Microsoft 365 ist das produktivste Werkzeugset, das deutschen KMU je zur Verfügung stand. Teams, Exchange Online, SharePoint, OneDrive, Defender — alles aus einer Hand, skalierbar, cloudbasiert. Und gleichzeitig das größte ungesicherte Einfallstor in vielen Unternehmen. Der Grund ist banal: Microsoft liefert M365 mit Einstellungen aus, die für maximale Kompatibilität und Benutzerfreundlichkeit optimiert sind — nicht für Sicherheit. Das ist nachvollziehbar. Aber es bedeutet, dass jeder Tenant, der nie aktiv konfiguriert wurde, mit bekannten Schwachstellen betrieben wird.
Die folgende Liste enthält zehn Einstellungen, die wir bei M365-Audits regelmäßig als fehlend oder falsch konfiguriert vorfinden. Keine davon ist technisch komplex. Alle zusammen schließen die Angriffsfläche erheblich. Wer die Konfiguration lieber vollständig delegieren möchte, findet in unserer Microsoft 365 Administration einen strukturierten Rahmen — von Entra-ID-Härtung über Defender-Konfiguration bis laufendes Tenant-Management.
Vorab ein Hinweis zu Lizenz-Anforderungen: Einige Einstellungen setzen bestimmte Microsoft-Lizenzen voraus. Ich kennzeichne das jeweils. Als Basislizenz für sicherheitsorientierte KMU empfehlen wir Microsoft 365 Business Premium — sie enthält Defender for Business, Entra ID P1 und Intune in einem Paket.
Die 10 Einstellungen
1. MFA für alle Konten — auch Admins
Wer in einem M365-Tenant noch kein MFA aktiviert hat, betreibt ein offenes Türschloss. Angreifer kaufen kompromittierte Passwörter für wenige Euro im Darknet — ohne MFA reicht das für vollständigen Kontozugriff.
Pfad: Microsoft Entra Admin Center → Properties → Manage Security defaults → Security defaults: Enabled
Security Defaults aktivieren MFA für alle Nutzer und blockieren gleichzeitig Legacy-Authentifizierung (dazu gleich mehr). Für Tenants mit Entra ID P1-Lizenz empfehlen wir stattdessen gezielt konfigurierte Conditional Access Policies — die geben mehr Kontrolle.
Ein wichtiger Zusatz: Das Notfall-Admin-Konto (“Break Glass Account”) sollte mit einem FIDO2-Hardware-Key abgesichert und vollständig von Conditional Access-Regeln ausgenommen sein. Dieses Konto ist der letzte Ausweg, wenn etwas schiefläuft — es darf nie gesperrt werden.
Lizenz: Kein Premium erforderlich — Security Defaults sind in allen M365-Plänen enthalten.
2. Legacy-Authentifizierung deaktivieren
Protokolle wie SMTP AUTH, POP3, IMAP und ältere Office-Clients unterstützen kein MFA. Angreifer nutzen das gezielt: Sie übergehen MFA, indem sie direkt über diese Legacy-Protokolle auf Konten zugreifen — ein Angriff, der als Password Spray bekannt ist und vollautomatisiert läuft.
Pfad: Microsoft Entra Admin Center → Security → Conditional Access → New Policy → “Block legacy authentication” (Block-Aktion für alle Nutzer, Ausnahme für Notfall-Admin)
Wichtiger Hinweis: Ältere Mail-Clients (Outlook 2013, manche mobilen Mail-Apps) funktionieren danach nicht mehr. Prüfen Sie vorher, welche Clients im Einsatz sind, und migrieren Sie sie auf moderne Alternativen.
Lizenz: Entra ID P1 (enthalten in M365 Business Premium).
3. Conditional Access Policies einrichten
Conditional Access ist das Herzstück der modernen M365-Sicherheit. Es erlaubt, den Zugriff auf Ressourcen an Bedingungen zu knüpfen: Ist das Gerät compliant? Kommt der Zugriff aus einem bekannten Land? Welche App wird genutzt?
Ein sinnvolles Mindest-Set für KMU:
- MFA für alle Administratoren (erzwingen, ohne Ausnahme)
- MFA für alle Nutzer bei Zugriff aus unbekannten Netzwerken
- Compliant device erforderlich für Zugriff auf sensible Apps (Exchange, SharePoint)
- Legacy-Authentifizierung blockieren (siehe Punkt 2)
Lizenz: Entra ID P1 (enthalten in M365 Business Premium).
