Cloud-Sicherheit beginnt bei der Konfiguration
Die Cloud ist für den Mittelstand längst kein Zukunftsthema mehr, sondern gelebte Realität. Microsoft 365 allein wird von über einer Million Unternehmen in Deutschland genutzt, und mit jedem Monat verlagern sich weitere Dienste und Daten in die Cloud. Die gute Nachricht: Cloud-Anbieter wie Microsoft investieren Milliarden in die Sicherheit ihrer Plattformen. Die weniger gute Nachricht: Die Verantwortung für die sichere Konfiguration liegt bei dir. Und genau hier liegt das Problem, denn die Standardeinstellungen von Microsoft 365 sind auf Benutzungsfreundlichkeit optimiert, nicht auf maximale Sicherheit. Diese Themenseite zeigt dir, wie du Microsoft 365 und andere Cloud-Dienste so konfigurierst, dass sie den Anforderungen deines ISMS entsprechen.
Das Shared Responsibility Model verstehen
Der erste Schritt zu einer sicheren Cloud-Nutzung ist das Verständnis des Shared Responsibility Models. Vereinfacht gesagt: Der Cloud-Anbieter ist verantwortlich für die Sicherheit der Infrastruktur, also der physischen Rechenzentren, des Netzwerks und der Hypervisor-Schicht. Du bist verantwortlich für alles, was du in der Cloud tust: Benutzerverwaltung, Zugriffsrechte, Datensicherung, Konfiguration und Compliance. Wenn ein Mitarbeiter sein Passwort auf einer Phishing-Seite eingibt und ein Angreifer dadurch auf dein gesamtes SharePoint zugreifen kann, ist das nicht die Schuld von Microsoft.
Dieses Modell hat konkrete Konsequenzen für dein ISMS. Du musst die Cloud-Dienste genauso in deine Risikoanalyse einbeziehen wie lokale Systeme. Du brauchst Richtlinien für die Cloud-Nutzung, Monitoring-Prozesse für verdächtige Aktivitäten und eine klare Strategie für die Datensicherung, denn ja, auch Cloud-Daten müssen gesichert werden.
Microsoft 365 systematisch absichern
Microsoft 365 bietet eine Fülle von Sicherheitsfunktionen, aber viele davon sind standardmäßig nicht aktiviert oder nicht optimal konfiguriert. Der Microsoft Secure Score ist ein guter Ausgangspunkt, um den aktuellen Sicherheitszustand deiner Umgebung einzuschätzen. Er bewertet deine Konfiguration anhand von Best Practices und gibt dir konkrete Empfehlungen zur Verbesserung.
Die wichtigsten Stellschrauben sind Conditional Access Policies in Entra ID (ehemals Azure Active Directory), die den Zugriff basierend auf Bedingungen wie Standort, Gerätezustand und Risikostufe steuern. Dazu kommt Multi-Faktor-Authentifizierung, die idealerweise für alle Benutzer aktiviert sein sollte, und Microsoft Defender for Business, der Endgeräte, E-Mails und Identitäten schützt.
Einzelne Dienste absichern
Jeder Microsoft-365-Dienst hat seine eigenen Sicherheitseinstellungen und Herausforderungen. Exchange Online braucht eine durchdachte Anti-Phishing-Konfiguration, SPF-, DKIM- und DMARC-Records und eine Policy für externe Weiterleitungen. SharePoint und OneDrive erfordern ein sauberes Berechtigungskonzept und Regeln für die externe Freigabe, damit vertrauliche Dokumente nicht versehentlich mit der ganzen Welt geteilt werden. Teams ist zur zentralen Kommunikationsplattform geworden und verdient daher besondere Aufmerksamkeit bei Gastzugängen, Dateifreigaben und App-Berechtigungen.
Unsere Artikelreihe führt dich Dienst für Dienst durch die wichtigsten Sicherheitseinstellungen. Jeder Artikel enthält konkrete Konfigurationsempfehlungen, die du direkt in deinem Admin Center umsetzen kannst.
Gerätemanagement mit Intune
Eine sichere Cloud-Umgebung nützt wenig, wenn die Geräte, die darauf zugreifen, unsicher sind. Microsoft Intune ermöglicht dir die zentrale Verwaltung von Windows-PCs, Macs, iOS- und Android-Geräten. Du kannst Sicherheitsrichtlinien durchsetzen, veraltete Geräte vom Zugriff ausschließen und im Falle eines Verlusts oder Diebstahls Unternehmensdaten remote löschen. Für Unternehmen, die bereits Microsoft 365 Business Premium oder E3/E5 nutzen, ist Intune im Lizenzumfang enthalten und damit die naheliegende Lösung für das Mobile Device Management.
Cloud-Backup: Deine Verantwortung
Ein weit verbreiteter Irrtum lautet: „Unsere Daten liegen in der Cloud, also sind sie automatisch gesichert." Das stimmt nicht. Microsoft garantiert die Verfügbarkeit der Infrastruktur, aber kein Backup deiner Daten im klassischen Sinne. Wenn ein Mitarbeiter versehentlich oder absichtlich E-Mails oder Dateien löscht, sind diese nach Ablauf der Aufbewahrungsfrist dauerhaft verloren. Unser Artikel zum Cloud-Backup für Microsoft 365 zeigt dir, welche Sicherungslösungen es gibt und wie du eine Backup-Strategie für deine Cloud-Daten aufsetzt.