Auch wenn Corona derzeit die Nachrichtenlage dominiert und unser Sicherheitsempfinden stark beeinflusst, die IT-Sicherheit sollte es ebenfalls. Hier gilt es gerade für kleine Unternehmen ressourcensparend mit ganz einfachen Maßnahmen möglichst viel Sicherheit herzustellen. Der O365-Login mit MFA macht genau das und stellt dazu auch noch die Einhaltung der DS-GVO Anforderungen sicher.

Was ist MFA?

Eigentlich ist MFA ein bekanntes Konzept. iPhone Nutzer kennen die zusätzlich notwendige Bestätigung auf dem Handy für bestimmte Aktionen rund um die Apple-ID auf einem anderen Gerät, z.B. auf dem PC oder Mac oder einem Tablet.

Nichts anderes ist die sog. Mehrfaktor-Authentifizierung (MFA), auch Zwei-Faktor-Authentifizierung (2FA) oder auch etwas sperriger von Microsoft in der deutschen Übersetzung "Überprüfung in zwei Schritten" genannt.

Zum Login mit dem Benutzernamen gehört mit MFA dann neben dem Passwort (=erster Faktor) eine zusätzliche Bestätigung (=zweiter Faktor), ohne die ein Login nicht möglich ist. Der 2. Faktor kann dabei sein:

  • Die Bestätigung in einer Smartphone App sein (Internetverbindung erforderlich)
  • Die Eingabe einer über das Handy empfangenen SMS-Einmalcodes/TAN (Mobilfunk erforderlich)
  • Die Eingabe eines in einer Smartphone App generierten Einmal-Codes/TAN (möglich ohne Mobilfunk und ohne Internet)

Am einfachsten ist Option 1, da die Bestätigungsanfrage automatisch auf dem Smartphone erscheint und man nur "Genehmigen" o.ä. drücken muss. Bei Microsoft heißt diese App "Microsoft Authenticator" und ist kostenlos im App-Store erhältlich. Im linken nachfolgenden Screenshot wird die Meldung im Browser gezeigt, nachdem der Benutzer sein Passwort eingegeben hat. Der rechte Screenshot zeigt die Aufforderung der App auf dem Smartphone:

2020-03-MFA Login O365_mod.jpg2020-03-MFA Authenticator Meldung.png

 

 

 

 

 

 

 

Warum MFA? Was bringt es?

Warum ist MFA für O365 überhaupt notwendig? Rein technisch gibt es dafür erstmal keinen Zwang. MFA erhöht die Sicherheit für einen Benutzer aber erheblich, da selbst bei einem gestohlenen oder erratenem Passwort ein Login ohne den 2. Faktor, also die Bestätigung, nicht möglich ist. Für viele Unternehmen ist das eine denkbar einfache Art, sich vor Hackern zu schützen. Gerade Kleinunternehmen werden nach unserer Erfahrung nicht die zahllosen anderen möglichen Maßnahmen prüfen (lassen), umsetzen (lassen) und überwachen (lassen), die einen O365-Mandanten in Summe sicherer machen. Bestimmte Sicherheitsmaßnahmen reduzieren auch die Flexibilität bei der Nutzung von O365, z.B. wenn Postfächer noch über "alte" Protokolle wie POP3 oder IMAP von alten Mail Clients abgerufen werden. Letztlich gibt es fast immer einen Zielkonflikt zwischen Sicherheit und Funktionalität.

 

MFA und DS-GVO

Auch wenn das Wort alternativlos nicht alternativlos sein sollte, im Falle von MFA ist es inzwischen angebracht. Schlicht, weil es dem aktuellen Stand der Technik entspricht. Und dieser ist anzuwenden, wenn es z.B. um den Schutz bei der Verarbeitung von personenbezogenenen Daten geht. Artikel 32 der DS-GVO (siehe https://dsgvo-gesetz.de/art-32-dsgvo/) setzt hier explizit Sicherheit nach dem aktuellen Stand der Technik voraus.  Umgekehrt stellt sich also bei einem Datenleck in O365 z.B. aufgrund von Phishing (siehe unseren letzten Beitrag hierzu) die Frage, was das Unternehmen für Maßnahmen zum Schutz der Daten umgesetzt hat. Experten sind sich sicher, dass das Weglassen von MFA im Fall des Falles als fahrlässig gewertet wird. (z.B. https://blog.saaspass.com/ein-leitfaden-zur-einhaltung-der-dsgvo-a9ae2254025a)

 

MFA reif für die Praxis?

Zurück zur Praxis: In der Vergangenheit war MFA noch recht sperrig in der Benutzung, für einige Apps, wie Skype for Business und sogar Outlook war ein eigens generiertes App-Passwort erforderlich und darüberhinaus auch ein gewisses Maß an Sorgfalt des Benutzers. Diese Zeiten sind aber vorbei und die Benutzererfahrung mit aktivierter MFA ist einigermaßen homogen. Wer Office 365 Business Premium nutzt, also die Office -Desktop Anwendungen immer in halbwegs aktueller Version (>= 2013) nutzt, der kann MFA bedenkenlos nutzen (Screenshot). 

Zitat Microsoft: "Die moderne Authentifizierung für Microsoft Office 2013-Clients und neuere Clients wird unterstützt. Office 2013-Clients (einschließlich Outlook) unterstützen moderne Authentifizierungsprotokolle und können für die zweistufige Überprüfung aktiviert werden. Nach der Aktivierung sind für diese Clients keine App-Kennwörter erforderlich."

