Microsoft 365 absichern: Die 15 wichtigsten Sicherheitseinstellungen

Warum die Standardkonfiguration nicht reicht

Microsoft 365 gehört zum Arbeitsalltag in fast jedem mittelständischen Unternehmen. E-Mails laufen über Exchange Online, Dateien liegen in SharePoint und OneDrive, Teams ist die zentrale Kommunikationsplattform. Was viele IT-Verantwortliche unterschätzen: Ein frisch eingerichteter M365-Tenant ist auf maximale Benutzerfreundlichkeit konfiguriert, nicht auf maximale Sicherheit. Externe Freigaben sind standardmäßig erlaubt, Legacy-Authentifizierung funktioniert, und das Audit-Log ist je nach Lizenz nicht einmal aktiviert.

Das Ergebnis: Die meiste Arbeit mit sensiblen Unternehmensdaten findet in einer Umgebung statt, deren Sicherheitseinstellungen nie bewusst gewählt wurden. Und genau hier setzt dieser Artikel an. Die folgenden 15 Einstellungen decken die wichtigsten Angriffsvektoren ab und lassen sich in den meisten Fällen innerhalb weniger Tage umsetzen. Dabei geht es nicht um exotische Enterprise-Features, sondern um Maßnahmen, die mit Business-Premium- oder E3-Lizenzen verfügbar sind und die sich auch in Unternehmen mit 50 bis 500 Mitarbeitenden realistisch betreiben lassen.

Jede der beschriebenen Einstellungen kann als technisch-organisatorische Maßnahme (TOM) in deinem ISMS dokumentiert werden. Im Anhang zu jedem Punkt findest du den Bezug zu den relevanten ISO 27001-Controls, damit du die Verknüpfung zur Norm direkt herstellen kannst.

1. Multi-Faktor-Authentifizierung für alle Benutzer erzwingen

MFA ist die einzelne Maßnahme mit dem größten Sicherheitseffekt. Microsoft selbst beziffert die Reduktion von Account-Kompromittierungen durch MFA auf über 99 Prozent. Trotzdem gibt es noch immer Unternehmen, die MFA nur für Administratoren aktiviert haben oder sich auf die Security Defaults verlassen, die nur eine eingeschränkte MFA-Variante bieten.

Der richtige Weg führt über Conditional Access Policies, nicht über die per-User-MFA-Einstellung, die Microsoft aus Kompatibilitätsgründen weiterhin anbietet. Eine Conditional-Access-Policy für MFA gibt dir die Kontrolle darüber, wann MFA ausgelöst wird: bei jedem Login, nur bei risikobehafteten Anmeldungen, nur von bestimmten Standorten oder nur auf nicht verwalteten Geräten.

Empfohlene Konfiguration:

• Conditional Access Policy, die MFA für alle Benutzer bei allen Cloud-Apps erzwingt
• Ausnahme für Notfallzugangs-Accounts (Break Glass Accounts), die mit anderen Mechanismen geschützt werden
• Bevorzugte MFA-Methode: Microsoft Authenticator App mit Number Matching (keine SMS)
• Registrierungskampagne mit kombiniertem Security-Info-Registrierungsportal

ISO 27001-Bezug: A.8.5 (Sichere Authentifizierung), A.5.17 (Authentifizierungsinformationen)

2. Legacy Authentication blockieren

Legacy-Authentifizierung bezeichnet Protokolle wie POP3, IMAP, SMTP AUTH und ältere Office-Versionen, die keine MFA unterstützen. Solange diese Protokolle aktiv sind, kann ein Angreifer mit gestohlenen Zugangsdaten MFA komplett umgehen. Microsoft hat die Basic Authentication für die meisten Protokolle inzwischen abgeschaltet, aber es gibt Ausnahmen und Übergangszeiträume, die du aktiv verwalten musst.

