Microsoft 365-Mandanten speichern kritische Daten sowohl für öffentliche als auch für private Organisationen. Und Angreifer werden darauf aufmerksam. + Gemäß der CISA-Verordnung BOD 25-01 müssen zivile US-Bundesbehörden ihre Microsoft 365-Cloud-Umgebungen sichern. + Öffentliche Organisationen sollten Microsoft 365 auch gemäß den CISA-Richtlinienstandards sichern, um sicherzustellen, dass ihre Daten und Microsoft-Umgebungen sicher bleiben. + Obsidian Security erleichtert die Einhaltung der SCuBA-Anforderungen in der gesamten Microsoft-Suite. +Fordern Sie eine kostenlose Risikobewertung für Ihre Microsoft 365-Umgebung an.
Das CISA-Mandat für Microsoft 365: Härten Sie Ihre Cloud-Umgebungen
Die Cybersecurity and Infrastructure Security Agency (CISA) hat alle zivilen Bundesbehörden angewiesen, ihre Microsoft 365-Cloud-Umgebungen zu sichern. In Zukunft müssen Behörden wie das Department of Homeland Security, das Department of Energy und Hunderte weitere dieser verbindlichen Anordnung (BOD 25-01) Folge leisten, indem sie sicherstellen, dass ihre Microsoft 365-Umgebungen den sicheren Konfigurations-Baselines entsprechen.
„Bei einer Reihe von Cybersicherheitsvorfällen in jüngster Zeit hat die unsachgemäße Konfiguration von Sicherheitskontrollen in Cloud-Umgebungen zu erheblichen Risiken und tatsächlichen Kompromittierungen geführt.“ – Matt Hartman, stellvertretender geschäftsführender Direktor für Cybersicherheit bei CISA
Ziel dieser behördenweiten Richtlinie ist es, die Angriffsfläche von Bundesnetzwerken zu verringern, indem bewährte Sicherheitsregeln und -einstellungen für kritische SaaS-Anwendungen vorgeschrieben werden. Eine ähnliche Richtlinie für Google Workspace wird für 2025 erwartet.
Die Bedrohung für cloudbasierte SaaS-Anwendungen nimmt zu
Anwendungen wie Microsoft 365 enthalten heute die wichtigsten Daten sowohl für öffentliche als auch für private Organisationen. Und Angreifer werden darauf aufmerksam. Groß angelegte Sicherheitsverletzungen wie der Midnight-Blizzard-Angriff auf Microsoft, bei dem sich Angreifer über einen anfälligen Testmandanten unbefugten Zugang verschafften, zeigen, wie effektiv und schädlich Angriffe auf diese Cloud-Umgebungen sein können, wenn Anwendungen nicht ordnungsgemäß konfiguriert sind.
Die monatlichen SaaS-Verstöße haben um 300 % zugenommen – wobei jeder sechste dieser Angriffe auf Fehlkonfigurationen zurückzuführen ist.
Wie man die CISA BOD 25-01 für Microsoft 365 einhält
Alle Bundesbehörden mit Zuständigkeitsbereich müssen für ihre Microsoft 365-Produkte, einschließlich Azure Active Directory und Entra ID, Microsoft Defender, Exchange Online, Microsoft Teams, Power Platform, SharePoint Online und OneDrive-Dienste, die folgenden Maßnahmen ergreifen.
1. Identifizieren Sie alle Cloud-Mandanten bis zum 21. Februar 2025
SaaS-Anwendungen lassen sich leicht bereitstellen und integrieren, wodurch sie leicht verborgen werden können. Bis zu 45 % aller Anwendungen in einer Unternehmensumgebung könnten Schatten-SaaS sein (für IT- und Sicherheitsteams unsichtbar). Außerdem können Anwendungen wie Microsoft 365 mehrere Mandanten haben. Dies macht die Erkennung zu einem anspruchsvollen, aber notwendigen Prozess, um sicherzustellen, dass Schwachstellen beseitigt werden.
