Du nutzt Microsoft 365 seit ein paar Jahren, hast dich nie groß damit beschäftigt, wie man Microsoft 365 absichern soll, die Zusammenarbeit im Team läuft gut, und du hast dir dabei nichts weiter gedacht. Warum auch: Microsoft ist ein Weltkonzern, die Rechenzentren sind zertifiziert, und dein IT-Dienstleister hat die Lizenzen sauber eingerichtet. Klingt nach einer soliden Basis. Das Problem: Genau diese Einschätzung teilen Tausende Geschäftsführer in Deutschland, und Angreifer wissen das sehr genau.
Microsoft 365 absichern bedeutet nicht, darauf zu vertrauen, dass Microsoft das schon regelt. Die Plattform selbst ist robust. Aber die Konfiguration, die Nutzerkonten, die freigegebenen Dateien, die verknüpften Apps: Das alles liegt in deiner Verantwortung. Und genau da entstehen die Lücken, durch die Ransomware-Gruppen, Phishing-Kampagnen und Insider-Threats ihren Weg finden.
Dieser Artikel erklärt, wo die konkreten Risiken liegen, welche Schritte wirklich etwas bringen und warum Unternehmen im Raum Köln und Bonn gut beraten sind, das Thema „Microsoft 365 absichern“ nicht auf die lange Bank zu schieben.
Warum Microsoft 365 ein attraktives Angriffsziel ist
Über 400 Millionen gewerbliche Nutzer weltweit arbeiten mit Microsoft 365, was die Plattform zum größten zusammenhängenden Unternehmens-Ökosystem der Welt macht.1 Für Angreifer ist das eine einfache Rechnung: Wer eine Methode entwickelt, Microsoft-365-Konten zu kompromittieren, kann sie millionenfach einsetzen. Der Aufwand pro Angriff sinkt, die potenzielle Beute steigt.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft Business Email Compromise, also die gezielte Übernahme geschäftlicher E-Mail-Konten, seit Jahren als eine der gefährlichsten Bedrohungen für KMU in Deutschland ein.2 Bei Microsoft 365 heißt das in der Praxis: Ein Angreifer übernimmt ein kompromittiertes Postfach, richtet dort stille Weiterleitungsregeln ein, liest Monate lang mit und schlägt dann zu, wenn eine Zahlung oder ein Vertragsabschluss ansteht. Bemerkt wird das oft erst, wenn das Geld längst weg ist.
Dazu kommt ein strukturelles Problem, das viele unterschätzen, wenn sie anfangen, Microsoft 365 absichern zu wollen. Microsoft 365 basiert auf einem Shared-Responsibility-Modell. Microsoft schützt die Infrastruktur, du schützt deine Daten, deine Konten und deine Konfiguration.3 Das steht so in den Nutzungsbedingungen, aber kaum jemand liest die durch. Wer glaubt, mit dem Kauf einer Business-Lizenz automatisch auf der sicheren Seite zu sein, irrt.
Die häufigsten Angriffsvektoren im Überblick
Phishing über gefälschte Microsoft-Anmeldeseiten ist nach wie vor Angriffsmethode Nummer eins. Die Seiten sehen täuschend echt aus, und wer unter Zeitdruck arbeitet, klickt schnell auf den falschen Link. Ein einziges kompromittiertes Konto reicht, um sich lateral durch das gesamte Microsoft-365-Mandantenumfeld zu bewegen.
OAuth-Missbrauch ist das Thema, das gerade in der IT-Sicherheitscommunity an Fahrt aufnimmt. Dabei überreden Angreifer Nutzer dazu, einer scheinbar harmlosen Drittanbieter-App Zugriff auf ihre Microsoft-365-Daten zu erteilen. Die App hat dann Zugriff auf Postfächer, Kalender und SharePoint-Inhalte, ohne dass ein Passwort gestohlen wurde. Mehrfaktor-Authentifizierung hilft dagegen nicht.