Empfohlene Konfiguration:

• Conditional Access Policy, die Legacy Authentication für alle Benutzer blockiert
• Vorher: Analyse der Sign-in-Logs auf aktive Legacy-Auth-Nutzung (Entra ID > Sign-in Logs > Filter: Client App = Other clients)
• Migration der verbleibenden Anwendungen auf Modern Authentication (OAuth 2.0)
• Multifunktionsdrucker und Scanner sind häufig die letzten Legacy-Auth-Nutzer und brauchen SMTP AUTH mit einem dedizierten Service Account

ISO 27001-Bezug: A.8.5 (Sichere Authentifizierung), A.8.9 (Konfigurationsmanagement)

3. Conditional Access Policies einrichten

Conditional Access ist das zentrale Steuerungsinstrument für den Zugriff auf M365-Ressourcen. Es erlaubt dir, granulare Richtlinien zu definieren, die den Zugriff basierend auf Benutzeridentität, Gerätezustand, Standort, Risikostufe und App-Typ gewähren oder verweigern.

Ein Basis-Set an Conditional Access Policies sollte in jedem Tenant existieren. Die Details dazu findest du im separaten Artikel zu Conditional Access. An dieser Stelle nur die Kernrichtlinien:

Empfohlene Basis-Richtlinien:

• MFA für alle Benutzer bei allen Cloud-Apps
• Block Legacy Authentication
• MFA für alle administrativen Rollen (separat, mit Ausnahme für Break Glass)
• Geräte-Compliance erforderlich für den Zugriff auf Unternehmensdaten
• Blockade von Anmeldungen aus Ländern, in denen das Unternehmen nicht aktiv ist
• Risikobasierte Richtlinien (Sign-in Risk, User Risk) bei P2-Lizenz

ISO 27001-Bezug: A.8.2 (Privilegierte Zugriffsrechte), A.8.1 (User Endpoint Devices), A.5.15 (Zugriffskontrolle)

4. Anti-Phishing-Richtlinien konfigurieren

Phishing ist nach wie vor der häufigste initiale Angriffsvektor. Exchange Online Protection (EOP) bietet einen Basis-Schutz, aber die erweiterten Anti-Phishing-Richtlinien in Microsoft Defender for Office 365 gehen deutlich weiter. Sie erkennen Impersonation-Versuche, bei denen ein Angreifer sich als interner Mitarbeiter oder bekannter externer Kontakt ausgibt.

Empfohlene Konfiguration:

• Impersonation Protection für Geschäftsführung und Finanzabteilung aktivieren (Schutz vor CEO Fraud)
• Mailbox Intelligence einschalten, damit das System die üblichen Kommunikationsmuster jedes Benutzers lernt
• First Contact Safety Tip aktivieren (warnt bei E-Mails von erstmaligen Absendern)
• Spoof Intelligence konfigurieren und regelmäßig überprüfen
• Quarantäne statt Zustellung in den Junk-Ordner bei erkanntem Phishing

ISO 27001-Bezug: A.8.23 (Web-Filterung), A.5.14 (Informationstransfer)

5. Safe Links und Safe Attachments aktivieren

Safe Links scannt URLs in E-Mails und Office-Dokumenten zum Zeitpunkt des Klicks und blockiert den Zugriff, wenn die URL zwischenzeitlich als schadhaft eingestuft wurde. Das ist ein entscheidender Unterschied zum reinen URL-Scanning beim Empfang: Viele Phishing-URLs werden erst Stunden nach dem Versand der Mail aktiviert, um den initialen Scan zu umgehen.

Safe Attachments öffnet verdächtige Anhänge in einer Sandbox-Umgebung (Detonation Chamber) und analysiert das Verhalten. Erst wenn der Anhang als unbedenklich eingestuft wird, wird er an den Empfänger zugestellt. Das verursacht eine kurze Verzögerung bei der Zustellung, schützt aber vor Zero-Day-Malware, die von signaturbasierten Scannern noch nicht erkannt wird.

