Schutz vor Schadsoftware und Ransomware in Microsoft 365

Schützen von Kundendaten vor Schadsoftware

Schadsoftware besteht aus Viren, Spyware und anderer Schadsoftware. Microsoft 365 enthält Schutzmechanismen, um zu verhindern, dass Schadsoftware von einem Client oder einem Microsoft 365-Server in Microsoft 365 eingeführt wird. Die Verwendung von Antischadsoftware ist ein Hauptmechanismus zum Schutz von Microsoft 365-Ressourcen vor Schadsoftware. Die Anti-Malware-Software erkennt und verhindert, dass Computerviren, Schadsoftware, Rootkits, Würmer und andere Schadsoftware in Dienstsysteme eingeführt werden. Anti-Malware-Software bietet sowohl präventive als auch detektive Kontrolle über Schadsoftware.

Jede Antischadsoftwarelösung verfolgt die Version der Software und welche Signaturen ausgeführt werden. Der automatische Download und die Anwendung von Signaturupdates mindestens täglich von der Virendefinitionswebsite des Anbieters wird zentral von dem entsprechenden Anti-Malware-Tool für jedes Serviceteam verwaltet. Die folgenden Funktionen werden zentral von dem entsprechenden Antischadsoftwaretool auf jedem Endpunkt für jedes Dienstteam verwaltet:

• Automatische Überprüfungen der Umgebung
• Regelmäßige Überprüfungen des Dateisystems (mindestens wöchentlich)
• Echtzeitscans von Dateien, wenn sie heruntergeladen, geöffnet oder ausgeführt werden
• Automatisches Herunterladen und Anwenden von Signaturupdates mindestens täglich von der Virendefinitionswebsite des Anbieters
• Warnungen, Bereinigung und Entschärfung bei erkannter Schadsoftware

Wenn Antischadsoftware-Tools Schadsoftware erkennen, blockieren sie die Schadsoftware und generieren eine Warnung an Mitarbeiter des Microsoft 365-Serviceteams, Microsoft 365 Security und/oder das Sicherheits- und Complianceteam der Microsoft organization, die unsere Rechenzentren betreibt. Das empfangende Personal initiiert den Prozess zur Reaktion auf Vorfälle. Incidents werden nachverfolgt und gelöst, und es wird eine Post-Mortem-Analyse durchgeführt.

Exchange Online Protection gegen Schadsoftware

Alle E-Mail-Nachrichten für Exchange Online werden durch Exchange Online Protection (EOP) übertragen, das alle E-Mails und E-Mail-Anlagen, die sowohl in das System ein- als auch aus dem System gelangen, auf Viren und andere Schadsoftware unter Quarantäne stellt und in Echtzeit überprüft. Administratoren müssen die Filtertechnologien nicht einrichten oder verwalten. Sie sind standardmäßig aktiviert. Administratoren können jedoch über das Exchange Admin Center unternehmensspezifische Filteranpassungen vornehmen.

Mithilfe von mehreren Antischadsoftwaremodulen bietet EOP einen mehrstufigen Schutz, der jegliche bekannte Schadsoftware abwehrt. Nachrichten, die über den Dienst übertragen werden, werden auf Schadsoftware (einschließlich Viren und Spyware) überprüft. Sobald Schadsoftware erkannt wird, wird die Nachricht gelöscht. Wenn eine infizierte Nachricht gelöscht und nicht übermittelt wird, können auch Benachrichtigungen an Absender oder Administratoren gesendet werden. Sie können auch infizierte Anlagen durch entweder Standard- oder benutzerdefinierte Nachrichten ersetzen, die die Empfänger über erkannte Schadsoftware informieren.