(Quelle: https://docs.microsoft.com/de-de/azure/active-directory/authentication/howto-mfa-mfasettings)

Dabei bedeutet MFA nicht, dass man sich z.B. bei der täglichen Outlook Nutzung ständig neu authentifzieren muss. Outlook merkt sich (sofern nicht von den MFA-Standardeinstellungen im Admin Center abgewichen wird!) die "Erlaubnis" bis zu 90 Tage und kann deshalb wie gewohnt und ohne ständiges Login genutzt werden. 

 

Einrichtung von MFA

Der O365 Mandant sollte die sog. "Modern Authentication" (Technisch steckt dahinter der Standard oAuth2) aktiviert haben. Dies ist bei allen ab 2019 eingerichteten O365 Mandanten automatisch der Fall. Der entsprechende Schalter befindet sich im O365 Admin Center (Administrator erforderlich) unter dem Menüpunkt Einstellungen/Settings-Einstellungen/Settings-Dienste/Services-Moderne Authentifizierung/Modern Authentication

2020-03-O365 Admin Center Modern Auth.jpg

Die Aktivierung von MFA für einen oder mehrere Benutzer findet ebenfalls durch einen Administrator über das O365 Admin Center unter dem Menüpunkt Einstellungen-Einstellungen-Services statt. 

2020-03-O365 Admin Center - MFA settings.jpg

In diesen Einstellungen kann später auch gezielt die MFA-Einrichtung für einen Benutzer durch den Administrator zurückgesetzt werden. 

Nach der Aktivierung von MFA im O365 Admin Portal wird der jeweilige Benutzer beim nächsten O365-Portal-Login automatisch aufgefordert, die persönliche MFA-Einrichtung vorzunehmen. Dies ist mit Hilfe der Smartphone Kamera und eines 3D-Codes nicht kompliziert und ohne weiteren Support möglich. Eine schrittweise Anleitung für die persönliche MFA-Einrichtung eines Benutzers findet man bei Microsoft:

https://support.office.com/de-de/article/verwenden-von-microsoft-authenticator-mit-office-365-1412611f-ad8d-43ab-807c-7965e5155411?ui=de-DE&rs=de-DE&ad=DE#ID0EAADAAA=_Step_1

Ein Wechsel der MFA Authentifizierung von der SMS-Benachrichtigung, die standardmäßig in der Einrichtung ausgewählt ist, auf die bequemere App-Benachrichtigung ist durch jeden Benutzer möglich, wenn auch etwas versteckt. Die Einstellung findet, wer im O365 Portal auf das Profil Icon in der rechten oberen Ecke klickt und "Mein Konto" anwählt, dann "Sicherheit und Datenschutz", "Zusätzliche Sicherheitsprüfung" und zuletzt "Aktualisieren Sie Ihre Telefonnummern, die für Ihre Kontosicherheit verwendet werden".

O365-MFA-Einstellung

 

Nebenwirkungen mit iOS und Drittanbietern

Die Umstellung auf die oben schon genannte "Modern Authentication" hat Nebeneffekte.  iPhones mit aktuellen iOS unterstützen zwar den neuen Standard, so dass bei der Einrichtung eines O365-Kontos auf dem iPhone der 2. Faktor abgefragt wird. Allerdings ist hierfür durch einen Admin den Apple Diensten einmalig der Zugriff auf den O365-Mandant zu erlauben. Eine sehr gute Anleitung hierfür findet sich im folgenden Blog:

https://office365.thorpick.de/ios-accounts-needs-permission-to-access-office-365-resources

Microsoft empfiehlt zwar die Nutzung der Outlook App auf dem Smartphone, aber viele Nutzer schätzen die O365-Integration in den nativen iPhone Kalender und natürlich die Kontaktesynchronisation,

Eine weitere Nebenwirkung durch MFA können bei der Nutzung von externe Lösungen entstehen, wie z.B. dem O365 Cloud Backup von Skykick. Dieser Dienst setzt einen Backup-Administrator OHNE MFA voraus. Das Problem ist aber natürlich bekannt und es wird früher oder später auch hierfür Lösungen geben. 

 

Ist MFA für O365 kostenlos?

MFA ist als grundlegendes Sicherheitsfeature in allen O365 Lizenzen enthalten und sogar für O365-Benutzer ohne Lizenz, z.B. dedizierte Administratorenbenutzer sowie Gäste, die z.B. in Teams mit ihrer (einfachen) Microsoft-ID eingebunden sind, nutzbar. Zu den kostenpflichtigen Premium Features (Azure AD Premium) gehört z.B. eine bedingte Anmeldung (Azure AD Conditional Access), die z.B. den zweiten Faktor nur außerhalb des Firmennetzes erforderlich macht. Die Bedingung ist hierbei z.B. an feste IP-Adressen gekoppelt.

 

Tipp: Security Defaults im Azure AD von O365

Abschließend noch ein Tipp, wie die Sicherheit im kompletten O365-Mandant inkl. Aktivierung von MFA mit einem Klick deutlich verbessert wird. Im Active Directory des O365 Mandanten kann man die sog. "Security Defaults" aktivieren:

https://docs.microsoft.com/de-de/azure/active-directory/fundamentals/concept-fundamentals-security-defaults

Aber Vorsicht, dadurch werden neben der Aktivierung von MFA (es gibt eine Karenzzeit von 14 Tagen) für ALLE Benutzer (inkl. Gäste) automatisch auch "alte" Protokolle wie POP3 und IMAP unzulässig. Solange ohnehin nur Outlook für den Mailzugriff genutzt wird, ist das aber kein Problem.

 

Fazit

MFA ist absolut empfehlenswert, um die Sicherheit von O365 zu erhöhen. MFA ist nahezu aufwandsfrei, was die Einrichtung und Wartung angeht. MFA ist - auch dank Apple - einfach genug und inzwischen für alle Nutzer zumutbar. MFA ist auch aufgrund der Anforderungen der DS-GVO schon heute alternativlos.


Konversation wird geladen