Empfohlene Konfiguration:

• Safe Links: Für alle Benutzer aktivieren, URL-Rewriting einschalten, auch für interne E-Mails
• Safe Links: Auch in Teams-Nachrichten und Office-Dokumenten aktivieren
• Safe Attachments: Dynamic Delivery verwenden (Nachricht wird sofort zugestellt, Anhang wird nachgereicht nach Scan)
• Safe Attachments: Auch für SharePoint, OneDrive und Teams aktivieren
• Keine Ausnahmen für "vertrauenswürdige" Domains (Angreifer kompromittieren auch Partner)

ISO 27001-Bezug: A.8.7 (Schutz gegen Malware), A.5.14 (Informationstransfer)

6. Data Loss Prevention (DLP) einrichten

DLP-Richtlinien verhindern, dass sensible Daten unbeabsichtigt per E-Mail verschickt, in SharePoint extern freigegeben oder in Teams-Chats geteilt werden. Microsoft 365 bringt vorgefertigte DLP-Vorlagen mit, die gängige Muster erkennen: Kreditkartennummern, Personalausweisnummern, IBAN-Nummern, Gesundheitsdaten und mehr.

Für den Anfang reicht es, mit ein bis zwei Richtlinien zu starten und den Scope schrittweise zu erweitern. Beginne im Testmodus (Policy Tips ohne Blockade), damit du die False-Positive-Rate einschätzen kannst, bevor du die Richtlinie scharf schaltest.

Empfohlene Konfiguration:

• DLP-Richtlinie für personenbezogene Daten (Personalausweisnummern, Steuer-IDs) in E-Mail und SharePoint
• DLP-Richtlinie für Finanzdaten (IBAN, Kreditkartennummern)
• Zunächst im Testmodus mit Policy Tips (Benutzer werden gewarnt, können aber weiter teilen)
• Nach Evaluierungsphase: Blockade bei hoher Confidence, Warnung bei niedriger Confidence
• Regelmäßige Auswertung der DLP-Reports im Compliance Center

ISO 27001-Bezug: A.5.12 (Klassifizierung von Informationen), A.5.14 (Informationstransfer), A.8.12 (Data Leakage Prevention)

7. Unified Audit Log aktivieren und überwachen

Das Unified Audit Log zeichnet Benutzer- und Administratoraktivitäten über alle M365-Dienste hinweg auf: Anmeldungen, Dateizugriffe, Freigabeänderungen, Postfachzugriffe, Admin-Konfigurationsänderungen und vieles mehr. Es ist die wichtigste Datenquelle für die Untersuchung von Sicherheitsvorfällen und gleichzeitig eine Compliance-Anforderung.

In manchen Tenants ist das Audit Log standardmäßig aktiviert, in anderen nicht. Prüfe den Status im Microsoft Purview Compliance Center unter Audit. Wenn es nicht aktiv ist, dauert die Aktivierung nur einen Klick, aber die Aufzeichnung beginnt erst ab diesem Zeitpunkt. Historische Daten gibt es nicht rückwirkend.

Empfohlene Konfiguration:

• Audit Log aktivieren (falls nicht bereits aktiv)
• Aufbewahrungsdauer auf mindestens 180 Tage setzen (E5/G5 ermöglicht bis zu 10 Jahre)
• Mailbox-Audit-Logging für alle Postfächer aktivieren (ist seit 2019 Standard, aber prüfe ältere Postfächer)
• Alert Policies für kritische Ereignisse einrichten: Admin-Rollenänderungen, Massen-Downloads, externe Freigaben
• Regelmäßige Stichproben-Auswertung der Audit-Logs (mindestens monatlich)
• Bei Bedarf: Export in SIEM-Lösung über die Management Activity API

ISO 27001-Bezug: A.8.15 (Logging), A.8.16 (Überwachung von Aktivitäten)

8. Externe Freigaben in SharePoint und OneDrive einschränken

Die Standardeinstellung in SharePoint Online erlaubt es jedem Benutzer, Dateien und Ordner mit beliebigen externen Personen zu teilen, auch mit anonymen Links ohne Anmeldung. Das ist in den meisten Unternehmen deutlich zu offen. Besonders kritisch sind "Anyone"-Links, die ohne Authentifizierung funktionieren und unbegrenzt gültig sein können.

