>_AYSOLI SECURITY HUB
THREAT AREA

M365 Collaboration Security

Tools wie SharePoint, Teams und OneDrive sind das Herz der modernen Zusammenarbeit. Ohne klare Governance führen sie jedoch unweigerlich zu unkontrolliertem "Oversharing" von sensiblen Firmendaten.

Deine Strategie

Verschiebe den Fokus von der reinen Netzwerk-Sicherheit hin zum Schutz des einzelnen Dokuments (Data-Centric Security). Nutze Microsoft Purview Sensitivity Labels, um Daten automatisch zu klassifizieren und den Zugriff basierend auf der Vertraulichkeit zu steuern.

Best Practices

  • Labels: Erzwinge die Klassifizierung von Dokumenten beim Erstellen oder Hochladen.
  • Externes Teilen: Begrenze das Teilen von Inhalten auf "Spezifische Personen" und deaktiviere "Jeder mit dem Link".
  • Teams-Hygiene: Nutze Richtlinien für den Lebenszyklus von Teams, um verwaiste Arbeitsbereiche automatisch zu archivieren.

STRIDE-LM Design-Risiken

SpoofingS-01

Identity Spoofing

Angreifer gibt sich als legitimer Benutzer oder Partner aus.

TamperingT-01

Data Tampering

Unbefugte Änderung von geteilten Daten oder Konfigurationen.

RepudiationR-01

Audit Log Manipulation

Löschen oder Verändern von Spuren einer Aktion.

Information DisclosureI-WKP-01

Oversharing in Collaboration Tools

Zu weitreichende Freigabe von Dokumenten an Externe.

Denial of ServiceD-01

Resource Exhaustion

Überlastung von Systemen durch massenhafte Anfragen oder Ressourcen-Hogging.

Elevation of PrivilegeE-01

Privilege Escalation

Erlangung von Rechten, die über das vorgesehene Mass hinausgehen.

Lateral MovementL-01

Lateral Movement

Zugriff auf weitere interne Systeme nach erstem Login.

Monitoring GapsM-01

Insufficient Logging

Fehlende oder unzureichende Aufzeichnung von sicherheitsrelevanten Ereignissen.

MITRE ATT&CK® Techniken

Initial Access
T1566

Phishing

ATT&CK

Zustellung schädlicher Inhalte über elektronische Kommunikation.

Mitigiert durch
Adaptive MFA (Risk-based)Erweiterter SchutzNiedrig
CIS: 6.5NIST: PR.AC-7
Output Content FilteringGrundschutzNiedrig
NIST: AI-1.2OWASP: LLM02
T1078

Valid Accounts

ATT&CK

Ausnutzung bestehender Anmeldedaten für den Zugriff.

Mitigiert durch
Unified Audit Log (UAL)GrundschutzNiedrig
CIS: 8.2NIST: PR.PT-1
Guest Invitation GovernanceGrundschutzNiedrig
CIS: 6.2NIST: PR.AC-1
Regular Access ReviewsGrundschutzNiedrig
CIS: 6.6NIST: PR.AC-1OWASP: A01:2021
Adaptive MFA (Risk-based)Erweiterter SchutzNiedrig
CIS: 6.5NIST: PR.AC-7
Execution
T1137

Office Application Startup

ATT&CK

Ausnutzung von Office-Startvorgängen zur Codeausführung.

Mitigiert durch
Restricted App ConsentGrundschutzNiedrig
CIS: 16.1NIST: PR.AC-1
Unified Audit Log (UAL)GrundschutzNiedrig
CIS: 8.2NIST: PR.PT-1
Persistence
T1098

Account Manipulation

ATT&CK

Ändern von Berechtigungen oder Erstellen neuer Konten.

