Als ich heute das erste Mal den Blogpost auf der Microsoft Webseite für Großbritannien gesehen habe, musste ich zwei mal hinsehen. Nach vermehrten anderen Meldungen aus europäischen Mitgliedsstaaten am Ende des vergangenen Jahres, ist dies mal eine andere Wendung. Aber schauen wir es uns genauer an:
Microsoft zur Situation in UK
“Mit dieser Freigabe können oder besser sollen Beschäftigte des öffentlichen Sektors wie Krankenschwestern, Polizisten und Sozialarbeiter einfacher machen, mit Kollegen zu kommunizieren und zusammenzuarbeiten, da sie sich nicht nur auf das öffentliche Versorgungsnetz der Regierung verlassen müssen. Sie können nun Office 365 auf Basis der Sicherheitsrichtlinien einsetzen.
Die Umstellung von E-Mails, Dokumenten und Tabellenkalkulationen auf die Cloud wäre auch sicherer und würde der Regierung Geld sparen, da sie sich von dem internen Intranetdienst entfernt, den viele Teile des öffentlichen Sektors derzeit nutzen
Um bei der Umstellung zu helfen, hat Microsoft eine Anleitung veröffentlicht, die erklärt, wie Office 365 – zu dem Programme wie Teams, Outlook, Word und Excel gehören – die “14 Cloud Security Principles” des National Cyber Security Centre erfüllt, die 2016 veröffentlicht wurden.”
Microsofts Richtlinien (UK)
Die beiden Guidelines zur Konfiguration von Office 365 stehen zum Download zur Verfügung. Sie umfassen die Konfiguration von Standardservices wie Exchange Online, aber auch Compliance Werkzeuge, wie Azure AD Identity Protection oder Customer Lockbox.
Office 365 Security und Compliance Blueprint – UK OFFICIAL
Download via: https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE2MCCr
Stand: 12.12.2018, Version 1.0, 120 Seiten
Office 365 Secure Configuration Alignment – UK OFFICIAL
Download via: https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE2MHP5
Stand: 12.12.2018, Version 1.4 Final, 82 Seiten
Intune PowerShell Samples
GitHub
mit NCSC entwickelt
https://github.com/microsoftgraph/powershell-intune-samples/blob/master/DeviceConfiguration/DeviceConfiguration_Import_FromJSON.ps1
UK Dokumente
National Security Strategy and Strategic Defence and Security Review
https://www.gov.uk/government/publications/national-security-strategy-and-strategic-defence-and-security-review-2015
End User Devices: Security Principles
https://www.ncsc.gov.uk/guidance/end-user-devices-security-principles
-> Framework zur Absicherung
14 Principles
https://www.ncsc.gov.uk/guidance/implementing-cloud-security-principles
Zitat von Microsoft UK
“Michael Wignall, Chief Technology Officer at Microsoft UK, said: “This documentation provides a thoughtful and detailed outline of how to secure your Office 365 tenant in line with the Government’s security principles and offers practical guidance to ensure users stay safe right now, and helps support organisations compliance efforts with GDPR.””
Übersetzung:
“Michael Wignall, Chief Technology Officer bei Microsoft UK, sagte: “Diese Dokumentation bietet einen durchdachten und detaillierten Überblick darüber, wie Sie Ihren Office 365-Tenant in Übereinstimmung mit den Sicherheitsgrundsätzen der Regierung schützen können, und bietet praktische Anleitungen, um sicherzustellen, dass die Benutzer jetzt sicher bleiben, und unterstützt Unternehmen bei der Einhaltung der DSGVO-Richtlinien.””
National Cyber Security Centre (NCSC) // NSA der UK
“A spokesperson from the National Cyber Security Centre (NCSC) said: “This guidance has been developed through the shared expertise and successful collaboration between the NCSC, Microsoft and the Government Digital Service. The advice aims to help private and public sector colleagues check and improve the security stance of their Office 365 deployments.”
Übersetzung
“Ein Sprecher des National Cyber Security Centre (NCSC) sagte: “Diese Anleitung wurde durch das gemeinsame Fachwissen und die erfolgreiche Zusammenarbeit zwischen dem NCSC, Microsoft und dem Government Digital Service entwickelt. Das Gutachten soll Kollegen aus dem privaten und öffentlichen Sektor dabei helfen, den Sicherheitsstand ihrer Office 365-Implementierungen zu überprüfen und zu verbessern.”
Netz der öffentlichen Dienste/Dienstes
Es gibt Leitleinen für öffentliche Einrichtungen zur Nutzung von modernen Technologien und Plattformen, diese könnt ihr hier finden: https://www.gov.uk/government/groups/public-services-network
Dabei geht es um die Nutzung, aber auch Richtlinien für Sicherheit und Compliance im Rahmen der Nutzer der Dienste.
Nutzung für Office 365 Tenant in Deutschland mit UK als Vorbild?
Ich arbeite in meiner OneNote Mappe ebenfalls seit Jahren an einer umfangreichen Whitepaper für Office 365 und bin zunächst etwas bedrückt, dass man hier nun so schnell war. Dennoch zeigt sich, dass die Dokumente nur ca 70% umfassen und speziell für UK erstellt wurden. Ich bin hier aber der Meinung, dass diese eine sehr gute Grundlage und Wissensdatendank sind um Office 365 zu konfigurieren. Es ist jedenfalls die erste offizielle Quelle, die auch die DSGVO beinhaltet und eine offizielle Cybersecurity Abteilung eines EU Landes mitgearbeitet hat.
Also: empfehlenswert
Leider gibt es vom BSI keine detaillierte Anleitung zu Office365. Dieser Missstand wird bei uns gerade an Schulen und Hochschulen kritisch gesehen. Es würde für mehr Sicherheit führen, wenn hier ähnliches erarbeitet wird.
via