Empfohlene Konfiguration:

• Tenant-weite Freigabe-Einstellung: Mindestens "New and existing guests" (keine anonymen Links)
• Besser: "Existing guests only" (nur Gäste, die bereits im Verzeichnis sind)
• Ablaufdatum für Gastfreigaben: Maximal 30 Tage, danach müssen Freigaben erneuert werden
• Freigabe nur auf bestimmte Domains beschränken (Allow-List für Partnerunternehmen)
• Sensible SharePoint-Sites auf "Only people in your organization" einschränken
• Regelmäßige Überprüfung externer Freigaben über den Sharing-Report im SharePoint Admin Center

ISO 27001-Bezug: A.5.14 (Informationstransfer), A.8.3 (Zugriffsbeschränkung auf Informationen), A.5.10 (Zulässige Nutzung)

9. Gastzugriff kontrollieren

Gastzugriff in Microsoft 365 erlaubt externen Personen, auf Teams-Kanäle, SharePoint-Sites und andere Ressourcen zuzugreifen. Das ist für die Zusammenarbeit mit Partnern und Dienstleistern wertvoll, muss aber kontrolliert werden. Ohne Einschränkungen können Gäste auf mehr Ressourcen zugreifen als beabsichtigt, und verwaiste Gastkonten bleiben ewig aktiv.

Empfohlene Konfiguration:

• Gastzugriff in Teams aktiviert lassen (bei Bedarf), aber auf bestimmte Teams beschränken
• Entra ID External Collaboration Settings konfigurieren: Einladungen nur durch Admins oder bestimmte Rollen
• Gastkonten regelmäßig überprüfen (Access Reviews in Entra ID P2)
• Conditional Access Policy für Gäste: MFA erzwingen, Zugriff auf bestimmte Apps beschränken
• Automatische Deaktivierung von Gastkonten nach 90 Tagen Inaktivität
• Gäste von der globalen Adressliste ausblenden

ISO 27001-Bezug: A.5.15 (Zugriffskontrolle), A.5.16 (Identitätsmanagement), A.6.6 (Vertraulichkeitsvereinbarungen)

10. Mailflow-Regeln für Spoofing-Schutz

Neben den Anti-Phishing-Richtlinien in Defender for Office 365 solltest du Mailflow-Regeln (Transport Rules) in Exchange Online einrichten, die zusätzlichen Schutz gegen Spoofing und Social Engineering bieten. Besonders effektiv ist eine externe E-Mail-Warnung, die allen eingehenden E-Mails von außerhalb der Organisation einen gut sichtbaren Hinweis voranstellt.

Empfohlene Konfiguration:

• External Sender Warning: Mailflow-Regel, die bei E-Mails von externen Absendern einen Banner voranstellt ("Diese Nachricht stammt von außerhalb Ihrer Organisation. Seien Sie vorsichtig mit Links und Anhängen.")
• Blockade von E-Mails, die die eigene Domain als Absender verwenden, aber nicht von den eigenen Mail-Servern stammen (in Kombination mit SPF/DKIM/DMARC)
• Auto-Forward an externe Adressen blockieren (verhindert, dass kompromittierte Konten E-Mails weiterleiten)
• Blockade von ausführbaren Dateitypen in Anhängen (.exe, .bat, .ps1, .vbs, .js, .wsf)

ISO 27001-Bezug: A.8.23 (Web-Filterung), A.5.14 (Informationstransfer), A.8.7 (Schutz gegen Malware)

11. Gerätecompliance mit Intune durchsetzen

Conditional Access allein reicht nicht aus, wenn du nicht weißt, ob das zugreifende Gerät sicher ist. Gerätecompliance-Richtlinien in Microsoft Intune definieren Mindestanforderungen an Endgeräte: Ist das Betriebssystem aktuell? Ist die Festplatte verschlüsselt? Läuft ein aktueller Virenschutz? Ist das Gerät nicht jailbroken oder gerootet?

