Microsoft 365 Sicherheit für Unternehmen: Leitfaden für KMU

Dieser Leitfaden richtet sich an Geschäftsführer*innen und IT-Verantwortliche in kleinen und mittelständischen Unternehmen mit 10 bis 150 Arbeitsplätzen. Sie erfahren, welche Risiken in Microsoft 365 bestehen, welche Schutzmaßnahmen wirklich wichtig sind und wann externe Unterstützung sinnvoll ist. Der Fokus liegt auf praxistauglichen Maßnahmen – nicht auf technischen Tiefen.

Kurz gesagt: Microsoft 365 Sicherheit umfasst technische Schutzmaßnahmen wie Multi-Faktor-Authentifizierung und E-Mail-Schutz, die richtige Konfiguration Ihrer Umgebung sowie die Schulung Ihrer Mitarbeiter*innen. Ohne diese drei Säulen bleibt Ihr Unternehmen angreifbar.

Das Wichtigste auf einen Blick:

• Multi-Faktor-Authentifizierung (MFA) verhindert über 99 % aller Kontoübernahmen
• Die Standard-Konfiguration von Microsoft 365 reicht für Unternehmen nicht aus
• Backups bleiben wichtig – Microsoft sichert nicht alle Ihre Daten
• Die Schulung der Mitarbeitenden ist entscheidend gegen Phishing und Social Engineering
• Professionelle Betreuung lohnt sich bei komplexen Anforderungen oder fehlender interner Expertise

Was bedeutet Microsoft 365 Sicherheit für Ihr Unternehmen?

Microsoft 365 Sicherheit basiert auf dem Shared-Responsibility-Modell: Microsoft schützt die Infrastruktur, Ihr Unternehmen ist für Identitäten, Konfiguration und Nutzerverhalten verantwortlich.

Das Shared-Responsibility-Modell teilt die Verantwortung klar auf. Microsoft kümmert sich um die physischen Rechenzentren, die Netzwerk-Infrastruktur und die Verschlüsselung ruhender Daten. Ihr Unternehmen trägt die Verantwortung für Benutzerkonten, Zugriffskontrollen, Gerätesicherheit, E-Mail-Regeln und Backup-Strategien.

Diese Aufteilung wird oft missverstanden. Viele Unternehmen gehen davon aus, dass Microsoft automatisch alle Sicherheitsfunktionen aktiviert und sämtliche Daten sichert. Das stimmt nicht. Eine Studie zeigt, dass 49 % der Unternehmen fälschlicherweise annehmen, Microsoft sichere ihre Tenant-Konfigurationen automatisch.

Die Standard-Einstellungen („Security Defaults”) bieten zwar eine Basis – sie setzen z. B. MFA voraus und blockieren veraltete Authentifizierungsprotokolle. Doch diese Einstellungen sind nicht granular steuerbar. Sie unterscheiden nicht nach Standort, Gerät oder Anwendung. Für Unternehmen mit spezifischen Anforderungen reicht das nicht aus.

Diese Verantwortungsaufteilung bringt konkrete Risiken mit sich, die Sie kennen sollten.

Welche Sicherheitsrisiken bestehen in Microsoft 365?

Die Hauptrisiken für KMU sind Phishing-Angriffe mit Kontoübernahme, Datenverlust durch Fehler oder Löschung, zu weit gefasste Berechtigungen und Angriffe über veraltete Authentifizierungsprotokolle.

Phishing und Credential Theft

Phishing bleibt die häufigste Angriffsform. Angreifende verschicken E-Mails, die Sie auf gefälschte Anmeldeseiten locken. Dort geben Mitarbeiter*innen ihre Zugangsdaten ein – und Angreifende übernehmen das Konto. Manche Angriffe nutzen sogar OAuth-Genehmigungsdialoge oder bösartige Apps, um Zugriff zu erlangen – selbst bei MFA-geschützten Konten. Ein aktueller Bericht zeigt, dass solche Angriffe in über 50 % der Fälle erfolgreich sind.

Legacy-Authentifizierung als Einfallstor

Veraltete Protokolle wie POP3, IMAP oder Basic Authentication sind oft nicht MFA-fähig. Angreifende nutzen diese Schwachstellen gezielt, um Sicherheitsrichtlinien und Conditional Access zu umgehen. Eine Untersuchung aus dem Frühjahr 2025 dokumentierte eine Kampagne, die MFA durch Ausnutzung solcher veralteten Authentifizierungsflüsse vollständig umging.

