Inhabergeführt aus Fahrdorf bei Schleswig
info@dekom.it04635 – 40 30003

Microsoft 365 sicher konfigurieren:
MFA allein reicht nicht.

Microsoft 365 ist in vielen KMU das Herzstück der IT: E-Mail, Dateien, Teams, Kalender – alles drin. Umso wichtiger ist eine saubere Sicherheitskonfiguration. Dieser Ratgeber erklärt, was KMU wirklich absichern müssen und wo die typischen Fehler liegen.

M365-Konfiguration prüfen lassen 04635 – 40 30003
99%
der Konten-Hacks verhinderbar durch MFA
Microsoft-Backup ≠ Ihr Backup
6+
häufige Konfigurationsfehler
100%
DSGVO-relevante Einstellungen
MFA & Conditional Access
Rollen & Rechte korrekt
M365-Backup eingerichtet
DSGVO-konform konfiguriert
Ratgeber

Warum die Standardeinstellungen von M365 nicht sicher genug sind

Microsoft 365 wird in der Regel mit Grundeinstellungen ausgeliefert, die auf breite Nutzbarkeit optimiert sind – nicht auf maximale Sicherheit. Wer sein Tenant einfach einrichtet und loslegt, öffnet damit Türen, die besser geschlossen bleiben sollten.

Das bedeutet nicht, dass Microsoft unsicher wäre. Im Gegenteil: M365 bietet hervorragende Sicherheitswerkzeuge. Aber diese Werkzeuge müssen aktiviert, konfiguriert und regelmäßig überprüft werden. Genau daran scheitern viele kleinere Unternehmen – nicht aus Sorglosigkeit, sondern weil niemand erklärt hat, was konkret zu tun ist.

Dieser Ratgeber gibt Ihnen eine klare Orientierung zu den wichtigsten Sicherheitsbausteinen: MFA, Conditional Access, Rollen und Rechte, Backup sowie häufige Konfigurationsfehler, die wir in der Praxis regelmäßig sehen.

Mehr-Faktor-Authentifizierung (MFA): der wichtigste erste Schritt

MFA ist der effektivste einzelne Schutzmechanismus, den Sie in Microsoft 365 aktivieren können. Studien von Microsoft selbst zeigen, dass MFA über 99 % der auf Passwörtern basierenden Kontoangriffe verhindert.

Das Prinzip: Neben dem Passwort muss bei der Anmeldung ein zweiter Faktor bestätigt werden – üblicherweise per Microsoft Authenticator App, alternativ per SMS oder Hardware-Token. Selbst wenn ein Angreifer das Passwort kennt (durch Phishing, Datenleck oder Brute-Force), kommt er ohne das zweite Gerät nicht rein.

In der Praxis sollten Sie folgendes sicherstellen:

  • MFA für alle Konten aktivieren – nicht nur für Admins. Normale Nutzerkonten sind das häufigste Einfallstor.
  • Den Microsoft Authenticator gegenüber SMS bevorzugen: SMS-Codes lassen sich unter Umständen umleiten.
  • Für Admin-Konten besonders strenge Einstellungen: Eigene Admin-Konten ohne reguläre Nutzung, kein gemeinsames Admin-Konto für mehrere Personen.
  • Legacy-Authentifizierungsprotokolle (Basic Auth) deaktivieren – ältere Protokolle umgehen MFA vollständig.

Conditional Access: Zugriff an Bedingungen knüpfen

Conditional Access (Bedingter Zugriff) ist ein leistungsstarkes Werkzeug, das ab Microsoft 365 Business Premium oder mit einem entsprechenden Azure-AD-Add-on verfügbar ist. Es erlaubt, den Zugang zu M365 an spezifische Bedingungen zu knüpfen.

Typische Richtlinien, die KMU einrichten sollten:

  • Ländersperre: Zugriff nur aus Deutschland (oder definierten Ländern) erlauben. Ein Login aus einem unbekannten Land ist ein starkes Signal für ein kompromittiertes Konto.
  • Gerätekomplianz: Zugriff nur von Geräten, die als „compliant" im Intune-Geräteverwaltung eingestuft sind – d. h. aktuelle Updates, Festplattenverschlüsselung aktiv.
  • Risiko-basierter Zugriff: Wenn Microsoft Anomalien erkennt (ungewöhnliche Anmeldezeiten, unbekannte IP), wird MFA erneut erzwungen oder der Zugriff blockiert.
  • Kein Dauerzugriff ohne Reauthentifizierung: Sessions regelmäßig ablaufen lassen, besonders auf nicht verwalteten Geräten.

Conditional Access erfordert Planung: Zu restriktive Regeln können legitime Nutzer aussperren. Wir empfehlen, neue Richtlinien zunächst im „Report-only"-Modus zu testen, bevor sie aktiv geschaltet werden.