Erst die Kombination aus Conditional Access und Gerätecompliance schließt den Kreis: Nur authentifizierte Benutzer auf konformen Geräten erhalten Zugriff auf Unternehmensdaten.

Empfohlene Konfiguration:

• Intune Enrollment für alle Windows-, macOS- und Mobilgeräte
• Compliance-Richtlinien pro Plattform (mindestens: OS-Version, Verschlüsselung, Virenschutz, Passcode)
• Conditional Access Policy: "Require device to be marked as compliant"
• Grace Period für nicht konforme Geräte: 3-7 Tage für Compliance, danach Zugriffssperre
• Für BYOD-Szenarien: App Protection Policies (MAM) statt Full Device Management

ISO 27001-Bezug: A.8.1 (User Endpoint Devices), A.8.9 (Konfigurationsmanagement)

12. App-Berechtigungen und Consent kontrollieren

In der Standardkonfiguration können Benutzer selbstständig Drittanbieter-Apps den Zugriff auf ihre M365-Daten gewähren (User Consent). Das klingt harmlos, ist aber ein signifikanter Angriffsvektor: Ein Angreifer erstellt eine OAuth-App, die nach Zugriff auf E-Mails oder Dateien fragt, und ein unachtsamer Benutzer erteilt die Berechtigung. Ab diesem Moment hat der Angreifer dauerhaften Zugriff, auch ohne Passwort, auch mit MFA.

Empfohlene Konfiguration:

• User Consent für Drittanbieter-Apps deaktivieren (Entra ID > Enterprise Applications > Consent and Permissions)
• Admin Consent Workflow aktivieren: Benutzer können Apps anfordern, aber ein Admin muss genehmigen
• Bestehende App-Berechtigungen regelmäßig überprüfen (mindestens quartalsweise)
• Apps mit hohen Berechtigungen (Mail.Read, Files.ReadWrite.All, Directory.ReadWrite.All) besonders kritisch prüfen
• Nicht mehr benötigte App-Registrierungen und deren Berechtigungen entfernen

ISO 27001-Bezug: A.8.9 (Konfigurationsmanagement), A.5.15 (Zugriffskontrolle), A.8.26 (Application Security Requirements)

13. Administrative Rollen einschränken

Das Prinzip der geringsten Berechtigung (Least Privilege) gilt besonders für Administratorenrollen. Ein häufiger Fehler in M365-Tenants: Zu viele Benutzer haben die Rolle "Global Administrator", obwohl sie nur eine spezifische Aufgabe erledigen müssen. Jeder Global Admin ist ein potenzielles Einfallstor, denn wer diese Rolle kompromittiert, hat volle Kontrolle über den gesamten Tenant.

Empfohlene Konfiguration:

• Maximal 2-4 Global Administrators (plus 1-2 Break Glass Accounts)
• Dedizierte Admin-Rollen statt Global Admin: Exchange Admin für E-Mail, SharePoint Admin für Dateien, Security Admin für Sicherheitseinstellungen
• Privileged Identity Management (PIM) bei P2-Lizenz: Just-in-Time-Aktivierung von Admin-Rollen statt permanenter Zuweisung
• Separate Admin-Accounts für administrative Tätigkeiten (kein Admin-Zugriff über das tägliche Arbeitskonto)
• MFA für alle Admin-Rollen per Conditional Access erzwingen (separate Policy mit erhöhten Anforderungen)

ISO 27001-Bezug: A.8.2 (Privilegierte Zugriffsrechte), A.5.15 (Zugriffskontrolle), A.5.18 (Zugriffsrechte)

14. Aufbewahrungsrichtlinien und eDiscovery

Aufbewahrungsrichtlinien (Retention Policies) in Microsoft Purview steuern, wie lange Daten in Exchange, SharePoint, OneDrive und Teams aufbewahrt werden und wann sie automatisch gelöscht werden. Das erfüllt gleichzeitig zwei Anforderungen: Compliance-konforme Aufbewahrung und datenschutzgerechte Löschung nach Ablauf der Aufbewahrungsfrist.

eDiscovery ermöglicht die gezielte Suche nach Inhalten über alle M365-Dienste hinweg, etwa bei internen Untersuchungen, Auskunftsersuchen nach DSGVO oder Rechtsstreitigkeiten. Ohne vorbereitete Aufbewahrungsrichtlinien riskierst du, dass relevante Daten bereits gelöscht wurden, wenn du sie brauchst.