Überprivilegierte Konten und Anwendungen

Viele Unternehmen vergeben zu großzügige Rechte. Mitarbeiter*innen haben Zugriff auf Daten, die sie für ihre Arbeit nicht benötigen. Administrative Rechte werden zu weit verteilt. Eine Studie belegt: 51 % der Unternehmen betreiben über 250 Entra-Applikationen mit überflüssigen Privilegien.

Datenverlust durch Fehler, Löschung oder Ransomware

Microsoft garantiert Verfügbarkeit, aber nicht Schutz vor Nutzerfehlern. Wenn Mitarbeitende versehentlich Dateien löschen, Admins SharePoint-Sites entfernen oder Ransomware Inhalte verschlüsseln, sind diese Daten ohne eigene Backup-Strategie oft verloren.

Nicht verwaltete Geräte

Wenn Mitarbeiter*innen von privaten oder nicht verwalteten Geräten auf Unternehmensdaten zugreifen, entstehen Sicherheitslücken. Eine Untersuchung zeigt: 65 % der deutschen Unternehmen erlebten Cybersecurity-Vorfälle aufgrund nicht verwalteter Assets.

<TABELLE>

<HEADER>

Risiko

Mögliche Ursache

Potenzielle Auswirkung

<CONTENT>

Phishing mit Token-Diebstahl

User klickt auf Link, OAuth-Dialog wird missbraucht

Kontoübernahme, Zugriff auf E-Mails, Datenabfluss

<CONTENT>

Legacy-Authentifizierung

POP3, SMTP Basic Auth, alte Clients

MFA und Sicherheitsrichtlinien werden umgangen

<CONTENT>

Überprivilegierte Konten

Keine Rechteplanung, zu viele Admin-Rechte

Datenlecks, Missbrauch, großes Schadenspotenzial

<CONTENT>

Fehlende Backups

Vertrauen auf Microsoft, keine eigene Lösung

Dauerhafter Datenverlust, Geschäftsausfall

<CONTENT>

Unverwaltete Geräte

Keine Richtlinien, BYOD ohne Kontrolle

Einfallstore für Malware, Ransomware, Netzwerkzugriff

</TABELLE>

KMU stehen besonders im Fokus von Angreifenden. Sie verfügen meist über weniger spezialisiertes Sicherheitspersonal und nutzen oft Standard-Konfigurationen ohne Anpassung.

Diesen Risiken können Sie mit gezielten Maßnahmen begegnen.

Welche Sicherheitsmaßnahmen sind besonders wichtig?

Multi-Faktor-Authentifizierung, E-Mail-Schutz, Geräteverwaltung und konsequentes Berechtigungsmanagement bilden das Sicherheitsfundament für Ihre Microsoft 365 Umgebung.

Die IT-Sicherheit in Microsoft 365 ruht auf vier Säulen: Identität und Zugriff, E-Mail und Zusammenarbeit, Geräte und Zugriffskontrolle sowie Berechtigungsmanagement. Jede Säule erfordert technische Konfiguration, organisatorische Regeln und das richtige Verhalten Ihrer Mitarbeiter*innen.

Multi-Faktor-Authentifizierung (MFA) für alle User

Warum MFA über 99 % der Angriffe verhindert

Studien belegen: Konten mit aktivierter MFA bleiben in über 99,99 % der Fälle sicher – selbst wenn Passwörter kompromittiert wurden. MFA reduziert das Risiko einer Kontoübernahme um etwa 99,22 % und schützt sogar bei geleakten Zugangsdaten zu über 98 %.

Praktische Umsetzung für KMU

Aktivieren Sie MFA verpflichtend für alle Benutzerkonten. Administrative Konten benötigen besonders strenge Anforderungen. Seit 2025 sperrt Microsoft Admin-Konten ohne MFA automatisch. Nutzen Sie Conditional Access für granulare Steuerung nach Standort, Gerät oder Anwendung.