Token-Diebstahl ist ein weiterer Angriffsweg, der in den vergangenen zwei Jahren stark zugenommen hat. Angreifer stehlen Sitzungstoken aus dem Browser oder aus dem Arbeitsspeicher des Endgeräts und können sich damit als legitimer Nutzer ausgeben, komplett ohne Passwort und ohne den MFA-Code abzufangen.4 Das ist kein theoretisches Szenario, sondern gängige Praxis bei professionellen Angreifergruppen.
Microsoft 365 absichern – Die wichtigsten Stellschrauben
Bevor du anfängst, lohnt sich eine ehrliche Bestandsaufnahme. Wie sind deine Nutzerkonten konfiguriert? Wer hat Globaladministratorrechte? Welche Drittanbieter-Apps sind in deinem Mandanten zugelassen? Die meisten KMU, die ich kenne, können diese Fragen nicht aus dem Stegreif beantworten. Das ist kein Vorwurf, das ist einfach die Realität in Unternehmen, die mit zwölf Mann gewachsen sind und nebenbei noch Projekte abzuwickeln haben.
Mehrstufige Authentifizierung konsequent durchsetzen
Mehrfaktor-Authentifizierung (MFA) ist der wichtigste Einzelschritt, wenn du Microsoft 365 absichern willst, und gleichzeitig der, der am häufigsten nur halbherzig umgesetzt wird. Es reicht nicht, MFA für einzelne Nutzer zu aktivieren. Du brauchst eine Richtlinie, die MFA für alle erzwingt, ohne Ausnahmen für die Chefin oder den Vertriebsleiter, weil der es unbequem findet.
Microsoft bietet dafür Conditional Access Policies an, die ab dem Business-Premium-Plan verfügbar sind und zu den wirksamsten Werkzeugen zählen, wenn es darum geht, Microsoft 365 absichern konsequent umzusetzen. Damit lässt sich nicht nur MFA erzwingen, sondern auch festlegen, unter welchen Bedingungen eine Anmeldung überhaupt erlaubt ist: nur aus Deutschland, nur von verwalteten Geräten, nur zu Geschäftszeiten. Das klingt restriktiv, ist in der Praxis aber oft genau die Grenze, die einen Angriff aus dem Ausland stoppt, bevor er Schaden anrichten kann.
Ein konkreter Hinweis für Unternehmen im Raum Köln und Bonn: Wer Kunden oder Kooperationspartner in den Niederlanden oder Belgien hat, sollte die geografischen Einschränkungen sorgfältig planen, um legitime grenzüberschreitende Anmeldungen nicht zu blockieren. Das ist eine der typischen Feinheiten, bei denen ein erfahrener regionaler IT-Dienstleister mehr Kontext mitbringt als ein Standardrezept aus dem Netz.
Privilegierte Konten separat verwalten
Globaladministratorkonten in Microsoft 365 sind der Generalschlüssel, und wer ernsthaft Microsoft 365 absichern will, fängt genau hier an. Wer darüber verfügt, kann Postfächer einsehen, Sicherheitsrichtlinien aushebeln, Conditional Access deaktivieren und Daten exportieren. Trotzdem nutzen viele KMU ihr Administratorkonto auch für den Alltag: E-Mails lesen, Teams-Nachrichten schreiben, im Browser surfen.
Das ist ungefähr so, als würdest du den Treuhänder-Generalschlüssel für dein Bürogebäude täglich in der Jackentasche tragen und auf dem Weg zur Kantine riskieren, ihn zu verlieren. Privilegierte Konten gehören ausschließlich in privilegierte Situationen. Für den Alltag gibt es ein normales Nutzerkonto, Punkt.
Microsoft empfiehlt dafür Privileged Identity Management (PIM), das ab dem Azure-AD-P2-Plan verfügbar ist. Damit werden Administratorrechte nur bei Bedarf aktiviert, mit zeitlicher Begrenzung und dokumentierter Begründung.5 Das klingt nach Aufwand. Es ist aber weniger Aufwand als die Aufräumarbeiten nach einem kompromittierten Administratorkonto.
