Microsoft 365 Sicherheit: Der vollständige Leitfaden für Unternehmen

Einer der häufigsten Irrtümer bei Microsoft 365 ist die Annahme, Microsoft kümmere sich um alle Sicherheitsaspekte. Tatsächlich arbeiten Sie in einem Modell geteilter Verantwortung:

Microsoft sichert die physische Infrastruktur der Rechenzentren, die Verfügbarkeit der Dienste und die Verschlüsselung der Daten bei Speicherung und Übertragung.

Ihr Unternehmen ist verantwortlich für die Konfiguration der Sicherheitseinstellungen, die Verwaltung von Benutzerkonten und Zugriffsrechten, die Absicherung der Endgeräte und die Schulung der Mitarbeiter.

Ein Beispiel aus der Praxis: Ein Mitarbeiter verlässt das Unternehmen, sein Benutzerkonto bleibt aber aktiv. Microsoft wird dieses Konto nicht automatisch sperren – das liegt in Ihrer Verantwortung. Ebenso werden Sicherheitsfunktionen wie Conditional Access oder Data Loss Prevention von Microsoft bereitgestellt, aber nicht automatisch aktiviert.

Jede Sicherheitslücke, die auf fehlende Konfiguration zurückzuführen ist, fällt in den Verantwortungsbereich des Unternehmens. Die folgenden Maßnahmen zeigen, worauf es ankommt.

MFA ist die einzelne Maßnahme mit dem höchsten Sicherheitsgewinn. Microsoft selbst gibt an, dass MFA über 99 Prozent aller kontobasierten Angriffe verhindert. Und dennoch setzen erschreckend wenige Unternehmen diese Funktion konsequent ein.

Was MFA tut: Bei jeder Anmeldung wird zusätzlich zum Passwort ein zweiter Faktor abgefragt – zum Beispiel eine Bestätigung über die Microsoft Authenticator App, ein Einmalcode per SMS oder ein FIDO2-Sicherheitsschlüssel.

Unsere Empfehlung für die Umsetzung:

Aktivieren Sie MFA ausnahmslos für alle Benutzer – nicht nur für Administratoren. Nutzen Sie die Microsoft Authenticator App oder FIDO2-Schlüssel statt SMS-Codes, da SMS anfällig für SIM-Swapping-Angriffe ist. Konfigurieren Sie MFA über Conditional Access Policies statt über die ältere „Per-User MFA"-Methode, da dies mehr Kontrolle und Flexibilität bietet. Kommunizieren Sie die Änderung an Ihre Mitarbeiter und planen Sie eine Übergangsfrist von 14 Tagen für die Einrichtung.

MFA allein verbessert Ihren Microsoft Secure Score bereits signifikant – typischerweise um 10 bis 15 Prozentpunkte.

Conditional Access (bedingter Zugriff) ist das zentrale Steuerungsinstrument für den Zugang zu Ihrer Microsoft 365 Umgebung. Damit definieren Sie Regeln, die bestimmen, unter welchen Bedingungen ein Zugriff erlaubt, eingeschränkt oder blockiert wird.

Ein Beispiel: Sie können festlegen, dass der Zugriff auf SharePoint nur von unternehmenseigenen Geräten möglich ist, dass bei Anmeldungen aus dem Ausland zusätzlich eine MFA-Bestätigung erforderlich wird und dass nicht konforme Geräte ohne aktuelles Betriebssystem keinen Zugriff auf E-Mails erhalten.

Die wichtigsten Policies, die in jeder Microsoft 365 Umgebung konfiguriert sein sollten, umfassen: MFA-Pflicht für alle Benutzer, Blockierung von Anmeldungen aus unbekannten oder risikobehafteten Standorten, Gerätecompliance als Zugriffsvoraussetzung und separate, strenge Regeln für Administratorkonten.

Conditional Access erfordert mindestens Microsoft Entra ID P1 (enthalten in Microsoft 365 Business Premium und E3/E5). Die Konfiguration erfolgt im Microsoft Entra Admin Center unter „Schutz" → „Bedingter Zugriff".