Empfohlene MFA-Methoden

Verwenden Sie die Microsoft Authenticator App mit Push-Benachrichtigungen und Nummern-Matching. Hardware-Tokens eignen sich für besonders sensible Konten. Biometrische Faktoren und Passkeys erhöhen die Sicherheit zusätzlich. SMS-Codes sind besser als kein zusätzlicher Faktor, gelten aber als weniger sicher.

Konfiguration über Conditional Access

Mit Conditional Access definieren Sie präzise Regeln: Wer darf von welchem Gerät, aus welchem Netzwerk auf welche Dienste zugreifen? So blockieren Sie z. B. Anmeldungen aus unbekannten Ländern oder von nicht konformen Geräten automatisch.

E-Mail-Schutz vor Phishing und Malware

Defender for Office 365 richtig konfigurieren

Microsoft Defender for Office 365 bietet mehrere Schutzschichten gegen E-Mail-Bedrohungen. Die Grundkonfiguration umfasst Exchange Online Protection (EOP), Anti-Phishing-Richtlinien und Spam-Filter. Für KMU empfiehlt sich die Aktivierung aller verfügbaren Schutzfunktionen.

Safe Links und Safe Attachments einrichten

Safe Links prüft URLs in E-Mails beim Klick in Echtzeit. Safe Attachments öffnet Anhänge in einer geschützten Umgebung, bevor sie zugestellt werden. Beide Funktionen schützen vor zeitverzögerten Angriffen, bei denen Links oder Dateien erst nach der Zustellung bösartig werden.

Anti-Phishing-Richtlinien anpassen

Konfigurieren Sie Warnhinweise für E-Mails von externen Absendern. Aktivieren Sie Impersonation Protection für wichtige Personen wie Geschäftsführung oder Buchhaltung. Definieren Sie klare Regeln für den Umgang mit verdächtigen E-Mails.

Mitarbeiterschulung für E-Mail-Sicherheit

Technische Maßnahmen allein reichen nicht. Schulen Sie Ihre Mitarbeiter*innen regelmäßig im Erkennen von Phishing-E-Mails. Phishing-Simulationen zeigen Ihnen, wo Sensibilisierung noch fehlt. Eine informierte Belegschaft ist Ihre stärkste Verteidigungslinie.

Geräte-Verwaltung und Zugriffskontrolle

Microsoft Intune für KMU nutzen

Mit Microsoft Intune verwalten Sie Firmengeräte und BYOD zentral. Sie definieren Compliance-Richtlinien: Ist das Gerät verschlüsselt? Läuft ein aktuelles Betriebssystem? Ist Endpoint Protection aktiv? Nur konforme Geräte erhalten Zugriff auf Unternehmensdaten.

Conditional Access Policies für Geräte

Verknüpfen Sie Intune mit Conditional Access. So stellen Sie sicher, dass nur registrierte und konforme Geräte auf Exchange Online, SharePoint oder Teams zugreifen können. Nicht konforme Geräte werden automatisch blockiert.

BYOD vs. Firmengeräte sicher verwalten

Bei Firmengeräten haben Sie volle Kontrolle über Konfiguration und Sicherheitsupdates. Bei BYOD-Szenarien (Bring Your Own Device) schützen Sie Unternehmensdaten durch App-Schutzrichtlinien. So bleiben Firmendaten auch auf privaten Geräten sicher, ohne die persönliche Nutzung einzuschränken.

Compliance-Richtlinien definieren

Legen Sie fest, welche Anforderungen Geräte erfüllen müssen: Mindestversion des Betriebssystems, aktive Gerätesperre, keine Jailbreak- oder Root-Modifikationen. Nicht konforme Geräte erhalten keinen Zugriff – oder nur eingeschränkt.

Identitäts- und Berechtigungsmanagement

Prinzip der minimalen Rechte umsetzen

Mitarbeiter*innen erhalten nur die Rechte, die sie für ihre Aufgaben benötigen – nicht mehr. Dieses Prinzip (Least Privilege) begrenzt den Schaden bei einer Kontoübernahme erheblich. Prüfen Sie bestehende Berechtigungen und reduzieren Sie übermäßige Zugriffsrechte.

Administrative Konten richtig absichern

Verwenden Sie separate Konten für administrative Tätigkeiten. Diese Konten nutzen Sie ausschließlich für Verwaltungsaufgaben, nicht für den täglichen E-Mail-Verkehr. Setzen Sie Just-In-Time-Zugriff ein: Administrative Rechte werden nur bei Bedarf und zeitlich begrenzt gewährt.

