Microsoft 365 Sicherheitshärtung für KMU: Was die Standardeinstellungen ungeschützt lassen
· von Dmitry Ivakin
Die meisten kleinen Unternehmen richten Microsoft 365 ein, erstellen ihre Benutzerkonten und gehen davon aus, dass damit alles erledigt ist. Das ist nicht der Fall. Microsoft liefert jeden neuen Tenant mit Standardeinstellungen aus, die bewusst permissiv gestaltet sind — wenig Reibung für neue Nutzer, aber wenig Schutz für Ihre Unternehmensdaten. Das Unternehmen, das für Ihre E-Mails, Dateien und interne Kommunikation verantwortlich ist, hat sich standardmäßig dafür entschieden, dass Bequemlichkeit wichtiger ist als Schutz.
Das ist keine Kritik, sondern eine Designentscheidung für eine breite Nutzerbasis. Sie bedeutet aber, dass jedes Unternehmen, das Microsoft 365 ohne bewusste Sicherheitshärtung betreibt, die gleichen vorhersehbaren Lücken aufweist — und Angreifer wissen genau, wo sie suchen müssen.
Dieser Artikel beschreibt, was eine Microsoft 365 Sicherheitsbewertung tatsächlich untersucht, welche Standardeinstellungen die größten Risiken verursachen und wie ein ordnungsgemäß gehärteter Tenant aussieht.
Was ist der Microsoft Secure Score — und warum ist er wichtig
Der Microsoft Secure Score ist eine integrierte Messung der Sicherheitslage Ihres Tenants, ausgedrückt als Prozentsatz. Ein Wert von 100 % bedeutet, dass alle verfügbaren Sicherheitsempfehlungen umgesetzt wurden. Ein Wert von 25 % — der bei neuen oder nicht verwalteten Tenants häufig vorkommt — bedeutet, dass drei Viertel der empfohlenen Maßnahmen fehlen.
Der Secure Score ist nützlich, weil er eine konkrete, priorisierte Liste der fehlenden Maßnahmen liefert. Jede Empfehlung zeigt die mögliche Score-Verbesserung, den geschätzten Implementierungsaufwand und einen direkten Link zur Konfigurationsseite, auf der das Problem behoben werden kann.
Bei der Bewertung von KMU-Tenants liegt der Ausgangswert typischerweise zwischen 20 % und 40 %. Dieser Bereich repräsentiert einen Tenant, bei dem:
- Multi-Faktor-Authentifizierung für die meisten Nutzer nicht erzwungen wird
- Administratorkonten nur durch ein Passwort geschützt sind
- E-Mail-Bedrohungsfilter auf permissiven Standardschwellenwerten laufen
- Keine Compliance-Prüfungen für Geräte angewendet werden
- Die Protokollierung unter Umständen gar nicht aktiviert ist
Einen typischen KMU-Tenant von 30 % auf über 70 % zu bringen, ist in einem einzigen fokussierten Projekt machbar. Die erforderlichen Maßnahmen sind gut dokumentiert, Microsoft stellt die Werkzeuge bereit, und die Änderungen erfordern keine teure Drittanbieter-Software.
Die sechs häufigsten Sicherheitslücken in KMU-Tenants
1. Multi-Faktor-Authentifizierung nicht erzwungen
Dies ist die einzelne wirkungsvollste Lücke in den meisten Tenants. Wenn MFA nicht erzwungen wird, reicht ein gestohlenes oder erratenes Passwort aus, um auf E-Mails, SharePoint, Teams und alle in der Cloud gespeicherten Dateien zuzugreifen.
Microsoft bietet mehrere Möglichkeiten, MFA zu erzwingen. Sicherheitsstandards aktivieren grundlegendes MFA für alle Nutzer und sind in jedem Microsoft 365-Abonnement kostenlos enthalten. Richtlinien für bedingten Zugriff — in den meisten Business Premium und höheren Plänen verfügbar — bieten mehr Granularität: Sie können MFA abhängig vom Risikoniveau des Benutzers, vom Compliance-Status des Geräts und vom Anmeldeort verlangen.