Empfohlene Konfiguration:

• Retention Policy für Exchange: E-Mails mindestens 1 Jahr aufbewahren, danach automatisch löschen (an DSGVO-Löschkonzept anpassen)
• Retention Policy für SharePoint/OneDrive: Dokumentversionen mindestens 2 Jahre aufbewahren
• Retention Policy für Teams-Chats und -Nachrichten: Mindestens 1 Jahr
• Retention Labels für besondere Dokumenttypen (Verträge: 10 Jahre, Personalakten: 3 Jahre nach Austritt)
• eDiscovery-Berechtigungen auf einen kleinen Personenkreis beschränken (Datenschutz, Recht, IT-Sicherheit)
• Regelmäßige Überprüfung, ob Aufbewahrungsrichtlinien korrekt angewendet werden

ISO 27001-Bezug: A.5.33 (Schutz von Aufzeichnungen), A.8.10 (Löschung von Informationen)

15. Microsoft Secure Score monitoren und verbessern

Der Microsoft Secure Score ist ein Dashboard, das den Sicherheitszustand deines M365-Tenants auf einer Punkteskala bewertet und konkrete Verbesserungsvorschläge liefert. Er aggregiert den Status aller oben genannten Einstellungen (und vieler weiterer) in einer einzigen Kennzahl und priorisiert die Empfehlungen nach Sicherheitsgewinn und Implementierungsaufwand.

Der Secure Score ist kein Selbstzweck, aber ein hervorragendes Werkzeug, um den Überblick zu behalten und Fortschritte sichtbar zu machen. Als KPI im ISMS eignet er sich für das Management Review und die kontinuierliche Verbesserung.

Empfohlene Konfiguration:

• Secure Score im Security Center regelmäßig prüfen (mindestens monatlich)
• Realistische Zielvorgabe setzen (70-80 Prozent sind für die meisten Mittelständler ein guter Zielwert)
• Top-5-Empfehlungen quartalsweise abarbeiten
• Secure Score als KPI im ISMS-Dashboard aufnehmen
• Nicht erreichbare Empfehlungen bewusst als "Resolved through third party" oder "Risk accepted" markieren

ISO 27001-Bezug: A.5.36 (Einhaltung von Richtlinien und Standards), A.8.8 (Management von technischen Schwachstellen)

Die richtige Reihenfolge: Wo anfangen?

Die 15 Maßnahmen sind nach Priorität geordnet, aber du musst nicht alle gleichzeitig umsetzen. Ein pragmatischer Fahrplan für die Einführung über drei Monate:

Monat 1 (Quick Wins mit großem Effekt):

• MFA für alle Benutzer (Punkt 1)
• Legacy Authentication blockieren (Punkt 2)
• Audit Log aktivieren (Punkt 7)
• Admin-Rollen aufräumen (Punkt 13)

Diese vier Maßnahmen schließen die größten Sicherheitslücken und erfordern keine Lizenz-Upgrades. MFA allein reduziert das Risiko einer Account-Kompromittierung dramatisch, und die Blockade von Legacy Auth stellt sicher, dass MFA nicht umgangen werden kann.

Monat 2 (E-Mail-Schutz und Zugriffskontrolle):

• Anti-Phishing-Richtlinien (Punkt 4)
• Safe Links und Safe Attachments (Punkt 5)
• Mailflow-Regeln (Punkt 10)
• Conditional Access Basis-Set (Punkt 3)
• App-Berechtigungen einschränken (Punkt 12)

Im zweiten Monat fokussierst du dich auf den E-Mail-Kanal als häufigsten Angriffsvektor und etablierst ein strukturiertes Conditional-Access-Framework.

