Compilance Header

Die Gefahren von verborgenen Berechtigungen in SharePoint

Written by Hornetsecurity / 21.05.2024 / ,
Home » Blog » Die Gefahren von verborgenen Berechtigungen in SharePoint

SharePoint ist ein zuverlässiges Tool für die Zusammenarbeit und ermöglicht Teams, Dokumente gemeinsam zu bearbeiten, Informationen auszutauschen und Projekte effizient zu managen. Die Geschichte von SharePoint begann bereits 2001 als SharePoint-Server, doch mittlerweile nutzen die meisten Organisationen   SharePoint Online, das von Microsoft gehostet wird. SharePoint ist wie ein zuverlässiges Kraftwerk im Hintergrund: Es läuft reibungslos und effizient, ohne dass man es im Alltag groß wahrnimmt. Erst wenn es nicht mehr funktioniert, merkt man, wie wichtig es für die tägliche Arbeit ist.

In Microsoft 365 ist SharePoint omnipräsent: Teams, Abteilungen und Standorte nutzen eigene SharePoint-Sites. Ist Ihnen jedoch bewusst, dass auch der Speicher für OneDrive for Business sowie die Speicherung von Dateien, die über Teams geteilt werden, über SharePoint erfolgt? Die Folge: Die Datenverwaltung erstreckt sich nicht nur auf SharePoint-Sites selbst, sondern auch auf diese anderen Speicherorte. Und wie wir gleich sehen werden, ist die Steuerung des Datenzugriffs in SharePoint ein komplexes Thema.

SharePoints Ursprung als lokale Software bringt im Zeitalter von Cloud-Diensten leider auch Altlasten mit sich. In diesem Artikel zeigen wir Ihnen, welche Sicherheitsrisiken mangelnde Transparenz bei Berechtigungen birgt. Verborgene Benutzer oder Gruppen verschärfen dieses Problem zusätzlich. Auch benutzerdefinierte Berechtigungsebenen können bei der Zuweisung von Rechten zu unübersichtlichen Strukturen führen. Die manuelle Verwaltung von Zugriffen birgt zudem die Gefahr von Sicherheitsfehlern. Und zu guter Letzt können benutzerdefinierte Dokumentbibliotheken zum Versteck für Angreifer werden.

In anderen Worten: Ihr SharePoint-System könnte bereits von Angreifern infiltriert sein, ohne dass Sie es bemerkt haben. Zudem entsprechen die Berechtigungen wahrscheinlich nicht dem „Prinzip der minimalsten Rechte“, einem zentralen Grundsatz des Zero Trust Prinzips.

Während CISOs und Sicherheitsexperten sich auf „laute“ Bedrohungen wie Ransomware konzentrieren, lauern im Verborgenen oft leise Gefahren. Angreifer, die ein Benutzerkonto kompromittieren, können in SharePoint unbemerkt sensible Daten abgreifen, wie z. B. Lieferantenrechnungen. Dies kann zu schwerwiegende Folgen wie z.B. „Business Email Compromise-Angriffe“ führen, bei denen Zahlungsinformationen manipuliert werden.

Die Herausforderungen versteckter Ordnerstrukturen in SharePoint

Dieser Artikel konzentriert sich überwiegend auf den „Dokumente“-Ordner in SharePoint-Sites – dem Herzstück der Dateifreigabe. Im Gegensatz zu herkömmlichen Netzwerklaufwerken fehlt hier die Baumstruktur zur Navigation. Sie können zwar beliebig tief Unterordner anlegen, aber die gesamte Hierarchie bleibt für den schnellen Überblick verborgen. Um den Inhalt zu sehen, muss jeder Ordner einzeln angeklickt werden.

Um zu sehen, wer Zugriff auf einen Ordner (oder eine Datei) hat, müssen Sie mühsam auf das Objekt klicken und dann die „Zugriff verwalten“-Funktion nutzen. So bekommen Sie Einblick in die Benutzer, Gruppen und externen Gäste mit Zugriff. Aber Achtung: Ordner und Dateien können unterschiedliche Berechtigungen haben!

The second challenge is that while you can see the names of the groups that have been granted permissions on a particular folder, you can’t see the user accounts that are members of those groups in the Manage Access dialog. Clicking on a group name doesn’t bring up the members, in fact it does nothing.

Um festzustellen, welche Benutzerkonten zu einer Gruppe gehören, benötigen Sie Zugriff auf das Microsoft 365 Admin Center (https://admin.microsoft.com) oder das Entra-ID-Portal (https://entra.microsoft.com). Administratoren haben zwar Zugriff auf diese Portale, aber Abteilungsleiter, die Besitzer einer SharePoint-Teamsite sind, müssen die IT-Abteilung einschalten, um herauszufinden, wer Zugriff auf welche Dokumentenordner hat.

