Risiko durch Power Automate Connectoren für Schatten-IT
Microsoft Power Automate (früher Microsoft Flow) ist ein Programm von Microsoft, das uns durch eigens erstellte, automatisierte Workflows unseren Alltag erleichtern soll. Power Automate soll unseren Arbeitsalltag verschlanken, uns lästige Routineaufgaben abnehmen, uns helfen Zeit einzusparen. „Kümmern Sie sich um das, was wichtig ist. Automatisieren Sie den Rest.“ ist der Microsoft Power Automate Slogan.
Mithilfe von Workflows können wir beispielsweise die folgenden Prozesse automatisieren:
- Benachrichtigungen an uns oder andere generieren lassen
- Daten mit anderen Bibliotheken synchronisieren
- Genehmigungsprozesse durchführen oder
- Daten an bestimmten Orten speichern
In Microsoft Power Automate sind standardmäßig Microsoft Programme wie Excel, Outlook, OneDrive, SharePoint und Dynamics 365 integriert. Es ist in Power Automate lediglich eine Anmeldung der Programme, das heißt E-Mail- und Passworteingabe, nötig. Auch immer mehr Drittanbieter können in Flows eingebunden werden wie beispielsweise Twitter, Dropbox, GoogleDrive und Salesforce. Insgesamt kommt Power Automate auf mehr als 200 integrierte Dienste, womit heute schon eine Menge an Workflows abgebildet werden können. Eine Übersicht aller Vorlagen stellt Microsoft auf der Webseite des Dienstes zur Verfügung.
Drittanbieter-Apps können zum Sicherheitsrisiko werden
Genau hierbei liegt das Problem, welches viele möglicherweise gar nicht so auf dem Schirm haben:
Ein normaler Benutzer, der „Flows“ anlegen darf oder eigene PowerApps veröffentlichen darf, verfügt in den Standard-Einstellungen über die Möglichkeit aus sämtlichen Drittenabieter- Integrationen zu wählen und so Dienste zu integrieren, welche ich als Administrator möglicherweise gemäß Unternehmens-Compliance bewusst als ausgeschlossen betrachten möchte und entsprechende Endpunkte möglicherweise an anderer Stelle explizite (bspw. durch Proxy Regeln) gesperrt habe. So ist es beispielsweise möglich, Daten automatisiert (ohne dass der Admin davon etwas mitbekommt) abgeführt werden in ein Gmail-Postfach, eine Dropbox, einem G-Drive oder per RSS-Feed an jeden beliebigen Ort des Internets.
Wer als Admin Einblick haben möchte darüber, welche Power Automate Flows bereits in seinem Tennant existieren, welche Berechtigungen diese sich eingeräumt haben und von wem diese wann angelegt wurden, findet diese Informationen in dem Power Automate Audit Logs: View Power Automate audit logs. – Power Platform | Microsoft Docs
Es sollte also im Interesse eines jeden Tennant-Verantwortlichen sein, sich Überlegungen zur Governance von Power Automate und den Power Apps zu machen.
Microsoft selbst stellt folgende Ressource bereit, welche Ihnen dabei hilft sich mit der Power Automate Plattform vertraut zu machen:
Erste Schritte mit Power Automate – Power Automate | Microsoft Docs
Mit DLP-Richtlinien Connectors klassifizieren
Welche konkreten Überlegungen Sie sich zum Thema Covernance im Zusammenhang mit Power Automate machen sollten, beschreibt Microsoft auf folgender Website: Governance-Betrachtungen – Power Platform | Microsoft Docs
Das wichtigste und entscheidendste sind DLP-Richtlinien (Data Loss Prevention).
Damit können Sie festlegen, welche Daten gemeinsam genutzt werden können und welche Connectors Zugriff auf Ihre Geschäftsdaten haben dürfen. Sie müssen ein Mandantenadministrator sein oder Rechte eines Umgebungsadministrators haben, um DLP-Richtlinien im Power Platform Admin Center zu erstellen.
Mit DLP-Richtlinien lassen sich die Connectors klassifizieren, welche sich wiederum an einzelne User anwenden bzw. zuweisen lassen. So haben Sie die Möglichkeit zwischen „Business“, „Non-Business“ und „Blocked“ zu klassifizieren, um hierüber festlegen zu können, zwischen welchen Connectors in welchen konkreten Anwendungsfall zuggriffen werden darf. Außerdem können Sie hier über entsprechende Richtlinien festlegen, welchen Usern welche Connectors zur Verfügung stehen.
