Microsoft Baseline Security Mode: Was das fur Ihren M365-Tenant bedeutet
· von Dmitry Ivakin
Die meisten Sicherheitsprobleme in Microsoft 365 entstehen nicht durch Zero-Day-Lücken oder raffinierte Angreifer. Sie entstehen durch Fehlkonfigurationen – Einstellungen, die auf Standardwerten belassen wurden, Funktionen, die nie aktiviert wurden, Richtlinien, die zwar erstellt, aber nie durchgesetzt wurden. Microsofts neuer Baseline Security Mode soll genau diese Lücken sichtbar machen – in verständlicher Sprache und mit Auswirkungsanalyse, bevor eine Änderung angewendet wird.
Wenn Sie Microsoft 365-Administrator sind – oder wenn jemand anderes Ihren Tenant verwaltet und Sie wissen möchten, ob er sicher konfiguriert ist – erklärt dieser Beitrag, was das Dashboard zeigt, was die Empfehlungen konkret bedeuten und wie Sie priorisieren, was zuerst behoben werden sollte. Für eine vollständige Umsetzung deckt unsere Microsoft 365 Sicherheitsbewertung jeden Punkt vom Audit bis zur Behebung ab.
Was Baseline Security Mode ist – und was nicht
Baseline Security Mode ist ein zentrales Dashboard im Microsoft 365 Admin Center, das die aktuelle Konfiguration Ihres Tenants mit Microsofts empfohlenen Mindestsicherheitsstandards über fünf Workloads hinweg vergleicht: Office-Apps, SharePoint, Exchange Online, Microsoft Teams und Entra ID (früher Azure Active Directory).
Es handelt sich nicht um ein automatisches Durchsetzungswerkzeug. Im Tenant ändert sich nichts, bis ein Administrator eine Empfehlung ausdrücklich anwendet. Das Dashboard zeigt Ihnen die Lücke – schließt sie aber nicht ohne Ihre Freigabe. Das ist wichtig zu verstehen, weil der Name „Security Mode" etwas Aktives suggeriert, obwohl es im Kern ein Sichtbarkeits- und Orientierungswerkzeug ist.
Was es nützlich macht, ist die Auswirkungsanalyse. Bevor eine empfohlene Änderung angewendet wird, können Sie einen Auswirkungsbericht ausführen, der zeigt, welche Nutzer oder Gruppen betroffen sein werden, was die Änderung in der Praxis bewirkt und ob Ausnahmen sinnvoll sind. Für Administratoren, die es sich nicht leisten können, an einem Dienstagvormittag etwas zu unterbrechen, ist das ein echter Vorteil.
So finden Sie das Dashboard
- Melden Sie sich im Microsoft 365 Admin Center unter admin.microsoft.com mit einem globalen Administratorkonto oder Sicherheitsadministratorkonto an.
- Navigieren Sie zu Einstellungen → Organisationseinstellungen → Sicherheit & Datenschutz → Baseline Security Mode.
- Die Hauptansicht zeigt eine Zusammenfassungskachel mit Ihrer Gesamtsicherheitslage – entweder „Entspricht Standards", „Entspricht Standards teilweise" oder „Gefährdet".
- Unterhalb der Zusammenfassung sind Empfehlungen nach Workload gruppiert und nach Risikostufe farbcodiert: Hoch (rot), Mittel (orange) und Informativ (blau).
- Ein Klick auf eine Empfehlung öffnet ein Detailfeld mit einer Erklärung des Risikos, der zu bewertenden Einstellung und der Option, eine Auswirkungsanalyse durchzuführen oder die Empfehlung anzuwenden.
Die meisten Tenants, die nicht proaktiv gehärtet wurden, zeigen mehrere Empfehlungen mit hohem Risiko – typischerweise rund um MFA-Durchsetzung, Blockierung von Legacy-Authentifizierung und externe Freigabeeinstellungen.
Die häufigsten Empfehlungen und was sie bedeuten
MFA nicht für alle Nutzer erzwungen Hohes Risiko
Dies erscheint, wenn Security Defaults deaktiviert sind und keine Conditional Access-Richtlinie MFA für alle Nutzer vorschreibt. Ein Konto ohne MFA kann allein mit einem gestohlenen Passwort kompromittiert werden – eine realistische Bedrohung, wenn man bedenkt, wie viele Credential-Datenbanken online gehandelt oder geleakt werden. Die Lösung: Entweder Security Defaults aktivieren (am schnellsten, am wenigsten flexibel) oder eine Conditional Access-Richtlinie erstellen, die MFA für alle Nutzer vorschreibt – mit Ausnahmen für genehmte Ausnahmekonten.
Legacy-Authentifizierung nicht blockiert Hohes Risiko
Legacy-Authentifizierungsprotokolle (SMTP AUTH, IMAP, POP3 mit Basic Auth, älteres Exchange ActiveSync) umgehen Conditional Access-Richtlinien vollständig – einschließlich MFA. Ein Angreifer, der das Passwort eines Nutzers kennt, kann sich über ein Legacy-Protokoll authentifizieren und MFA komplett überspringen. Eine Conditional Access-Richtlinie, die Legacy-Auth blockiert, schließt diesen Weg. Die Auswirkungsanalyse zeigt, welche Geräte oder Anwendungen diese Protokolle noch verwenden – das ist Ihre Checkliste für die Migration.