Ältere Authentifizierungsprotokolle wie POP3, IMAP, SMTP Auth und die ältere Exchange Web Services-Authentifizierung unterstützen keine Multi-Faktor-Authentifizierung. Das macht sie zu einem beliebten Einfallstor für Angreifer – selbst wenn MFA für alle Benutzer aktiviert ist.

Solange Legacy-Authentifizierung erlaubt ist, kann ein Angreifer mit gestohlenen Zugangsdaten über ein altes Protokoll auf das Postfach zugreifen, ohne dass MFA greift. Diese Lücke wird in der Praxis aktiv und regelmäßig ausgenutzt.

Die Lösung: Erstellen Sie eine Conditional Access Policy, die Legacy-Authentifizierungsprotokolle für alle Benutzer blockiert. Prüfen Sie vorab im Azure AD Sign-in Log, ob noch Dienste oder Anwendungen in Ihrer Umgebung Legacy-Protokolle nutzen. Falls ja, migrieren Sie diese zuerst auf moderne Authentifizierung (OAuth 2.0). Typische Kandidaten sind ältere Druckersysteme, die per SMTP E-Mails versenden, ältere CRM- oder ERP-Systeme und lokale Outlook-Versionen vor 2016.

Administratorkonten mit Global-Admin-Rechten sind das wertvollste Ziel für Angreifer. Ein kompromittiertes Admin-Konto gibt einem Angreifer die vollständige Kontrolle über Ihren gesamten Microsoft 365 Tenant – einschließlich aller E-Mails, Dateien und Benutzerkonten.

Die wichtigsten Schutzmaßnahmen für Admin-Konten sind: Verwenden Sie dedizierte Admin-Konten, die ausschließlich für administrative Aufgaben genutzt werden – nicht für den täglichen E-Mail-Verkehr oder das Surfen im Internet. Setzen Sie das Prinzip der geringsten Rechte (Least Privilege) um und weisen Sie nur die Rollen zu, die tatsächlich benötigt werden. Nutzen Sie Privileged Identity Management (PIM), um Admin-Rollen nur zeitlich befristet und mit gesonderter Genehmigung zu aktivieren (erfordert Entra ID P2). Halten Sie die Anzahl der Globalen Administratoren auf maximal zwei bis vier Personen und nutzen Sie für alles andere spezifischere Rollen wie Exchange-Administrator oder SharePoint-Administrator. Richten Sie Notfall-Admin-Konten (Break Glass Accounts) ein, die nur für absolute Notfälle gedacht sind und die Sie sicher und offline aufbewahren.

Microsoft Defender ist nicht ein einzelnes Produkt, sondern eine Suite von Sicherheitslösungen, die verschiedene Bereiche abdecken.

Defender for Office 365 schützt E-Mails, Anhänge und Links vor Phishing, Malware und anderen E-Mail-basierten Bedrohungen. Defender for Endpoint erkennt Bedrohungen auf Endgeräten (Laptops, Desktops, Smartphones) in Echtzeit und bietet Endpoint Detection and Response (EDR). Defender for Identity analysiert Anmeldemuster und erkennt ungewöhnliches Benutzerverhalten, das auf eine Kontokompromittierung hindeuten könnte. Defender for Cloud Apps überwacht die Nutzung von Cloud-Anwendungen und erkennt Schatten-IT.

Die Suite wird im Microsoft Defender Portal unter security.microsoft.com verwaltet. Der Funktionsumfang hängt von Ihrer Lizenz ab: Microsoft 365 Business Premium enthält Defender for Business, die E5-Lizenz bietet den vollständigen Funktionsumfang.

Entscheidend ist: Defender muss aktiv konfiguriert werden. Die Standardeinstellungen bieten einen Grundschutz, aber erst durch die Feinabstimmung der Policies auf Ihre Umgebung entfaltet Defender sein volles Potenzial.

E-Mail bleibt der häufigste Angriffsvektor. Über 90 Prozent aller erfolgreichen Cyberangriffe beginnen mit einer Phishing-E-Mail. Microsoft 365 bietet mit Safe Links und Safe Attachments zwei wichtige Schutzmechanismen.

Safe Links überprüft URLs in E-Mails und Office-Dokumenten zum Zeitpunkt des Klicks – nicht nur beim Empfang. Das ist wichtig, weil Angreifer oft Links verwenden, die erst Stunden nach dem Versand auf schädliche Inhalte umgeleitet werden. Safe Attachments öffnet E-Mail-Anhänge in einer isolierten Sandbox-Umgebung und analysiert sie auf schädliches Verhalten, bevor sie dem Empfänger zugestellt werden.

