Wer sich schon einmal mit der eigenen Sicherheit des Unternehmens beschäftigt hat, vor allem im Bereich Cyber Security, der weiß, wie schwierig es ist, einen Überblick zu behalten.
Es gibt einfach zu viele verschiedene Dinge, die man dabei beachten muss. Die wichtigsten Ziele dabei sind unter anderem:
- Vertraulichkeit
- Integrität
- Verfügbarkeit
Als Unternehmen sollte man sich immer über diese wichtigen Ziele der IT-Sicherheit bewusst sein.
Ziele der IT-Sicherheit
Vorher möchten wir aber noch vorher auf die wichtigsten Ziele der IT-Sicherheit eingehen. Wie bereits weiter oben geklärt, gibt es 3 wichtige Ziele: Vertraulichkeit, Integrität und Verfügbarkeit. Aber was genau bedeuten diese Ziele für dein Unternehmen?
Vertraulichkeit
Die Vertraulichkeit bezieht sich darauf, dass die unternehmenswichtigen Daten nur von berechtigten Personen eingesehen werden dürfen. So sollte klar festgelegt werden, wer im Unternehmen diese Berechtigung hat und wie sichergestellt wird, dass der Zugriff auf diese Daten für unautorisierte Personen nicht möglich ist.
Dies bezieht sich aber nicht nur auf verschiedene Rechnungen oder Daten von Kunden, sondern auch auf den einfachen E-Mail Verkehr. Auch hier werden oft Daten übertragen, die vertraulich zu behandeln sind. Deshalb sollte auch scheinbar unwichtige Punkte beachtet werden.
Integrität
Ebenfalls ein wichtiger Punkt ist die Integrität. Hier geht es um den behutsamen Umgang mit Daten, denn so sollte es auch nicht möglich sein, dass jemand Daten unbemerkt ändert. Um die Sicherheit der Originaldateien zu gewährleisten, sollten ebenfalls Sicherheitsvorkehrungen getroffen werden.
Backup-Dateien oder Zugangssperren auf wichtige Dokumente sind wichtig. Denn keinesfalls sollten Berichte oder Jahresabschlüsse fälschlicherweise abgeändert werden.
Verfügbarkeit
Zuletzt ist auch noch die Verfügbarkeit ein wichtiger Bereich der IT-Sicherheit. Hier geht es um ein möglichst geringes Risiko an Ausfällen.
In einem Unternehmen sollte die Verfügbarkeit an wichtigen Daten und Sicherheitsvorkehrungen stets sichergestellt werden.
So braucht es Vorkehrungen gegen Ausfälle, denn ja nach Dauer des Ausfalls kann auch der potenzielle Schaden sehr hoch sein. Wie verkraftbar solche Ausfälle sind, ist aber von Unternehmen zu Unternehmen unterschiedlich.
Microsoft Secure Score
Wie lassen sich also diese Ziele der IT-Sicherheit gewährleisten? Und wie lässt sich eine digitale Unternehmensumgebung sicher und gleichzeitig effizient gestalten?
Nun, eine Möglichkeit dazu ist der Microsoft Secure Score. Das Sicherheitskonzept von Microsoft ist grundsätzlich ein Maßstab für den Sicherheitsstatus des eigenen Unternehmens. So zeigt der Secure Score verschiedene Analysen über die IT-Sicherheit und zeigt auf Basis dessen einen Wert bzw. eine Zahl, die Auskunft über die allgemeine Sicherheit gibt.
Je höher diese Bewertung ausfällt, desto sicherer ist das Unternehmen.
Umgekehrt bedeutet es aber auch, dass es mit einer niedrigen Bewertungen viele Punkte gibt, die man noch verbessern muss.
Die Sicherheitsbewertung kann einem Unternehmen aber nicht nur durch diese Bewertung weiterhelfen. Denn was bringt es schon, wenn nur einen Score angezeigt wird? Man muss natürlich auch wissen, wie gut dieser Score im Vergleich zu anderen Bewerbern oder dem Durchschnitt ist und welche Schritte man gehen musst, um diesen Score zu verbessern.
Und genau diese Punkte werden von der Microsoft Sicherheitsbewertung bereitgestellt. Sie bekommen also insgesamt:
- Einen aktuellen Bericht über den Sicherheitsstatus,
- Verbesserungsvorschläge und was Sie dafür machen müssen
- Und schlussendlich auch einen Vergleich mit ähnlichen Organisationen
Somit bietet Microsoft für ihre Unternehmensumgebung also ein gutes Feature, um den Sicherheitsstatus für Mitarbeiter und das Unternehmen zu verbessern. So sollen natürlich auch die Ziele der IT-Sicherheit gewährleistet werden.
Schritte zur Verbesserung der Maßnahmen
Nun wissen Sie also, warum der Microsoft Secure Score so effizient für ein Unternehmen sein kann. Welche Schritte muss aber nun ein Unternehmen genau gehen, um diese Sicherheitsbewertung für sich nutzen zu können? Im folgenden Abschnitt gehen wir schrittweise die wichtigsten Punkte durch:
1. Check der aktuellen Bewertung
Damit Sie Zugriff auf den Secure Score haben, müssen Sie nur auf die Übersichts-Seite von der Microsoft Sicherheitsbewertung gehen und den Abschnitt suchen, der denScore anzeigt.
