Teams-Sicherheit: Gastzugriff, externe Freigaben und Compliance

Warum Teams-Sicherheit eigene Aufmerksamkeit braucht

Microsoft Teams hat sich in den letzten Jahren von einem Chat-Tool zur zentralen Arbeitsplattform entwickelt. Besprechungen, Projektdokumentation, Kundenkommunikation, Dateifreigaben und sogar Genehmigungsprozesse laufen über Teams. Damit ist Teams nicht nur ein Kommunikationskanal, sondern ein Datenspeicher, der sensible Geschäftsinformationen enthält: Strategiebesprechungen als Aufnahmen, Vertragsentwürfe als geteilte Dateien, Personalthemen in privaten Chats, Kundendaten in Projektkanälen.

Die Sicherheitskonfiguration von Teams wird trotzdem oft vernachlässigt. Viele IT-Abteilungen fokussieren sich auf Exchange und SharePoint, übersehen aber, dass Teams eigene Sicherheitseinstellungen hat, die unabhängig von den SharePoint- und Exchange-Richtlinien konfiguriert werden müssen. Und die Standardkonfiguration ist, wie so oft bei Microsoft 365, auf maximale Zusammenarbeit ausgelegt.

Gastzugriff vs. externer Zugriff: Der Unterschied

Bevor du die Konfiguration angehst, musst du den Unterschied zwischen zwei Funktionen verstehen, die oft verwechselt werden:

Externer Zugriff (Federation): Externer Zugriff erlaubt Benutzern, mit Personen in anderen Microsoft 365-Tenants (oder Skype for Business/Teams-Organisationen) zu chatten und Anrufe zu tätigen. Die externen Benutzer bleiben in ihrem eigenen Tenant und sehen nichts von deiner internen Teams-Umgebung. Es ist vergleichbar mit E-Mail: Du kannst an externe Adressen schreiben, ohne dass der Empfänger Zugriff auf dein Postfach hat.

Gastzugriff: Gastzugriff erlaubt externen Personen, als Gast einem deiner internen Teams beizutreten. Der Gast wird zu einem Mitglied des Teams und hat Zugriff auf die Kanäle, Dateien, Wikis und Chats dieses Teams. Der Gast wird als Gastkonto in deinem Entra ID-Verzeichnis angelegt.

Die Unterscheidung ist wichtig, weil die Risiken unterschiedlich sind. Externer Zugriff hat ein begrenztes Risiko (nur 1:1-Chat, kein Zugriff auf interne Daten). Gastzugriff hat ein deutlich höheres Risiko, weil der Gast auf die Inhalte des Teams zugreifen kann, einschließlich aller Dateien in der zugehörigen SharePoint-Site.

Gastzugriff konfigurieren

Grundsätzliche Entscheidung: Gastzugriff ja oder nein?

Für viele Unternehmen ist Gastzugriff geschäftlich notwendig, etwa für die Zusammenarbeit mit externen Beratern, Agenturen oder Projektpartnern. Die Frage ist nicht, ob du Gastzugriff erlaubst, sondern wie du ihn kontrollierst.

Wenn du Gastzugriff komplett deaktivierst, werden die Mitarbeitenden Alternativen finden, die du noch weniger kontrollieren kannst: private WhatsApp-Gruppen, persönliche Dropbox-Konten, E-Mail mit angehängten Dateien. Die kontrollierte Freigabe über Teams ist in den meisten Fällen sicherer als die unkontrollierte Alternative.

Konfiguration im Teams Admin Center

Teams-weite Gastzugriffs-Einstellungen:

• Gastzugriff: Aktiviert (Org-wide Settings > Guest access)
• Gäste können Kanalnachrichten lesen: Ja
• Gäste können Kanalnachrichten senden: Ja
• Gäste können private Kanäle erstellen: Nein
• Gäste können Dateien bearbeiten: Ja (eingeschränkt durch SharePoint-Berechtigungen)
• Gäste können Dateien löschen: Nein (empfohlen)

Wer darf Gäste einladen? Konfiguriere in Entra ID (External Identities > External Collaboration Settings), wer Gäste einladen darf:

• Empfehlung: "Member users and users assigned to specific admin roles can invite guest users" (nicht jeder Benutzer, aber auch nicht nur Admins)
• Alternativ: Nur Team-Owner dürfen Gäste zu ihren Teams einladen

Gastzugriff per Conditional Access steuern: Erstelle eine Conditional Access Policy speziell für Gastbenutzer:

