Freigeben über

Ransomware-Schutz in Microsoft 365

  • Artikel

Microsoft hat Schutzmaßnahmen und -kontrollen integriert, um die Risiken eines Ransomware-Angriffs auf Ihre Organisation und deren Ressourcen zu minimieren. Ressourcen können nach Domäne organisiert werden, wobei jede Domäne über einen eigenen Satz von Risikominderungen verfügt.

Domäne 1: Steuerelemente auf Mandantenebene

Die erste Domäne sind die Personen, aus denen Ihre Organisation besteht, sowie die Infrastruktur und Dienste, die sich im Besitz Ihrer Organisation befinden und von ihr kontrolliert werden. Die folgenden Features in Microsoft 365 sind standardmäßig aktiviert oder können konfiguriert werden, um das Risiko zu minimieren und nach einer erfolgreichen Kompromittierung der Ressourcen in dieser Domäne wiederherzustellen.

Exchange Online:

  • Mit der Wiederherstellung einzelner Elemente und der Aufbewahrung von Postfächern können Kunden Elemente in einem Postfach wiederherstellen, wenn sie versehentlich oder böswillig vorzeitig gelöscht werden. Kunden können E-Mail-Nachrichten, die innerhalb von 14 Tagen gelöscht wurden, standardmäßig zurückgesetzt und bis zu 30 Tage konfigurierbar sein.

  • Zusätzliche Kundenkonfigurationen dieser Aufbewahrungsrichtlinien innerhalb des Exchange Online-Diensts ermöglichen Folgendes:

    • Konfigurierbare Aufbewahrung, die angewendet werden soll (1 Jahr/10 Jahr und höher)
    • Kopieren bei anzuwendendem Schreibschutz
    • die Möglichkeit, die Aufbewahrungsrichtlinie so zu sperren, dass Unveränderlichkeit erreicht werden kann

  • Exchange Online Protection überprüft eingehende E-Mails und Anlagen in Echtzeit sowohl beim Ein- als auch beim Verlassen des Systems. Dies ist standardmäßig aktiviert und verfügt über Filteranpassungen. Nachrichten, die Ransomware oder andere bekannte oder vermutete Schadsoftware enthalten, werden gelöscht. Sie können Administratoren so konfigurieren, dass sie Benachrichtigungen erhalten, wenn dies geschieht.

SharePoint und OneDrive Protection

SharePoint und OneDrive Protection verfügen über integrierte Features, die zum Schutz vor Ransomware-Angriffen beitragen.

Versionsverwaltung: Da die Versionsverwaltung standardmäßig mindestens 500 Versionen einer Datei beibehält und so konfiguriert werden kann, dass mehr beibehalten werden kann, wenn die Ransomware eine Datei bearbeitet und verschlüsselt, kann eine frühere Version der Datei wiederhergestellt werden.

Papierkorb: Wenn die Ransomware eine neue verschlüsselte Kopie der Datei erstellt und die alte Datei löscht, haben Kunden 93 Tage Zeit, sie aus dem Papierkorb wiederherzustellen.

Permanente Aufbewahrungsbibliothek: Dateien, die in SharePoint- oder OneDrive-Websites gespeichert sind, können durch Anwenden von Aufbewahrungseinstellungen beibehalten werden. Wenn ein Dokument mit Versionen den Aufbewahrungseinstellungen unterliegt, werden Versionen in die Permanente Aufbewahrungsbibliothek kopiert und sind als separates Element vorhanden. Wenn ein Benutzer vermutet, dass seine Dateien kompromittiert wurden, kann er Dateiänderungen untersuchen, indem er die beibehaltene Kopie überprüft. Die Dateiwiederherstellung kann dann verwendet werden, um Dateien innerhalb der letzten 30 Tage wiederherzustellen.

Teams

Teams-Chats werden in Exchange Online-Benutzerpostfächern gespeichert, und Dateien werden in SharePoint oder OneDrive gespeichert. Microsoft Teams-Daten werden durch die Steuerelemente und Wiederherstellungsmechanismen geschützt, die in diesen Diensten verfügbar sind.

Domäne 2: Steuerelemente auf Dienstebene

Die zweite Domäne sind die Personen, aus denen Microsoft die Organisation besteht, und die Unternehmensinfrastruktur, die im Besitz von Microsoft ist und von Microsoft kontrolliert wird, um die Organisationsfunktionen eines Unternehmens auszuführen.

Der Ansatz von Microsoft zur Sicherung des Unternehmensbestands ist Zero Trust, der mit unseren eigenen Produkten und Diensten implementiert wird, mit Schutzmaßnahmen in unserem gesamten digitalen Bestand. Weitere Informationen zu den Prinzipien von Zero Trust finden Sie hier: Zero Trust-Architektur.

Zusätzliche Features in Microsoft 365 erweitern die in Domäne 1 verfügbaren Risikominderungen, um die Ressourcen in dieser Domäne weiter zu schützen.

SharePoint und OneDrive Protection

Versionsverwaltung: Wenn Ransomware eine Datei an Ort und Stelle verschlüsselt, kann die Datei als Bearbeitung bis zum ursprünglichen Erstellungsdatum der Datei mithilfe der von Microsoft verwalteten Funktionen des Versionsverlaufs wiederhergestellt werden.