Zusätzlich sollten Sie Exchange Online Protection (EOP) optimal konfigurieren: Anti-Spam-Filterung, Anti-Phishing-Policies mit Impersonation-Schutz (schützt davor, dass sich Angreifer als bekannte Kontakte oder Führungskräfte ausgeben), und DMARC/DKIM/SPF-Einträge für Ihre Domain, die das Fälschen Ihrer E-Mail-Adresse durch Dritte erschweren.

Safe Links und Safe Attachments sind in Defender for Office 365 Plan 1 enthalten (ab Microsoft 365 Business Premium). Seit 2026 werden grundlegende Defender-for-Office-Funktionen auch in E3-Lizenzen integriert.

Mitarbeiter greifen heute von unterschiedlichsten Geräten auf Unternehmensdaten zu – Firmen-Laptops, private Smartphones, Tablets im Homeoffice. Ohne zentrale Geräteverwaltung haben Sie keine Kontrolle darüber, auf welchen Geräten Ihre Daten landen.

Microsoft Intune ermöglicht die zentrale Verwaltung und Absicherung aller Endgeräte und bietet unter anderem: die Erzwingung von Sicherheitsrichtlinien wie BitLocker-Verschlüsselung, Firewall-Aktivierung und automatische Updates, Compliance-Policies, die definieren, welche Mindestanforderungen ein Gerät erfüllen muss (z.B. aktuelles Betriebssystem, kein Jailbreak), die Möglichkeit, bei Verlust oder Diebstahl Unternehmensdaten aus der Ferne zu löschen, und die Trennung von privaten und geschäftlichen Daten auf privaten Geräten (BYOD-Szenarien).

Intune arbeitet eng mit Conditional Access zusammen: Nur konforme Geräte erhalten Zugriff auf Unternehmensdaten. Ein Laptop mit veraltetem Betriebssystem oder deaktivierter Festplattenverschlüsselung wird automatisch blockiert.

Data Loss Prevention verhindert, dass sensible Unternehmensdaten unbeabsichtigt oder absichtlich nach außen gelangen. DLP-Richtlinien erkennen vertrauliche Informationen anhand von Mustern (z.B. Kreditkartennummern, IBAN-Nummern, Personalausweis-IDs) und können den Versand blockieren oder den Benutzer warnen.

DLP-Policies lassen sich auf E-Mails (Exchange Online), Dateien (SharePoint, OneDrive), Chat-Nachrichten (Teams) und sogar auf lokale Endgeräte anwenden. Ein Beispiel: Eine DLP-Policy erkennt, dass eine E-Mail an einen externen Empfänger eine Excel-Tabelle mit Kunden-IBANs enthält, und blockiert den Versand automatisch.

Für die Umsetzung empfehlen wir, zuerst im „Nur Überwachung"-Modus zu starten. So sehen Sie, welche Datenflüsse die Policies auslösen würden, ohne den Arbeitsablauf zu stören. Nach einer Analyse- und Optimierungsphase von zwei bis vier Wochen können Sie die Policies schrittweise auf „Blockieren" umstellen.

DLP-Policies werden im Microsoft Purview Compliance Portal konfiguriert und sind ab Microsoft 365 E3 (eingeschränkt) bzw. E5 (vollständig) verfügbar.

Sensitivity Labels (Vertraulichkeitsbezeichnungen) ermöglichen es, Dokumente und E-Mails zu klassifizieren und automatisch zu schützen. Ein Dokument mit dem Label „Vertraulich – nur intern" kann beispielsweise automatisch verschlüsselt werden, so dass es außerhalb Ihrer Organisation nicht geöffnet werden kann – selbst wenn es versehentlich an einen externen Empfänger weitergeleitet wird.

Die Klassifizierung kann manuell durch den Benutzer erfolgen oder automatisch anhand von Inhalten (z.B. sobald ein Dokument bestimmte Schlagworte oder Muster wie Personalnummern enthält). Labels können auch die Weiterleitung, das Kopieren oder das Drucken einschränken.