• MFA erzwingen (Gäste müssen sich immer mit einem zweiten Faktor authentifizieren)
• Zugriff auf bestimmte Apps beschränken (nur Teams und SharePoint, nicht Azure Portal oder andere Admin-Portale)
• Session-Timeout: Kürzerer Timeout als für interne Benutzer (z.B. 4 Stunden statt 24)

Verwaiste Gastkonten verhindern

Das größte Problem mit Gastzugriff sind verwaiste Konten: Externe Projektmitarbeiter, deren Projekt längst abgeschlossen ist, aber deren Gastkonto noch aktiv ist. Ohne aktive Verwaltung sammeln sich in einem mittelständischen Unternehmen innerhalb weniger Jahre Dutzende oder Hunderte inaktive Gastkonten an.

Maßnahmen gegen verwaiste Gastkonten:

• Access Reviews (Entra ID P2): Automatisierte vierteljährliche Überprüfung aller Gastkonten durch die Team-Owner
• Automatische Deaktivierung nach 90 Tagen Inaktivität (über ein Automatisierungsskript oder Lifecycle Workflows in Entra ID Governance)
• Regelmäßige manuelle Überprüfung: Mindestens halbjährlich eine Liste aller Gastkonten exportieren und mit den Team-Ownern abgleichen
• Dokumentation: Für jeden Gast dokumentieren, welchem Projekt oder welcher Zusammenarbeit er zugeordnet ist und wann der Zugang überprüft oder entfernt werden soll

Externe Kommunikation (Federation)

Was erlaubt Federation?

Externer Zugriff (Federation) ermöglicht:

• 1:1-Chats und Gruppenchats mit externen Teams-Benutzern
• Sprach- und Videoanrufe mit externen Benutzern
• Bildschirmfreigabe in Anrufen

Federation ermöglicht keinen Zugriff auf interne Teams, Kanäle, Dateien oder andere Ressourcen. Es ist ein reiner Kommunikationskanal.

Konfiguration

Open Federation (Standard): In der Standardkonfiguration kann jeder Benutzer mit jedem anderen Teams-Benutzer weltweit chatten, solange dessen Organisation ebenfalls Federation erlaubt. Das ist die offenste Einstellung.

Allow-List Federation (empfohlen): Du definierst eine Liste von Domains, mit denen Federation erlaubt ist. Alle anderen Domains sind blockiert. Das schränkt die externe Kommunikation auf bekannte Partner und Kunden ein.

Block-List Federation: Du definierst eine Liste von Domains, die blockiert werden. Alle anderen Domains sind erlaubt. Diese Variante ist nur sinnvoll, wenn du gezielt bestimmte Domains blockieren musst, aber grundsätzlich offene Kommunikation wünschst.

Empfehlung für den Mittelstand: Beginne mit Allow-List Federation und füge die Domains deiner Geschäftspartner, Kunden und Dienstleister hinzu. Wenn Mitarbeitende die Kommunikation mit einer neuen externen Organisation benötigen, müssen sie die Domain bei der IT anfragen. Das erzeugt einen kontrollierten Prozess, ohne die Zusammenarbeit zu blockieren.

Kommunikation mit Skype-Nutzern und Nicht-Teams-Organisationen

Du kannst separat konfigurieren, ob Benutzer mit Skype-Konsumenten (nicht Skype for Business) und mit Organisationen kommunizieren dürfen, die keine Teams-Lizenz haben (z.B. über Teams-Grundkenntnisse-Konten). Für die meisten Unternehmen empfiehlt sich, beides zu deaktivieren, da es selten geschäftlich benötigt wird und zusätzliche Angriffsfläche bietet.

Besprechungssicherheit

Teams-Besprechungen sind ein unterschätztes Sicherheitsthema. In virtuellen Meetings werden vertrauliche Informationen besprochen, Bildschirme mit sensiblen Daten geteilt und Aufnahmen erstellt, die anschließend in SharePoint gespeichert werden.

Lobby und Teilnehmerkontrolle

Die Lobby ist der Wartebereich für Teilnehmer, die noch nicht in die Besprechung eingelassen wurden. Der Organisator entscheidet, wer direkt eingelassen wird und wer in der Lobby warten muss.

