Microsoft 365 ist aus dem modernen Arbeitsalltag nicht mehr wegzudenken. Doch die Standard-Konfiguration ist nicht auf Sicherheit optimiert – sie ist auf einfache Nutzung ausgelegt. Das kann gefährlich sein.
In diesem Artikel zeigen wir Ihnen die wichtigsten Sicherheitseinstellungen, die Sie in jedem M365-Tenant aktivieren sollten.
1. Multi-Faktor-Authentifizierung (MFA)
Die wichtigste Maßnahme überhaupt. MFA verhindert über 99% aller Kontoübernahmen – selbst wenn das Passwort kompromittiert wurde.
Microsoft bietet mit „Security Defaults" eine einfache Möglichkeit, MFA für alle Benutzer zu aktivieren. Für mehr Kontrolle empfehlen wir Conditional Access Policies (erfordert Azure AD P1).
💡 Tipp: Verwenden Sie die Microsoft Authenticator App statt SMS. SMS-basierte MFA ist besser als nichts, aber anfällig für SIM-Swapping-Angriffe.
2. Conditional Access einrichten
Mit Conditional Access können Sie den Zugriff auf Microsoft 365 basierend auf verschiedenen Bedingungen steuern:
Standort: Zugriff nur aus Deutschland erlauben
Gerätestatus: Nur von verwalteten Geräten zulassen
App: Legacy-Authentifizierung blockieren
Risiko: Bei verdächtigen Anmeldungen zusätzliche Prüfung verlangen
3. E-Mail-Sicherheit konfigurieren
Exchange Online bietet leistungsfähige Schutzfunktionen, die aber nicht standardmäßig optimal konfiguriert sind:
Anti-Phishing Policies
Aktivieren Sie den erweiterten Phishing-Schutz und konfigurieren Sie Impersonation-Schutz für Ihre wichtigsten Benutzer (Geschäftsführung, Finanzen).
Safe Attachments & Safe Links
Diese Defender-Features scannen Anhänge in einer Sandbox und prüfen Links in Echtzeit – auch nach der Zustellung.
DMARC, DKIM, SPF
Konfigurieren Sie diese DNS-Records, um E-Mail-Spoofing zu verhindern und die Zustellbarkeit Ihrer Mails zu verbessern.
4. Externe Freigaben kontrollieren
SharePoint und OneDrive machen das Teilen von Dateien einfach – manchmal zu einfach. Prüfen Sie diese Einstellungen:
Wer darf extern teilen? (Alle, nur bestimmte Gruppen, niemand)
Welche Domains sind erlaubt/blockiert?
Müssen externe Benutzer sich authentifizieren?
Laufen Freigabe-Links automatisch ab?
5. Audit-Logging aktivieren
Das Unified Audit Log protokolliert alle wichtigen Aktivitäten in Ihrem Tenant. Aktivieren Sie es und behalten Sie die Logs mindestens 90 Tage.
Im Ernstfall ist das Audit Log Gold wert – ohne können Sie nicht nachvollziehen, was passiert ist.
Security-Checkliste für Microsoft 365
- MFA für alle Benutzer aktiviert
- Legacy-Authentifizierung blockiert
- Conditional Access Policies konfiguriert
- Anti-Phishing-Schutz aktiviert
- Safe Attachments & Safe Links aktiv
- DMARC, DKIM, SPF konfiguriert
- Externe Freigaben eingeschränkt
- Audit-Logging aktiviert
- Admin-Konten mit separater MFA
- Secure Score regelmäßig prüfen
Bonus: Microsoft Secure Score
Microsoft bietet mit dem Secure Score ein kostenloses Tool, das Ihren Sicherheitsstatus bewertet und konkrete Verbesserungsvorschläge macht. Finden Sie ihn unter security.microsoft.com.
Ein Score von 80+ ist ein gutes Ziel für die meisten Unternehmen.
Fazit
Microsoft 365 bietet hervorragende Sicherheitsfunktionen – aber sie müssen aktiviert und konfiguriert werden. Die Standard-Einstellungen sind für viele Angriffsvektoren anfällig.
Investieren Sie die Zeit in eine ordentliche Konfiguration. Es ist deutlich günstiger als die Konsequenzen eines erfolgreichen Angriffs.