SharePoint-Freigabe zu offen konfiguriert Mittleres Risiko
Die SharePoint-Standardkonfiguration erlaubt die Freigabe für jeden über einen anonymen Link. Das bedeutet: Jedes Dokument in Ihrem SharePoint oder OneDrive kann mit einer URL geteilt werden, die jeder öffnen kann – ohne Authentifizierung. Für die DSGVO-Konformität in Deutschland ist diese Einstellung problematisch, da personenbezogene Daten versehentlich an Unbefugte weitergegeben werden könnten. Empfohlen wird die Einstellung „Vorhandene Gäste" oder „Nur Personen in Ihrer Organisation", je nach Ihren Freigabeanforderungen.
Administratorkonten nicht von Benutzerkonten getrennt Mittleres Risiko
Globale Administratoren sollten dedizierte Administratorkonten haben, die nicht für alltägliche E-Mail- und Produktivitätsaufgaben genutzt werden. Wird ein globales Administratorkonto auch zum E-Mails lesen oder Surfen verwendet, hat ein Phishing-Angriff oder eine Malware-Infektion auf diesem Konto sofortigen globalen Administrationszugriff auf den gesamten Tenant. Baseline Security Mode erkennt, ob globale Administratorkonten mailaktiviert sind (was darauf hindeutet, dass sie für normale Arbeit genutzt werden) und markiert dies als Risiko.
Auditprotokollierung nicht aktiviert Informativ
Die Microsoft 365-Auditprotokollierung erfasst Nutzer- und Administratoraktivitäten in Exchange, SharePoint, Teams und Entra. Sie ist nicht in allen Tenants standardmäßig aktiviert. Ohne sie können Vorfälle im Nachhinein nicht untersucht werden – es gibt keine Aufzeichnung darüber, wer worauf zugegriffen hat, wann eine Datei gelöscht oder eine Konfigurationsänderung vorgenommen wurde. Für DSGVO-Verletzungsmeldungen und NIS2-Incident-Reporting sind Auditlogs keine Option, sondern Pflicht. Aktivieren Sie sie sofort und stellen Sie sicher, dass die Aufbewahrungsdauer Ihren Compliance-Anforderungen entspricht.
Zuordnung zum BSI IT-Grundschutz
Für Organisationen in Deutschland, die nach der BSI IT-Grundschutz-Methodik vorgehen, lassen sich die Baseline Security Mode-Empfehlungen direkt auf mehrere Bausteine abbilden:
- ORP.4 (Identitäts- und Berechtigungsmanagement): MFA-Durchsetzung, Trennung von Administratorkonten und Conditional Access-Richtlinien adressieren ORP.4-Anforderungen direkt.
- OPS.1.1.3 (Patch-Management): Da Microsoft 365 ein Cloud-Dienst ist und Patches von Microsoft eingespielt werden, entspricht das Sicherstellen, dass Ihr Tenant keine veralteten Konfigurationen (Legacy-Auth) verwendet, dem Geist dieses Bausteins.
- CON.2 (Datenschutz): Die SharePoint-Freigabeeinstellungen wirken sich direkt auf die DSGVO-Konformitätsdokumentation unter CON.2 aus.
- DER.2.1 (Behandlung von Sicherheitsvorfällen): Auditprotokollierung ist Voraussetzung für jede wirksame Incident Response – das Fehlen von Logs ist eine erhebliche Lücke unter DER.2.1.
Wenn Ihre Organisation eine BSI IT-Grundschutz-Zertifizierung anstrebt oder ein ISMS betreibt, ist ein sauberes Baseline Security Mode-Dashboard ein nützliches Nachweisartefakt – eine Microsoft-verifizierte Bestätigung, dass Ihr Tenant die empfohlenen Standards erfüllt, mit Zeitstempel und reproduzierbar.
Eine sinnvolle Reihenfolge für die Umsetzung
Nicht alle Empfehlungen haben dieselbe Dringlichkeit. Eine praktische Reihenfolge:
- Auditprotokollierung aktivieren – keine Auswirkungen auf Nutzer, dauert 5 Minuten, und Sie brauchen es zuerst, damit Sie eine Ausgangsbasis haben.
- Legacy-Authentifizierung blockieren – Auswirkungsanalyse zuerst ausführen, um betroffene Geräte zu ermitteln. Gerätesanierung parallel zur Richtlinienänderung planen.
- MFA erzwingen – Conditional Access statt Security Defaults verwenden, wenn Ausnahmen benötigt werden (Dienstkonten, Break-Glass-Konten). Schrittweise nach Abteilung mit Nutzerkommunikation einführen.
- SharePoint-Freigabe einschränken – prüfen, was aktuell anonym geteilt wird, bevor die Einstellungen verschärft werden, damit keine bestehenden Arbeitsabläufe unerwartet unterbrochen werden.
- Administratorkonten trennen – dedizierte reine Cloud-Administratorkonten für jeden globalen Administrator erstellen und die Rolle „Globaler Administrator" aus den Standard-Benutzerkonten entfernen.
Microsoft 365 Sicherheitsbewertung
Wir führen Baseline Security Mode-Reviews für Managed-Kunden und für Unternehmen durch, die eine einmalige Sicherheitsbewertung ihrer Microsoft 365-Umgebung wünschen. Unser Prozess deckt jede Empfehlung im Dashboard ab, priorisiert Korrekturen nach Risiko und betrieblicher Auswirkung und implementiert Änderungen mit getesteten Rollback-Verfahren.
Für Unternehmen, die BSI IT-Grundschutz-Dokumentation benötigen, bilden wir die Baseline Security Mode-Befunde direkt auf die relevanten Bausteine ab und erstellen ein Nachweispaket, das für ein ISMS-Audit geeignet ist.