2. Bereitstellung von SCuBA-Bewertungstools bis zum 25. April 2025
Das CISA-Projekt „Secure Cloud Business Applications (SCuBA)“ beschreibt spezifische Konfigurations-Baselines zur Abbildung von Microsoft 365-Einstellungen. Dieses Framework wird verwendet, um zu prüfen, ob jede Anwendung den erforderlichen sicheren Baseline-Standard erfüllt. Da jeder Dienst über einen einzigartigen Prozess zur Behebung von nicht konformen Sicherheitseinstellungen verfügt, benötigen Teams ohne eine dedizierte SaaS Security Posture Management (SSPM)-Lösung einen internen Anwendungsexperten für jeden in den Anwendungsbereich fallenden Dienst.
3. SCuBA-Richtlinien bis zum 20. Juni 2025 umsetzen
Bundesbehörden müssen durchsetzen und nachweisen, dass jeder Microsoft 365-Dienst die Sicherheitseinstellungen und -kontrollen innerhalb des SCuBA-Rahmens einhält. Da Microsoft 365 viele verschiedene Dienste anbietet, ist es unmöglich, jede Sicherheitskontrolle manuell anzupassen.
In Zukunft müssen diese öffentlichen Behörden auch alle zukünftigen Aktualisierungen der SCuBA-Richtlinien umsetzen. Um die Einhaltung der Vorschriften zu gewährleisten, ist es erforderlich, die Konfigurationsabweichung zu überwachen, wenn neue Dienste, Konten, Integrationen und andere Änderungen vorgenommen werden.
Obwohl dies nicht direkt in den Zuständigkeitsbereich von CISA fällt, sollten sich auch öffentliche Organisationen an diese Richtlinienstandards halten, um sicherzustellen, dass ihre Daten und Microsoft-Umgebungen sicher bleiben.
Obsidian Securitys ganzheitlicher Lösungsansatz für SCuBA
Obsidian unterstützt Kunden bei der Bewältigung der Herausforderungen, Cloud-Mandanten in ihrer Umgebung zu identifizieren und die fortlaufende Einhaltung der SCuBA-Anforderungen in der gesamten Microsoft-Suite sicherzustellen. Um dies zu unterstützen, bietet die Obsidian-Plattform drei verschiedene Ergebnisse, die Kunden nutzen können, um ihre Compliance-Bemühungen zu beschleunigen:
1. Automatisierte Erkennung
Um eine allgegenwärtige Abdeckung und Sichtbarkeit zu gewährleisten, identifizieren die Extend- und Browser-Erweiterungsfunktionen von Obsidian automatisch jede SaaS-Anwendung, die innerhalb des Unternehmens verwendet wird.
Benutzerzugriff, Authentifizierungsmechanismen, Rollen, Berechtigungen und Details zu Mandanten und Subservices werden kontinuierlich identifiziert. Dies bietet eine reibungsarme Methode zur Bestandsaufnahme jedes Microsoft-Mandanten über Subservices hinweg und liefert die erforderlichen Details, um Risiken zu minimieren, die zu einer Nichteinhaltung der verbindlichen Anordnung BOD 25-01 führen.
2. Konfigurations- und Änderungserkennung
Bei der Bewertung, ob die im SCuBA-Rahmenwerk genannten Einstellungen konform sind, ist es wichtig, den Umfang und die Komplexität der vorhandenen Einstellungen sowie ihre Auswirkungen auf die Mandanten zu verstehen.
Obsidian vereinfacht diesen Prozess, indem es jede Einstellung gleichzeitig mit benutzerdefinierten Benachrichtigungen bei Änderungen einer bestimmten Einstellung validiert und meldet, zusammen mit dem Prüfprotokoll, wer die Änderung wann vorgenommen hat. Aufgrund der Komplexität und Varianz der Microsoft-Anwendungen und -Mandanten ist eine einzige Übersicht für das gesamte Ökosystem mit der Möglichkeit, Fehler schnell zu erkennen und zu beheben, eine entscheidende Komponente eines ganzheitlichen Ansatzes.
