden müssen) da ja der Kunde X ggf. Mitarbeiter A,B und C hat die bei euch reingucken sollen/dürfen, aber D,E und F nicht... Bei DL 2 sinds aber A, E und F, nicht B, C und D...
Da würde ich als Kunde eben auch durchaus überlegen zu sagen "schicks mir einfach per Mail, ich brauch nicht das 30ste Portal mit den nächsten 17 mail-notifiern das sich dort irgendwas geändert hat was ich dann eh wieder selbst abholen muss".
@maulwurf222 Die Realität ist, dass viele dieser externen Nutzer ausschließlich mit Benutzername und Passwort arbeiten, also keinerlei zusätzliche Absicherung wie MFA nutzen.
Hintergrund des ganzen Themas ist, dass wir letztes Jahr gehackt wurden, und zum Glück nichts passiert ist (wie so oft kommt die Sicherheit zu kurz). Seitdem sehe ich es als meine Pflicht, nicht nur unsere eigenen Daten, sondern auch die Daten unserer Kunden zu schützen, auch wenn das bedeutet, dass der Zugang für externe Partner etwas aufwändiger wird.
Nun - nur genau da ist immer das Problem, die Sicherheit muss zur Anforderung passen. Und Sicherheit ist ein KONZEPT, kein Produkt. Einfache Beispiele: Der Kunde hat dann aus Bequemlichkeit immer dasselbe Passwort bei allen Dienstleistern, du hast grad deine Sicherheit somit zerlegt. _irgendein_ Dienstleister wird gehackt und schon gibts auch bei dir "freie Daten für freie Bürger". Der Kunde nutzt ein simples Passwort -> wenn du nich mit Fail2Ban o.ä. arbeitest (und den zusatzaufwand in Kauf nimmst) gehts per Brute Force auch ganz schnell... Im dümmsten Fall ist deine Festplatte nicht mal verschlüsselt -> d.h. ein erfolgreicher Angriff sorgt dafür das die Daten trotzdem alle weg sind UND du den Kunden erklären musst warum diese ganze Sicherheit fürn Ar... war.
Und nochmal - es kommt halt drauf an in welchem Umfeld du tätig bist. Bist du im Bereich "individual-krams" unterwegs und hast x Kunden die aber nur 2 Anbieter haben -> ok... Aber stell dir mal vor selbst MS würde morgen erwarten das du zum Download von Updates/Patches nen Login brauchst (is ja auch nur wie nen Perso vorzeigen). Würdest du da auch sagen das es wirklich in irgendeiner relation steht? Und wenn du keinen MS-365-Acc hast bist halt raus, dumm gelaufen, was kaufst du dir auch im Laden irgendeine einzel-lizenz?!? Du siehst wie sehr das vom reinen kundenkreis abhängt ob sowas geht oder nicht.
1
Also deine Kollegen müssen sich zunächst unbedingt an die geltende Policy halten, unabhängig von der Technik. Das bedeutet, das eurerseits keine Daten über per Definition "unsichere" Kanäle bzw. Kanäle, die in der Policy nicht vorgesehen sind, geteilt werden. Das geht gar nicht, und das muss durch die GF durchgesetzt werden. Das sollte immer gelten, theoretisch sogar für einen US Minister...
Wenn du das nicht durchsetzt, hast du bzw. dein Chef ggf. eine Verantwortung beim Abfluss von Daten - daraus können viele rechtliche Probleme entstehen. Das sollte man auch gegenüber den Mitarbeitern strikt kommunizieren und sie zur Einhaltung verpflichten. Egal wie ausgefeilt deine technischen Maßnahmen sind, sollte kein Mitarbeiter gegen die Policy handeln. Wer sowas leichtfertig abtut macht vermutlich auch anderweitig Mist.
Bei den Kunden würde mich zunächst mal die Frage interessieren: Was passiert, wenn der Kundenaccount "gehackt" wird? Der Account ist ja nicht deiner, sondern einer bei Microsoft, richtig? Nur die Daten liegen in deinem Tennant. Dann hat der Unbefugte ja theoretisch nur Zugang zu den Daten des Kunden, zu dem der Account gehört. Das könnte man theoretisch der Geschäftsführung des Kunden überlassen. Denen kann man empfehlen, MFA einzusetzen aber wenn die der Meinung sind, das ihre Daten diesen Schutz nicht brauchen, kann man für deren Mitarbeiter die Voraussetzungen senken. Das sollte aber mit der Kunden GF klar geregelt und dokumentiert sein, sind ja schließlich deren Daten und damit nicht mehr deine Verantwortung.
Wenn du das nicht durchsetzt, hast du bzw. dein Chef ggf. eine Verantwortung beim Abfluss von Daten - daraus können viele rechtliche Probleme entstehen. Das sollte man auch gegenüber den Mitarbeitern strikt kommunizieren und sie zur Einhaltung verpflichten. Egal wie ausgefeilt deine technischen Maßnahmen sind, sollte kein Mitarbeiter gegen die Policy handeln. Wer sowas leichtfertig abtut macht vermutlich auch anderweitig Mist.
Bei den Kunden würde mich zunächst mal die Frage interessieren: Was passiert, wenn der Kundenaccount "gehackt" wird? Der Account ist ja nicht deiner, sondern einer bei Microsoft, richtig? Nur die Daten liegen in deinem Tennant. Dann hat der Unbefugte ja theoretisch nur Zugang zu den Daten des Kunden, zu dem der Account gehört. Das könnte man theoretisch der Geschäftsführung des Kunden überlassen. Denen kann man empfehlen, MFA einzusetzen aber wenn die der Meinung sind, das ihre Daten diesen Schutz nicht brauchen, kann man für deren Mitarbeiter die Voraussetzungen senken. Das sollte aber mit der Kunden GF klar geregelt und dokumentiert sein, sind ja schließlich deren Daten und damit nicht mehr deine Verantwortung.
Hallo,
mal die Sicht als externer Benutzer.
Einer unserer Kunden hat auch umgestellt. Da gab's auch keine Diskussionen. Seiner Ansicht nach wenn ihr nicht mit zieht bekommt ihr keine Aufträge. Für die Benutzer die Zugriff bräuchten aber kein Firmen Handy hatten gab's nen yubikey und das war's.
Betraf aber nicht viele.
mal die Sicht als externer Benutzer.
Einer unserer Kunden hat auch umgestellt. Da gab's auch keine Diskussionen. Seiner Ansicht nach wenn ihr nicht mit zieht bekommt ihr keine Aufträge. Für die Benutzer die Zugriff bräuchten aber kein Firmen Handy hatten gab's nen yubikey und das war's.
Betraf aber nicht viele.
2Zitat von @Bumblebee3rd:
@maulwurf222 Die Realität ist, dass viele dieser externen Nutzer ausschließlich mit Benutzername und Passwort arbeiten, also keinerlei zusätzliche Absicherung wie MFA nutzen.
@maulwurf222 Die Realität ist, dass viele dieser externen Nutzer ausschließlich mit Benutzername und Passwort arbeiten, also keinerlei zusätzliche Absicherung wie MFA nutzen.
Ist leider gelebte Realität in Deutschland wenn die Firma zb einen Elektriker als Administrator einstellt. Bei Nutzung von Cloud Diensten bietet MFA das Minimum an Sicherheit was man auch erzwingen sollte.
1