SharePoint und OneDrive: Freigaben unter Kontrolle bringen
SharePoint ist der Bereich, bei dem ich in der Praxis die größten Überraschungen erlebe. Ordner werden für externe Partner freigegeben, die Freigabe läuft nach Projektabschluss weiter, und irgendwann hat jemand mit dem Link Zugriff auf Kalkulationen, Verträge oder Kundendaten, den er schon längst nicht mehr haben sollte.
Wer Microsoft 365 absichern will, muss hier konkret werden: externe Freigaben auf das Nötigste beschränken, mit Ablaufdatum versehen und regelmäßig überprüfen. Das Microsoft-365-Admin-Center bietet dafür Berichte, die zeigen, welche Links existieren und wer darauf zugegriffen hat. Diese Berichte werden in erschreckend vielen KMU nie geöffnet.
Dazu kommt die Frage der Datenverlustprävention. Microsoft 365 enthält mit Microsoft Purview ein Werkzeug, das Inhalte auf sensible Daten scannt und Weiterleitungen oder Freigaben blockieren kann, wenn definierte Muster gefunden werden, zum Beispiel IBAN-Nummern oder Sozialversicherungsnummern in E-Mails.6 Das ist besonders für Unternehmen relevant, die personenbezogene Daten verarbeiten und unter die DSGVO fallen, also praktisch alle Betriebe im Raum Köln-Bonn.
E-Mail-Sicherheit über den Standard hinaus
Exchange Online Protection ist in allen Microsoft-365-Lizenzen enthalten und filtert bereits einen Großteil von Spam und bekannten Malware-Anhängen, reicht aber für Unternehmen, die Microsoft 365 absichern wollen und echte Angriffsziele sind, nicht aus. Microsoft Defender for Office 365 ergänzt das um Safe Links und Safe Attachments, Mechanismen, die URLs im Moment des Klickens prüfen und Anhänge in einer isolierten Umgebung ausführen, bevor sie den Nutzer erreichen.
Wichtig ist außerdem die korrekte Konfiguration von SPF, DKIM und DMARC. Das sind E-Mail-Authentifizierungsstandards, die verhindern, dass Angreifer E-Mails in deinem Namen versenden können. Die Einrichtung ist technisch nicht trivial und wird häufig unvollständig gemacht, was zu falsch negativen Ergebnissen führt: DMARC ist aktiv, aber auf „none“ statt „reject“ gesetzt, und schützt damit gar nichts.7
Das Secure-Score-Konzept – Wo du beim Microsoft 365 absichern gerade stehst
Microsoft bietet im Defender-Portal einen sogenannten Secure Score an. Der Wert zwischen 0 und 100 zeigt, wie gut dein Microsoft-365-Mandant aktuell konfiguriert ist, gemessen an den Empfehlungen von Microsoft. Er ist kein perfektes Sicherheitsmaß, aber ein guter Einstiegspunkt.
Viele KMU, die ich spreche, landen beim ersten Blick auf ihren Secure Score unter 40 Punkten, obwohl sie glauben, ausreichend Maßnahmen ergriffen zu haben, um Microsoft 365 absichern zu können. Das liegt nicht daran, dass jemand grob fahrlässig gehandelt hat. Es liegt daran, dass Microsoft 365 in den Standardeinstellungen auf Nutzungskomfort optimiert ist, nicht auf Sicherheit. Wer die Plattform nicht aktiv konfiguriert, lässt eine Menge Schutz auf dem Tisch liegen.
IT-Deol nutzt den Secure Score als Startpunkt für die Bewertung des Kundenmandanten und arbeitet die Empfehlungen in der Reihenfolge ab, die das größte Risiko adressiert, nicht einfach von oben nach unten, denn nicht jede Empfehlung passt zu jedem Unternehmensprofil. Ein Handwerksbetrieb hat andere Prioritäten als eine Steuerberatungsgesellschaft.
Protokollierung und Monitoring – Sehen, was passiert
Microsoft 365 absichern heißt auch: wissen, was in deinem Mandanten passiert. Das Unified Audit Log in Microsoft 365 protokolliert Nutzeraktivitäten, Administratoraktionen und Systemereignisse. Ohne aktives Monitoring ist dieses Protokoll aber nur ein passives Archiv, das nach einem Vorfall forensisch ausgewertet wird, nicht vorher.