Die folgenden Schritte helfen beim Schutz vor Antischadsoftware:

• Mehrschichtige Schutzmaßnahmen gegen Schadsoftware : Mehrere in EOP verwendete Antischadsoftware-Scan-Engines tragen zum Schutz vor bekannten und unbekannten Bedrohungen bei. Diese Module beinhalten leistungsstarke heuristische Erkennungsfunktionen, um bereits frühzeitig Schutz bei Schadsoftwareausbrüchen zu bieten. Durch den Einsatz mehrerer Module kann deutlich mehr Schutz bereitgestellt werden als mit nur einem einzigen Antischadsoftwaremodul.
• Reaktion auf Bedrohungen in Echtzeit : Bei einigen Ausbrüchen verfügt das Anti-Malware-Team möglicherweise über genügend Informationen zu einem Virus oder einer anderen Form von Schadsoftware, um anspruchsvolle Richtlinienregeln zu schreiben, die die Bedrohung erkennen, noch bevor eine Definition von einer der vom Dienst verwendeten Engines verfügbar ist. Diese Regeln werden alle zwei Stunden im globalen Netzwerk veröffentlicht, um Ihrer Organisation eine zusätzliche Schutzebene gegen Angriffe bereitzustellen.
• Schnelle Bereitstellung der Antischadsoftwaredefinition : Das Antischadsoftwareteam unterhält enge Beziehungen zu Partnern, die Antischadsoftware-Engines entwickeln. Dadurch erhält und integriert der Dienst Schadsoftwaredefinitionen und Patches, bevor diese veröffentlicht werden. Durch unsere Verbindungen zu diesen Partnern sind wir zudem häufig in der Lage, selbst Maßnahmen zu entwickeln. Der Dienst prüft stündlich auf aktualisierte Definitionen für sämtliche Antischadsoftwaremodule.

Microsoft Defender für Office 365

Microsoft Defender for Office 365 ist ein E-Mail-Filterdienst, der zusätzlichen Schutz vor bestimmten Arten erweiterter Bedrohungen bietet, einschließlich Schadsoftware und Viren. Exchange Online Protection verwendet derzeit einen robusten und mehrschichtigen Virenschutz, der von mehreren Engines gegen bekannte Schadsoftware und Viren unterstützt wird. Microsoft Defender for Office 365 erweitert diesen Schutz durch ein Feature namens Sichere Anlagen, das vor unbekannter Schadsoftware und Viren schützt und einen besseren Zero-Day-Schutz bietet, um Ihr Messagingsystem zu schützen. Alle Nachrichten und Anlagen, die keine bekannte Viren-/Schadsoftwaresignatur aufweisen, werden an eine spezielle Hypervisorumgebung weitergeleitet, in der eine Verhaltensanalyse mit einer Vielzahl von Machine Learning- und Analysetechniken durchgeführt wird, um böswillige Absichten zu erkennen. Wenn keine verdächtige Aktivität ermittelt wird, wird die Nachricht für die Übermittlung an das Postfach freigegeben.

Exchange Online Protection scannt auch jede Nachricht während der Übertragung in Microsoft 365 und bietet Schutz vor der Zustellungszeit, die alle schädlichen Links in einer Nachricht blockiert. Angreifer versuchen manchmal, böswillige URLs mit scheinbar sicheren Links zu verbergen, die von einem Weiterleitungsdienst auf unsichere Websites umgeleitet werden, nachdem die Nachricht empfangen wurde. Sichere Links schützen Ihre Benutzer proaktiv, wenn sie einen solchen Link auswählen. Dieser Schutz bleibt bei jeder Auswahl des Links bestehen, und böswillige Links werden dynamisch blockiert, während auf gute Links zugegriffen werden kann.

Microsoft Defender for Office 365 bietet auch umfangreiche Berichterstellungs- und Nachverfolgungsfunktionen, sodass Sie wichtige Einblicke in die Zielgruppe Ihrer organization und die Kategorie der Angriffe erhalten können, denen Sie ausgesetzt sind. Berichterstellung und Nachrichtenablaufverfolgung ermöglicht es Ihnen, Nachrichten zu untersuchen, die aufgrund eines unbekannten Virus oder schadsoftware blockiert wurden, während die URL-Ablaufverfolgungsfunktion es Ihnen ermöglicht, einzelne schädliche Links in den Nachrichten nachzuverfolgen, auf die geklickt wurde.

Weitere Informationen zu Microsoft Defender for Office 365 finden Sie unter Exchange Online Protection und Microsoft Defender for Office 365.