Noch gravierender (Aufgrund des erwähnten SharePoint-Server-Erbes) ist, dass es in SharePoint selbst einen Gruppentyp gibt, der weder im Microsoft 365 Admin Center noch im Entra ID-Portal sichtbar ist, sondern nur im SharePoint Admin Center (auf das normale Benutzer keinen Zugriff haben). Existieren in einer dieser Gruppen sogar verschachtelte Gruppen, müssen Sie diese womöglich in drei verschiedenen Admin-Centern suchen.

Zudem kann es passieren, dass bei der Berechtigungserteilung an eine Gruppe mit einem einzelnen Benutzer und einer weiteren untergeordneten Gruppe mit mehreren Nutzern, die Anzeige fälschlicherweise nur zwei Berechtigte anzeigt. Tatsächlich könnten sich aber Hunderte Benutzerkonten in der verschachtelten Gruppe befinden.

Berechtigungsstufen

Der 365 Permission Manager von Hornetsecurity beseitigt die beschriebenen Sichtbarkeitsprobleme in SharePoint vollständig. Er zeigt Ihnen übersichtlich alle Benutzer mit Zugriff auf eine Site, einen Ordner oder eine Datei an. Dabei wird transparent dargestellt, ob die Berechtigungen von der Site geerbt oder für das jeweilige Objekt spezifisch festgelegt sind.

Zusätzlich deckt der 365 Permission Manager externe Freigaben auf, unabhängig davon, ob sie an bestimmte Personen außerhalb Ihres Unternehmens oder über einen anonymen Link geteilt wurden.

Eine weitere innovative Funktion des 365 Permission Managers ist die Möglichkeit, SharePoint- und OneDrive for Business-Sites „aus den Augen“ eines ausgewählten Benutzers zu sehen. So erfahren Sie im Detail, auf welche Sites, Ordner und Dokumente dieser Benutzer Zugriff hat.

Diese Funktion ist besonders wertvoll für:

  • Forensische Untersuchungen: Welche Daten konnte ein Angreifer mit dem kompromittierten Konto einsehen?
  • Insider-Bedrohungen: Wie groß ist der Schadenspotenzial durch einen böswilligen Mitarbeiter?
  • Data Governance: Stimmen die vergebenen Berechtigungen mit Ihren Datenzugriffsrichtlinien überein?

SharePoint Online bietet vier grundlegende Zugriffsebenen für Ordner und Dateien: BesitzerBearbeitenAnzeigen und Kann nicht herunterladen (Anzeigen, aber keine lokale Speicherung). Im SharePoint Server hingegen gab und gibt es ein komplexeres Modell mit mehreren vordefinierten und sogar benutzerdefinierten Berechtigungsstufen.

Hier liegt das erste Problem: Wenn Sie die Berechtigungen für ein Objekt überprüfen, zeigt die Benutzeroberfläche die nächstgelegene verfügbare Stufe an. Beispielsweise gewährt die „Entwurf“-Stufe“ (ein Relikt aus früheren Versionen) mehr Rechte als „Bearbeiten„, wird aber in der Benutzeroberfläche dennoch als „Bearbeiten“ ausgewiesen. Diese Diskrepanz kann zu Verwirrung führen und Sicherheitsrisiken bergen, da Administratoren möglicherweise glauben, dass Benutzer weniger Zugriff haben, als sie tatsächlich besitzen.

Noch gravierender ist die Möglichkeit, benutzerdefinierte Berechtigungsstufen mit demselben Namen wie vordefinierte Stufen (z.B. „Lesen„) zu erstellen. Diese benutzerdefinierte Stufe könnte dann sämtliche Berechtigungen umfassen (weit mehr als nur Lesen).

Das führt nicht nur zu gefährlichen Trugschlüssen: Bei einer oberflächlichen Prüfung der vergebenen Berechtigungen geht man möglicherweise davon aus, dass eine Gruppe oder ein Benutzer nur Lesezugriff besitzt. Doch selbst wenn Sie genauer hinschauen und nachforschen, warum es zwei Stufen mit dem Namen „Lesen“ und „lesen“ gibt, zeigt die Benutzeroberfläche Ihnen nur die vordefinierte Stufe, nicht Ihre benutzerdefinierte, an. Bei übereinstimmenden Namen unterscheidet die URL in SharePoint nicht zwischen Groß- und Kleinschreibung, wodurch immer die vordefinierte Stufe angezeigt wird. So bleibt die tatsächliche Berechtigung verborgen, was ein großes Sicherheitsrisiko darstellt.