Der häufigste Einwand ist die Belastung für die Nutzer. In der Praxis verlängert MFA mit modernen Authentifizierungs-Apps wie Microsoft Authenticator eine Anmeldung um fünf Sekunden. Die meisten Nutzer nehmen es nach einer Woche nicht mehr wahr. Der Schutz vor Angriffen auf Zugangsdaten, den es dafür bietet, ist mit keiner anderen Einzelmaßnahme vergleichbar.
2. Administratorkonten ohne zusätzlichen Schutz
Globale Administratorkonten haben unbegrenzten Zugriff auf Ihre gesamte Microsoft 365-Umgebung — jedes Postfach, jede Datei, jede Konfiguration. In den meisten nicht verwalteten Tenants sind diese Konten nur durch ein Passwort geschützt, werden für tägliche Aufgaben verwendet und manchmal von mehreren Personen geteilt.
Ordnungsgemäße Kontohygiene erfordert dedizierte Administratorkonten, die von den täglich genutzten Konten getrennt sind, MFA ohne Ausnahme sowie ein Break-Glass-Notfallkonto. Das Break-Glass-Konto ist ein permanentes globales Administratorkonto, das nur verwendet wird, wenn alle anderen Administratorzugänge verloren sind — etwa durch eine fehlerhaft konfigurierte Richtlinie für bedingten Zugriff. Es sollte ein starkes, offline sicher verwahrtes Passwort haben, eine reine Cloud-Identität sein (keine Synchronisierung aus einem lokalen Active Directory) und eine Warnung auslösen, sobald es verwendet wird.
Den meisten KMU-Tenants fehlt all das. Das globale Administratorkonto ist das persönliche Microsoft 365-Konto des Inhabers, wird täglich genutzt, hat kein MFA und keinen Notfallzugangsplan.
3. E-Mail-Sicherheit auf Standardschwellenwerten
Microsoft 365 enthält Microsoft Defender for Office 365 in Business Premium und verschiedenen Enterprise-Plänen. Die Frage ist nicht, ob Sie es haben, sondern ob es konfiguriert ist. Standardmäßig laufen Anti-Phishing-Richtlinien auf ihren niedrigsten Schutzschwellenwerten. Safe Links — die URLs in E-Mails umschreiben und in Echtzeit prüfen — sind möglicherweise nicht aktiviert. Safe Attachments — die verdächtige Dateien vor der Zustellung in einer Sandbox zünden — sind oft nicht konfiguriert.
Die praktische Folge: Eine Phishing-Mail, die Ihren Geschäftsführer imitiert und eine dringende Überweisung verlangt, oder ein PDF-Anhang mit Schadcode passiert die Standardfilter leichter, als er sollte. Anti-Phishing-Richtlinien mit Identitätswechselschutz, abgestimmt auf Ihre konkrete Domain und die Namen Ihrer Führungskräfte, fangen genau die Angriffe ab, die den Standardeinstellungen entgehen.
DMARC, DKIM und SPF-Einträge sind die externe Seite der E-Mail-Sicherheit — sie teilen empfangenden Mailservern mit, dass eine E-Mail, die angeblich von Ihrer Domain stammt, auch legitim ist. Ohne sie kann jeder E-Mails versenden, die scheinbar von Ihrer Adresse stammen. Viele kleine Unternehmen haben SPF konfiguriert, aber DKIM und DMARC fehlen — und lassen damit die Tür für Domain-Spoofing offen.
4. Keine Richtlinien für bedingten Zugriff
Bedingter Zugriff ist die Richtlinien-Engine zwischen einem Benutzer, der sich anmelden möchte, und den Ressourcen, auf die er zugreifen möchte. Ohne sie gewährt ein gültiger Benutzername und Passwort — oder auch nur ein gültiges MFA-Token — vollständigen Zugriff von überall, auf jedem Gerät: einschließlich privater Telefone ohne Sicherheitskontrollen, Rechnern im Café oder Standorten, die niemals Zugriff auf Unternehmensdaten haben sollten.