Bei diesem Score sehen Sie nicht nur Ihr aktuelles Ergebnis, sondern auch viele andere wichtige Punkte, wie zum Beispiel der Verlauf der Bewertung mit der Zeit und die Bewertung je nach verschiedenen Kategorien. Bei Microsoft werden insbesondere folgende Kategorien angezeigt:
- Identität: Dies beinhaltet die verschiedenen Konten auf dem Unternehmen und die zugeteilten Rollen.
- Gerät: Hier geht es um Microsoft Defender für Endpunktgeräte, ob diese installiert sind und entsprechend gesichert.
- App: Auch der Sicherheitsstatus der einzelnen E-Mail- und Cloud-Apps wird von dem Secure Score gewertet.
Daneben bietet Microsoft auch eine Anzeige, die verdeutlichen soll wie viele Punkte man noch erreichen kann und welche Punkte bereits vom Unternehmen geplant sind, um den Sicherheitsstatus zu verbessern.
2. Maßnahmen zur Verbesserung
Im nächsten Schritt sollte ein Unternehmen sich den nächsten Reiter auf der Webseite näher betrachten: Die Verbesserungsvorschläge.
Hier werden von Microsoft verschiedenste Empfehlungen aufgelistet, mit denen sich der Secure Score verbessern lässt. Die auszuführenden Aktionen sind je nach Bedeutung und Auswirkung auf Sicherheit und Bewertung von wichtig nach unwichtig aufgelistet. Damit haben Sie die wichtigsten Punkte ganz oben.
Sie können die einzelnen Maßnahmen auch im Detail betrachten, in dem Fall erhalten Sie detaillierte Informationen über aktuellen Status und Möglichkeiten zur Implementierung.
Im nächsten Schritt ist es aber nicht nur wichtig, sich diese Vorschläge durchzulesen, sondern diese auch anzugehen. Hier lässt sich der Status der Maßnahmen laufend auf dieser Seite aktualisieren. Die wichtigsten Status-Updates sind:
- To address: In diesem Fall ist das Unternehmen auf das Problem aufmerksam geworden und plant, dieses in der nahen Zukunft zu adressieren.
- Geplant: Dieser Status zeigt an, dass es bereits konkrete Pläne gibt zur Lösung.
- Risiko akzeptiert: Das Risiko sollte nur dann eingegangen werden, wenn sich der Lösungsvorschlag nicht mit der Benutzerfreundlichkeit des eigenen Systems vereinbaren lässt.
- Lösung durch Drittanbieter: Hier wurde die Aktion bereits von einem anderen Tool oder einer anderen Anwendung durchgeführt.
3. Implementieren der Maßnahmen
Im letzten Schritt gehören nur noch die Verbesserungsmaßnahmen durchgeführt. Der Abschnitt „Implementierung“ zeigt alle Schritte und Aktionen, die zur Durchführung notwendig sind.
Sofern alle Aktionen abgeschlossen sind und die Lizenzen der Unternehmen auch diese Voraussetzungen erfüllen, gilt die Maßnahme als durchgeführt und der Microsoft Secure Score wurde verbessert.
So lässt sich in einfachen und planbaren Schritten der Sicherheitsstatus des Unternehmens verbessern.
Welche Systeme unterstützt der Secure Score ?
Da Sie jetzt schon genug über den Secure Score an sich wissen, ist es noch wichtig, ein paar Punkte abzuklären. Dazu zählt erst einmal die Frage, welche Produkte von der Sicherheitsbewertung abgedeckt werden. Dazu zählen insbesondere:
- Microsoft 365
- Microsoft Defender
- Microsoft Teams
- Azure Active Directory
- Cloud-App
Dazu müssen wir aber noch anfügen, dass Microsoft laufend damit beschäftigt ist, die Sicherheitsbewertung auf andere Produkte auszuweiten. Schlussendlich sollte ja dieser Score dabei helfen, dass die Sicherheit des Unternehmens von allen Standpunkten aus gewährleistet ist.
Wer hat Zugriffsberechtigung auf den Score?
Natürlich ist es auch klar, dass nicht jeder Mitarbeiter Zugriff auf diesen Score hat. Immerhin stellt dieser einen vertraulichen Überblick über Sicherheit und mögliche Sicherheitslücken dar und ist somit sind diese Daten sehr diskret und behutsam zu behandeln.
Dabei gibt es nur wenige Rollen, die einen Lese- und Schreibzugriff auf den Microsoft Secure Score haben. Der Globale Administrator, der Sicherheitsadministrator und der SharePoint Administrator zählen dazu.
Diese Rollen haben selber Zugriff, können aber auch anderen Benutzern einen Zugriff zuweisen. Dieser beschränkt sich aber nur auf den Zugang, nicht auf die Berechtigung zur Veränderung irgendwelcher Punkte.
Angebot der BORZIK GmbH
Das Thema des Microsoft Secure Score ist nicht für jedes Unternehmen leicht zu implementieren. Es braucht dazu ein gewisses Know-How über die technischen Grundlagen zum Umsetzen der Maßnahmen.
Wichtig ist dabei auch, dass die Maßnahmen auf allen Endgeräten gleich durchgesetzt werden, um Lücken in der Sicherheit zu vermeiden. Und genau hier soll Softwarepaketierung helfen.
Wir von Borzik unterstützen Sie im Bereich Softwarepaketierung und Client Management. Dabei helfen wir Ihnen beim Verbessern des Security Scores und der Sicherheit Ihres Unternehmens.
Fazit
Der Microsoft Secure Score bietet eine tolle Möglichkeit für Unternehmen, einen detaillierten Überblick über deren Sicherheitsstatus zu haben. Dies erlaubt es Ihnen, Verbesserungen durchzuführen und sich laufend zu verbessern.