Der Hornetsecurity 365 Permission Manager deckt diese benutzerdefinierten Berechtigungsstufen auf und sorgt so für Transparenz und Kontrolle in Ihrer gesamten SharePoint Online-Umgebung. Darüber hinaus ermöglicht er Ihnen die Verwendung von vordefinierten oder die Erstellung eigener Richtlinien, die Sie auf verschiedene Arten von Sites anwenden können. So sehen Sie auf einen Blick, auf welchen Sites Ihre Richtlinien nicht eingehalten werden, und können die Berechtigungen mit nur einem Klick korrigieren.

Berechtigungen für Websites vs. Berechtigungen für Dokumentbibliotheken

Ein weiteres Risiko besteht darin, dass Sie für die Dokumentbibliothek benutzerdefinierte Berechtigungen festlegen können, die sich von den allgemeinen Websiteberechtigungen unterscheiden. Sobald diese gewährt wurden, sind sie bei einer Prüfung zwar sichtbar, können aber über die Benutzeroberfläche nicht geändert werden.

Auch hier findet der 365 Permission Manager diese Abweichungen, deckt sie als Verstöße gegen Ihre Richtlinien auf und priorisiert ihre Behebung.

Verborgene Dokumentbibliotheken

Normalerweise besitzt eine SharePoint-Site lediglich einen zentralen Ordner namens „Dokumente“. Es besteht jedoch die Möglichkeit, weitere Ordner anzulegen.  Diese benutzerdefinierten Ordner können nicht nur aus der Seitennavigation der SharePoint-Site ausgeblendet werden (sodass sie für andere Benutzer unsichtbar sind), sondern auch die Zugriffsberechtigungen lassen sich so einschränken, dass nur noch Sie selbst Zugriff auf den Ordner haben.

Durch dieses Vorgehen wird im Wesentlichen ein „Exfiltrationskanal“ geschaffen. Angreifer können sensible Dokumente von der zentralen „Dokumente“-Bibliothek in ihre eigene, speziell erstellte Dokumentenbibliothek kopieren. Möglicherweise kehren sie sogar regelmäßig zurück, um die neuesten Versionen der Dateien abzufangen und anschließend auf ihren eigenen Computer herunterzuladen.

Dies stellt ein großes Risiko für eine kompromittierte SharePoint-Site dar. Selbstverständlich deckt der 365 Permission Manager benutzerdefinierte, verborgene Dokumentbibliotheken und deren Berechtigungen auf, sodass Sie diese entsprechen anpassen können.

Eine weitere äußerst nützliche Funktion ist die Möglichkeit, den gesamten Zugriff auf die SharePoint / OneDrive for Business-Daten für ein Benutzerkonto zu widerrufen. Wenn Sie wissen, dass ein Konto kompromittiert wurde, ist das manuelle Widerrufen des Zugriffs an jedem einzelnen Ort extrem zeitaufwendig. Der 365 Permission Manager bietet hierfür eine zentrale Schaltfläche.


Mit dem 365 Permission Manager von Hornetsecurity verwalten Sie mühelos Berechtigungen in Microsoft 365, setzen Compliance-Richtlinien durch und überwachen Verstöße mit Leichtigkeit. Schützen Sie Ihre Microsoft 365-Umgebung und machen Sie Admin-Aufgaben zum Kinderspiel.


Fazit

Microsoft-Technologien sind bekannt für ihre starke Abwärtskompatibilität. Dies ist für Unternehmen von Vorteil, die bereits in SharePoint Server-Lösungen investiert haben und diese nahtlos zu SharePoint Online migrieren möchten.

Der Fokus auf Abwärtskompatibilität birgt jedoch auch Sicherheitsrisiken. Fakt ist: Heutzutage besteht für viele Unternehmen die Gefahr, dass sie kompromittiert werden. Kriminelle könnten dann nach Belieben sensible Daten abgreifen, darunter auch Ihr wertvolles geistiges Eigentum, und das oft, ohne dass Sie es bemerken.

Der 365 Permission Manager von Hornetsecurity ist somit eine unverzichtbare Lösung für CISOs, die die Datensicherheit in ihrer SharePoint-Umgebung umfassend gewährleisten möchten. Die Software ermöglicht die mühelose Verwaltung von Berechtigungen, die Durchsetzung von Compliance-Richtlinien und die Überwachung von Verstößen. So behalten Sie jederzeit die Kontrolle über Ihre Daten und können potenzielle Sicherheitsrisiken frühzeitig erkennen und beheben.

Ich wurde gehackt! WAS SOLL ICH TUN?
Mit dem 365 Permission Manager von Hornetsecurity können Sie sofort die Kontrolle über Ihre SharePoint-Umgebung zurückgewinnen und so Ihr Unternehmen schützen.