Die häufigsten M365-Sicherheitsfehler in KMU

  • MFA nur für Admins aktiviert, nicht für alle Nutzer
  • Kein separates Admin-Konto – Admins arbeiten täglich mit ihrem privilegierten Konto
  • Ehemalige Mitarbeiter-Konten nicht deaktiviert oder gelöscht
  • Zu viele Nutzer mit globaler Admin-Rolle – nach dem Prinzip der minimalen Rechte arbeiten
  • Kein M365-Backup eingerichtet – „Microsoft macht das schon" ist ein Irrtum
  • Externe Freigaben in SharePoint/OneDrive ohne Einschränkungen – jeder mit Link kann zugreifen
  • Legacy-Authentifizierung nicht deaktiviert – MFA wird dadurch umgangen
  • Keine Überwachung der Audit-Logs und Security-Alerts

Rollen und Rechte: das Prinzip der minimalen Berechtigung

In Microsoft 365 gibt es eine Vielzahl von Administrator-Rollen mit unterschiedlichen Berechtigungen: von der globalen Admin-Rolle über Exchange-Admin bis hin zu Helpdesk-Admin oder Teams-Admin. Viele Unternehmen arbeiten nach dem Muster „alle Admins bekommen Global Admin" – das ist bequem, aber gefährlich.

Warum das ein Problem ist: Ein kompromittiertes Global-Admin-Konto gibt dem Angreifer vollständige Kontrolle über Ihr gesamtes M365-Tenant: alle E-Mails, alle Dateien, alle Nutzer. Häufig werden solche Angriffe genutzt, um im Hintergrund Weiterleitung aller E-Mails einzurichten – wochenlang unbemerkt.

Bessere Praxis:

  • Mindestens zwei Global-Admin-Konten einrichten – für den Notfall, wenn eines gesperrt wird. Diese Konten nur für administrative Aufgaben nutzen, nicht täglich.
  • Für alltägliche Admin-Aufgaben spezifische Rollen vergeben: Exchange-Admin für E-Mail-Verwaltung, User-Admin für Nutzeranlage, usw.
  • Privileged Identity Management (PIM) nutzen, wenn verfügbar: Admin-Rollen nur „just in time" aktivieren, nicht dauerhaft.
  • Regelmäßig prüfen, wer welche Rechte hat – besonders nach Mitarbeiterwechseln.

Microsoft 365 Backup: der kritische blinde Fleck

Dies ist der Punkt, der die meisten Unternehmen überrascht: Microsoft sichert Ihre Daten nicht so, wie die meisten es erwarten.

Was Microsoft macht: Die Plattform-Infrastruktur wird von Microsoft redundant betrieben. Es gibt Papierkorb-Funktionen und limitierte Versionierungen. Aber: Diese sind auf kurzfristige Wiederherstellung kleiner Versehen ausgelegt, nicht auf vollständige Datensicherung gegen Ransomware, versehentliches Löschen größerer Mengen oder gezielte Manipulation durch Insider.

Konkrete Szenarien, für die Microsoft-Bordmittel oft nicht ausreichen:

  • Ransomware verschlüsselt OneDrive-Inhalte – die Synchronisation überträgt die verschlüsselte Version in die Cloud
  • Ein Mitarbeiter löscht versehentlich einen großen SharePoint-Ordner und die Aufbewahrungsfrist ist abgelaufen
  • Ein ausgeschiedener Mitarbeiter löscht gezielt Daten, bevor sein Konto gesperrt wird
  • E-Mail-Archiv muss für rechtliche Zwecke über viele Jahre unveränderlich aufbewahrt werden

Die Lösung: Ein eigenes M365-Backup über einen spezialisierten Dienst (Drittanbieter-Backup für Exchange Online, SharePoint, OneDrive und Teams). Gute Lösungen sichern täglich, halten Daten über Jahre vor und ermöglichen granulare Wiederherstellung einzelner Elemente. Mehr zum Thema Backup-Strategie lesen Sie in unserem Ratgeber zur 3-2-1-Backup-Strategie.

Externe Freigaben und E-Mail-Weiterleitungen im Griff behalten

Zwei weitere Einstellungen, die in der Praxis regelmäßig übersehen werden:

Externe Freigaben in SharePoint und OneDrive

Standardmäßig können Nutzer in vielen M365-Konfigurationen Dateien per Link mit beliebigen externen Personen teilen – ohne Anmeldung, ohne Ablaufdatum. Das ist komfortabel, aber aus Datenschutzsicht problematisch. Empfehlung: Externe Freigaben auf authentifizierte externe Nutzer beschränken und Links mit Ablaufdatum versehen.