Daten können nicht zwischen Connectors geteilt werden, die sich in verschiedenen Gruppen befinden. Wenn Sie SharePoint- und Salesforce-Connectors in der Gruppe „Business“ und Gmail in der Gruppe “Non-Business“ platzieren, können Hersteller keine Apps oder Flows verwenden, die SharePoint- und Gmail-Connectors verwenden. Dies schränkt wiederum den Datenfluss zwischen diesen beiden Diensten in Microsoft Power Platform ein.
Zwar ist es nicht möglich, Daten aus Diensten in unterschiedlichen Gruppen gemeinsam zu nutzen, jedoch können Daten aus Diensten innerhalb einer bestimmten Gruppe gemeinsam genutzt werden. Da im vorherigen Beispiel SharePoint und Salesforce in derselben Datengruppe platziert wurden, können Hersteller Apps oder Flows erstellen, die sowohl SharePoint- als auch Salesforce-Connectors verwenden. Dies ermöglicht wiederum den Datenfluss zwischen diesen beiden Diensten in Microsoft Power Platform.
Der entscheidende Punkt ist, dass Connectors in derselben Gruppe Daten Microsoft Power Platform gemeinsam nutzen können, während Connectors in verschiedenen Gruppen keine Daten gemeinsam nutzen können:
- Connectoren, die als „Business“ eingestuft wurden dürfen nur Daten und Informationen zwischen den als „Business“ deklarierten Connectoren austauschen. „Business“ darf nicht mit „Non-Business“ kommunizieren oder andersherum.
- Ist ein Connector als „Blocked“ deklariert, wird der gesamte Datenfluss zu einem bestimmten Dienst vollständig blockiert.
Unter dem folgenden Link finden Sie weiterführende Informationen, zu den Klassifikationen der Connectors: Connector-Klassifizierung – Power Platform | Microsoft Docs
Risiko Schatten-IT minimieren
Neben der Gefahr des Abführens von Daten an Dienste Dritte bestehen durch Power Apps die Gefahr von Schatten-IT in Ihrer Organisation, wenn ein paar gemeinsame „Spielregeln“ nicht im Vorhinein vereinbart und kommuniziert werden.
PowerApps und automatisierte Flows sind die Helden der Zeit. Auch ohne Programmierkenntnisse, können Anwender ganz einfach Apps mit unternehmenskritischen Daten verbinden, ohne dass die IT davon etwas mitbekommt.
Mit der Verwendung von Power Automate wird der Mitarbeiter zum Entwickler, Risiko Manager, Techniker und IT-Manager in einer Person.
In der Regel ist sich der Anwender dem enormen Sicherheitsrisiko nicht bewusst. Deshalb ist es wichtig, dass solche Möglichkeiten durch die IT gesteuert werden und nicht durch den Anwender.
Die für das Business kritischen Anwendungen haben erhöhte Anforderungen und müssen nicht selten redundant ausgelegt sein oder sollten durch die IT überwacht werden und Teil eines Monitorings sein.
Anwender, die Workflows abbilden, sollten zumindest einschätzen können, ob es sich a) um einen eigenen Workflow für sie handelt oder b) um einen Workflow, welcher eine kritische Anwendung ist oder werden kann. Bei der Entscheidung b, sollte dann die IT-Abteilung informiert werden und natürlich eine Dokumentation vorgenommen werden.
Für die IT-Abteilung ist es wichtig, Schatten-IT zu minimieren – nur so können Sicherheitsrisiken reduziert werden. Folgende Tipps können wir Ihnen dafür mit auf den Weg geben:
- Sprechen Sie mit den Fachabteilungen: welche Tools werden benötigt und von wem
- Arbeiten Sie mit Power-Usern zusammen, ihr Feedback hilft, sich auf die nötigen und nützlichen Tools zu konzentrieren
- Legen Sie fest, welche Software-Arten durch die IT autorisiert werden muss und warum.
- Schaffen Sie ein Bewusstsein für Sicherheitsrisiken, zum Beispiel durch verpflichtende Schulungen