Mindestens sollte bedingter Zugriff konforme Geräte für den Zugriff auf sensible Anwendungen verlangen, veraltete Authentifizierungsprotokolle blockieren, die MFA vollständig umgehen, und für Administratoranmeldungen strengere Anforderungen stellen. Anspruchsvollere Konfigurationen nutzen Anmelderisiko-Bewertungen aus Microsoft Entra ID Identity Protection, um bei ungewöhnlichen Mustern eine zusätzliche Authentifizierung zu verlangen — unmögliche Reisen, unbekannte Standorte, im Darknet aufgetauchte Zugangsdaten.
5. Geräte nicht in Intune registriert
Wenn Ihre Nutzer von Geräten auf Microsoft 365 zugreifen, die nicht in Microsoft Intune registriert sind, haben Sie keine Übersicht darüber, ob diese Geräte gepatcht, verschlüsselt oder mit Sicherheitssoftware ausgestattet sind. Sie können kein Gerät aus der Ferne löschen, wenn es verloren geht oder gestohlen wird. Sie können keine PIN und keine Bildschirmsperre erzwingen. Sie haben keine Möglichkeit, einheitliche Sicherheitsbaselines über Ihren Gerätebestand hinweg durchzusetzen.
Die Intune-Registrierung ist in Microsoft 365 Business Premium ohne Aufpreis enthalten. Registrierte Geräte geben Ihnen Gerätekonformitätsrichtlinien, die der bedingte Zugriff bei der Anmeldung prüfen kann, automatisch erzwungene Verschlüsselung über BitLocker, Windows-Update-Ringe für eine zeitnahe Verteilung von Patches sowie die Möglichkeit, Unternehmensdaten aus der Ferne von einem Gerät zu löschen, ohne private Daten anzutasten.
6. Keine Sicherheitswarnungen konfiguriert
Wenn ein Angreifer Zugriff auf ein Benutzerkonto erhält und eine stille Weiterleitungsregel einrichtet, um alle eingehenden E-Mails an eine externe Adresse zu kopieren — wie lange würde es dauern, bis Sie es bemerken? In den meisten nicht verwalteten Tenants lautet die Antwort: Monate — oder nie, bis ein Kunde meldet, dass er betrügerische E-Mails erhält.
Microsoft 365 verfügt über integrierte Warnungsrichtlinien, die Sie sofort benachrichtigen können, wenn Ereignisse mit hohem Risiko auftreten: erstellte Postfach-Weiterleitungsregeln, Massendownloads aus SharePoint, verdächtige Anmeldeaktivitäten, Änderungen von Administratorberechtigungen. Diese Warnungen sind nicht standardmäßig aktiviert. Die Konfiguration dauert weniger als eine Stunde und gibt Ihnen Sichtbarkeit in Aktivitäten, die sonst unsichtbar bleiben — bis der Schaden eingetreten ist. Diese Lücke zwischen dem, was Microsoft standardmäßig bereitstellt, und dem, was Sie tatsächlich schützt, ist der Ausgangspunkt der meisten Sicherheitsvorfälle.
Realistische Secure Score-Ziele
Nicht jede Secure Score-Empfehlung ist für jedes Unternehmen sinnvoll. Manche Maßnahmen erfordern bestimmte Lizenzebenen. Andere beinhalten Abwägungen zwischen Sicherheit und Benutzerfreundlichkeit, die vom jeweiligen Unternehmenskontext abhängen. Ein realistisches Ziel für einen gut gehärteten KMU-Tenant — ohne die höchsten Lizenzebenen — liegt bei 65 % bis 80 %.
