Microsoft 365 richtig absichern – die häufigsten Schwachstellen

Microsoft 365 ist heute in den meisten Unternehmen das Herzstück der digitalen Arbeit – E-Mail, Teams, SharePoint, OneDrive, Office-Anwendungen und mehr laufen darüber. Genau deshalb ist es auch ein attraktives Ziel für Angreifer.

Das Problem: Viele Unternehmen kaufen die Lizenzen, richten die Dienste ein und denken nicht weiter über Sicherheit nach. Dabei gibt es in jedem Standard-365-Tenant häufig dieselben Schwachstellen.

Schwachstelle 1: Kein MFA für alle Nutzer

Der häufigste und kritischste Fehler. Viele Tenants haben MFA aktiviert, aber nicht für alle Nutzer erzwungen. Besonders gefährlich: Oft fehlt MFA genau bei den Konten mit den meisten Rechten – den globalen Administratoren.

Lösung: MFA für alle Nutzer erzwingen, idealerweise über Conditional-Access-Richtlinien. Für Administratoren empfehlen wir phishing-resistente Methoden wie Hardware-Token.

Schwachstelle 2: Keine Conditional-Access-Richtlinien

Conditional Access erlaubt feingranulare Kontrolle darüber, wer wann und von wo auf welche Ressourcen zugreifen darf. Ohne diese Richtlinien kann sich theoretisch jeder mit einem gültigen Konto von überall auf der Welt einloggen.

Sinnvolle Basisrichtlinien:

• MFA bei Anmeldungen von außerhalb des Firmennetzwerks erzwingen
• Anmeldungen aus bestimmten Ländern blockieren (wenn nicht benötigt)
• Gerätecompliance prüfen (nur verwaltete Geräte erhalten vollen Zugriff)
• Legacy-Authentifizierungsprotokolle blockieren

Schwachstelle 3: Legacy-Authentifizierung noch aktiv

Ältere Protokolle wie POP3, IMAP oder SMTP-Auth unterstützen kein MFA. Angreifer nutzen diese Protokolle gezielt, um MFA zu umgehen. In den meisten Unternehmen werden diese Protokolle gar nicht mehr benötigt – und sollten daher blockiert werden.

Schwachstelle 4: Externe Weiterleitungsregeln nicht überwacht

Eine beliebte Angreifermethode nach der Kontoübernahme: Eine stille E-Mail-Weiterleitung an eine externe Adresse einrichten und alle eingehenden Nachrichten mitlesen. Microsoft hat zwar Schutzmechanismen eingebaut, aber sie sind oft nicht standardmäßig aktiviert.

Lösung: Automatische externe Weiterleitungen per Richtlinie deaktivieren und Audit-Logs regelmäßig prüfen.

Schwachstelle 5: Zu weitreichende App-Berechtigungen

Nutzer können in Microsoft 365 Drittanbieter-Apps Zugriff auf ihre Konten gewähren – oft ohne zu verstehen, welche Berechtigungen sie dabei erteilen. Eine App mit Lesezugriff auf E-Mails kann zum Datenleck werden.

Lösung: Nutzer-Zustimmung für Apps einschränken oder komplett deaktivieren. Apps werden stattdessen zentral durch den Administrator freigegeben.

Schwachstelle 6: Kein Backup für Microsoft 365

Microsoft sichert die Infrastruktur – aber nicht Ihre Daten. Gelöschte E-Mails, SharePoint-Dokumente oder Teams-Dateien sind nach Ablauf der Aufbewahrungszeit unwiederbringlich verloren. Für rechtlich relevante Daten ist das ein erhebliches Risiko.

Eine Drittanbieter-Backup-Lösung für Microsoft 365 (z. B. Veeam, Acronis oder Barracuda) schafft hier die notwendige Sicherheit.

Schwachstelle 7: Sicherheitswarnungen werden ignoriert

Microsoft 365 enthält viele integrierte Sicherheitsfunktionen – aber deren Meldungen und Warnungen werden oft nicht systematisch überwacht. In gut geführten Umgebungen laufen Sicherheitswarnungen in ein zentrales Monitoring-System und werden von einem verantwortlichen Team bearbeitet.

Was Sie jetzt tun können

Viele dieser Punkte lassen sich mit den vorhandenen Microsoft-365-Lizenzen umsetzen – ohne Mehrkosten, nur mit dem richtigen Konfigurationsaufwand. Wir führen regelmäßig Microsoft-365-Sicherheitschecks durch und zeigen Ihnen, wo in Ihrem Tenant Handlungsbedarf besteht.