Als Tool für die digitale Kommunikation und Kollaboration innerhalb von Organisationen hat MS Teams in den letzten Jahren ein starkes Wachstum hingelegt. Und wie immer, wenn betriebsrelevante Daten, Dokumente und Informationen in einer Cloud liegen, wird die IT-Sicherheit zum Gesprächsthema. Doch wie sicher ist Microsoft Teams tatsächlich? Wir ordnen ein.
Microsoft Teams ermöglicht das gemeinsame Arbeiten an Dokumenten, Video- und Telefonkonferenzen, Gruppenchats, Terminkoordination und andere Formen der Zusammenarbeit über eine übersichtliche und vielseitige Plattform. Besonders hybrid oder remote arbeitenden Abteilungen bietet die Software die Grundlage, um trotz räumlicher Distanz effizient und produktiv zusammenzuarbeiten. Und so gehört die leistungsstarke Plattform MS Teams heute in fast jedem KMU zum Standard. Sie erlaubt es, in einer vernetzten Welt mitzuhalten und im Markt kompetitiv zu bleiben.
Als Teil von Microsoft 365 ist auch Teams eine cloudbasierte Plattform. Folglich speichert das Tool sämtliche Daten und Informationen in einem virtuellen Netzwerkserver. Dank der Cloud können Mitarbeitende ortsunabhängig und von jedem netzwerkfähigen Gerät auf ihre Dateien, Teams-Umgebungen und Dokumente zugreifen. Gleichzeitig verlangt der virtuelle Datenspeicher aber auch ein hohes Mass an Cybersicherheit. Und so kommt in vielen KMU die Frage auf, wie sicher Microsoft Teams eigentlich ist.
Ein Überblick über die Sicherheitsfunktionen von MS Teams
Wenn eine einzige Software zahlreiche Unternehmensdaten und Informationen zentral verarbeitet und speichert, kommt dem Sicherheitsaspekt eine besondere Rolle zu. Das gilt auch für Microsoft Teams. Doch Unternehmen können zunächst aufatmen, denn Microsoft hat vorgesorgt und das Collaboration Tool mit verschiedenen Sicherheitsstandards ausgerüstet:
Sicheres Datei- und Datenmanagement durch verschlüsselte Datenspeicherung
Alle in der Cloud eingelagerten Daten sichert Teams mit der eigenen, proprietären Festplattenverschlüsselungsmethode BitLocker. Zudem sorgen eine TLS- sowie SRTP-Verschlüsselung für eine zuverlässige Übermittlung der Informationen zwischen den Endgeräten der Nutzenden (z.B. Notebooks) und dem virtuellen Rechenzentrum (Cloud). Die Technologie namens Distributed Key Manager sorgt in einem weiteren Schritt dafür, dass nur berechtigte Personen diese verschlüsselten Dokumente decodieren können. Über den Teams-Administrator oder die Administratorin ist es ferner möglich, zusätzliche Richtlinien für die Datenklassifizierung festzulegen.
Wenn ein Unternehmen noch eine Nummer sicherer gehen möchte, lassen sich die abgelegten Dokumente vor der Übertragung ans Rechenzentrum in der Cloud mit einer zusätzlichen Ende-zu-Ende-Verschlüsselung sichern. Diese Verschlüsselungsart garantiert, dass keine andere Partei, einschliesslich Microsoft, Zugriff auf die verschlüsselten Informationen hat. Sie bietet einen hohen Schutz vor potenziellen Angriffen und Datendiebstahl. Die zusätzliche Ende-zu-Ende-Verschlüsselung lässt sich ohne Beeinträchtigung des Arbeitsablaufs einrichten. Sie bietet sich beispielsweise im Umgang mit sensiblen Personen- oder Gesundheitsdaten an.
Genaues Zugriffsmanagement und Berechtigungssystem
Umfassende Identity and Access Management (IAM) Funktionen tragen weiter zur Cyber Security von MS Teams bei. Benutzerinnen und Benutzer müssen sich dadurch mit ihren individuellen Anmeldedaten einloggen und können nur auf die für sie freigegebenen Ressourcen zugreifen. Es obliegt dem Teams-Administrator, den verschiedenen Nutzenden innerhalb einer Unternehmung detailliert geregelte Rollen und Zugriffsberechtigungen zu verteilen – oder individuell einzuschränken. Dieses Berechtigungssystem ermöglicht es Administratoren oder Administratorinnen, den Zugriff auf Funktionen und Inhalte genau zu kontrollieren und sicherzustellen, dass nur autorisierte Personen Zugang zur Plattform haben.
Darüber hinaus besteht die Möglichkeit, eine team- sowie organisationsweit konfigurierbare Zwei-Faktor-Authentifizierung (2FA) plus Single Sign-On einzurichten, welche den sicheren Gebrauch von Teams auf den privaten mobilen Endgeräten der Anwendenden unterstützt. Mit dieser Methode müssen sich die Nutzenden jeweils an zwei verschiedenen Endgeräten authentifizieren (z.B. Notebook und Smartphone), bevor sie Zugang zu den Daten erhalten.