Automatische E-Mail-Weiterleitung

Ein klassisches Angriffsmuster: Kompromittiertes Konto, Weiterleitung aller eingehenden E-Mails an externe Adresse einrichten, Weiterleitung verbergen. Das Ziel ist oft Wirtschaftsspionage oder Vorbereitung von CEO-Fraud. Schützen Sie sich durch eine Richtlinie, die automatische externe Weiterleitungen grundsätzlich blockiert oder nur für zugelassene Adressen erlaubt.

Häufige Fragen zur M365-Sicherheitskonfiguration

Nein – zumindest nicht so, wie die meisten Nutzer es erwarten. Microsoft sichert die Plattform-Infrastruktur ab, nicht Ihre individuellen Daten im Sinne einer Wiederherstellung nach Versehen oder Angriff. Gelöschte E-Mails, versehentlich überschriebene Dokumente oder durch Ransomware verschlüsselte OneDrive-Inhalte lassen sich ohne eigenes Backup oft nicht vollständig wiederherstellen.
MFA bedeutet, dass bei der Anmeldung neben dem Passwort ein zweiter Faktor benötigt wird – z. B. eine Bestätigung per App oder ein SMS-Code. Passwörter werden regelmäßig durch Phishing oder Datenlecks gestohlen. Mit MFA nützt ein gestohlenes Passwort dem Angreifer nichts, solange er nicht auch das zweite Gerät kontrolliert.
Conditional Access (Bedingter Zugriff) ermöglicht es, den Zugang zu M365 an Bedingungen zu knüpfen: z. B. nur von bestimmten Geräten, nur aus bestimmten Ländern, nur mit kompatiblem Betriebssystem. Damit lassen sich typische Angriffsszenarien (Anmeldung aus unbekanntem Land, nicht verwaltetes Gerät) automatisch blockieren.
Conditional Access ist ab Microsoft 365 Business Premium oder mit einem Azure AD P1-Plan verfügbar. Wer M365 Business Basic oder Standard nutzt, hat diese Funktion nicht automatisch dabei. Für viele KMU lohnt sich das Upgrade auf Business Premium allein wegen der Sicherheitsfunktionen.

Wie DEKOM.IT Microsoft 365 für Sie absichert

Eine saubere M365-Konfiguration ist kein einmaliges Projekt, sondern laufende Pflege. Microsoft veröffentlicht regelmäßig neue Sicherheitsfunktionen und passt Empfehlungen an. Was heute als Best Practice gilt, kann in einem Jahr bereits überholt sein.

Unser Leistungsumfang für Microsoft 365 umfasst:

  • Initiale Sicherheitsanalyse Ihres bestehenden M365-Tenants
  • Einrichtung und Härtung von MFA für alle Nutzer
  • Aufbau und Konfiguration von Conditional-Access-Richtlinien passend zu Ihrer Infrastruktur
  • Überprüfung und Bereinigung von Rollen und Rechten nach dem Least-Privilege-Prinzip
  • Einrichtung eines separaten M365-Backups für Exchange, SharePoint, OneDrive und Teams
  • Regelmäßige Überprüfung der Sicherheitseinstellungen im Rahmen der laufenden IT-Betreuung

Mehr zu unserem Leistungsbereich finden Sie auf der Microsoft-365-Leistungsseite und bei unserer IT-Sicherheit.

M365-Check

Wie sicher ist Ihre M365-Konfiguration?

Wir prüfen Ihren Microsoft-365-Tenant auf die wichtigsten Sicherheitslücken und geben Ihnen eine klare, priorisierte Empfehlung. Kostenlos und ohne Verpflichtung – für Unternehmen in Schleswig, Flensburg, Rendsburg und ganz Schleswig-Holstein.

So erreichen Sie uns

  • M365-Tenant-Analyse mit klarem Bericht
  • Priorisierte Handlungsempfehlungen
  • Kostenlos & unverbindlich
Kostenlos & unverbindlich. Antwort innerhalb von 24 Stunden.
Passend dazu

Weiterführende Seiten

LeistungMicrosoft 365Einrichtung, Migration und laufende Betreuung. LeistungIT-SicherheitMehrschichtiger Schutz für Ihr Unternehmen. RatgeberDie 3-2-1-Backup-RegelDatensicherung richtig verstehen und umsetzen. RatgeberPhishing erkennen7 Warnsignale für Ihr Team. LeistungBackup & RecoveryGetestete Datensicherung nach der 3-2-1-Regel. RatgeberWas kostet IT-Betreuung?Kostenmodelle und Einflussfaktoren im Überblick.
M365 sicher konfiguriert? Kostenloser Tenant-Check.
Anrufen Check anfragen