Empfohlene Konfiguration (Meeting Policy):

• Wer umgeht die Lobby? "People in my org" (externe Teilnehmer warten immer in der Lobby)
• Anonyme Teilnehmer dürfen einer Besprechung beitreten: Nein (oder nur wenn der Organisator es explizit zulässt)
• Wählteilnehmer (Telefon) umgehen die Lobby: Nein
• Wer kann präsentieren? Nur Organisatoren und Co-Organisatoren (Teilnehmer können auf Anfrage zum Presenter ernannt werden)

Aufnahme-Richtlinien

Teams-Besprechungsaufnahmen werden automatisch in OneDrive (für 1:1-Anrufe) oder SharePoint (für Kanalbesprechungen) gespeichert. Das bedeutet, dass die Aufnahme den Freigabe- und Aufbewahrungsrichtlinien der jeweiligen Speicherorte unterliegt.

Empfohlene Konfiguration:

• Wer darf aufnehmen? Nur Organisatoren und Co-Organisatoren
• Automatische Aufnahme: Deaktiviert (Aufnahme nur auf bewusste Entscheidung des Organisators)
• Aufnahme-Ablaufdatum: 60-120 Tage (danach automatische Löschung, sofern kein Retention Label angewendet wird)
• Transkription: Nur wenn geschäftlich benötigt (Transkripte enthalten den gesamten Gesprächsinhalt im Klartext)

Ende-zu-Ende-Verschlüsselung (E2EE)

Teams bietet Ende-zu-Ende-Verschlüsselung für 1:1-Anrufe und seit einiger Zeit auch für Gruppenbesprechungen. Bei aktivierter E2EE werden Audio, Video und Bildschirmfreigabe verschlüsselt, sodass auch Microsoft die Inhalte nicht entschlüsseln kann.

E2EE hat Einschränkungen: Aufnahme, Live-Transkription, Live-Untertitel und einige andere Features sind bei aktivierter E2EE nicht verfügbar. Für die meisten Unternehmen ist E2EE für den Alltagseinsatz nicht nötig, aber für besonders vertrauliche Gespräche (Strategiebesprechungen, M&A, Personalangelegenheiten) kann es sinnvoll sein, die Option verfügbar zu machen.

Empfohlene Konfiguration:

• E2EE in der Meeting Policy aktivieren (ermöglicht die Nutzung, erzwingt sie aber nicht)
• Sensibilisierung der Mitarbeitenden, wann E2EE verwendet werden sollte
• Dokumentation der E2EE-Nutzung im ISMS als TOM für besonders schutzbedürftige Kommunikation

Compliance-Funktionen für Teams

Retention Policies

Teams-Nachrichten (Kanal- und Chat-Nachrichten) unterliegen denselben Aufbewahrungsanforderungen wie E-Mails und Dokumente. Ohne Retention Policy werden Teams-Nachrichten unbegrenzt aufbewahrt, was sowohl Speicherkosten verursacht als auch Datenschutzanforderungen widersprechen kann.

Empfohlene Konfiguration:

• Retention Policy für Teams-Kanalnachrichten: 2 Jahre aufbewahren, dann löschen
• Retention Policy für Teams-Chatnachrichten: 1 Jahr aufbewahren, dann löschen
• Anpassung an das Löschkonzept des Unternehmens (DSGVO-Konformität)
• Retention Labels für bestimmte Kanäle oder Teams mit längerer Aufbewahrungspflicht (z.B. Projekt-Teams mit vertraglichen Aufbewahrungsfristen)

eDiscovery für Teams

eDiscovery ermöglicht die gezielte Suche nach Teams-Nachrichten, Dateien und Aufnahmen im Rahmen von Untersuchungen, Auskunftsersuchen oder Rechtsstreitigkeiten. Teams-Inhalte sind im Unified eDiscovery in Microsoft Purview durchsuchbar.

Für das ISMS ist eDiscovery relevant, weil es die Fähigkeit nachweist, bei einem Sicherheitsvorfall oder einer DSGVO-Anfrage die betroffenen Daten schnell zu identifizieren und bereitzustellen.

Communication Compliance

Communication Compliance (verfügbar mit E5 oder Compliance-Add-on) scannt Teams-Nachrichten und andere Kommunikationskanäle auf Richtlinienverstöße: belästigende Sprache, vertrauliche Informationen, Insiderhandel-Hinweise und benutzerdefinierte Muster. Für die meisten mittelständischen Unternehmen ist diese Funktion überdimensioniert, aber in regulierten Branchen (Finanzdienstleistungen, Gesundheitswesen) kann sie eine regulatorische Anforderung sein.

