Microsoft 365 ist das produktivste Werkzeug, das deutsche KMU je hatten — und gleichzeitig das größte ungesicherte Einfallstor. Warum? Weil die überwiegende Mehrheit der Tenants mit Default-Einstellungen läuft. Microsoft optimiert diese Defaults für Funktionalität, nicht für Sicherheit. Das ist verständlich — aber gefährlich.
In unseren M365-Security-Checks sehen wir das immer wieder: Unternehmen mit 50, 80, 150 Mitarbeitern, die Microsoft 365 seit Jahren nutzen und davon überzeugt sind, gut aufgestellt zu sein. Die Realität: Kritische Sicherheitsfunktionen sind deaktiviert, Legacy-Protokolle offen, Admin-Konten ohne MFA. Die folgenden zehn Einstellungen sind kein Nice-to-have. Sie sind Pflicht.
Die 10 Einstellungen
1. MFA für alle Konten — auch und besonders für Admins
Multifaktor-Authentifizierung ist die einzeln wirksamste Maßnahme gegen Kontoübernahmen. Microsoft schätzt, dass MFA über 99 % der automatisierten Angriffe blockiert.
Wo: Microsoft Entra Admin Center → Properties → Manage Security defaults → aktivieren.
Für Unternehmen mit Entra ID P1 oder höher: Conditional Access Policies sind die flexiblere und empfehlenswertere Lösung. Wichtig: Das Notfall-Admin-Konto (“Break Glass Account”) mit einem FIDO2-Hardwarekey absichern — und aus allen Conditional Access Policies ausschließen, damit der Zugang im Ernstfall erhalten bleibt.
2. Legacy Authentication deaktivieren
Ältere Authentifizierungsprotokolle wie Basic Auth, IMAP und POP3 unterstützen kein MFA. Das macht sie zum Lieblingsangriffspfad für Password-Spray-Attacken — bei denen Angreifer systematisch häufige Passwörter gegen alle Konten eines Tenants ausprobieren.
Wo: Conditional Access → New Policy → Bedingung “Client apps: Legacy authentication clients” → Block.
Konsequenz: Alte E-Mail-Clients (Outlook 2013 und älter, native iOS-Mail-App mit Basic Auth) funktionieren danach nicht mehr. Das ist der richtige Schritt — modernisieren, nicht weiter betreiben.
3. Conditional Access Policies einrichten
Conditional Access ist der Kern einer modernen M365-Sicherheitsarchitektur. Statt pauschalen Regeln definieren Sie, unter welchen Bedingungen welcher Zugriff erlaubt ist.
Das Mindest-Set für jedes KMU:
- MFA für alle Admins erzwingen
- Legacy Authentication blockieren (siehe oben)
- Zugriff von riskanten Anmeldeversuchen blockieren (Sign-in Risk Policy)
- Für sensible Apps: nur konforme oder hybrid-joined Geräte zulassen
Voraussetzung: Microsoft Entra ID P1-Lizenz (im Microsoft 365 Business Premium enthalten).
4. Safe Links und Safe Attachments aktivieren
Microsoft Defender for Microsoft 365 scannt URLs und Anhänge in Echtzeit — bevor der Nutzer klickt oder öffnet. Phishing-Links werden umgeleitet und in einer Sandbox überprüft. Schadhafte Anhänge werden detoniert, bevor sie das Postfach erreichen.
Wo: Microsoft Defender Portal → Email & Collaboration → Policies & Rules → Threat Policies → Safe Attachments / Safe Links.
Voraussetzung: Defender for Microsoft 365 Plan 1 (im Business Premium enthalten) oder Plan 2.
In einem unserer jüngsten Kundenprojekte — ein Logistikdienstleister mit 110 Mitarbeitern — wurden in den ersten vier Wochen nach Aktivierung über 340 schadhafte Links blockiert, die zuvor ungehindert zugestellt worden wären. Kein Einzelfall.
5. Admin-Rollen auf Minimum-Berechtigungen reduzieren
“Global Admin” ist die mächtigste Rolle im Tenant — und die gefährlichste, wenn sie kompromittiert wird. In der Praxis sehen wir regelmäßig Tenants, bei denen fünf oder mehr Personen Global Admin sind, weil es “einfacher” ist.
Best Practice: Global Admin auf maximal zwei Notfall-Konten beschränken. Alle anderen Admins erhalten spezifische Rollen: User Administrator, Exchange Administrator, Helpdesk Administrator — je nach tatsächlichem Bedarf.