SharePoint Online und OneDrive for Business Schutz vor Ransomware

Es gibt viele Formen von Ransomware-Angriffen, aber eine der häufigsten Formen ist, dass eine böswillige Person die wichtigen Dateien eines Benutzers verschlüsselt und dann etwas vom Benutzer fordert, z. B. Geld oder Informationen, im Austausch für den Schlüssel, um sie zu entschlüsseln. Ransomware-Angriffe sind auf dem Vormarsch, insbesondere solche, die Dateien verschlüsseln, die im Cloudspeicher des Benutzers gespeichert sind. Weitere Informationen zu Ransomware finden Sie auf der Microsoft Defender Security Intelligence-Website.

Die Versionsverwaltung trägt dazu bei, SharePoint Online-Listen und SharePoint Online- und OneDrive for Business Bibliotheken vor einigen, aber nicht allen dieser Arten von Ransomware-Angriffen zu schützen. Die Versionsverwaltung ist in OneDrive for Business und SharePoint Online standardmäßig aktiviert. Da die Versionsverwaltung in SharePoint Online-Websitelisten aktiviert ist, können Sie sich frühere Versionen ansehen und diese bei Bedarf wiederherstellen. Dies ermöglicht es Ihnen, Versionen von Elementen wiederherzustellen, die ihre Verschlüsselung durch die Ransomware vorausdatum. Einige Organisationen behalten auch mehrere Versionen von Elementen in ihren Listen aus rechtlichen Gründen oder zu Überwachungszwecken bei.

SharePoint Online und OneDrive for Business Papierkorb

SharePoint Online-Administratoren können eine gelöschte Websitesammlung mithilfe des SharePoint Online Admin Centers wiederherstellen. SharePoint Online-Benutzer verfügen über einen Papierkorb, in dem gelöschte Inhalte gespeichert werden. Bei Bedarf kann auf den Papierkorb zugegriffen werden, um gelöschte Dokumente und Listen wiederherzustellen. Elemente im Papierkorb werden 93 Tage aufbewahrt. Die folgenden Datentypen werden vom Papierkorb erfasst:

• Websitesammlungen
• Websites
• Listen
• Bibliotheken
• Verzeichnisse
• Listenelemente
• Dokumente
• Webpart-Seiten

Websiteanpassungen, die über SharePoint Designer vorgenommen werden, werden nicht vom Papierkorb erfasst. Weitere Informationen finden Sie unter Wiederherstellen gelöschter Elemente aus dem Papierkorb der Websitesammlung. Siehe auch Wiederherstellen einer gelöschten Websitesammlung.

Versionsverwaltung schützt nicht vor Ransomware-Angriffen, die Dateien kopieren, verschlüsseln und dann die originalen Dateien löschen. Endbenutzer können jedoch den Papierkorb nutzen, um OneDrive for Business Dateien nach einem Ransomware-Angriff wiederherzustellen.

Der folgende Abschnitt enthält ausführlichere Informationen zu den Schutzmaßnahmen und Kontrollen, die Microsoft verwendet, um das Risiko eines Cyberangriffs auf Ihre organization und deren Ressourcen zu verringern.

Wie Microsoft Risiken durch einen Ransomware-Angriff entschärft

Microsoft hat Schutzmaßnahmen und -kontrollen integriert, um die Risiken eines Ransomware-Angriffs auf Ihre organization und deren Ressourcen zu minimieren. Ressourcen können nach Domäne organisiert werden, wobei jede Domäne über einen eigenen Satz von Risikominderungen verfügt.

Domäne 1: Steuerelemente auf Mandantenebene

Die erste Domäne sind die Personen, aus denen Ihr organization besteht, sowie die Infrastruktur und Dienste, die sich im Besitz Ihrer organization befinden und von diesen kontrolliert werden. Die folgenden Features in Microsoft 365 sind standardmäßig aktiviert oder können konfiguriert werden, um das Risiko zu minimieren und nach einer erfolgreichen Kompromittierung der Ressourcen in dieser Domäne wiederherzustellen.

