Microsoft 365 hat sich zum Standard für kollaboratives Arbeiten in mittelständischen Unternehmen entwickelt. Exchange Online, SharePoint, Teams und OneDrive bieten enorme Produktivitätsvorteile – aber auch eine große Angriffsoberfläche. Viele Unternehmen nutzen Microsoft 365 mit den Standard-Einstellungen, ohne die wichtigsten Sicherheitsmaßnahmen zu aktivieren. Das kann teuer werden: Laut Microsoft sind Konten ohne Multi-Faktor-Authentifizierung 99,9 % anfälliger für Kompromittierungen.

In diesem Beitrag zeigen wir die 10 wichtigsten Sicherheitseinstellungen, die jedes Unternehmen in Microsoft 365 aktivieren sollte.

1. Multi-Faktor-Authentifizierung für alle Konten

Die wichtigste Einzelmaßnahme: MFA sollte für alle Benutzerkonten verpflichtend aktiviert sein, insbesondere für Administratoren. Selbst wenn ein Angreifer ein Passwort kennt, kann er sich ohne den zweiten Faktor nicht einloggen. In der Microsoft 365-Verwaltungskonsole lässt sich MFA über Entra ID aktivieren.

2. Conditional Access Policies einrichten

Conditional Access ermöglicht es, den Zugang zu Microsoft 365 an Bedingungen zu knüpfen: nur von verwalteten Geräten, nur aus bestimmten Ländern oder nur nach MFA. Eine Grundrichtlinie, die MFA bei jedem Anmeldeversuch erzwingt, ist ein absolutes Muss.

3. Safe Links und Safe Attachments aktivieren

Microsoft Defender for Office 365 bietet leistungsstarke Schutzfunktionen: Safe Links prüft URLs in Echtzeit, Safe Attachments öffnet Anhänge in einer sicheren Sandbox. Verfügbar ab Microsoft 365 Business Premium – und absolut empfehlenswert.

4. Privileged Identity Management (PIM)

Admin-Rechte sollten nicht permanent vergeben werden. Mit PIM können Rechte nur bei Bedarf und zeitlich begrenzt aktiviert werden. Jede Aktivierung wird protokolliert – volle Transparenz über privilegierte Aktionen.

5. Microsoft Secure Score regelmäßig prüfen

Der Microsoft Secure Score zeigt, wie gut Ihre M365-Umgebung geschützt ist, und schlägt konkrete Verbesserungen vor. Ein einfacher Weg, den Überblick zu behalten und Fortschritte zu messen.

6. Externe E-Mail-Weiterleitung blockieren

Angreifer richten nach Kontocompromittierungen häufig stille Weiterleitungen ein. Über eine Transportregel in Exchange Online lässt sich externe Weiterleitung pauschal blockieren – schnell umgesetzt, große Wirkung.

7. Geräteverwaltung mit Microsoft Intune

Nur konforme Geräte sollten auf Unternehmensdaten zugreifen. Mit Intune definieren Sie Compliance-Anforderungen: Bitlocker-Verschlüsselung, aktueller Virenschutz und aktuelle Windows-Updates als Zugriffsvoraussetzung.

8. SharePoint- und OneDrive-Freigaben kontrollieren

Standardmäßig können Nutzer Dateien mit Externen teilen. Prüfen Sie, ob externe Freigaben notwendig sind, und schränken Sie diese ein. Das SharePoint Admin Center bietet granulare Kontrollmöglichkeiten.

9. Anmeldeprotokolle regelmäßig überwachen

Die Sign-In Logs in Entra ID zeigen fehlgeschlagene Anmeldungen und Logins aus unbekannten Standorten. Mit Alert-Regeln werden Sie automatisch benachrichtigt – frühzeitige Erkennung ist entscheidend.

10. Security Awareness Schulungen etablieren

91 % aller Angriffe beginnen mit einer Phishing-E-Mail. Regelmäßige Schulungen und simulierte Phishing-Tests sensibilisieren Ihre Mitarbeiter nachhaltig. Microsoft bietet mit dem Attack Simulator ein integriertes Tool dafür.

Autor: Michael Kummert, CITSK IT-Systemhaus • Hahnbach, Oberpfalz