Warum Microsoft 365 Security kritisch ist
Microsoft 365 verarbeitet in den meisten Unternehmen:
- E-Mails (Exchange Online) – Haupteinfallstor für Phishing
- Dateien (SharePoint, OneDrive) – Unternehmensdaten in der Cloud
- Kommunikation (Teams) – Interne und externe Zusammenarbeit
- Identitäten (Azure AD/Entra ID) – Zugangssteuerung zu allen Diensten
80% aller Cyberangriffe beginnen mit kompromittierten Zugangsdaten oder Phishing-E-Mails. Microsoft 365 ist daher ein primäres Angriffsziel.
Die 10 wichtigsten Security-Maßnahmen
1. Multi-Faktor-Authentifizierung (MFA) für alle Benutzer
Ein zusätzlicher Authentifizierungsfaktor neben dem Passwort. Microsoft bestätigt, dass MFA 99,9% aller Konto-Kompromittierungen verhindert.
| MFA-Methode | Sicherheitsstufe | Empfehlung |
|---|---|---|
| Microsoft Authenticator App | Hoch | ✅ Empfohlen |
| FIDO2 Security Key | Sehr hoch | ✅ Für Admins |
| SMS | Niedrig | ⚠️ Nur als Fallback |
| E-Mail-Code | Niedrig | ❌ Nicht verwenden |
Umsetzung: Security Defaults aktivieren (kostenlos) oder Conditional Access mit Authenticator App nutzen.
2. Conditional Access Policies einrichten
Kontextabhängige Zugriffsregeln basierend auf Standort, Gerät, Risiko und Anwendung.
Wichtige Policies:
- Legacy-Authentifizierung blockieren – IMAP/POP3 umgehen MFA
- Geräte-Compliance erzwingen – Nur verwaltete Geräte erlauben
- Risiko-basierte Richtlinien – Zusätzliche Verifizierung bei verdächtigen Anmeldungen
- Standort-basierte Einschränkungen – Zugriff aus Hochrisiko-Ländern blockieren
Lizenz: Microsoft 365 Business Premium oder E3/E5
3. Microsoft Defender for Office 365 konfigurieren
Erweiterter Schutz vor Phishing, Malware und bösartigen Links.
Kernfunktionen:
- Safe Attachments – Sandboxing verdächtiger Anhänge
- Safe Links – URL-Prüfung zum Klick-Zeitpunkt
- Anti-Phishing-Policies – Schutz vor Impersonation und Spoofing
Empfehlung: Strict-Preset-Policy verwenden, Safe Links für E-Mails UND Teams aktivieren.
4. Privileged Access Management (PAM)
Minimierung und Kontrolle von Admin-Rechten.
Best Practices:
- Separate Admin-Konten – Keine tägliche Arbeit mit Global Admin
- Just-in-Time Access – Admin-Rechte nur bei Bedarf (Azure AD PIM)
- Mindestens 2, maximal 4 Global Admins – Microsoft-Empfehlung
- Break-Glass-Konten – Notfall-Zugang ohne MFA (streng überwacht)
5. Datenverlustprävention (DLP) einsetzen
Automatische Erkennung und Schutz sensibler Daten.
Typische DLP-Regeln:
- Kreditkartennummern nicht per E-Mail versenden
- IBAN-Nummern in externen Freigaben blockieren
- Personalausweisnummern markieren
Vorgehensweise: Policies im Audit-Modus starten, nach 2-4 Wochen auf Enforce umstellen.
6. E-Mail-Authentifizierung (SPF, DKIM, DMARC)
Schutz vor E-Mail-Spoofing Ihrer Domain.
| Protokoll | Funktion |
|---|---|
| SPF | Autorisierte Sender definieren |
| DKIM | Digitale Signatur für E-Mails |
| DMARC | Anweisung bei SPF/DKIM-Versagen |
Empfehlung: DMARC mit p=quarantine starten, nach Monitoring auf p=reject umstellen.
7. Audit-Logs aktivieren und überwachen
Aufzeichnung aller Benutzer- und Admin-Aktivitäten.
Wichtige Log-Quellen:
- Unified Audit Log – Alle Microsoft 365-Aktivitäten
- Azure AD Sign-in Logs – Anmeldeversuche und -fehler
- Mailbox Audit Log – E-Mail-Zugriffe
Aufbewahrung: Standard 90 Tage, erweitert 1 Jahr (E5-Lizenz). SIEM-Integration empfohlen.
8. Mobile Device Management (MDM) mit Intune
Verwaltung und Absicherung von Mobilgeräten.
Mindestanforderungen:
- Bildschirmsperre mit PIN/Biometrie
- Verschlüsselung aktiviert
- Kein Jailbreak/Root
- Aktuelles Betriebssystem
App Protection Policies ermöglichen Schutz ohne vollständiges MDM.
9. SharePoint und OneDrive absichern
Einstellungen prüfen:
- Externe Freigabe auf "Bestehende Gäste" beschränken
- Anonyme Links deaktivieren oder mit Ablaufdatum
- Sync auf nicht verwalteten Geräten blockieren
- Versionsverlauf: Mind. 100 Versionen (Ransomware-Schutz)
Sensitivity Labels für automatische Verschlüsselung vertraulicher Dateien.
10. Regelmäßige Security-Reviews
Microsoft-Tools nutzen:
- Secure Score – Bewertung der Security-Konfiguration (Ziel: >80%)
- Identity Secure Score – Fokus auf Identitätsschutz
- Compliance Manager – Regulatorische Anforderungen
| Aktivität | Frequenz |
|---|---|
| Secure Score prüfen | Wöchentlich |
| Admin-Rollen reviewen | Monatlich |
| Conditional Access Policies | Quartalsweise |
| Vollständiger Security-Audit | Jährlich |
Häufige Fehler vermeiden
- ❌ MFA nur für Admins – Alle Benutzer benötigen MFA
- ❌ Legacy-Protokolle aktiv – IMAP/POP3 deaktivieren
- ❌ Standard-Freigabeeinstellungen – Externe Freigabe einschränken
- ❌ Keine Audit-Logs – Unified Audit Log muss aktiviert sein