Exchange Online:

• Mit der Wiederherstellung einzelner Elemente und der Aufbewahrung von Postfächern können Kunden Elemente in einem Postfach wiederherstellen, wenn sie versehentlich oder böswillig vorzeitig gelöscht werden. Kunden können E-Mail-Nachrichten, die innerhalb von 14 Tagen gelöscht wurden, standardmäßig zurückgesetzt und bis zu 30 Tage konfigurierbar sein.

• Zusätzliche Kundenkonfigurationen dieser Aufbewahrungsrichtlinien innerhalb des Exchange Online-Diensts ermöglichen Folgendes:

  • Konfigurierbare Aufbewahrung, die angewendet werden soll (1 Jahr/10 Jahr und höher)
  • Kopieren bei anzuwendendem Schreibschutz
  • die Möglichkeit, die Aufbewahrungsrichtlinie so zu sperren, dass Unveränderlichkeit erreicht werden kann

• Exchange Online Protection überprüft eingehende E-Mails und Anlagen in Echtzeit sowohl beim Ein- als auch beim Verlassen des Systems. Dies ist standardmäßig aktiviert und verfügt über Filteranpassungen. Nachrichten, die Ransomware oder andere bekannte oder vermutete Schadsoftware enthalten, werden gelöscht. Sie können Administratoren so konfigurieren, dass sie Benachrichtigungen erhalten, wenn dies geschieht.

SharePoint Online und OneDrive for Business Protection

SharePoint Online und OneDrive for Business Protection verfügen über integrierte Features, die zum Schutz vor Ransomware-Angriffen beitragen.

Versionsverwaltung: Da die Versionsverwaltung standardmäßig mindestens 500 Versionen einer Datei beibehält und so konfiguriert werden kann, dass mehr beibehalten werden kann, wenn die Ransomware eine Datei bearbeitet und verschlüsselt, kann eine frühere Version der Datei wiederhergestellt werden.

Papierkorb: Wenn die Ransomware eine neue verschlüsselte Kopie der Datei erstellt und die alte Datei löscht, haben Kunden 93 Tage Zeit, sie aus dem Papierkorb wiederherzustellen.

Permanente Aufbewahrungsbibliothek: Dateien, die in SharePoint- oder OneDrive-Websites gespeichert sind, können durch Anwenden von Aufbewahrungseinstellungen beibehalten werden. Wenn ein Dokument mit Versionen den Aufbewahrungseinstellungen unterliegt, werden Versionen in die Permanente Aufbewahrungsbibliothek kopiert und sind als separates Element vorhanden. Wenn ein Benutzer vermutet, dass seine Dateien kompromittiert wurden, kann er Dateiänderungen untersuchen, indem er die beibehaltene Kopie überprüft. Die Dateiwiederherstellung kann dann verwendet werden, um Dateien innerhalb der letzten 30 Tage wiederherzustellen.

Microsoft Teams

Teams-Chats werden in Exchange Online Benutzerpostfächern und Dateien in SharePoint Online oder OneDrive for Business gespeichert. Microsoft Teams-Daten werden durch die Steuerelemente und Wiederherstellungsmechanismen geschützt, die in diesen Diensten verfügbar sind.

Domäne 2: Steuerelemente auf Dienstebene

Die zweite Domäne sind die Personen, aus denen Microsoft die organization besteht, und die Unternehmensinfrastruktur, die im Besitz von Microsoft ist und von Microsoft kontrolliert wird, um die Organisationsfunktionen eines Unternehmens auszuführen.

Der Ansatz von Microsoft zur Sicherung des Unternehmensbestands ist Zero Trust, der mit unseren eigenen Produkten und Diensten implementiert wird, mit Schutzmaßnahmen in unserem digitalen Bestand. Weitere Informationen zu den Prinzipien von Zero Trust finden Sie hier: Zero Trust-Architektur.

Zusätzliche Features in Microsoft 365 erweitern die in Domäne 1 verfügbaren Risikominderungen, um die Ressourcen in dieser Domäne weiter zu schützen.

SharePoint Online und OneDrive for Business Protection

Versionsverwaltung: Wenn Ransomware eine Datei an Ort und Stelle verschlüsselt, kann die Datei als Bearbeitung bis zum ursprünglichen Erstellungsdatum der Datei mithilfe der von Microsoft verwalteten Funktionen des Versionsverlaufs wiederhergestellt werden.

