Die meisten kleinen Unternehmen richten Microsoft 365 ein, erstellen ihre Benutzerkonten und gehen davon aus, dass damit alles erledigt ist. Das ist nicht der Fall. Microsoft liefert jeden neuen Tenant mit Standardeinstellungen aus, die bewusst permissiv gestaltet sind — wenig Reibung für neue Nutzer, aber wenig Schutz für Ihre Unternehmensdaten. Dieser Artikel beschreibt, was eine Microsoft 365 Sicherheitsbewertung tatsächlich untersucht, welche Standardeinstellungen die größten Risiken verursachen und wie ein ordnungsgemäß gehärteter Tenant aussieht.
Was ist der Microsoft Secure Score — und warum ist er wichtig?
Der Microsoft Secure Score ist eine integrierte Messung der Sicherheitslage Ihres Tenants, ausgedrückt als Prozentsatz. Bei der Bewertung von KMU-Tenants liegt der Ausgangswert typischerweise zwischen 20 % und 40 % — ein Tenant, bei dem Multi-Faktor-Authentifizierung für die meisten Nutzer nicht erzwungen wird, Administratorkonten nur durch ein Passwort geschützt sind, E-Mail-Bedrohungsfilter auf permissiven Standardschwellenwerten laufen, keine Compliance-Prüfungen für Geräte angewendet werden und die Protokollierung unter Umständen gar nicht aktiviert ist.
Die sechs häufigsten Sicherheitslücken in KMU-Tenants
1. Multi-Faktor-Authentifizierung nicht erzwungen
Dies ist die einzelne wirkungsvollste Lücke in den meisten Tenants. Wenn MFA nicht erzwungen wird, reicht ein gestohlenes oder erratenes Passwort aus, um auf E-Mails, SharePoint, Teams und alle in der Cloud gespeicherten Dateien zuzugreifen. Microsoft bietet Sicherheitsstandards kostenlos in jedem Microsoft 365-Abonnement an. Richtlinien für bedingten Zugriff — in Business Premium und höheren Plänen verfügbar — bieten mehr Granularität.
2. Administratorkonten ohne zusätzlichen Schutz
Globale Administratorkonten haben unbegrenzten Zugriff auf Ihre gesamte Microsoft 365-Umgebung. Ordnungsgemäße Kontohygiene erfordert dedizierte Administratorkonten, MFA ohne Ausnahme sowie ein Break-Glass-Notfallkonto.
3. E-Mail-Sicherheit auf Standardschwellenwerten
Standardmäßig laufen Anti-Phishing-Richtlinien auf ihren niedrigsten Schutzschwellenwerten. Safe Links und Safe Attachments sind oft nicht aktiviert. DMARC, DKIM und SPF-Einträge sind die externe Seite der E-Mail-Sicherheit — ohne sie kann jeder E-Mails versenden, die scheinbar von Ihrer Adresse stammen.
4. Keine Richtlinien für bedingten Zugriff
Ohne bedingten Zugriff gewährt ein gültiger Benutzername und Passwort vollständigen Zugriff von überall, auf jedem Gerät — einschließlich privater Telefone ohne Sicherheitskontrollen.
5. Geräte nicht in Intune registriert
Wenn Nutzer von nicht verwalteten Geräten auf Microsoft 365 zugreifen, haben Sie keine Übersicht darüber, ob diese Geräte gepatcht, verschlüsselt oder mit Sicherheitssoftware ausgestattet sind. Sie können kein Gerät aus der Ferne löschen, wenn es verloren geht oder gestohlen wird.
6. Keine Sicherheitswarnungen konfiguriert
Microsoft 365 verfügt über integrierte Warnungsrichtlinien, die Sie sofort benachrichtigen können, wenn Ereignisse mit hohem Risiko auftreten: erstellte Postfach-Weiterleitungsregeln, Massendownloads aus SharePoint, verdächtige Anmeldeaktivitäten, Änderungen von Administratorberechtigungen.
Was während einer Sicherheitsbewertung passiert
Eine Microsoft 365 Sicherheitsbewertung ist eine strukturierte Überprüfung Ihres Tenants anhand einer definierten Sicherheitsbasislinie, gefolgt von der praktischen Behebung aller gefundenen Lücken. Schritte: Basismessung, Lückenanalysebericht, Behebung nach Priorität, Abschlussbericht mit Vorher-Nachher-Vergleich und Screenshots.
Referenz: Microsoft 365 Sicherheitsanalyse-Service