App-Berechtigungen in Teams

Teams ist eine Plattform für Drittanbieter-Apps: Bots, Connectors, Tabs und Messaging Extensions. In der Standardkonfiguration können Benutzer beliebige Apps aus dem Microsoft Teams App Store installieren und diesen Apps Zugriff auf Unternehmensdaten gewähren.

Das Risiko: Eine schadhafte oder übermäßig berechtigte App kann auf Chat-Nachrichten, Dateien und Benutzerinformationen zugreifen. Im besten Fall ist es ein Datenschutzproblem, im schlechtesten Fall ein Sicherheitsvorfall.

Konfiguration der App-Berechtigungen

Organisation-weite App-Einstellungen:

• Drittanbieter-Apps erlauben: Ja, aber eingeschränkt
• Benutzerdefinierte Apps erlauben: Nur für Entwickler-Szenarien, im Standardfall deaktivieren

App-Berechtigungsrichtlinien:

• Erstelle eine Richtlinie, die nur explizit genehmigte Apps erlaubt (Allow-List)
• Alternativ: Alle Apps erlauben, aber bestimmte Kategorien blockieren (Block-List)
• Microsoft-eigene Apps: In der Regel erlauben (Forms, Planner, Whiteboard, etc.)
• Drittanbieter-Apps: Nur nach Prüfung durch die IT freigeben

App-Setup-Richtlinien:

• Definiere, welche Apps standardmäßig für alle Benutzer installiert und angeheftet werden (z.B. Planner, Approvals)
• Verhindere, dass Benutzer Apps selbst anpinnen, die nicht genehmigt sind

Bewertungsprozess für neue Apps

Wenn ein Mitarbeitender eine neue App für Teams anfragt, sollte ein definierter Prüfprozess existieren:

1. Zweck und Nutzen: Was soll die App können? Gibt es eine Microsoft-eigene Alternative?
2. Berechtigungen prüfen: Welche Berechtigungen fordert die App? Sind sie angemessen für den Zweck?
3. Datenschutz: Wo werden die Daten verarbeitet und gespeichert? Gibt es eine DSGVO-konforme Datenschutzerklärung?
4. Sicherheit: Ist der Anbieter bekannt und vertrauenswürdig? Gibt es eine Sicherheitszertifizierung?
5. Genehmigung und Dokumentation: Genehmigung durch IT-Sicherheit, Dokumentation der App und ihrer Berechtigungen

Teams-Sicherheit im ISMS

Die Sicherheitskonfiguration von Teams deckt mehrere ISO 27001-Controls ab:

A.5.14 (Informationstransfer):

• Externe Kommunikation (Federation) kontrolliert
• Gastzugriff mit definierten Berechtigungen
• DLP-Richtlinien für Teams-Nachrichten

A.5.15 (Zugriffskontrolle):

• Gastzugriff-Konfiguration und -Prozesse
• Conditional Access für Gäste
• App-Berechtigungsrichtlinien

A.5.33 (Schutz von Aufzeichnungen):

• Retention Policies für Teams-Nachrichten und -Dateien
• Aufnahme-Richtlinien und -Speicherorte
• eDiscovery-Fähigkeit

A.6.6 (Vertraulichkeitsvereinbarungen):

• Gastzugriff nur mit dokumentiertem Geschäftszweck
• NDA-Anforderungen für externe Projektmitarbeiter
• Regelmäßige Überprüfung der Gastkonten

A.8.9 (Konfigurationsmanagement):

• Dokumentierte Besprechungsrichtlinien
• Dokumentierte App-Berechtigungsrichtlinien
• Regelmäßige Überprüfung der Konfiguration

Dokumentation im ISMS

Für das ISMS solltest du eine Teams-Governance-Richtlinie erstellen – ISMS Lite hilft dir dabei, alle Teams-bezogenen TOMs innerhalb seines Control-Frameworks zu dokumentieren und nachzuverfolgen. Die Richtlinie deckt folgende Bereiche ab:

• Gastzugriff: Wann wird Gastzugriff gewährt? Wer genehmigt? Wie lange ist der Zugang gültig? Wie wird er überprüft?
• Externe Kommunikation: Welche Domains sind für Federation freigegeben? Wie wird die Liste gepflegt?
• Besprechungsrichtlinien: Wann muss die Lobby genutzt werden? Wann darf aufgenommen werden? Wann ist E2EE erforderlich?
• App-Richtlinie: Welche Apps sind erlaubt? Wie werden neue Apps geprüft und genehmigt?
• Aufbewahrung: Wie lange werden Teams-Nachrichten aufbewahrt? Welche Kanäle haben besondere Aufbewahrungspflichten?
• Verantwortlichkeiten: Wer verwaltet die Team-Owner-Rolle? Wer prüft die Gastkonten? Wer genehmigt Apps?