Papierkorb: Wenn die Ransomware eine neue verschlüsselte Kopie der Datei erstellt und die alte Datei gelöscht hat, haben Kunden 93 Tage Zeit, sie aus dem Papierkorb wiederherzustellen. Nach 93 Tagen gibt es ein 14-tägiges Zeitfenster, in dem Microsoft die Daten weiterhin wiederherstellen kann. Nach diesem Fenster werden die Daten endgültig gelöscht.

Microsoft Teams

Die in Domäne 1 beschriebenen Risikominderungen für Teams gelten auch für Domäne 2.

Domäne 3: Entwickler & Dienstinfrastruktur

Die dritte Domäne sind die Personen, die den Microsoft 365-Dienst entwickeln und betreiben, den Code und die Infrastruktur, die den Dienst bereitstellt, sowie die Speicherung und Verarbeitung Ihrer Daten.

Microsoft-Investitionen, die die Microsoft 365-Plattform sichern und die Risiken in dieser Domäne mindern, konzentrieren sich auf folgende Bereiche:

• Kontinuierliche Bewertung und Validierung des Sicherheitsstatus des Diensts
• Erstellen von Tools und Architekturen, die den Dienst vor Kompromittierung schützen
• Aufbau der Funktion zum Erkennen und Reagieren auf Bedrohungen im Fall eines Angriffs

Kontinuierliche Bewertung und Validierung des Sicherheitsstatus

• Microsoft entschärft die Risiken, die mit den Personen verbunden sind, die den Microsoft 365-Dienst entwickeln und betreiben, indem das Prinzip der geringsten Rechte verwendet wird. Dies bedeutet, dass der Zugriff und die Berechtigungen für Ressourcen nur auf das beschränkt sind, was zum Ausführen einer erforderlichen Aufgabe erforderlich ist.
  • Ein Just-In-Time-Modell (JIT), Just-Enough-Access (JEA) wird verwendet, um Microsoft-Technikern temporäre Berechtigungen zu gewähren.
  • Techniker müssen eine Anforderung für eine bestimmte Aufgabe übermitteln, um erhöhte Berechtigungen zu erhalten.
  • Anforderungen werden über Lockbox verwaltet, die die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) von Azure verwendet, um die Typen von JIT-Rechteerweiterungsanforderungen einzuschränken, die Entwickler stellen können.
• Darüber hinaus werden alle Microsoft-Kandidaten vor Beginn der Anstellung bei Microsoft vorab überprüft. Mitarbeiter, die Microsoft Onlinedienste im USA verwalten, müssen sich einer Microsoft Cloud-Hintergrundprüfung als Voraussetzung für den Zugriff auf Onlinedienste Systeme unterziehen.
• Alle Microsoft-Mitarbeiter müssen ein grundlegendes Sicherheitsbewusstseinstraining zusammen mit Schulungen zu Standards of Business Conduct absolvieren.

Tools und Architektur zum Schutz des Diensts

• Der Security Development Lifecycle (SDL) von Microsoft konzentriert sich auf die Entwicklung sicherer Software, um die Anwendungssicherheit zu verbessern und Sicherheitsrisiken zu reduzieren. Weitere Informationen finden Sie unter Sicherheits- und Sicherheitsentwicklung und -vorgänge – Übersicht.
• Microsoft 365 beschränkt die Kommunikation zwischen verschiedenen Teilen der Dienstinfrastruktur auf das, was für den Betrieb erforderlich ist.
• Der Netzwerkdatenverkehr wird durch zusätzliche Netzwerkfirewalls an Begrenzungspunkten geschützt, um Netzwerkangriffe zu erkennen, zu verhindern und zu entschärfen.
• Microsoft 365-Dienste sind so entworfen, dass sie ohne Techniker funktionieren, die Zugriff auf Kundendaten benötigen, es sei denn, der Kunde hat dies ausdrücklich angefordert und genehmigt. Weitere Informationen finden Sie unter Wie sammelt und verarbeitet Microsoft Kundendaten?