  • Entfernen Sie den Benutzerzugriff mit nur einem Klick: Die Offboarding-Funktion im 365 Permission Manager ermöglicht es Ihnen, den Zugriff zu widerrufen und einen Hacker sofort zu stoppen. Diese schnelle Maßnahme kann weitere unbefugte Zugriffe und potenzielle Datenlecks verhindern.
  • Perspektivenwechsel mit „Anzeigen als“: Gewinnen Sie mit der „Anzeigen als“ -Funktion im 365 Permission Manager Einblick, auf welche Dateien ein kompromittiertes Benutzerkonto zugreifen konnte. So sehen Sie SharePoint mit den Augen des Benutzers und können Bereiche mit potenziell unbefugtem Zugriff identifizieren und Gegenmaßnahmen ergreifen.
  • Forensische Berichte für die Schadensanalyse: Um effektive Abhilfemaßnahmen zu ergreifen und die Compliance zu wahren, ist es entscheidend, das Ausmaß eines Sicherheitsverstoßes zu verstehen. Mit dem 365 Permission Manager können Sie detaillierte forensische Berichte generieren. Diese Berichte zeigen Ihnen genau, auf welche Dateien ein Benutzer Zugriff hatte und die vollständigen Berechtigungen innerhalb aller SharePoint-Sites und OneDrive for Business-Speicherorte. Diese Informationen sind von unschätzbarem Wert, um den Umfang des Angriffs zu erkennen, den Schaden zu beurteilen und notwendige Sicherheitsmaßnahmen zu implementieren, um zukünftige Vorfälle zu verhindern.

Häufig gestellte Fragen

Was sind die wichtigsten Sicherheitsbedenken im Zusammenhang mit verborgenen Berechtigungen in SharePoint?

Versteckte Berechtigungen in SharePoint stellen ein erhebliches Sicherheitsrisiko dar, da sie unbefugten Zugriff ohne das Wissen von Administratoren oder Benutzern ermöglichen können. Zu den Hauptproblemen gehören:

Mangelnde Sichtbarkeit: Die Berechtigungseinstellungen von SharePoint können komplex und undurchsichtig sein, so dass es schwierig ist, zu erkennen, wer auf was Zugriff hat. Dies gilt auch für versteckte Gruppen und Benutzer, deren Berechtigungen nicht ohne weiteres sichtbar sind.
Benutzerdefinierte Berechtigungsebenen: Benutzerdefinierte Berechtigungen können irreführend sein. So kann eine Berechtigungsstufe mit dem Namen „Lesen“ in Wirklichkeit volle Zugriffsrechte haben, was zu potenziellen Sicherheitsverletzungen führen kann, wenn sie nicht ordnungsgemäß verwaltet wird.
Versteckte Dokumentenbibliotheken: Angreifer können versteckte Dokumentbibliotheken mit exklusivem Zugriff erstellen, die es ihnen ermöglichen, Daten unbemerkt zu exfiltrieren. Diese versteckten Bibliotheken sind in der SharePoint-Navigation nicht ohne Weiteres sichtbar, was sie zu einem erheblichen Risiko macht.

Wie kann 365 Permission Manager dazu beitragen, die Sicherheitsrisiken in SharePoint zu mindern?

365 Permission Manager bietet mehrere Funktionen zur Verbesserung von Sicherheit und Governance in SharePoint:

Verbesserung der Sichtbarkeit: Es werden alle Benutzer, Gruppen und Berechtigungen für Websites, Ordner und Dateien angezeigt, einschließlich vererbter und eindeutiger Berechtigungen. Diese umfassende Sichtbarkeit hilft dabei, versteckte Zugriffsprobleme zu erkennen und zu beheben.
Verwaltung von Berechtigungen: Es zeigt benutzerdefinierte Berechtigungsebenen und Diskrepanzen an, so dass Administratoren die Berechtigungen gemäß den Richtlinien standardisieren können. Dadurch wird das Risiko von falsch konfigurierten Zugriffsrechten verringert.
Zugriffskontrolle: Das Tool bietet die Möglichkeit, einem kompromittierten Konto mit einem einzigen Klick den gesamten Zugriff zu entziehen, um eine schnelle Reaktion auf Sicherheitsvorfälle zu gewährleisten und weitere unberechtigte Zugriffe zu verhindern.

Wie kann Hornetsecurity helfen, meine SharePoint-Umgebung zu sichern?

Der 365 Permission Manager von Hornetsecurity erhöht die Sicherheit, indem er einen umfassenden Einblick in alle Benutzerberechtigungen bietet, benutzerdefinierte Berechtigungsstufen verwaltet und standardisiert und den sofortigen Entzug des Zugriffs für kompromittierte Konten ermöglicht. Dies gewährleistet eine solide Datenverwaltung und eine schnelle Reaktion auf Sicherheitsvorfälle.