Viele – um nicht zu sagen fast alle – Unternehmen nutzen Microsoft-Dienste: Von Outlook, über Word bis zu Teams. Seit einigen Jahren entdecken Unternehmen zunehmend auch die Vorteile von Cloud-Lösungen, insbesondere der von Microsoft 365. Dennoch: Viele fragen sich, ob die Plattform sicher ist und sie damit arbeiten sollen. Dieselbe Frage hat sich auch die StWZ Energie AG gestellt und deshalb Redguard beauftragt, die Lösung Microsoft 365 (M365) respektive deren Einsatz bezüglich Sicherheit zu prüfen. Dabei haben wir technische, prozessuale und organisatorische Aspekte berücksichtigt.

Sicherheit kann nur konfiguriert werden

Immer wieder fragen uns Kunden, ob sie die Cloud nutzen sollen und ob diese sicher ist. Dazu sagen wir: Cloud-Lösungen sind für viele Unternehmen sicherer als der Betrieb einer eigenen Infrastruktur. Es besteht ausserdem immer ein Restrisiko unabhängig davon, ob die Cloud genutzt oder eine eigene Infrastruktur betrieben wird. Cloud-Lösungen sind jedoch nur so sicher, wie sie konfiguriert werden. Weiter sind dabei die rechtlichen und regulatorischen Rahmenbedingungen zu berücksichtigen.

Microsoft 365 bietet sehr viele Schutzmöglichkeiten, die jedoch individuell auf Ihr Unternehmen abgestimmt werden müssen. Dazu werden die internen Prozesse, die Freigabestufen der Mitarbeitenden, die Architektur und weitere Faktoren einbezogen.

So einfach, wie Sie einen einzelnen, privaten Account nach Ihren Bedürfnissen einstellen, fordert die Implementierung einer Cloud-Lösung in einer Organisation hingegen spezifisches Fachwissen – und vor allem ein hohes Verständnis und Praxiserfahrung. Deshalb hat uns die StWZ Energie AG als kompetenten Partner für diese Aufgabe engagiert. Denn ihr Leitbild ist, Verantwortung für eine starke regionale Energieversorgung zu übernehmen – und dazu gehört auch die Verantwortung im Bereich Informationssicherheit.

Auf allen Ebenen sicher konfiguriert: technisch, prozessual und organisatorisch

Gemeinsam mit unserem Kunden starten wir das Projekt in einem Kick-off Meeting. Mit der StWZ Energie AG evaluierten wir dabei, welche Lizenzen und Funktionspakete eingesetzt werden und wie M365 in die Gesamtarchitektur der StWZ Energie AG eingebunden ist. Zudem überprüften wir den Reifegrad der organisatorischen Ebene mit Hilfe eines Fragebogens.

Die StWZ hat uns einen Global Reader Account für ihr M365 erstellt, damit wir die Infrastruktur unter Berücksichtigung der Best Practices begutachten konnten. Dadurch erhielten wir einen Überblick, welche Konfigurationen für die StWZ Energie AG im Detail umgesetzt wurden.

Im Anschluss ermittelten wir das Verbesserungspotenzial der StWZ Energie AG in Bezug auf die Microsoft 365 Cloud-Implementierung. Dabei berücksichtigten wir verschiedene Best Practices wie die Anforderungskriterien der CSA (Cloud Security Alliance), die CIS Benchmarks sowie die Empfehlungen von Microsoft.

Aus diesen Ergebnissen haben wir Empfehlungen, um die Sicherheit zu verbessern und Implementierungsmöglichkeiten für die StWZ Energie AG abgeleitet – und in einem Report festgehalten sowie in einer Präsentation erläutert. Die StWZ Energie AG hat nun eine Entscheidungsgrundlage für das Management Team, um ihre Microsoft Cloud-Implementierung weiter abzusichern und den Best Practices zu entsprechen.

Wir begleiten die StWZ Energie AG auch nach Abschluss des Assessments, zum Beispiel mit konkreten Tipps bei der Umsetzung oder mit einem erneuten Security Review nach erfolgreicher Anpassung der Sicherheitseinstellungen.

«Dank der Arbeit der Firma Redguard konnten wir uns auf das Wesentliche konzentrieren und die knappen Ressourcen dort einsetzen.» Beat Ryser, Leiter IT & Logistik bei StWZ Energie AG

Diese Themen waren Teil unseres Security Assessments:

• Identitäts- und Zugriffsmanagement
• Schutz von Informationen
• Schutz vor Bedrohungen
• Sicherheitsmanagement
• Einhaltung von Richtlinien und Governance
• Geräte- und Anwendungsmanagement

Die Materie haben wir in Bezug auf folgende Dienste betrachtet: Exchange Online, Microsoft Teams, SharePoint Online, Azure AD, OneDrive, MS Office, Intune.

Bleiben Sie lieber auf dem Boden – oder wagen Sie den (sicheren) Weg in die Cloud?

Mit unseren Microsoft 365-Spezialisten profitieren Sie von deren Produkte-Know-how und diversen Weiterbildungen zu Microsoft Security-Themen. Neben unserem Cloud Security Assessment bieten wir weitere Dienstleistungen rund um die Cloud an:

Consulting:

• Unterstützung bei der Erstellung von Cloud-Strategien, Richtlinien und Weisungen gemäss Best Practices
• Beratung und Begleitung bei der Einführung von Cloud-Lösungen
• Datenschutzfolgenabschätzung im Cloud-Kontext

Audit/Testing:

• Cloud Security Assessments
• M365 und Azure Security Assessments
• Penetration Tests im Cloud-Umfeld

Training:

• Durchführen von Schulungen zum Thema Cloud Security

Nehmen Sie unverbindlich Kontakt zu uns auf. Gerne beraten wir Sie.

Lesen Sie ausserdem unseren Blogbeitrag Vier Massnahmen für den sicheren Weg in die Cloud inkl. unseren wichtigsten Empfehlungen kompakt für Sie zusammengefasst.