Microsoft 365 ist die produktive Mitte vieler KMU: E-Mail, Teams, SharePoint, OneDrive — alles läuft darüber. Genau das macht es zum attraktivsten Angriffsziel. Kompromittierte M365-Konten sind der häufigste Einstiegspunkt für Ransomware-Angriffe und Business-E-Mail-Compromise. Die gute Nachricht: Die meisten kritischen Sicherheitsmaßnahmen sind in jedem M365-Plan verfügbar — und kosten keine zusätzliche Lizenz. Die schlechte Nachricht: Sie sind nicht standardmäßig aktiviert.
Dieser Artikel folgt dem Crawl-Walk-Run-Framework, das auch Blumira und die offiziellen Microsoft-Empfehlungen verwenden: zuerst das Wichtigste, dann die Verbesserungen, dann die fortgeschrittenen Maßnahmen.
Crawl: Sofort umsetzbar — kein Budget nötig
Diese Maßnahmen sollten in keinem M365-Tenant fehlen. Sie lassen sich innerhalb weniger Stunden umsetzen und schließen die größten Sicherheitslücken.
MFA für alle Konten erzwingen
Multi-Faktor-Authentifizierung ist der einzeln wirksamste Schutz gegen kompromittierte Passwörter. Laut Microsoft verhindert MFA über 99% der automatisierten Angriffe auf Konten. Die Priorisierung der MFA-Methoden:
- FIDO2-Sicherheitsschlüssel (z.B. YubiKey) — phishing-resistent, höchste Sicherheit
- Passkeys — gerätgebundene Authentifizierung ohne Passwort
- Microsoft Authenticator App — bequem, solide Sicherheit
- SMS/Telefon — nur als Notfalloption, anfällig für SIM-Swapping
SMS als primäre MFA-Methode gilt seit 2023 als veralteter Standard. Wer noch überall SMS einsetzt, sollte auf die Authenticator App migrieren. Für Admins empfehlen sich FIDO2-Schlüssel als Pflicht, nicht als Option.
Legacy-Authentifizierung blockieren
Protokolle wie POP3, IMAP und SMTP Auth unterstützen kein MFA — wer sie nutzt, umgeht damit alle modernen Sicherheitskontrollen. In einer von Microsoft durchgeführten Analyse stammten über 97% aller Credential-Stuffing-Angriffe von Clients, die Legacy-Auth verwendeten. Das Blockieren dieser Protokolle ist eine der wirkungsvollsten Maßnahmen überhaupt. Im Microsoft 365 Admin Center unter "Authentifizierungsrichtlinien" lässt sich Legacy Auth global oder selektiv sperren.
Admin-Konten trennen
Administrative Accounts dürfen nicht für die tägliche Arbeit verwendet werden. Jeder Administrator braucht ein dediziertes Admin-Konto (z.B. a-mustermann@domain.de) ohne Mailbox, und ein separates reguläres Konto für E-Mail und Office. So sind gespeicherte Zugangsdaten im Browser, Phishing-E-Mails und Drive-by-Downloads kein direktes Risiko für die Admin-Ebene.
Security Defaults oder Conditional Access aktivieren
Microsoft stellt in jedem Tenant kostenlos die "Security Defaults" bereit — ein Basispaket aus MFA-Pflicht, blockierter Legacy-Auth und Admin-MFA. Für Tenants ohne Premium-Lizenzen ist das der erste Schritt. Wer Microsoft 365 Business Premium oder Azure AD P1 hat, sollte stattdessen direkt Conditional Access Policies konfigurieren — deutlich flexibler und präziser steuerbar.
Walk: Mittelfristig — systematische Härtung
Mit diesen Maßnahmen bauen Sie auf dem Fundament auf und erhöhen die Sicherheit erheblich. Viele davon erfordern Microsoft 365 Business Premium oder entsprechende Add-ons.
Conditional Access: Die Grundregeln
Conditional Access ist das Herzstück einer modernen M365-Sicherheitsarchitektur. Die wichtigsten Policies für KMU:
- Riskante Anmeldungen blockieren: Microsoft Identity Protection bewertet jede Anmeldung mit einem Risikowert. Anmeldungen aus unbekannten Ländern, anonymen IPs oder mit ungewöhnlichem Verhaltensmuster werden automatisch blockiert oder zu zusätzlicher Verifizierung aufgefordert.
- Compliant Devices erzwingen: Nur Geräte, die über Intune als "konform" eingestuft sind, dürfen auf Unternehmensdaten zugreifen. BYOD ohne MDM-Registrierung — kein Zugriff.
- Privilegierte Rollen absichern: Für globale Admins, SharePoint-Admins und Exchange-Admins sollte MFA immer und ausnahmslos erzwungen werden — unabhängig von Standort oder Gerät.
