Sicherheit

M365-Sicherheit richtig konfigurieren: Das müsst ihr einschalten

3. März 2026 · 8 Min. Lesezeit

Das Missverständnis bei M365-Sicherheit

Viele KMU-Inhaber denken: „Wir haben M365 — wir sind sicher.“ Das stimmt nur zur Hälfte. Microsoft stellt eine sichere Plattform bereit. Aber die wichtigsten Sicherheitsfunktionen sind nicht automatisch aktiv. Wer das übersieht, hat eine teure Lizenz mit löchrigem Schutz.

Dieser Artikel zeigt, was ihr konkret aktivieren und einstellen müsst — und warum.

1. Multi-Faktor-Authentifizierung (MFA) — nicht verhandelbar

MFA bedeutet: Nach dem Passwort kommt ein zweiter Faktor — meistens eine Bestätigung in der Microsoft Authenticator App auf dem Smartphone.

Warum das entscheidend ist: Über 99% der kompromittierten Accounts hatten keine MFA aktiviert. Ein gestohlenes Passwort reicht dann, um vollen Zugriff auf alle Unternehmensdaten zu bekommen.

So aktiviert ihr MFA: Microsoft 365 Admin Center → Azure Active Directory → Sicherheit → MFA. Am schnellsten geht es mit den Security Defaults, die MFA für alle Nutzer erzwingen. Alternativ per Conditional Access gezielt steuern.

Häufiger Widerstand: „Das ist zu umständlich für die Mitarbeiter.“ Ja, es ist ein zusätzlicher Klick. Einmal pro Gerät, oder per vertrauenswürdiges Gerät automatisch bestätigt. Das ist zumutbar.

2. Security Defaults — der schnellste Start

Microsoft hat ein Basispaket an Sicherheitsrichtlinien gebündelt: die Security Defaults. Damit werden folgende Dinge automatisch erzwungen:

  • MFA für alle Nutzer
  • MFA für Adminkonten bei jeder Anmeldung
  • Blockierung von Legacy-Authentifizierungsprotokollen (alter SMTP/POP3/IMAP ohne MFA-Support)

Das ist der Mindeststandard. Für einfache Setups ohne komplexere Anforderungen: Security Defaults einschalten, fertig.

3. Conditional Access — für mehr Kontrolle

Conditional Access ist mächtiger als Security Defaults und erfordert M365 Business Premium. Damit legt ihr fest: Unter welchen Bedingungen darf sich wer einloggen?

Beispiele:

  • Login aus nicht-deutschen IP-Adressen: MFA erzwingen oder blockieren
  • Login von unbekannten Geräten: blockieren oder auf App-Zugriff beschränken
  • Admin-Login: immer MFA, egal von wo
  • Risikobehaftete Anmeldung (Passwort geleakt, ungewöhnlicher Ort): automatisch blockieren

Ein konkretes Szenario: Euer Buchhaltungs-Account loggt sich um 3 Uhr nachts aus Russland ein. Security Defaults würden das erlauben (mit MFA). Conditional Access kann das automatisch blockieren.

4. Admin-Konten trennen

Der häufigste Fehler: Die Geschäftsführung oder der IT-Verantwortliche nutzt denselben Account für alltägliche Arbeit und Administration. Das ist ein Sicherheitsrisiko.

Best Practice: Zwei separate Accounts. Der Alltags-Account (E-Mail, Teams, Dokumente) ohne Adminrechte. Für administrative Aufgaben (neue Nutzer anlegen, Richtlinien ändern) gibt es einen dedizierten Admin-Account, der nur für diese Zwecke genutzt wird.

Wenn der Alltags-Account kompromittiert wird, hat der Angreifer keine Adminrechte. Das begrenzt den Schaden erheblich.

5. Microsoft Defender for Business

In Business Premium enthalten: Microsoft Defender for Business schützt alle Endgeräte — Laptops, PCs, iPhones, Android-Geräte. Zentrales Dashboard, automatische Bedrohungserkennung, Reaktionen auf Angriffe.

Was ihr einrichten müsst:

  • Intune einrichten und alle Geräte einschreiben
  • Compliance-Richtlinien definieren (Gerät muss aktuell sein, PIN muss gesetzt sein)
  • Defender-Schutzrichtlinien für alle Geräte ausrollen

Danach habt ihr eine zentrale Übersicht über alle Unternehmensgeräte — und könnt im Fall eines Geräteverlusts Daten aus der Ferne löschen.

6. Backup — ja, auch bei M365

Häufiges Missverständnis: „Microsoft sichert unsere Daten.“ Ja und nein. Microsoft sichert die Infrastruktur, aber keine Nutzer-Daten im herkömmlichen Sinne. Wenn ein Mitarbeiter versehentlich 1.000 E-Mails löscht, sind die nach dem Papierkorb-Ablaufdatum weg.

Microsoft bietet seit kurzem Microsoft Backup als nativen Dienst. Alternativ gibt es Drittanbieter wie Veeam, Acronis oder Backup-Lösungen speziell für M365.

Empfehlung: Mindestens E-Mails und SharePoint/OneDrive-Inhalte regelmäßig sichern — entweder mit Microsoft Backup oder einem dedizierten Tool.

7. Berechtigungen regelmäßig prüfen

Wer hat noch Zugriff, wer braucht noch Zugriff? Diese Frage stellen die wenigsten KMUs — bis jemand ausgeschieden ist, der noch Monate nach dem Ausscheiden Zugriff auf das Firmen-E-Mail-Konto hatte.

Best Practice:

  • Offboarding-Prozess: Account sofort deaktivieren, nicht erst „wenn Zeit ist“
  • Vierteljährliche Überprüfung aller externen Freigaben in SharePoint
  • Gastaccounts mit Ablaufdatum versehen

Die Sicherheits-Checkliste

  • MFA für alle Nutzer aktiviert
  • Security Defaults oder Conditional Access eingerichtet
  • Separate Admin-Accounts vorhanden
  • Microsoft Defender für alle Geräte aktiv
  • Backup-Lösung für E-Mail und SharePoint
  • Offboarding-Prozess definiert
  • Externe Freigaben regelmäßig geprüft

Wie viele Punkte sind bei euch schon erledigt? Wer noch unter fünf ist, hat Handlungsbedarf.

Sicherheits-Check für euer M365?

Im kostenlosen Erstgespräch prüfen wir eure aktuelle M365-Konfiguration und zeigen euch, wo ihr nachbessern solltet.

Erstgespräch buchen →
mc
mema consulting
Marcel & Melvin beraten KMUs bei der Einführung von Microsoft 365 und Dynamics 365 — praxisnah, zum Festpreis und ohne Berater-Bla.

Weitere Artikel

IT-Sicherheit für KMUs: Was wirklich wichtig ist

Cyberangriffe treffen nicht nur Konzerne. So schützt ihr euer Unternehmen.

Digitalisierung im Baugewerbe: Wie M365 die Baustelle ins Büro bringt

Pläne auf dem Tablet, Zeiterfassung per App, Teams statt Funkgerät.