Monat 3 (Datenschutz und Compliance):

• Externe Freigaben einschränken (Punkt 8)
• Gastzugriff kontrollieren (Punkt 9)
• DLP-Richtlinien (Punkt 6)
• Gerätecompliance (Punkt 11)
• Aufbewahrungsrichtlinien (Punkt 14)
• Secure Score als KPI etablieren (Punkt 15)

Der dritte Monat adressiert Datenschutz, Compliance und den langfristigen Betrieb. Diese Maßnahmen erfordern mehr Abstimmung mit Fachbereichen und sind deshalb am Ende des Fahrplans.

Lizenzen: Was brauche ich wofür?

Nicht alle 15 Maßnahmen sind in jeder Lizenz verfügbar. Hier eine Übersicht, welche Lizenz du für welche Maßnahme benötigst:

Microsoft 365 Business Basic/Standard:

• Audit Log (Basis, 90 Tage Aufbewahrung)
• Mailflow-Regeln
• Externe Freigaben konfigurieren
• Admin-Rollen

Microsoft 365 Business Premium:

• Alles aus Basic/Standard, plus:
• Conditional Access
• Intune (Gerätecompliance)
• Defender for Office 365 Plan 1 (Safe Links, Safe Attachments, Anti-Phishing)
• DLP (Basis)
• Entra ID P1 (Conditional Access)

Microsoft 365 E3:

• Alles aus Business Premium, plus:
• Erweiterte DLP-Richtlinien
• Sensitivity Labels (manuell)
• Aufbewahrungsrichtlinien (erweitert)
• eDiscovery (Standard)

Microsoft 365 E5 / Entra ID P2:

• Alles aus E3, plus:
• Privileged Identity Management (PIM)
• Access Reviews
• Risikobasierte Conditional Access Policies
• Audit Log mit 10 Jahren Aufbewahrung
• eDiscovery (Premium)
• Auto-Labeling mit Sensitivity Labels

Für die meisten mittelständischen Unternehmen bietet Business Premium das beste Preis-Leistungs-Verhältnis. Wenn du risikobasiertes Conditional Access und PIM brauchst, kommst du um E5 oder ein Entra ID P2-Add-on nicht herum.

M365-Sicherheit als Teil des ISMS

Die 15 beschriebenen Einstellungen sind keine isolierte IT-Maßnahmenliste, sondern integraler Bestandteil deines ISMS. Jede Einstellung lässt sich einem oder mehreren Controls aus ISO 27001 Annex A zuordnen, und genau das solltest du auch tun. Die Dokumentation der M365-Sicherheitskonfiguration als TOMs in deinem ISMS schafft mehrere Vorteile. In ISMS Lite lässt sich jede der 15 Einstellungen als TOM dokumentieren und dem passenden ISO 27001-Control zuordnen, inklusive Umsetzungsstand und Wirksamkeitsprüfung.

Erstens: Transparenz. Du weißt genau, welche Maßnahmen umgesetzt sind und welche noch fehlen. Der Secure Score liefert dafür einen automatisierten Indikator, aber die Dokumentation im ISMS geht tiefer: Sie erfasst nicht nur den technischen Status, sondern auch die organisatorische Verantwortung, den Genehmigungsprozess und die Wirksamkeitsprüfung.

Zweitens: Nachweisbarkeit. Wenn der Auditor fragt, wie du den Zugriff auf Cloud-Dienste kontrollierst, kannst du die dokumentierten Conditional Access Policies, die DLP-Konfiguration und die Audit-Log-Auswertungen vorzeigen. Die Verknüpfung mit den ISO 27001-Controls zeigt, dass die Maßnahmen nicht zufällig gewählt wurden, sondern auf einer systematischen Risikobewertung basieren.

Drittens: Kontinuierliche Verbesserung. Wenn du den Secure Score als KPI im ISMS führst und ihn quartalsweise im Management Review besprichst, wird die M365-Sicherheitskonfiguration Teil des PDCA-Zyklus. Neue Empfehlungen fließen als Maßnahmen in den Behandlungsplan ein, umgesetzte Maßnahmen werden auf Wirksamkeit geprüft, und der Score entwickelt sich messbar nach oben.