Regelmäßige Überprüfung von Benutzerrechten

Führen Sie regelmäßige Audits durch. Welche Gastkonten existieren noch? Welche Benutzer*innen haben privilegierte Rechte? Welche Apps haben weitreichende Berechtigungen? Viele Unternehmen haben keine laufenden Prozesse zur Kontrolle – ein häufiges Sicherheitsproblem.

Legacy-Authentifizierung blockieren

Deaktivieren Sie veraltete Protokolle wie Basic Authentication, POP3 und IMAP vollständig. Diese Protokolle umgehen MFA und Conditional Access. Prüfen Sie, ob noch alte Clients oder Anwendungen diese Protokolle nutzen, und ersetzen Sie sie.

Warum sind Backups auch bei Microsoft 365 wichtig?

Microsoft 365 bietet hohe Verfügbarkeit, aber keinen vollständigen Schutz vor Datenverlust durch Benutzer- oder Admin-Fehler, Ransomware oder böswillige Löschung.

Viele Unternehmen vertrauen darauf, dass Microsoft alle ihre Daten automatisch sichert. Das ist ein gefährlicher Irrtum. Microsoft sorgt für Verfügbarkeit der Dienste und schützt gegen Systemausfälle. Was Microsoft nicht abdeckt: versehentliches Löschen durch Nutzer, Datenmanipulation durch Mitarbeiter*innen oder Externe, Ransomware-Verschlüsselung und Compliance-Anforderungen an Datenaufbewahrung.

Typische Datenverlust-Szenarien:

• Ein*e Mitarbeiter*in löscht versehentlich wichtige Dateien oder E-Mails
• Ein Admin-Konto löscht SharePoint-Sites oder Teams-Kanäle
• Ransomware verschlüsselt OneDrive-Inhalte
• Ein externer Angreifender nutzt eine OAuth-App, um Daten zu exportieren
• Compliance-Vorgaben erfordern Aufbewahrung über die Standard-Fristen hinaus

Backup-Strategien für KMU:

Sichern Sie regelmäßig alle Exchange-Postfächer, Teams-Chats, OneDrive- und SharePoint-Dokumente. Achten Sie auf granularen Restore – Sie sollten einzelne E-Mails, Dateien oder Ordner wiederherstellen können, nicht nur komplette Postfächer. Trennen Sie Backup-Speicher physisch von Ihrer produktiven Umgebung. Erwägen Sie Offsite- oder Offline-Backups für zusätzlichen Schutz.

Verschiedene Lösungen stehen zur Verfügung, von Microsoft-eigenen Tools bis zu spezialisierten SaaS-Backup-Diensten. Die Kosten beginnen bei wenigen Euro pro User und Monat. Eine individuelle Beratung hilft, die passende Lösung für Ihre Anforderungen zu finden.

Häufige Fehler bei der Microsoft 365 Absicherung

Die größten Fehler sind fehlende MFA, unveränderte Standard-Einstellungen, zu weit gefasste Berechtigungen und vernachlässigte Mitarbeiterschulung.

Viele KMU machen bei der Absicherung ihrer Microsoft-365-Umgebung ähnliche Fehler. Diese Sicherheitslücken lassen sich mit überschaubarem Aufwand schließen.

Standard-Einstellungen unverändert lassen

Die Security Defaults bieten einen Basisschutz, sind aber nicht auf Ihre spezifischen Anforderungen zugeschnitten. Unternehmen mit unterschiedlichen Standorten, Remote-Mitarbeiter*innen oder speziellen Compliance-Anforderungen benötigen granulare Richtlinien.

Lösung: Ersetzen Sie Security Defaults durch konfigurierte Conditional Access Policies. Definieren Sie Regeln für Standorte, Geräte und Anwendungen. Passen Sie E-Mail-Schutz und Anti-Phishing-Richtlinien an Ihre Organisation an.

Administrative Rechte zu großzügig vergeben

Zu viele Mitarbeiter*innen mit Global-Admin-Rechten bedeuten zu viele potenzielle Angriffsziele. Wenn eines dieser Konten kompromittiert wird, hat der Angreifer vollständige Kontrolle.