4. Safe Links und Safe Attachments aktivieren
Microsoft Defender for M365 enthält zwei Funktionen, die standardmäßig nicht aktiv sind: Safe Links prüft URLs in E-Mails und Office-Dokumenten in Echtzeit, bevor der Nutzer darauf klickt — auch wenn der Link nach Empfang der Mail manipuliert wurde. Safe Attachments öffnet Anhänge in einer isolierten Sandbox und analysiert ihr Verhalten, bevor sie zugestellt werden.
Pfad: Microsoft Defender Portal → Email & Collaboration → Policies & Rules → Threat Policies → Safe Attachments / Safe Links
Beide Funktionen sind für Phishing-Schutz zentral — gerade im Kontext von Signal-Phishing und QR-Code-Angriffen, über die wir separat geschrieben haben.
Lizenz: Microsoft Defender for Business (enthalten in M365 Business Premium) oder Defender for Office 365 Plan 1.
5. Admin-Rollen auf Mindestberechtigungen reduzieren
In vielen KMU-Tenants haben drei bis fünf Personen die Rolle “Global Administrator” — oft weil es einfacher war, als differenzierte Rollen zu vergeben. Global Admin hat vollständigen Zugriff auf alles: E-Mails, Dateien, Sicherheitseinstellungen, Abonnements. Ein kompromittiertes Global-Admin-Konto ist ein Totalschaden.
Die Lösung: Rollen granular vergeben. Wer Nutzerkonten verwaltet, bekommt die Rolle “User Administrator”. Wer Helpdesk macht, bekommt “Helpdesk Administrator”. Global Admin sollte maximal zwei bis drei Personen vorbehalten sein — und diese sollten ihn nur aktivieren, wenn sie ihn wirklich brauchen.
Für Tenants mit Entra ID P2: Privileged Identity Management (PIM) ermöglicht Just-in-Time-Adminrechte. Admin-Rollen sind standardmäßig deaktiviert und werden nur für definierte Zeitfenster aktiviert.
Pfad: Microsoft Entra Admin Center → Roles & admins → Alle Rollenzuweisungen prüfen und bereinigen.
Lizenz: PIM erfordert Entra ID P2. Rollen-Review ist in allen Plänen möglich.
6. Externe E-Mail-Weiterleitungsregeln deaktivieren
Business Email Compromise (BEC) ist eine der kostspieligsten Angriffsformen: Angreifer kompromittieren ein E-Mail-Konto, richten eine stille Weiterleitungsregel ein — und lesen fortan alle eingehenden Mails mit, ohne dass der Kontoinhaber es bemerkt. Rechnungen, Vertragsdetails, Kommunikation mit Kunden und Lieferanten fließen unbemerkt ab.
Diese Regel schließt den häufigsten Exfiltrationspfad:
Pfad: Exchange Admin Center → Mail flow → Rules → New rule: “Reject or block auto-forward to external domains” (Condition: Message type = Auto-forward, Action: Block)
Legitime automatische Weiterleitungen auf externe Adressen sollten einzeln und explizit genehmigt werden.
Lizenz: Kein Premium erforderlich.
7. Audit-Logging aktivieren und prüfen
Ohne Protokolle keine Forensik. Wenn ein Konto kompromittiert wurde, stellt sich die Frage: Was hat der Angreifer getan? Auf welche Dateien zugegriffen? Welche Mails gelesen? Wer informiert werden muss? Ohne aktiviertes Audit-Logging ist diese Frage nicht beantwortbar.
PowerShell:
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true
Prüfen Sie anschließend im Microsoft Purview Compliance Portal, ob die Protokollierung aktiv ist und wie lange Logs aufbewahrt werden. Standard ist 90 Tage — für NIS2-Compliance empfehlen wir mindestens 12 Monate (erfordert entsprechende Add-on-Lizenz).
Lizenz: Basis-Logging in allen Plänen. Erweiterte Aufbewahrung: Microsoft Purview Audit (Premium).
8. Externe Freigaben in SharePoint und OneDrive einschränken
Der Standard in vielen Tenants: Jeder Nutzer kann beliebige Dateien mit beliebigen externen Personen teilen — über einen anonymen Link, ohne Ablaufdatum, ohne Zugriffsprotokoll. Das ist praktisch und gleichzeitig ein Datenschutz- und Sicherheitsproblem.
Pfad: SharePoint Admin Center → Policies → Sharing → Externe Freigabe auf “New and existing guests” begrenzen (nicht “Anyone”) + Ablaufdatum für Gastlinks setzen (empfohlen: 30 Tage) + Anonyme Links komplett deaktivieren.