Wer sehen möchte, ob gerade jemand versucht, sich aus unbekannten Ländern anzumelden, ob Weiterleitungsregeln angelegt werden oder ob plötzlich große Datenmengen aus SharePoint heruntergeladen werden, braucht entweder ein SIEM-System, das die Protokolldaten aktiv auswertet, oder ein verwaltetes Monitoring über den IT-Dienstleister.
Für KMU ist ein vollständig eigenständig betriebenes SIEM in den meisten Fällen weder wirtschaftlich sinnvoll noch personell zu stemmen, und trotzdem wollen sie Microsoft 365 absichern und dabei nicht im Blindflug unterwegs sein. Das ist einer der Punkte, an dem ein Managed-Security-Ansatz echte Vorteile bringt: Jemand schaut auf die Protokolldaten, während dein Team Aufträge abarbeitet.
Geräte und Endpunkte – Der oft vergessene Teil beim Microsoft 365 absichern
Viele Unternehmen denken beim Thema Microsoft 365 absichern zuerst an Passwörter und Zugriffsrechte, vergessen dabei aber den Endpunkt. Wenn das Notebook, von dem aus deine Mitarbeiterin auf Microsoft 365 zugreift, mit Schadsoftware infiziert ist, dann nützt das stärkste Passwort der Welt nichts. Das Gerät ist das Problem, nicht das Konto.
Microsoft Intune ermöglicht es, Unternehmensgeräte zentral zu verwalten, Sicherheitsrichtlinien durchzusetzen und damit einen entscheidenden Baustein zu setzen, wenn man Microsoft 365 absichern und nicht nur die Cloud, sondern auch die Endgeräte im Blick behalten will. Das ist gerade für Betriebe mit Homeoffice-Anteil relevant, was nach 2020 so gut wie jedes Unternehmen im Raum Köln und Bonn betrifft.
Gerätekonformität und Conditional Access kombinieren
Die wirklich wirksame Kombination ist Conditional Access zusammen mit Gerätekonformitätsrichtlinien. Damit lässt sich festlegen, dass eine Anmeldung bei Microsoft 365 nur erlaubt ist, wenn das Gerät als konform gilt: aktuelles Betriebssystem, aktivierte Festplattenverschlüsselung, keine bekannte Schadsoftware. IT-Deol konfiguriert diese Richtlinien für Kunden im Raum Köln, Bonn und dem Rhein-Sieg-Kreis so, dass sie greifen, aber den Arbeitsalltag nicht blockieren.
Ein realistisches Bild: Wer heute von zu Hause aus auf Microsoft 365 zugreift, tut das oft von einem Privatrechner, auf dem vielleicht noch Windows 10 läuft, der seit Monaten nicht gepatcht wurde und auf dem die Kinder nachmittags Spiele spielen. Das ist kein Randfall, das ist Normalzustand in deutschen KMU. Und es ist einer der Gründe, warum Microsoft 365 absichern mehr braucht als eine starke Passwortpolitik und warum Endpunktsicherheit beim Thema Microsoft 365 absichern nicht optional ist.
DSGVO, NIS2 und die rechtliche Dimension
Für Unternehmen im Raum Köln und Bonn gilt selbstverständlich die DSGVO. Das ist keine Neuigkeit. Aber die Verbindung zwischen Microsoft-365-Konfiguration und DSGVO-Konformität wird oft unterschätzt, besonders wenn man nicht aktiv daran arbeitet, Microsoft 365 absichern als Compliance-Thema zu verstehen.
Wenn ein Datenschutzvorfall passiert, weil ein freigegebener SharePoint-Link in die falschen Hände geraten ist oder weil ein Phishing-Angriff auf ein unkonfiguriertes Konto erfolgreich war, dann ist das unter Umständen meldepflichtig. Der Verantwortliche muss dann innerhalb von 72 Stunden die Datenschutzbehörde informieren und belegen können, welche technischen und organisatorischen Maßnahmen er ergriffen hatte.8 „Wir haben Microsoft 365 genutzt“ reicht da nicht.