Lösung: Vergeben Sie nur die minimal notwendigen Rechte. Nutzen Sie separate Admin-Konten. Setzen Sie Privileged Identity Management ein, um Rechte zeitlich zu begrenzen. Führen Sie regelmäßige Reviews der administrativen Konten durch.

Mitarbeiterschulung vernachlässigen

Technische Sicherheitstools schützen nicht vor Social Engineering. Wenn Mitarbeiter*innen Phishing-E-Mails nicht erkennen oder leichtfertig OAuth-Berechtigungen erteilen, bleiben Sicherheitslücken bestehen.

Lösung: Schulen Sie Ihre Mitarbeiter*innen regelmäßig. Führen Sie Phishing-Simulationen durch. Etablieren Sie klare Prozesse für den Umgang mit verdächtigen E-Mails. Sensibilisieren Sie für OAuth-Genehmigungsdialoge und App-Berechtigungen.

Sicherheitsmonitoring ignorieren

Ohne laufende Überwachung bleiben Sicherheitsvorfälle oft unbemerkt. Viele Unternehmen haben keine Prozesse zur Kontrolle von Gastkonten, privilegierten Konten oder verdächtigen Anmeldeaktivitäten.

Lösung: Richten Sie Alerts für verdächtige Aktivitäten ein. Nutzen Sie die Berichte im Microsoft Security Center. Führen Sie regelmäßige Audits durch. Prüfen Sie Gastkonten und deren Berechtigungen in festen Intervallen.

Wann lohnt sich externe Unterstützung durch einen IT-Dienstleister?

Externe Unterstützung ist sinnvoll, wenn intern keine ausreichende Expertise besteht, komplexe Anforderungen vorliegen oder Ressourcen für laufende Betreuung fehlen.

Nicht jedes Unternehmen kann und muss die Microsoft 365 Sicherheit vollständig intern abdecken. Die Frage ist: Wann lohnt sich professionelle Unterstützung?

Checkliste – externe Hilfe empfehlenswert bei:

• Kein dedizierter IT-Sicherheitsverantwortlicher im Unternehmen
• Komplexe Compliance-Anforderungen (DSGVO, ISO 27001, branchenspezifische Regulierung)
• Mischung aus On-Premises und Cloud-Umgebungen
• Begrenztes Budget, das effizient gegen Risiken eingesetzt werden muss
• Fehlendes Know-how in Bereichen wie Conditional Access, Intune oder Microsoft Security Center
• Bedarf an regelmäßigen Sicherheits-Audits und Monitoring

Was ein erfahrener IT-Dienstleister leistet:

Ein spezialisierter Partner übernimmt die sichere Erstkonfiguration Ihrer Microsoft 365 Umgebung. Er führt Sicherheits-Audits durch und identifiziert Schwachstellen. Er setzt Least-Privilege-Konzepte um, richtet Alerts und Monitoring ein. Er schult Ihre Mitarbeiter*innen und unterstützt bei der Einhaltung von Compliance-Anforderungen.

Managed Security Services vs. einmalige Konfiguration:

Eine einmalige Konfiguration bringt Ihre Umgebung auf einen sicheren Stand. Doch Sicherheit ist kein Projekt, sondern ein fortlaufender Prozess. Managed Security Services bieten kontinuierliche Überwachung, regelmäßige Updates und schnelle Reaktion auf neue Bedrohungen.

Worauf bei der Auswahl achten:

• Zertifizierungen und nachgewiesene Microsoft-Kompetenz
• Erfahrung mit kleinen und mittelständischen Unternehmen
• Transparente Preisgestaltung ohne versteckte Kosten
• Verständliche Beratung auf Augenhöhe
• Regionale Nähe für persönliche Betreuung

Unternehmen in der Region Frankfurt, Mainz, Wiesbaden oder Aschaffenburg profitieren von einem Partner vor Ort, der ihre Anforderungen versteht und schnell erreichbar ist.

Wie juunit einem regionalen Unternehmen bei der Microsoft 365 Absicherung geholfen hat

Für einen Kunden aus der Versicherungsbranche hat juunit die bestehende Microsoft-365-Umgebung gezielt über die Standard-Sicherheitsmaßnahmen hinaus abgesichert. Ziel war es, unbefugte Zugriffe und potenzielle Datenabflüsse deutlich stärker einzuschränken – ohne die tägliche Arbeit der Mitarbeitenden unnötig einzuschränken.