3. Compliance und Durchsetzung von Richtlinien
Sobald eine SCuBA-konforme Haltung in allen Microsoft-Anwendungen erreicht wurde, ist es von größter Bedeutung, sie aufrechtzuerhalten. Mit dem Aktionsrichtliniensystem von Obsidian können Warnungen, Benachrichtigungen und Ticketing-Integrationen eingerichtet werden, um sicherzustellen, dass die richtigen Teams eingeschaltet werden, wenn eine Konfiguration in einen nicht konformen Zustand abdriftet.
In Kombination mit dem Compliance-Modul von Obsidian können Kunden die Einhaltung von SCuBA nachweisen, indem sie bei Bedarf auf Nachweise für jede im Umfang enthaltene Kontrolle zugreifen können.
Die nächsten Schritte zur Sicherung von Microsoft 365 für CISA
Mit diesen Funktionen erhalten Kunden einen umfassenden Überblick und eine kontinuierliche Bewertung ihrer Microsoft-Umgebung, um die grundlegenden Anforderungen von BOD 25-01 zu erfüllen.
Wenn Sie mehr über die Obsidian-Plattform erfahren und wissen möchten, wie wir unsere Kunden bei der Sicherung ihrer Microsoft 365-Umgebungen unterstützen, vereinbaren Sie eine Demo oder melden Sie sich für eine kostenlose Risikobewertung für Microsoft 365 an. Im Rahmen dieser Bewertung erhalten Sie einen detaillierten Bericht mit klaren, umsetzbaren Sicherheitseinblicken in Ihre Microsoft-Umgebung – Vorkenntnisse sind nicht erforderlich.
Ihr Kontakt zu uns:
Pascal Cronauer, Regional Sales Director, Central Europe @Obsidian Security | SaaS Security | SSPM | Threat Mitigation | Integration Risk Mgmt
Marko Kirschner, Technical Enthusiast @Obsidian Security
Bild/Quelle: https://depositphotos.com/de/home.html
Firma zum Thema
Fachartikel
Die 5 größten SAP-Sicherheitsrisiken und wie Sie diese mindern können
Vom Blocker zum Enabler: Wie Cybersicherheit geschäftlichen Mehrwert schafft
Forrester Unified Vulnerability Management (UVM) – Was es bedeutet und warum es wichtig ist
Supply-Chain-Angriff auf npm-Paket „rand-user-agent“: Malware entdeckt
LockBit gehackt: Der Fall des einst mächtigsten Ransomware-Syndikats
Studien
Princeton-Forscher warnen vor fatalen KI-Angriffen im Web3-Umfeld
Führungskräfte ohne KI-Wissen? Gartner-Umfrage offenbart Sorgen der CEOs
Schweigen über KI-Erfolge: Was eine neue Ivanti-Studie offenbart
IBM treibt den Einsatz generativer KI in Unternehmen mit hybrider Technologie voran
Weltweite Umfrage: Mehrheit der Technologieverantwortlichen spricht sich für Robotik im Arbeitsumfeld aus
Whitepaper
Group-IB präsentiert die zehn gefährlichsten Cybergruppen 2025
Cyberkriminelle nehmen 2025 verstärkt das Gesundheitswesen ins Visier
Cybersicherheit in KMUs: Alarmiert, aber schlecht gerüstet
Forescout warnt vor zunehmendem staatlich gefördertem Hacktivismus
Internationale KnowBe4-Umfrage: Über 90 Prozent halten Phishing-Tests für sinnvoll
Hamsterrad-Rebell
Sicherer SAP-Entwicklungsprozess: Onapsis Control schützt vor Risiken
Das CTEM-Framework navigieren: Warum klassisches Schwachstellenmanagement nicht mehr ausreicht
Cybersicherheit im Mittelstand: Kostenfreie Hilfe für Unternehmen
Anmeldeinformationen und credential-basierte Angriffe