Mit der NIS2-Richtlinie, die in Deutschland durch das NIS2-Umsetzungsgesetz in nationales Recht übertragen wird, kommen für viele Unternehmen zusätzliche Anforderungen an die IT-Sicherheit. Wer im Bereich kritischer Infrastrukturen tätig ist oder Zulieferer solcher Unternehmen ist, sollte prüfen, ob NIS2 relevant ist.9 Auch Subunternehmen im Rhein-Sieg-Kreis, die für Betreiber kritischer Infrastruktur arbeiten, können in den Anwendungsbereich fallen.
Backups: Die Absicherung, die Microsoft nicht übernimmt
Hier ein Punkt, der selbst erfahrene IT-Verantwortliche manchmal überrascht: Microsoft sichert die Infrastruktur, erstellt aber keine detaillierten Sicherungskopien deiner Inhalte im Sinne einer Wiederherstellungslösung für versehentlich gelöschte Daten oder Ransomware-Verschlüsselung.10 Exchange Online hält gelöschte Elemente für begrenzte Zeit in einem Ordner für wiederherstellbare Elemente, aber das ist keine vollständige Datensicherung und hat klare Grenzen.
Wer Microsoft 365 absichern will, braucht deshalb eine separate Backup-Lösung für Exchange, SharePoint, OneDrive und Teams. Es gibt mehrere spezialisierte Anbieter, die genau das liefern und DSGVO-konform in europäischen Rechenzentren betreiben. Das ist kein Luxus, das ist Grundhygiene.
Microsoft 365 absichern – Welche Lizenz reicht wirklich aus?
Eine Frage, die ich fast bei jedem Erstgespräch höre: Muss ich wirklich auf Business Premium upgraden, oder reicht Business Standard? Die ehrliche Antwort: Das kommt darauf an, wie ernsthaft du Microsoft 365 absichern willst.
Business Standard enthält Exchange, Teams, SharePoint und die Office-Apps, aber kaum nennenswerte Sicherheitsfunktionen jenseits des Basisschutzes. Wer Microsoft 365 absichern will und dabei auf Conditional Access, Microsoft Defender for Office 365 oder Intune angewiesen ist, braucht Business Premium. Das kostet mehr, liefert aber die Werkzeuge, die eine echte Sicherheitsarchitektur erst möglich machen.
Für Unternehmen mit erhöhtem Schutzbedarf, zum Beispiel Steuerberater, Anwaltskanzleien oder Medizindienstleister im Raum Köln und Bonn, können sogar Microsoft-365-E3- oder E5-Lizenzen sinnvoll sein. Dort sind zusätzlich Purview-Funktionen, erweitertes Überwachungsprotokoll und Microsoft Defender for Identity enthalten. IT-Deol analysiert im Rahmen des Sicherheitschecks, welche Lizenz zum tatsächlichen Schutzbedarf passt, ohne mehr zu empfehlen als nötig.
Gastkonten und externe Zusammenarbeit sicher gestalten
Gastkonten in Microsoft 365 sind ein eigenes Kapitel. Wenn du Externe in Teams-Kanäle einlädst oder SharePoint-Dateien mit Kunden teilst, entstehen B2B-Gastkonten im Azure Active Directory. Diese Konten sind oft gar nicht im Blick, wenn Unternehmen Microsoft 365 absichern wollen, dabei können sie echte Risiken darstellen.
Gastkonten, die nie abgelaufen sind, weil das Projekt längst beendet ist. Gastzugänge für Personen, die das Unternehmen verlassen haben. Externe, die mehr Berechtigungen haben, als sie für ihre Aufgabe brauchen. IT-Deol empfiehlt, Gastkonten regelmäßig im Azure-Portal zu überprüfen und Zugriffsüberprüfungen einzusetzen, die automatisiert prüfen, ob ein Zugang noch berechtigt ist. Das ist eine der einfachsten Maßnahmen mit dem höchsten Wirkungsgrad, wenn es darum geht, Microsoft 365 absichern als laufenden Prozess zu verstehen und nicht als einmalige Konfigurationsaufgabe. Und genau das ist der Unterschied zwischen Unternehmen, die Microsoft 365 absichern wirklich ernst nehmen, und denen, die es auf der Aufgabenliste haben.