Sensitivity Labels sind Teil von Microsoft Information Protection (MIP) und eng mit DLP-Policies verzahnt. Die Kombination aus beiden sorgt dafür, dass sensible Daten nicht nur erkannt, sondern auch durchgehend geschützt werden – unabhängig davon, wohin sie innerhalb oder außerhalb der Organisation bewegt werden.

Ohne aktives Monitoring werden Sicherheitsvorfälle nicht erkannt. Studien zeigen, dass Unternehmen im Durchschnitt mehrere Monate brauchen, um eine Kompromittierung zu bemerken. In dieser Zeit haben Angreifer freien Zugang zu Systemen und Daten.

Microsoft 365 bietet ein Unified Audit Log, das sicherheitsrelevante Aktivitäten im gesamten Tenant protokolliert – Anmeldungen, Dateifreigaben, Postfachzugriffe, Admin-Aktionen und vieles mehr. Stellen Sie sicher, dass das Audit Logging aktiviert ist (es ist standardmäßig aktiv, sollte aber geprüft werden).

Richten Sie Alert Policies ein, die Sie sofort benachrichtigen, wenn verdächtige Aktivitäten auftreten: ungewöhnlich viele fehlgeschlagene Anmeldeversuche, Massenlöschungen von Dateien, Postfachweiterleitungsregeln an externe Adressen (ein klassisches Zeichen für kompromittierte Konten) und Änderungen an Admin-Rollen oder Sicherheitseinstellungen.

Alert Policies werden im Microsoft Defender Portal unter „Policies & Rules" konfiguriert. Für erweiterte Bedrohungserkennung bietet Microsoft Defender XDR die Korrelation von Signalen aus E-Mails, Endgeräten und Identitäten zu einem Gesamtbild.

Der Microsoft Secure Score fasst alle Sicherheitsempfehlungen in einer einzigen Kennzahl zusammen. Er wird im Microsoft Defender Portal als prozentualer Wert angezeigt und täglich aktualisiert. Je höher der Score, desto besser ist Ihre Umgebung gegen Bedrohungen geschützt.

Der Secure Score bewertet Ihre Konfiguration in vier Kategorien: Identität, Geräte, Daten und Applikationen. Für jede nicht umgesetzte Empfehlung werden Punkte abgezogen. Microsoft liefert zu jeder Empfehlung eine konkrete Handlungsanleitung.

Unsere Erfahrung aus mehr als 80.000 betreuten Anwendern zeigt: Ein Score unter 60 Prozent bedeutet kritische Sicherheitslücken. Zwischen 60 und 80 Prozent fehlen noch relevante Maßnahmen. Über 80 Prozent zeigt eine gut abgesicherte Umgebung.

Wichtig: Der Secure Score ist kein einmaliges Projekt. Microsoft erweitert den Empfehlungskatalog regelmäßig. Ein heute guter Score kann morgen sinken, weil neue Empfehlungen hinzugekommen sind. Deshalb empfehlen wir eine regelmäßige Überprüfung – mindestens quartalsweise.

Ihren aktuellen Score können Sie unter security.microsoft.com/securescore einsehen.

Die Absicherung von Microsoft 365 ist keine einmalige Aufgabe, sondern ein kontinuierlicher Prozess. Microsoft aktualisiert seine Sicherheitsempfehlungen regelmäßig, neue Bedrohungen erfordern neue Schutzmaßnahmen, und auch Ihre eigene Umgebung verändert sich laufend durch neue Benutzer, Geräte und Anwendungen.

Die gute Nachricht: Mit den 12 Maßnahmen aus diesem Leitfaden decken Sie die wichtigsten Sicherheitsbereiche ab. Besonders die ersten vier Maßnahmen (MFA, Conditional Access, Legacy-Auth-Blockierung und Admin-Absicherung) können Sie sofort umsetzen und damit Ihre Sicherheitslage deutlich verbessern.

Wenn Sie Unterstützung bei der Umsetzung benötigen oder den Sicherheitsstatus Ihrer Microsoft 365 Umgebung professionell bewerten lassen möchten, stehen Ihnen unsere Microsoft Security Spezialisten zur Verfügung – als einmaliger Tenant Check oder als laufender Managed Service.