Für höhere Reife: Privileged Identity Management (PIM) einrichten. Damit werden Admin-Rechte erst auf Anfrage und zeitlich begrenzt aktiviert — kein dauerhaft privilegiertes Konto.
6. Externe E-Mail-Weiterleitungsregeln deaktivieren
Business Email Compromise (BEC) ist eine der kostspieligsten Angriffsmethoden. Ein kompromittiertes Konto richtet automatisch eine Weiterleitungsregel ein — alle eingehenden Mails gehen still an eine externe Adresse des Angreifers. Das Opfer merkt nichts, der Angreifer liest wochenlang mit.
Lösung: Automatische externe Weiterleitungen global deaktivieren.
Wo: Exchange Admin Center → Mail Flow → Remote Domains → Default → “Allow automatic forwarding” deaktivieren. Ergänzend: Anti-Spam-Policy → “Automatic forwarding” auf “Off” setzen.
7. Unified Audit Log aktivieren
Ohne Logs keine Forensik. Wer nach einem Vorfall verstehen will, was passiert ist, wer wann auf was zugegriffen hat und wie der Angreifer sich bewegt hat, braucht ein aktiviertes und korrekt konfiguriertes Audit Log.
Prüfen: PowerShell → Get-AdminAuditLogConfig | Select UnifiedAuditLogIngestionEnabled → muss True zurückgeben.
Aktivieren falls nötig: Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true
Aufbewahrungsdauer: Standard 90 Tage. Mit Entra ID P2 oder entsprechenden Add-ons bis zu 1 Jahr verlängerbar — für NIS2-Compliance empfohlen.
8. Externe Freigaben in SharePoint und OneDrive einschränken
“Für alle mit dem Link zugänglich” ist die gefährlichste SharePoint-Einstellung — und erstaunlich oft aktiv. Interne Dokumente landen so unbeabsichtigt im öffentlichen Internet, indizierbar von Suchmaschinen.
Wo: SharePoint Admin Center → Policies → Sharing → Externe Freigabe auf “New and existing guests” beschränken. Anonyme Links (“Anyone with the link”) komplett deaktivieren. Verfallszeiten für Gastlinks auf 30 Tage setzen.
9. Passwort-Richtlinie modernisieren
Microsoft empfiehlt seit 2019 ausdrücklich, erzwungene Passwort-Wechsel alle 90 Tage abzuschaffen. Der Grund: Nutzer reagieren auf erzwungene Wechsel mit Minimaländerungen (Sommer2024! → Herbst2024!), was die Sicherheit nicht erhöht, aber die Frustration steigert.
Was stattdessen gilt:
- Passwort-Mindestlänge: 14 Zeichen
- Banned Password List aktivieren (blockiert häufige Passwörter und Varianten des Unternehmensnamens)
- MFA als eigentliche Sicherheitsebene — nicht das Passwort allein
- Passwort-Wechsel nur bei bekanntem Kompromittierungs-Verdacht
10. Microsoft Secure Score regelmäßig prüfen
Der Secure Score im Microsoft Defender Portal bewertet Ihren Tenant auf einer Skala von 0–100 % und zeigt konkrete Verbesserungsmaßnahmen mit Aufwands- und Wirkungseinschätzung.
Wo: Microsoft Defender Portal → Secure Score.
Ein realistisches und sehr gutes Ziel für KMU: 70+ %. Darunter sind typischerweise kritische Lücken offen. Den Score einmal pro Quartal prüfen und gezielt die wirkungsstärksten offenen Punkte abarbeiten.
Was diese 10 Einstellungen nicht abdecken
Diese Maßnahmen sind ein starkes Fundament — aber kein vollständiges Sicherheitskonzept. Mitarbeiter-Awareness, Endpoint-Security (EDR), strukturiertes Backup und ein Incident-Response-Plan sind eigenständige Themen, die darauf aufbauen. Wer die zehn Punkte oben abgehakt hat, hat die wichtigsten Einfallstore geschlossen. Was danach kommt, ist Tiefe — nicht Grundversorgung.
Wissen Sie, wie Ihr M365-Tenant aktuell aufgestellt ist? smetrics führt einen strukturierten M365-Security-Check durch: alle kritischen Einstellungen, klare Befunde, priorisierte Maßnahmen — in einem halben Tag, ohne langen Projekt-Vorlauf. Jetzt anfragen.
Quellen