Mitigiert durch
Collaboration GovernanceGrundschutzNiedrig
CIS: 13.3NIST: PR.DS-1
External Sharing GovernanceGrundschutzNiedrig
CIS: 13.3NIST: PR.AC-3
Restricted App ConsentGrundschutzNiedrig
CIS: 16.1NIST: PR.AC-1
Unified Audit Log (UAL)GrundschutzNiedrig
CIS: 8.2NIST: PR.PT-1
Guest Invitation GovernanceGrundschutzNiedrig
CIS: 6.2NIST: PR.AC-1
Regular Access ReviewsGrundschutzNiedrig
CIS: 6.6NIST: PR.AC-1OWASP: A01:2021
Credential Access
T1552

Credentials from Password Stores

ATT&CK

Auslesen von Passwörtern aus Web-Browsern oder Passwort-Managern.

Mitigiert durch
Output Content FilteringGrundschutzNiedrig
NIST: AI-1.2OWASP: LLM02
Collection
T1213

Data from Information Repositories

ATT&CK

Abgreifen von Daten aus Wissensdatenbanken (SharePoint, Confluence).

Mitigiert durch
Sensitivity Labels (Purview)Erweiterter SchutzHoch
CIS: 13.2NIST: PR.DS-1
Collaboration GovernanceGrundschutzNiedrig
CIS: 13.3NIST: PR.DS-1
Data Loss Prevention (DLP)GrundschutzMittel
CIS: 13.3NIST: PR.DS-1
Tenant RestrictionsErweiterter SchutzMittel
CIS: 6.1NIST: PR.AC-3
External Sharing GovernanceGrundschutzNiedrig
CIS: 13.3NIST: PR.AC-3
Unified Audit Log (UAL)GrundschutzNiedrig
CIS: 8.2NIST: PR.PT-1
T1114-003

Email Forwarding Rule

ATT&CK

Automatisierte Exfiltration durch Posteingangsregeln.

Mitigiert durch
Unified Audit Log (UAL)GrundschutzNiedrig
CIS: 8.2NIST: PR.PT-1
T1530

Data from Cloud Storage Object

ATT&CK

Abgreifen von Daten aus Cloud-Speichern (S3, Blobs).

Mitigiert durch
Sensitivity Labels (Purview)Erweiterter SchutzHoch
CIS: 13.2NIST: PR.DS-1
Collaboration GovernanceGrundschutzNiedrig
CIS: 13.3NIST: PR.DS-1
Data Loss Prevention (DLP)GrundschutzMittel
CIS: 13.3NIST: PR.DS-1
Tenant RestrictionsErweiterter SchutzMittel
CIS: 6.1NIST: PR.AC-3
External Sharing GovernanceGrundschutzNiedrig
CIS: 13.3NIST: PR.AC-3
Exfiltration
T1567

Exfiltration Over Web Service

ATT&CK

Abfluss von Daten über legitime Web-Schnittstellen.

Mitigiert durch
Sensitivity Labels (Purview)Erweiterter SchutzHoch
CIS: 13.2NIST: PR.DS-1
Collaboration GovernanceGrundschutzNiedrig
CIS: 13.3NIST: PR.DS-1
Data Loss Prevention (DLP)GrundschutzMittel
CIS: 13.3NIST: PR.DS-1
Tenant RestrictionsErweiterter SchutzMittel
CIS: 6.1NIST: PR.AC-3
SIEM IntegrationErweiterter SchutzHoch
CIS: 8.5NIST: DE.AE-3NIST: DE.CM-1OWASP: A09:2021
External Sharing GovernanceGrundschutzNiedrig
CIS: 13.3NIST: PR.AC-3
T1020

Automated Exfiltration

ATT&CK

Automatisiertes Abgreifen von Daten über Schnittstellen.

Mitigiert durch
Sensitivity Labels (Purview)Erweiterter SchutzHoch
CIS: 13.2NIST: PR.DS-1
Output Content FilteringGrundschutzNiedrig
NIST: AI-1.2OWASP: LLM02

Dein Szenario ist komplexer?

Die AYSOLI Experten unterstützen dich bei der Umsetzung deiner spezifischen Sicherheitsanforderungen.

Kostenloses Erstgespräch
M365 Collaboration Security | IT-Sicherheit Checkliste für KMU · AYSOLI Security Hub