Dazu wurde insbesondere die erweiterte Konfiguration über Microsoft Intune (Endpoint Manager) genutzt.

Umgesetzte Maßnahmen im Überblick:

• Zentrale Geräteverwaltung: Alle Endgeräte wurden in das Microsoft-Management (Intune / Endpoint Manager) aufgenommen.
• Zugriff nur über verwaltete Geräte: Der Zugriff auf Microsoft 365 ist ausschließlich über registrierte und firmeneigene Geräte möglich.
• Standortbasierte Zugriffsbeschränkung: Zugriffe auf Microsoft 365 sind nur noch aus Deutschland erlaubt – Zugriffe aus anderen Regionen werden automatisch blockiert.
• Tägliche Multi-Faktor-Re-Authentifizierung: User müssen sich einmal täglich erneut per Multi-Faktor-Authentifizierung anmelden. Dies schützt insbesondere bei verlorenen oder unbeaufsichtigten Geräten.
• Zugriff nur mit aktuellem Sicherheitsstand: Geräte ohne aktuelle Sicherheitsupdates werden automatisch vom Zugriff ausgeschlossen.

Ergebnis: Durch diese Maßnahmen wurde die Nutzung von Microsoft 365 deutlich stärker abgesichert und das Risiko von unbefugten Zugriffen sowie Datenverlust erheblich reduziert – bei gleichzeitig klar geregeltem und kontrolliertem Zugriff für berechtigt User. Gleichzeitig profitieren die Mitarbeitenden von klaren, nachvollziehbaren Zugriffsregeln – ohne spürbare Einschränkungen im Arbeitsalltag.

Fazit und nächste Schritte für Ihr Unternehmen

Microsoft 365 Sicherheit ist kein Produkt, das Sie einmal kaufen und dann vergessen können. Es ist eine Kombination aus richtiger Konfiguration, technischen Schutzmaßnahmen und dem Verhalten Ihrer Mitarbeiter*innen. Die gute Nachricht: Mit überschaubarem Aufwand können Sie Ihr Unternehmen deutlich besser schützen.

Sofort umsetzbare nächste Schritte:

1. Aktivieren Sie Multi-Faktor-Authentifizierung für alle Konten – ohne Ausnahme
2. Deaktivieren Sie Legacy-Authentifizierung vollständig
3. Prüfen und reduzieren Sie administrative Berechtigungen
4. Richten Sie Conditional Access Policies ein
5. Implementieren Sie eine Backup-Strategie für Ihre Microsoft 365 Daten
6. Schulen Sie Ihre Mitarbeiter*innen im Erkennen von Phishing
7. Etablieren Sie regelmäßige Sicherheits-Reviews

Mini-Checkliste: Ist Ihr Microsoft 365 sicher konfiguriert?

• [ ] MFA ist für alle Benutzer*innen aktiv
• [ ] Legacy-Authentifizierung ist blockiert
• [ ] Administrative Konten sind besonders geschützt
• [ ] Conditional Access Policies sind konfiguriert
• [ ] E-Mail-Schutz mit Defender for Office 365 ist eingerichtet
• [ ] Geräte-Compliance ist über Intune gesteuert
• [ ] Backup-Lösung für Microsoft 365 Daten ist vorhanden
• [ ] Mitarbeiter*innen sind für Phishing sensibilisiert
• [ ] Regelmäßige Audits von Berechtigungen und Gastkonten

Wenn Sie bei mehreren Punkten unsicher sind, lohnt sich ein professioneller Sicherheits-Check Ihrer Umgebung.

Weiterführende Themen:

Neben der Microsoft 365 Sicherheit gehören auch Endgeräteschutz, Netzwerksicherheit und ein durchdachtes Datenschutzkonzept zu einer vollständigen IT-Sicherheitsstrategie. Diese Themen greifen ineinander und sollten gemeinsam betrachtet werden.

juunit unterstützt Unternehmen im Rhein-Main-Gebiet bei der sicheren Einrichtung, Prüfung und laufenden Betreuung ihrer Microsoft 365 Umgebung. Sprechen Sie uns an, wenn Sie Fragen haben oder eine unverbindliche Einschätzung Ihrer aktuellen Sicherheitslage wünschen.