Was ein regionaler IT-Dienstleister leistet, was ein Ferndienstleister nicht kann
Microsoft 365 ist eine Cloud-Plattform, die sich im Prinzip von überall konfigurieren lässt. Warum sollte es also einen Unterschied machen, ob der IT-Dienstleister in Lohmar sitzt oder in Hamburg?
In der Praxis macht es einen Unterschied. Nicht bei der Konfiguration im Admin Center, die läuft per Fernzugriff. Aber bei den Gesprächen davor und danach. Wenn ein Sicherheitsvorfall passiert, möchte man nicht in einer Warteschleife sitzen. Man möchte, dass jemand, der das Unternehmen kennt, schnell greifbar ist. IT-Deol betreut Kunden im Raum Köln, Bonn und dem Rhein-Sieg-Kreis seit Jahren und kennt die typischen Strukturen mittelständischer Betriebe in dieser Region, von der Fertigungshalle in Troisdorf bis zur Kanzlei am Bonner Marktplatz.
Dazu kommt: Wer die Branche und die typischen Geschäftsprozesse kennt, kann Sicherheitsrichtlinien sinnvoll kalibrieren. Ein zu restriktiv konfiguriertes Microsoft 365 wird von den Nutzern umgangen, indem sie auf private E-Mail-Konten ausweichen oder Dateien über Privatgeräte teilen. Das macht die Situation schlechter. Das richtige Maß zu finden, braucht Kontext, den ein Dienstleister vor Ort besser hat.
Erste Schritte – Was du diese Woche tun kannst, um Microsoft 365 absichern anzugehen
Microsoft 365 absichern muss kein monatelanges Projekt sein. Es gibt Maßnahmen, die innerhalb weniger Stunden umgesetzt sind und sofort einen spürbaren Unterschied machen. MFA für alle Konten erzwingen ist der erste Schritt. Den Secure Score im Defender-Portal aufrufen und die kritischen Empfehlungen identifizieren, der zweite. Einen Überblick über aktive externe Freigaben in SharePoint verschaffen, der dritte.
Das Gespräch mit dem IT-Dienstleister lohnt sich parallel dazu: Wann wurde der Mandant zuletzt aus einer Sicherheitsperspektive bewertet? Gibt es ein aktives Monitoring der Protokolldaten? Ist eine externe Backup-Lösung im Einsatz? Wenn auf diese Fragen keine klaren Antworten kommen, ist das ein Signal.
IT-Deol bietet für Unternehmen im Raum Köln und Bonn einen Microsoft-365-Sicherheitscheck an, der genau diese Punkte strukturiert durchleuchtet. Kein Pauschalbefund, sondern eine Auswertung des konkreten Mandanten mit priorisierten Handlungsempfehlungen. Wer wissen möchte, wo er beim Thema Microsoft 365 absichern steht, findet dort einen sinnvollen Einstieg.
FAQ HTML
Häufige Fragen zum Thema
Wer ist dafür verantwortlich, dass unsere Unternehmensdaten in der Cloud sicher sind?
Die Verantwortung ist geteilt. Der Anbieter schützt die Infrastruktur. Alles andere, also Konten, Zugriffsrechte, Freigaben und Konfiguration, liegt beim Unternehmen selbst. Das ist das Shared-Responsibility-Modell, das auch für Microsoft 365 gilt. Wer Microsoft 365 absichern will, muss diesen Teil aktiv übernehmen.
Was passiert, wenn jemand unsere Geschäfts-E-Mails übernimmt?