Zusätzlich: Sensitivity Labels in Microsoft Purview erlauben es, Dateien automatisch mit Freigabebeschränkungen zu versehen — sinnvoll für vertrauliche Dokumente. Wer bestehende SharePoint-Berechtigungen systematisch auf Oversharing prüfen und bereinigen möchte, findet dazu mehr unter SharePoint & Collaboration.
Lizenz: Basis-Einschränkungen in allen Plänen. Sensitivity Labels: Microsoft Purview (erfordert E3/E5 oder Business Premium Add-on).
9. Passwort-Richtlinie modernisieren
Viele Unternehmen erzwingen noch einen Passwort-Wechsel alle 90 Tage. Microsoft hat diese Empfehlung bereits 2019 offiziell zurückgezogen — aus gutem Grund: Erzwungene Wechsel führen zu schwächeren Passwörtern, weil Nutzer vorhersehbare Muster verwenden (“Sommer2025!”, “Herbst2025!”). Angreifer wissen das.
Die aktuelle Empfehlung von Microsoft und BSI: keine erzwungenen Wechsel ohne konkreten Anlass (z.B. Verdacht auf Kompromittierung). Stattdessen: Passwortlänge mindestens 14 Zeichen, Banned Password List aktivieren (blockiert bekannte schwache Passwörter), MFA als primäres Sicherheitsmerkmal.
Pfad: Microsoft Entra Admin Center → Password reset → Password policies → “Password expiration policy” deaktivieren.
Lizenz: Kein Premium erforderlich.
10. Microsoft Secure Score regelmäßig prüfen
Microsoft berechnet für jeden Tenant einen Secure Score — eine Kennzahl zwischen 0 und 100, die den Sicherheitsstatus des Tenants bewertet und konkrete Verbesserungsmaßnahmen vorschlägt. Jede implementierte Maßnahme erhöht den Score.
Pfad: Microsoft Defender Portal → Secure Score
Ein realistisches und sehr gutes Ziel für KMU: 70 Punkte oder mehr. Die meisten Tenants, die wir im Audit sehen, starten zwischen 30 und 45. Die oben beschriebenen neun Einstellungen treiben den Score typischerweise deutlich über 60.
Empfehlung: Quartalsweise prüfen, Maßnahmen nach Priorität abarbeiten, Fortschritt dokumentieren. Der Secure Score eignet sich gut als regelmäßiges Reporting-Instrument für die Geschäftsführung.
Lizenz: Kein Premium erforderlich — Secure Score ist in allen M365-Plänen verfügbar.
Was diese 10 Einstellungen nicht abdecken
Zur Klarheit: Diese Liste ist ein solider Grundschutz, kein vollständiges Sicherheitskonzept. Was sie nicht ersetzt:
- Mitarbeiter-Awareness: Technische Maßnahmen helfen nicht, wenn Nutzer auf Phishing hereinfallen. Regelmäßige Schulungen und Phishing-Simulationen sind Pflicht. Strukturierte Awareness-Programme, die den technischen Schutz gezielt flankieren, sind Bestandteil unserer Security-Audits & Compliance-Leistungen.
- Endpoint Security: Was auf dem Gerät passiert, bevor es M365 erreicht, liegt außerhalb dieser Einstellungen. Ein EDR auf allen Endgeräten ist eine eigenständige Maßnahme.
- Backup: OneDrive-Sync ist kein Backup. Ein ransomware-resistentes Backup-Konzept gehört separat geplant.
Diese drei Bereiche bilden zusammen mit M365-Hardening einen vollständigen Schutzrahmen — wie er etwa in unserem Cyber Shield abgebildet ist.
Wo anfangen?
Wenn Sie nicht sicher sind, wo Ihr Tenant aktuell steht, ist der Microsoft Secure Score der beste Einstiegspunkt: Er zeigt in Minuten, welche der hier beschriebenen Einstellungen fehlen. Wenn Sie eine strukturierte Analyse mit Handlungsempfehlungen bevorzugen, sprechen Sie uns an — wir bewerten Ihren Tenant und zeigen, wo der größte Handlungsbedarf liegt.
Jetzt Microsoft-365-Check anfragen
Quellen:
- Microsoft: Security best practices for Microsoft 365: https://learn.microsoft.com/en-us/microsoft-365/security/
- BSI: Microsoft 365 Sicherheitsleitfaden: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Cloud-Computing/cloud-computing_node.html
- Microsoft Secure Score: https://learn.microsoft.com/en-us/microsoft-365/security/defender/microsoft-secure-score