Fortlaufende Überwachung und regelmässige Updates
Auch Cyberkriminelle nutzen den technischen Fortschritt, um immer wieder neue Angriffsformen zu entwickeln. Ein laufendes Überwachen, Prüfen und Aktualisieren der eigenen IT-Sicherheitsstrukturen ist daher unverzichtbar. Microsoft übernimmt diese Aufgabe, indem es den Netzwerkverkehr fortlaufend analysiert. So verfügt MS Teams beispielsweise über eine automatische Bedrohungserkennung und verhindert so unbefugten Zugriff und Phishing-Versuche. Um Sicherheitslücken oder Cyberbedrohungen zu beheben, stellt Microsoft zudem regelmässige Updates und Patches bereit.
Damit die zur Verfügung gestellten Updates ihren Zweck für die Cyber Security auch erfüllen können, ist die eingesetzte Software in einem Unternehmen regelmässig zu aktualisieren und auf dem neuesten Stand halten – was auch für jedes andere Programm ausserhalb von Teams gilt. Dies ist die Aufgabe des internen IT-Verantwortlichen oder eines externen IT-Partners.
Notfallwiederherstellung und Datensicherung
Microsoft Teams bietet auch Notfallwiederherstellungsfunktionen, und schützt damit wichtige Daten im Falle von Systemausfällen oder Katastrophen. Teams speichert Daten in mehreren Rechenzentren, um Redundanz (mehrfache identische Speicherung) zu gewährleisten und Ausfallzeiten zu minimieren. Zudem sind Versionsverläufe und Sicherungskopien vorhanden, welche im Falle eines Datenverlusts ein Wiederherstellen der Inhalte zu einem bestimmten früheren Zeitpunkt ermöglichen.
Für Unternehmen, die bei der Betriebssicherung noch einen Schritt weiter gehen möchten, lässt sich die Teams-interne Datensicherung mit einer umfassenden externen Backup-Regelung erweitern. Das Risiko von Datenverlust in Folge eines Cyberangriffs oder einer IT-Panne sinkt weiter.
Konformität mit den Anforderungen des Datenschutzgesetzes
Microsoft erfüllt die Anforderungen der europäischen Datenschutzgrundverordnung (DSGVO) und damit auch jene der weniger strikten neuen Schweizer Datenschutzverordnung (nDSG). Das Tool entfernt alle personenbezogenen Daten, welche Nutzende beseitigt haben, innerhalb von 30 Tagen selbständig von allen Speicherorten. Zudem ermöglicht Teams den Anwenderinnen und Anwendern, ihre Daten zu kontrollieren und zu verwalten, was ein weiterer Pluspunkt in Bezug auf den Datenschutz ist.
In der Schweiz betreibt Microsoft zwei Datencenter in Zürich und in Genf. Damit ist es für Schweizer Kunden möglich, ihre Daten innerhalb der Landesgrenzen zu speichern – neben der Datenschutzkonformität, erhöht auch dieser Schritt die Cyber Security sowie die Betriebskontinuität.
Regelmässige externe Sicherheitsaudits
Microsoft unterzieht die Produkte von Microsoft 365 regelmässigen externen Überprüfungen und Audits. So lassen sich die Einhaltung der Sicherheitsstandards nachweisen und potenzielle Schwachstellen frühzeitig identifizieren und beheben. Auch MS Teams ist mit den wichtigsten regulatorischen Sicherheitsstandards zertifiziert, wie beispielsweise ISO 27001 und ISO 27018.
Fazit: Cybersicherheit wird bei MS Teams grossgeschrieben
Unternehmen, die Microsoft Teams für eine produktive virtuelle Zusammenarbeit einsetzen, verlagern eine Vielzahl ihrer Betriebsdaten in die Cloud. Mit einer Reihe von soliden Sicherheitsfunktionen steigert Microsoft die Sicherheit seiner Tools und gewährleistet damit Vertraulichkeit, Integrität und Verfügbarkeit von Daten und Kommunikation.
Und dennoch können die technischen Sicherheitsstandards allein keinen hundertprozentigen Cyberschutz bieten. Denn die grösste Schwachstelle bleibt der Mensch. So ist es ebenso wichtig, dass auch die Teams-Nutzenden ein Sicherheitsbewusstsein entwickeln und wissen, wie das Tool risikolos anzuwenden ist. Für KMU ist es daher empfehlenswert, ihre Mitarbeitenden in regelmässigen Schulungen über die Best-Practices im Umgang mit Teams informieren. Ebenso ist es ratsam, die individuellen Anforderungen des KMU an die IT Security mit einem kompetenten internen oder externen IT-Experten abzuklären und allenfalls zusätzliche Sicherheitsmassnahmen implementieren.
Ein Anbieter von Managed IT Services (MSP), der ausgewiesene Erfahrung mit Microsoft 365 und Cyber Security mitbringt, ist hierfür der ideale Partner. Er unterstützt bei Bedarf die Migration von der lokalen IT in die Cloud, bei der Implementierung der Anwendung sowie bei der Schulung der Mitarbeitenden. Mit den notwendigen Sicherheitsvorkehrungen sorgt er zudem dafür, dass die Plattform im täglichen Betrieb über einen maximalen Cyberschutz verfügt.
.png){kind=icon}