Defender for Office 365: Safe Links und Safe Attachments
Microsoft Defender for Office 365 Plan 1 (in Business Premium enthalten) bietet zwei kritische Funktionen: Safe Links scannt URLs in E-Mails und Teams-Nachrichten in Echtzeit — auch wenn der Link erst nach der Zustellung aktiviert wird. Safe Attachments öffnet E-Mail-Anhänge in einer virtuellen Sandbox, bevor sie zugestellt werden. Beide Features sind standardmäßig deaktiviert und müssen im Microsoft Defender Admin Center explizit eingerichtet werden. Laut Reco zählen diese beiden Controls zu den effektivsten Maßnahmen gegen Phishing und Malware in M365.
Microsoft Purview: Sensitivity Labels und DLP
Data Loss Prevention verhindert, dass vertrauliche Daten das Unternehmen unkontrolliert verlassen. Sensitivity Labels klassifizieren Dokumente und E-Mails nach Vertraulichkeitsstufe — "Intern", "Vertraulich", "Streng vertraulich" — und erzwingen automatisch die passenden Schutzmaßnahmen: Verschlüsselung, Wasserzeichen, Einschränkung der Weitergabe. Für Unternehmen mit NIS2- oder ISO 27001-Pflichten ist ein funktionierendes DLP-Konzept keine optionale Übung, sondern normative Anforderung (Data Leakage Prevention, Annex A Control 8.12 in ISO 27001:2022).
Intune MDM: Gerätemanagement
Microsoft Intune (ebenfalls in Business Premium enthalten) ermöglicht die zentrale Verwaltung aller Endgeräte — Windows, macOS, iOS, Android. Was Intune für die Sicherheit leistet:
- Compliance-Richtlinien: Gerät muss verschlüsselt sein, aktuelles Betriebssystem haben, Antivirenschutz aktiviert haben
- Conditional Access Integration: Nur Intune-verwaltete Geräte erhalten Zugriff auf Exchange und SharePoint
- Remote Wipe: Bei Geräteverlust können Unternehmensdaten aus der Ferne gelöscht werden
- App Protection Policies: Trennung von privaten und beruflichen Daten auf BYOD-Geräten
Run: Fortgeschrittene Maßnahmen
Wer Crawl und Walk abgearbeitet hat, kann mit fortgeschrittenen Maßnahmen die Sicherheitsreife deutlich steigern.
Zero Trust Architecture
Zero Trust bedeutet: kein Gerät und kein Nutzer wird automatisch als vertrauenswürdig eingestuft — weder innerhalb noch außerhalb des Netzwerks. Jeder Zugriff wird einzeln bewertet. Im M365-Kontext: Conditional Access nach dem Least-Privilege-Prinzip, strikte RBAC-Rollen-Zuweisungen, und Just-in-Time-Access für privilegierte Operationen über das Privileged Identity Management (PIM).
Microsoft Secure Score optimieren
Der Secure Score im Microsoft Defender Portal ist eine fortlaufende Bewertung Ihrer Sicherheitskonfiguration auf einer Skala von 0–100. Er zeigt konkret, welche Maßnahmen noch fehlen, und priorisiert sie nach Wirkung. Ein Zielwert von 70+ ist für KMU realistisch und zeigt dem BSI oder einem Auditor, dass ein aktives Sicherheitsmanagement stattfindet.
SIEM-Integration
Für Unternehmen mit NIS2-Pflichten oder erhöhtem Schutzbedarf ist die Integration der Microsoft 365-Logs in ein Security Information and Event Management (SIEM) sinnvoll. Microsoft Sentinel (cloud-nativ) oder lokale SIEM-Lösungen aggregieren Logs aus Azure AD, Exchange, SharePoint und Defender und ermöglichen automatisierte Alarmierung bei verdächtigen Aktivitäten.
Welcher M365-Plan reicht für was?
| Feature | Basic | Standard | Premium |
|---|---|---|---|
| MFA / Security Defaults | ✓ | ✓ | ✓ |
| Anti-Spam, Anti-Malware | ✓ | ✓ | ✓ |
| Defender for Office 365 Plan 1 (Safe Links, Safe Attachments) | — | — | ✓ |
| Conditional Access | — | — | ✓ |
| Intune MDM | — | — | ✓ |
| Microsoft Purview DLP | — | — | ✓ |
Für KMU mit ernsthaften Sicherheitsanforderungen — und dazu zählt fast jedes Unternehmen mit NIS2- oder TISAX-Pflichten — führt kein Weg an Microsoft 365 Business Premium vorbei. Die Mehrkosten gegenüber Standard (ca. 10–12 € pro Nutzer und Monat) amortisieren sich bereits beim ersten verhinderten Sicherheitsvorfall.
Ihr M365-Tenant noch nicht vollständig abgesichert?
Ich führe ein M365 Security Assessment durch, zeige Ihnen genau, wo die Lücken sind, und begleite die Härtung — von den Grundlagen bis zur fortgeschrittenen Konfiguration. Inklusive Schulung für Ihr IT-Team. Starten Sie mit einem kostenlosen Erstgespräch.
Jetzt Kontakt aufnehmen