Häufige Fehler bei der Teams-Sicherheit

Gastzugriff komplett deaktivieren statt kontrollieren: Wenn du Gastzugriff abschaltest, weichen die Mitarbeitenden auf unkontrollierte Alternativen aus: private WhatsApp-Gruppen, persönliche Slack-Workspaces oder E-Mail mit angehängten Dateien. Die kontrollierte Zusammenarbeit über Teams mit dokumentiertem Gastzugriff, Conditional Access und Access Reviews ist in fast allen Fällen sicherer als die Alternative.

Keine Unterscheidung zwischen Teams-Typen: Nicht jedes Team braucht die gleiche Sicherheitskonfiguration. Ein Team für das Marketing mit allgemeinen Projektdateien hat andere Anforderungen als ein Team für die Geschäftsführung mit vertraulichen Strategiepapieren. Nutze Sensitivity Labels auf Team-Ebene gemäß deiner Klassifizierungsrichtlinie, um die Sicherheitseinstellungen automatisch anzupassen: Ein "Vertraulich"-Team beschränkt den Gastzugriff automatisch und verhindert externe Freigaben.

Team-Owner nicht schulen: Team-Owner sind die dezentralen Verwalter ihrer Teams. Sie laden Gäste ein, verwalten Kanäle und bestimmen die Freigabeeinstellungen. Wenn sie nicht wissen, welche Verantwortung damit einhergeht, entstehen Sicherheitslücken. Schulungen für Team-Owner sollten die Themen Gastzugriff, Dateiberechtigungen und Datenschutz abdecken.

Verwaiste Teams nicht aufräumen: Teams, die für abgeschlossene Projekte erstellt wurden, bleiben oft unbegrenzt aktiv. Die Dateien sind weiterhin zugänglich, Gäste haben weiterhin Zugriff, und niemand fühlt sich verantwortlich. Implementiere einen Prozess für die Archivierung oder Löschung inaktiver Teams. Microsoft bietet Inactivity Policies in Entra ID, die Team-Owner nach einer definierten Inaktivitätsperiode zur Überprüfung auffordern.

Besprechungsaufnahmen nicht berücksichtigen: Teams-Aufnahmen enthalten oft vertrauliche Gespräche und werden in SharePoint gespeichert, wo sie den Freigaberichtlinien der jeweiligen Site unterliegen. Ohne spezifische Retention Policies oder Sensitivity Labels für Aufnahmen können sie versehentlich extern geteilt oder unbegrenzt aufbewahrt werden.

Monitoring und kontinuierliche Verbesserung

Die Sicherheitskonfiguration von Teams ist kein einmaliges Projekt, sondern erfordert regelmäßiges Monitoring:

Monatliches Review:

• Gastkonten prüfen: Neue Gäste, inaktive Gäste, Gäste in unerwarteten Teams
• App-Nutzung prüfen: Welche Drittanbieter-Apps werden installiert? Gibt es nicht genehmigte Apps?
• Besprechungsaufnahmen prüfen: Wo werden Aufnahmen gespeichert? Sind die Zugriffsrechte korrekt?

Quartalsweise Überprüfung:

• Federation-Domainliste aktualisieren (neue Partner hinzufügen, alte entfernen)
• Besprechungsrichtlinien gegen aktuelle Best Practices prüfen
• Gastkonten-Access-Review durchführen (bei P2-Lizenz automatisiert)
• Inaktive Teams identifizieren und archivieren

Jährlich:

• Gesamte Teams-Governance-Richtlinie überprüfen und aktualisieren
• Ergebnisse in das Management Review einfließen lassen
• Schulungen für Team-Owner auffrischen

Checkliste: Teams-Sicherheit

Weiterführende Artikel

• Microsoft 365 absichern: Die 15 wichtigsten Sicherheitseinstellungen
• SharePoint und OneDrive sicher konfigurieren: Freigaben, DLP und Klassifizierung
• Conditional Access in Entra ID einrichten: Richtlinien für den Mittelstand
• Berechtigungskonzept erstellen: Rollen, Rechte und Rezertifizierung
• Informationssicherheitsrichtlinie erstellen: Struktur, Inhalte und Beispiele