| Secure Score-Bereich | Was das typischerweise bedeutet |
|---|---|
| 0 % – 30 % | Standard- oder nahezu Standardeinstellungen. MFA wahrscheinlich nicht aktiv. Erhebliche Gefährdung. |
| 31 % – 55 % | Einige Maßnahmen vorhanden — möglicherweise Sicherheitsstandards aktiviert — aber wesentliche Lücken bei E-Mail-Sicherheit, Endgeräten oder Überwachung. |
| 56 % – 75 % | Solide Basis. MFA erzwungen, wichtige E-Mail-Richtlinien konfiguriert, Intune im Einsatz. Verbleibende Lücken betreffen erweiterte Maßnahmen. |
| 76 % – 100 % | Fortgeschrittene Sicherheitslage. Privileged Identity Management, Defender for Endpoint und vollständige Compliance-Frameworks vorhanden. |
Der Weg vom 20–40 %-Bereich auf 65–75 % ist die wirkungsvollste Arbeit. Die Maßnahmen in diesem Bereich — MFA, Bedingter Zugriff, E-Mail-Bedrohungsschutz, Geräteverwaltung, Warnungen — adressieren die Angriffe, die ein kleines Unternehmen am wahrscheinlichsten treffen. Von 75 % auf 95 % zu kommen erfordert fortgeschrittenere Maßnahmen, die mehr Konfigurationsaufwand und oft eine höhere Lizenzebene erfordern.
Was während einer Sicherheitsbewertung passiert
Eine Microsoft 365 Sicherheitsbewertung ist eine strukturierte Überprüfung Ihres Tenants anhand einer definierten Sicherheitsbasislinie, gefolgt von der praktischen Behebung aller gefundenen Lücken. Es handelt sich nicht um einen Empfehlungsbericht, den Sie dann selbst umsetzen — sondern um Konfigurationsarbeit, die direkt in Ihrem Tenant durchgeführt wird, mit Dokumentation jeder vorgenommenen Änderung.
Der Ablauf folgt einer festen Reihenfolge:
- Basismessung: Der aktuelle Secure Score wird erfasst. Jede aktive Richtlinie, Admin-Rollenzuweisung, E-Mail-Sicherheitskonfiguration und Geräteverwaltungseinstellung wird überprüft und dokumentiert.
- Lückenanalysebericht: Jede fehlende Maßnahme wird mit ihrer Risikobewertung aufgelistet, zusammen mit einer verständlichen Erklärung, was ein Angreifer bei Ausnutzung der Lücke tun könnte. Dieser Bericht wird mit Ihnen geteilt, bevor Änderungen vorgenommen werden.
- Behebung: Lücken werden nach Priorität geschlossen — MFA und Admin-Kontoschutz zuerst, dann E-Mail-Sicherheit, dann Endpunktverwaltung, dann Überwachung und Warnungen.
- Abschlussbericht: Der Secure Score nach der Behebung wird erfasst. Ein Vorher-Nachher-Vergleich dokumentiert jede implementierte Maßnahme mit Screenshots der wichtigsten Konfigurationen für Ihre Unterlagen.
Der Abschlussbericht dient als Compliance-Nachweis — nützlich, wenn Sie den Anforderungen der DSGVO an technische Sicherheitsmaßnahmen unterliegen, wenn Ihre Cyber-Versicherung dokumentierte Sicherheitsmaßnahmen verlangt oder wenn ein größerer Kunde im Rahmen der Lieferantenprüfung nach Ihrer Sicherheitslage fragt.
Microsoft 365 Sicherheitsbewertung anfragen
Wenn Sie Microsoft 365 bisher ohne bewusste Sicherheitshärtung betreiben, ist eine Sicherheitsbewertung der praktischste Ausgangspunkt. Sie erhalten ein klares Bild Ihres aktuellen Stands, die wichtigsten Lücken werden behoben, und Sie erhalten eine Dokumentation, die Sie für Compliance und Versicherungszwecke verwenden können.
Wir arbeiten mit kleinen Unternehmen, die keine eigene IT-Sicherheitsexpertise im Haus haben — die Bewertung ist darauf ausgelegt, verständlich zu sein, nicht nur technisch gründlich. Jede Änderung wird erklärt, bevor sie vorgenommen wird, und der Abschlussbericht ist für eine Unternehmerin oder einen Unternehmer geschrieben, nicht für einen Sicherheitsingenieur.