Wir gehen in diesem Beitrag auf eigentlich selbstverständliche Sicherheitsmaßnahmen rund um Admin-Rechte ein und geben gleichzeitig einen Einblick in die Standards, die wir diesbezüglich bei den Office 365 Mandanten unserer Kunden vorsehen.
Zunächst aber ein kleiner Exkurs in die Welt der Web-Seiten. Ein klassischer Fehler z.B. bei der Einrichtung von Web-Seiten mit dem CMS (Content Management System) Wordpress, ist die Nutzung eines Benutzers mit Admin-Rechten nicht nur für die Einrichtung und administrative Zwecke, sondern auch für die redaktionelle Nutzung. Wenn der Benutzername dann noch das Wort "admin" enthält, dann trennen die automatisiert und im großen Maßstab laufenden Cyberangriffe vom Erfolg nur noch ein womöglich zu schwaches Passwort.
Der entscheidende Schutz vor Hackern bei Wordpress und vergleichbaren Systemen ist deshalb: Die Trennung von Admin und Redakteur. Das sind zwei Hüte auch wenn sie von einer Person getragen werden. Bitte immer nur einen Hut tragen! Wird der andere Hut benötigt, dann muss man eben einen absetzen und den anderen wieder aufsetzen.
Das ist dann auch die Analogie zu Office 365: Wir trennen grundsätzlich bei allen von uns administrierten Office 365 Mandanten die Admin-Rechte von den normalen Nutzern, d.h. die Nutzer haben keine Admin-Rechte, oder nur Teilrechte für einzelne administrativen Aufgaben (z.B. um bestimmte Auswertungen zu fahren). Ein separater Admin-User kostet in O365 übrigens keinen Cent, denn er funktioniert auch ohne eine kostenpflichtige Lizenz.
Tipp: Die globalen Admins bei Office 365 bekommen per Email Dienstinformation und Nachricht über auslaufende Lizenzen. Wenn der Admin aber keine Lizenz und damit kein Postfach hat, kommen die Mails nur an, wenn der Admin eine existierende sog. alternative Email-Adresse gesetzt hat.
Nicht zuletzt darf der Admin Benutzer natürlich nicht "admin" oder "administrator" heißen. Bei unseren Mandanten finden Sie diese Nutzer nicht. Auch die Wahl eines sehr starken Passworts (bei Office 365 sind bis zu 15 Stellen erlaubt) muss man wohl kaum erwähnen. Möchte ein normaler Nutzer dauerhaft Admin-Rechte, so sollte das immer nur in Verbindung mit der MFA (Mehrfaktor Authentifizierung) erlaubt sein. Dies ist im Normalfall neben dem Passwort eine Art TAN z.B. aus einer App.
Am Ende können wir niemandem zu seinem Glück zwingen, schließlich hat jeder Kunde ein Recht auf seinen Mandanten und den Admin-Zugriff. Aber zumindest unsere Kunden akzeptieren die Maßnahmen und würdigen sie als sinnvollen Beitrag zu mehr Sicherheit.