Ein Angreifer richtet stille Weiterleitungsregeln ein und liest Monate lang mit, ohne dass es auffällt. Er schlägt dann zu, wenn eine Zahlung oder ein Vertragsabschluss ansteht. Das BSI bezeichnet genau diesen Angriffsweg als eine der gefährlichsten Bedrohungen für KMU. Wenn du Microsoft 365 absichern willst, ist die Absicherung von Postfächern der erste Pflichtschritt.
Reicht es, wenn unsere Mitarbeitenden ein starkes Passwort verwenden?
Nein. Professionelle Angreifer stehlen heute Sitzungstoken direkt aus dem Browser, ohne das Passwort überhaupt zu kennen. Mehrfaktor-Authentifizierung hilft in vielen Fällen, greift aber beim sogenannten Token-Diebstahl ebenfalls nicht. Microsoft 365 absichern erfordert deshalb mehrere Schutzebenen gleichzeitig.
Warum ist unsere Cloud-Lizenz keine Garantie für Sicherheit?
Microsoft 365 ist in den Standardeinstellungen auf Nutzungskomfort optimiert, nicht auf Sicherheit. Wer die Plattform nicht aktiv konfiguriert, lässt einen großen Teil des verfügbaren Schutzes ungenutzt. Das zeigt sich beim Secure Score, der bei vielen Unternehmen beim ersten Blick unter 40 von 100 liegt. Microsoft 365 absichern bedeutet, diese Einstellungen gezielt zu schärfen.
Welche Apps und Zugriffe sind in unserem Microsoft-365-Konto eigentlich aktiv?
In den meisten Unternehmen weiß das niemand genau. Drittanbieter-Apps, die Mitarbeitende irgendwann einmalig verbunden haben, können dauerhaft auf Postfächer, Kalender und Dateien zugreifen. Das ist einer der häufigsten blinden Flecken, wenn Betriebe Microsoft 365 absichern wollen.
Was ist zu tun, wenn wir SharePoint-Dateien mit externen Partnern teilen?
Externe Freigaben sollten immer mit einem Ablaufdatum versehen werden. Ohne dieses Datum läuft der Zugriff nach Projektende einfach weiter. Ein regelmäßiger Blick in die Freigabeberichte im Admin Center zeigt, wer aktuell Zugriff hat. Wer Microsoft 365 absichern will, macht das zur festen Routine, nicht zur Ausnahme.
Macht es einen Unterschied, ob unsere Mitarbeitenden mit privaten oder mit Firmengeräten arbeiten?
Einen erheblichen. Auf privaten Geräten fehlen Unternehmensrichtlinien, aktuelle Patches und oft jede Kontrolle über installierte Software. Microsoft 365 absichern schließt deshalb immer auch die Endpunkte ein, von denen aus auf die Plattform zugegriffen wird.
Was sichert Microsoft von unseren Daten, und was müssen wir selbst sichern?
Microsoft sichert die Infrastruktur. Für die eigentlichen Inhalte, also E-Mails, SharePoint-Dokumente, Teams-Daten, ist eine separate Backup-Lösung notwendig. Ohne die hat man im Fall von Ransomware oder versehentlichem Löschen kein vollständiges Rücksicherungsnetz. Das gehört zu den Grundlagen, wenn Unternehmen Microsoft 365 absichern.
Ab welcher Lizenzstufe bekomme ich die wichtigsten Sicherheitsfunktionen?
Viele der wirkungsvollsten Werkzeuge, darunter Conditional Access, Microsoft Defender for Office 365 und Intune, sind erst ab dem Business-Premium-Plan verfügbar. Wer mit einem günstigeren Plan startet und ernsthaft Microsoft 365 absichern will, stößt dort schnell an Grenzen.
Warum lohnt sich ein lokaler IT-Dienstleister für dieses Thema?
Weil die Konfiguration allein nicht reicht. Wer Microsoft 365 absichern will, braucht jemanden, der die Sicherheitsrichtlinien so kalibriert, dass sie zum Unternehmen passen, und der im Ernstfall schnell greifbar ist. Ein regionaler IT-Dienstleister kennt die typischen Strukturen der Betriebe vor Ort und kann beides liefern.