Papierkorb: Wenn die Ransomware eine neue verschlüsselte Kopie der Datei erstellt und die alte Datei gelöscht hat, haben Kunden 93 Tage Zeit, sie aus dem Papierkorb wiederherzustellen. Nach 93 Tagen gibt es ein 14-tägiges Zeitfenster, in dem Microsoft die Daten weiterhin wiederherstellen kann. Nach diesem Fenster werden die Daten endgültig gelöscht.

Teams

Die in Domäne 1 beschriebenen Risikominderungen für Teams gelten auch für Domäne 2.

Domäne 3: Entwickler & Dienstinfrastruktur

Die dritte Domäne sind die Personen, die den Microsoft 365-Dienst entwickeln und betreiben, den Code und die Infrastruktur, die den Dienst bereitstellt, sowie die Speicherung und Verarbeitung Ihrer Daten.

Microsoft-Investitionen, die die Microsoft 365-Plattform sichern und die Risiken in dieser Domäne mindern, konzentrieren sich auf folgende Bereiche:

  • Kontinuierliche Bewertung und Validierung des Sicherheitsstatus des Diensts
  • Erstellen von Tools und Architekturen, die den Dienst vor Kompromittierung schützen
  • Aufbau der Funktion zum Erkennen und Reagieren auf Bedrohungen im Fall eines Angriffs

Kontinuierliche Bewertung und Validierung des Sicherheitsstatus

  • Microsoft entschärft die Risiken, die mit den Personen verbunden sind, die den Microsoft 365-Dienst entwickeln und betreiben, indem das Prinzip der geringsten Rechte verwendet wird. Dies bedeutet, dass der Zugriff und die Berechtigungen für Ressourcen nur auf das beschränkt sind, was zum Ausführen einer erforderlichen Aufgabe erforderlich ist.
    • Ein Just-In-Time-Modell (JIT), Just-Enough-Access (JEA) wird verwendet, um Microsoft-Technikern temporäre Berechtigungen zu gewähren.
    • Techniker müssen eine Anforderung für eine bestimmte Aufgabe übermitteln, um erhöhte Berechtigungen zu erhalten.
    • Anforderungen werden über Lockbox verwaltet, die die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) von Azure verwendet, um die Typen von JIT-Rechteerweiterungsanforderungen einzuschränken, die Entwickler stellen können.
  • Darüber hinaus werden alle Microsoft-Kandidaten vor Beginn der Anstellung bei Microsoft vorab überprüft. Mitarbeiter, die Microsoft-Onlinedienste in den USA verwalten, müssen sich einer Microsoft Cloud-Hintergrundprüfung als Voraussetzung für den Zugriff auf Onlinedienstsysteme unterziehen.
  • Alle Microsoft-Mitarbeiter müssen ein grundlegendes Sicherheitsbewusstseinstraining zusammen mit Schulungen zu Standards of Business Conduct absolvieren.

Tools und Architektur zum Schutz des Diensts

  • Der Security Development Lifecycle (SDL) von Microsoft konzentriert sich auf die Entwicklung sicherer Software, um die Anwendungssicherheit zu verbessern und Sicherheitsrisiken zu reduzieren. Weitere Informationen finden Sie unter Sicherheits- und Sicherheitsentwicklung und -vorgänge – Übersicht.
  • Microsoft 365 beschränkt die Kommunikation zwischen verschiedenen Teilen der Dienstinfrastruktur auf das, was für den Betrieb erforderlich ist.
  • Der Netzwerkdatenverkehr wird durch zusätzliche Netzwerkfirewalls an Begrenzungspunkten geschützt, um Netzwerkangriffe zu erkennen, zu verhindern und zu entschärfen.
  • Microsoft 365-Dienste sind so entworfen, dass sie ohne Techniker funktionieren, die Zugriff auf Kundendaten benötigen, es sei denn, der Kunde hat dies ausdrücklich angefordert und genehmigt. Weitere Informationen finden Sie unter Wie sammelt und verarbeitet Microsoft Kundendaten?

Erkennungs- und Antwortfunktionen

  • Microsoft 365 setzt sich für die kontinuierliche Sicherheitsüberwachung seiner Systeme ein, um Bedrohungen für Microsoft 365-Dienste zu erkennen und darauf zu reagieren.
  • Die zentralisierte Protokollierung sammelt und analysiert Protokollereignisse für Aktivitäten, die auf einen Sicherheitsvorfall hinweisen können. Protokolldaten werden analysiert, wenn sie in unser Warnungssystem hochgeladen werden, und erzeugen Warnungen nahezu in Echtzeit.
  • Cloudbasierte Tools ermöglichen es uns, schnell auf erkannte Bedrohungen zu reagieren. Diese Tools ermöglichen die Wartung mithilfe automatisch ausgelöster Aktionen.
  • Wenn keine automatische Korrektur möglich ist, werden Warnungen an die entsprechenden Bereitschaftstechniker gesendet, die mit einer Reihe von Tools ausgestattet sind, die es ihnen ermöglichen, in Echtzeit zu handeln, um erkannte Bedrohungen zu mindern.

Wiederherstellen nach einem Ransomware-Angriff

Die Schritte zur Wiederherstellung nach einem Ransomware-Angriff in Microsoft 365 finden Sie unter Wiederherstellen nach einem Ransomware-Angriff in Microsoft 365.