Die Botschaft von Microsoft ist klar und deutlich: Bei der Nutzung von Microsoft 365 (einst Office 365) kümmert sich der Konzern um Betrieb, Sicherheit und Verfügbarkeit von Anwendungen, dem darunterliegenden Betriebssystem sowie der physischen Infrastruktur. Damit nimmt er seinen Kunden im Vergleich zum Betrieb der Software auf deren eigenen Servern viel Arbeit ab. Allerdings weist er die Verantwortung für Sicherheit, Archivierung, Datenschutz, Compliance und Backup der Daten ausdrücklich von sich. Dafür müssen Nutzer selbst sorgen. Geregelt ist das im Modell der "Shared Responsibility". Mit dieser Einteilung steht Microsoft keineswegs allein da. Andere große SaaS-Anbieter - etwa Salesforce - gehen ähnlich vor.
Bei Microsoft 365 ist diese Tatsache aber bei vielen Unternehmen noch nicht angekommen. "Viele Unternehmen haben versucht, schnell auf Microsoft Teams umzustellen. Da war es erst einmal wichtig, dass die Produktivität hochgehalten wird, und der Fokus lag nicht so sehr auf der Sicherheit", berichtet etwa Mischa Rohleder, Cloud Security Consultant bei Controlware im Rahmen des ChannelPartner-Workshops zum Thema Microsoft 365. "Aber wenn die Sicherheit niedrig ist, wissen das natürlich auch die Angreifer. Für sie ist es dann einfacher beziehungsweise die Hemmschwelle niedriger - und das Gewinnpotenzial steigt. Deshalb war auch eine gewisse Zeit deutlich erkennbar, dass die Zahl der Angriffe zugenommen hat. Inzwischen steigt aber allmählich die Awareness bei den Kunden, dass sie bei der Sicherheit nachbessern müssen." Genau hier können Systemhäuser und IT-Dienstleister ansetzen. Zahlen dazu liefert Michael Watzl, Director Channel Sales DACH bei Mimecast.
"Unabhängig davon, welche Lizenz von Microsoft Exchange Online Protection ein Unternehmen einsetzt, sind Zusatzlösungen immer noch wichtig: Wir haben mit dem umfangreichsten Lizenzmodell E5 getestet und selbst damit kommen immer noch 22 Prozent Spam und Malware durch - und das ist schon ein sehr hoher Anteil. Wir sind mit unserer Qualität und mit dem Kunden-Feedback so weit, dass wir jedem Kunden standardmäßig ein SLA anbieten können, das 100 Prozent Antiviren-Leistung und eine Erkennungsleistung von 98 Prozent bei Spam bei einer False-Positive-Rate von weniger als 0,0001 Prozent zusichert."
"Es gibt sowohl Unternehmen, die sich darauf verlassen, mit einem Vertrag für E3 oder E5 alle Sorgen ausgeräumt zu haben, und solche, die von vornherein wissen, was Microsoft kann und was es nicht kann und entsprechend planen", berichtet Mimecast-Sprecher Watzl aus seiner Erfahrung.
Der richtige Einstieg
"Wir versuchen jedem Kunden seinen individuellen Mehrwert auszurechnen", erklärt Channel-Manager Steven Kugler den Ansatz von Avepoint. "Das machen wir gemeinsam mit den Partnern, indem wir Partner so ausgiebig wie möglich die Optionen und die Möglichkeiten unserer Lösungen erklären und die Schmerzen und die Problembereiche aufzeigen, die wir damit beheben." Allerdings räumt Kugler ein: "Das alles ist jedoch nicht anwendbar, wenn der Kunde diese Schmerzen nicht hat oder sie nicht verspürt oder schlicht gar kein Budget dafür vorgesehen hat." Diese Aspekte müssten vor einer umfangreichen Analyse natürlich beachtet und mit den Kunden zuerst durchgegangen werden.
Auch Controlware setzt vor Projekt- oder Vertragsbeginn auf einen initialen Check-up der Sicherheitskonfigurationen in Microsoft 365. "Daraus ergeben sich in der Regel rund 80 Empfehlungen", erklärt Patrick Benesch. Außerdem würden "viele Sachverhalte aufgedeckt, bei denen die Kunden vor Schreck vom Hocker fallen." Ein Beispiel dafür ist, wenn Kunden sehen, dass ihre Mitarbeiter, die seit eineinhalb Jahren Microsoft Teams nutzen, Dutzenden Drittapplikationen Zugriffsrechte gewährt haben - also Diensten von Dritten Zugriff auf E-Mails und Unternehmensdaten gewährt werden. Solche Schocks sind heilsam - und schärfen das Bewusstsein bei den Unternehmen, dass sich jemand damit befassen sollte, der sich mit Sicherheit und Compliance in diesem Umfeld auskennt.
Barracuda MSP setzt ebenfalls darauf, dass Einsicht von Einblick kommt: "Als Basis-Produkt bieten wir ein Remote Monitoring Management Tool an, das eine komplette Visibilität über alle Devices im Unternehmen ermöglicht. Es erlaubt, Schwachstellen zu erkennen, Patch-Management durchzuführen und Service-Pläne zu erstellen", fasst Kay-Uwe Wirtz, Regional Account Director (DACH) bei Barracuda MSP zusammen.
"Da sich alles in Richtung Software-defined und Automatisierung entwickelt, stellen wir natürlich auch hier die Schnittstellen zu bekannten Größen wie ServiceNow zur Verfügung, womit sich alles automatisieren und ein Ticketing-System hinzufügen lässt. Über unser Angebot für E-Mail-Security sind wiederum viele weitere Verbindungen möglich, nicht nur zu Microsoft-365-Kunden, sondern auch in alle anderen Bereiche - letztendlich bis hin zu SASE oder Zero Trust Network Access", zeigt Wirtz für Partner Perspektiven zum Ausbau des Geschäfts mit Bestandkunden auf.