Häufige Fehler bei der M365-Härtung

Auch wenn die einzelnen Einstellungen technisch nicht kompliziert sind, gibt es wiederkehrende Fehler, die den Sicherheitsgewinn zunichtemachen oder betriebliche Probleme verursachen.

Alles auf einmal aktivieren: Wenn du alle 15 Maßnahmen an einem Freitagnachmittag scharfschaltest, wirst du am Montag mit einem überlasteten Helpdesk belohnt. Besonders MFA-Rollout und die Blockade von Legacy Auth brauchen Vorlauf und Kommunikation. Gib den Benutzern mindestens zwei Wochen für die MFA-Registrierung, bevor du die Conditional Access Policy von Report-Only auf Enforced umstellst.

Break Glass Accounts vergessen: Wenn du MFA und Conditional Access für alle Benutzer erzwingst, brauchst du mindestens einen Notfallzugangs-Account, der nicht von diesen Richtlinien betroffen ist. Sonst sperrst du dich im Worst Case selbst aus dem Tenant aus. Break Glass Accounts haben ein extrem langes Passwort, sind von Conditional Access ausgenommen und werden über Alert Policies überwacht.

Zu viele Ausnahmen: Jede Ausnahme in einer Conditional Access Policy ist eine potenzielle Sicherheitslücke. Wenn du für jeden Benutzer, der sich beschwert, eine Ausnahme einrichtest, untergräbst du den Schutz. Prüfe jede Ausnahme kritisch und dokumentiere die Begründung.

DLP ohne Testphase: DLP-Richtlinien, die sofort blockieren statt nur warnen, führen zu Frustration und Workarounds. Starte immer mit Policy Tips (Warnung ohne Blockade) und schalte erst nach einer Evaluierungsphase auf Blockade um.

Audit Log nicht auswerten: Das Audit Log zu aktivieren bringt nichts, wenn niemand reinschaut. Richte automatische Alert Policies ein und werte die Logs regelmäßig aus. Ein Log, das niemand liest, ist kein Sicherheitsinstrument, sondern nur Speicherverbrauch.

Monitoring und Wirksamkeitsprüfung

Die Einrichtung der 15 Maßnahmen ist der Anfang, nicht das Ende. Damit die Sicherheitskonfiguration wirksam bleibt, brauchst du einen Monitoring-Prozess:

Wöchentlich:

• Alert-Benachrichtigungen prüfen (automatisch per E-Mail)
• Quarantäne-Queue in Defender for Office 365 prüfen (False Positives identifizieren)

Monatlich:

• Secure Score prüfen und neue Empfehlungen bewerten
• Audit Log Stichproben (Fokus: Admin-Aktivitäten, externe Freigaben, Postfachzugriffe)
• DLP-Reports auswerten (Match-Rate, False Positives, User Overrides)

Quartalsweise:

• Conditional Access Policies auf Aktualität prüfen
• App-Berechtigungen überprüfen
• Gastkonten überprüfen und verwaiste Accounts deaktivieren
• Externe Freigaben in SharePoint auswerten

Jährlich:

• Gesamte M365-Sicherheitskonfiguration gegen aktuelle Microsoft-Empfehlungen abgleichen
• Lizenzbedarf überprüfen (neue Features könnten höhere Lizenzen erfordern)
• Ergebnisse in das Management Review einfließen lassen

Checkliste: 15 Maßnahmen im Überblick

Weiterführende Artikel

• Conditional Access in Entra ID einrichten: Richtlinien für den Mittelstand
• Exchange Online absichern: Anti-Phishing, Safe Links und Mailflow-Regeln
• Microsoft Secure Score: Was er misst und wie du ihn verbesserst
• SharePoint und OneDrive sicher konfigurieren: Freigaben, DLP und Klassifizierung
• Intune für Einsteiger: Gerätemanagement ohne Enterprise-Komplexität