Erkennungs- und Antwortfunktionen

• Microsoft 365 setzt sich für die kontinuierliche Sicherheitsüberwachung seiner Systeme ein, um Bedrohungen für Microsoft 365-Dienste zu erkennen und darauf zu reagieren.
• Die zentralisierte Protokollierung sammelt und analysiert Protokollereignisse für Aktivitäten, die auf einen Sicherheitsvorfall hinweisen können. Protokolldaten werden analysiert, wenn sie in unser Warnungssystem hochgeladen werden, und erzeugen Warnungen nahezu in Echtzeit.
• Cloudbasierte Tools ermöglichen es uns, schnell auf erkannte Bedrohungen zu reagieren. Diese Tools ermöglichen die Wartung mithilfe automatisch ausgelöster Aktionen.
• Wenn keine automatische Korrektur möglich ist, werden Warnungen an die entsprechenden Bereitschaftstechniker gesendet, die mit einer Reihe von Tools ausgestattet sind, die es ihnen ermöglichen, in Echtzeit zu handeln, um erkannte Bedrohungen zu mindern.

Wiederherstellen nach einem Ransomware-Angriff

Die Schritte zur Wiederherstellung nach einem Ransomware-Angriff in Microsoft 365 finden Sie unter Wiederherstellen nach einem Ransomware-Angriff in Microsoft 365.

Zusätzliche Ransomware-Ressourcen

Wichtige Informationen von Microsoft

• Die wachsende Bedrohung durch Ransomware, Microsoft On the Issues-Blogbeitrag vom 20. Juli 2021
• Von Menschen betriebene Ransomware
• Schneller Schutz vor Ransomware und Erpressung
• Der neueste Security Intelligence-Bericht von Microsoft (siehe Seiten 22–24)
• Ransomware: Ein allgegenwärtiger und fortlaufender Bedrohungsbericht im Knoten Bedrohungsanalyse des Microsoft Defender-Portals (siehe diese Lizenzierungsanforderungen)

Microsoft 365

• Bereitstellen von Ransomware-Schutz für Ihren Microsoft 365-Mandanten
• Wiederherstellen nach einem Ransomware-Angriff
• Schützen Sie Ihren Windows 10-PC vor Ransomware
• Behandlung von Ransomware in SharePoint Online

Microsoft Defender XDR

• Suchen von Ransomware mit erweiterter Bedrohungssuche

Microsoft Azure

• Azure-Verteidigungsmaßnahmen gegen Ransomware-Angriffe
• Backup- und Wiederherstellungsplan zum Schutz vor Ransomware
• Hilfe beim Schutz vor Ransomware mit Microsoft Azure Backup (26-minütiges Video)
• Wiederherstellen nach einer systemischen Identitätskompromittierung
• Erweiterte mehrstufige Angriffserkennung in Microsoft Sentinel
• Fusionserkennung für Ransomware in Microsoft Sentinel
• Ransomware-Schutz in Azure
• Vorbereiten auf einen Ransomware-Angriff
• Erkennen und Reagieren auf Ransomware-Angriffe
• Azure-Features & Ressourcen, die Ihnen beim Schützen, Erkennen und Reagieren helfen
• Azure-Sicherungs- und Wiederherstellungsplan zum Schutz vor Ransomware

Microsoft Defender for Cloud Apps

• Erstellen von Anomalieerkennungsrichtlinien in Defender for Cloud Apps

Blogbeiträge des Microsoft-Sicherheitsteams

• 3 Schritte zum Verhindern von und Wiederherstellen nach Ransomware (September 2021)

• Erstellen von Resilienz durch Verständnis von Cybersicherheitsrisiken: Teil 4 – Navigieren durch aktuelle Bedrohungen (Mai 2021)

  Weitere Informationen finden Sie im Abschnitt Ransomware.

• Von Menschen betriebene Ransomware-Angriffe: Eine vermeidbare Katastrophe (März 2020)

  Umfasst Analysen der Angriffskette von tatsächlichen Angriffen.

• Ransomware-Antwort - zu bezahlen oder nicht zu bezahlen? (Dezember 2019)

• Norsk Hydro reagiert auf Ransomware-Angriffe mit Transparenz (Dezember 2019)