Viele Unternehmen nutzen Microsoft 365, ohne zu wissen, dass sie damit ein erhebliches Risiko tragen. Die Standardkonfiguration, die Microsoft bei der Einrichtung vorgibt, ist nicht auf Sicherheit optimiert. Sie ist auf schnelle Nutzbarkeit ausgelegt. Wer nichts verändert, lässt Türen offen – für kompromittierte Postfächer, Datenabfluss und Angriffe, die oft erst Monate später auffallen. Erfahren Sie daher hier, wie Sie Microsoft 365 absichern!
Wenn Sie Microsoft 365 nutzen, dann liegen Ihre E-Mails, Dokumente, Benutzerkonten und Einstellungen in einem sogenannten Tenant. Das ist der abgeschlossene Bereich, der Ihrem Unternehmen in der Microsoft-Cloud zugewiesen ist. Technisch ist dieser Tenant Teil von Microsoft Azure, der Public-Cloud-Infrastruktur von Microsoft – also auf Servern eines US-amerikanischen Konzerns. Im Rahmen bestimmter rechtlicher Konstellationen kann die US-Regierung Zugriff auf diese Daten verlangen. Dieses Risiko lässt sich nicht vollständig ausschließen, solange Sie Microsoft 365 nutzen.
Wenn Ihr Tenant nicht gehärtet ist, betrifft ein Sicherheitsvorfall nicht einzelne Dateien, sondern Ihr gesamtes digitales Arbeitsumfeld.
Nur, weil es eine Cloud ist, sind Sie nicht frei von Verantwortung.
Was ist ein Microsoft 365-Tenant?
Ein Tenant ist Ihr abgegrenzter Bereich innerhalb der Microsoft-Cloud. Er entsteht automatisch, sobald Ihr Unternehmen eine Microsoft 365-Lizenz erwirbt. Alles, was Sie in Microsoft 365 tun, findet innerhalb dieses Tenants statt: E-Mails senden und empfangen, Dateien in SharePoint oder OneDrive speichern, Teams-Besprechungen abhalten, Benutzerkonten anlegen.
Der Tenant ist keine einzelne Anwendung. Er ist die Klammer, die alle Microsoft 365-Dienste Ihres Unternehmens zusammenhält. Hier werden auch Berechtigungen gesteuert: Wer darf auf welche Daten zugreifen? Wer darf Einstellungen ändern? Wer darf externe Personen einladen?
Das Problem dabei: Die Grundeinstellungen, die Microsoft vorgibt, sind großzügig angelegt. Sie ermöglichen schnelles Arbeiten, aber sie schränken wenig ein. Ohne gezielte Anpassung bleibt Ihr Tenant offen konfiguriert – und damit angreifbar.
Wer ist für die Sicherheit meines Microsoft 365-Tenants verantwortlich?
Microsoft betreibt die Infrastruktur. Das Unternehmen sorgt dafür, dass Rechenzentren funktionieren, Dienste verfügbar sind und die Plattform technisch abgesichert ist. Für diesen Teil übernimmt Microsoft Verantwortung.
Für alles, was innerhalb Ihres Tenants passiert, sind Sie selbst verantwortlich. Das betrifft: Wie Benutzerkonten abgesichert sind. Welche Berechtigungen vergeben werden. Ob sicherheitsrelevante Funktionen aktiviert oder ignoriert werden. Ob verdächtige Aktivitäten erkannt und behandelt werden.
Diese Aufteilung nennt Microsoft das Shared Responsibility Model. In der Praxis bedeutet es: Microsoft schützt die Plattform, aber nicht Ihre Konfiguration. Wenn ein Angreifer sich mit gestohlenen Zugangsdaten anmeldet und Daten abzieht, liegt das nicht im Verantwortungsbereich von Microsoft. Es liegt in Ihrem!
Viele Unternehmen unterschätzen diesen Punkt. Sie gehen stattdessen davon aus, dass ein großer Anbieter auch umfassenden Schutz liefert. Das ist ein Missverständnis mit Folgen.
Was passiert, wenn mein Microsoft 365-Tenant nicht abgesichert ist?
Ein ungehärteter Tenant ist kein theoretisches Risiko, sondern vielmehr ein konkretes Einfallstor. Angreifer suchen gezielt nach Unternehmen, deren Microsoft 365-Umgebung schlecht konfiguriert ist. Die Angriffe laufen oft automatisiert, die Folgen treffen das Unternehmen unmittelbar.
Wenn ein Angreifer Zugang zu einem Benutzerkonto erhält, kann er sich innerhalb des Tenants bewegen, weitere Konten kompromittieren, E-Mails mitlesen, Dokumente kopieren oder Schadsoftware einschleusen. In vielen Fällen bleibt der Angriff über Wochen unbemerkt.
Das passiert täglich – auch bei mittelständischen Unternehmen in Deutschland.
Wie kommen Angreifer in meinen Tenant?
Der häufigste Weg führt über gestohlene oder erratene Zugangsdaten. Phishing-Mails, die täuschend echt wirken, fordern zur Eingabe von Anmeldedaten auf. Ohne Multi-Faktor-Authentifizierung genügt ein einziger Klick eines Mitarbeitenden, um den Zugang zu öffnen.
Auch schwache Passwörter oder mehrfach verwendete Zugangsdaten sind ein Problem. Angreifer nutzen automatisierte Tools, die bekannte Zugangsdaten aus früheren Datenlecks systematisch durchprobieren. Wenn ein Konto nicht zusätzlich abgesichert ist, funktioniert dieser Ansatz erschreckend oft.
Ein weiteres Einfallstor sind Anwendungen mit zu weitreichenden Berechtigungen. Drittanbieter-Apps, die mit dem Tenant verbunden werden, können Zugriff auf E-Mails, Dateien oder Kontakte erhalten – auch dann, wenn das nicht beabsichtigt war.
Wie fließen Daten ab, ohne dass ich es merke?
Angreifer, die Zugang zu einem Postfach haben, richten häufig Weiterleitungsregeln ein. Alle eingehenden E-Mails werden dann unbemerkt an eine externe Adresse kopiert. Der betroffene Nutzer sieht davon nichts.
Auch über SharePoint oder OneDrive lassen sich Daten abziehen. Wer Zugriff auf einen Benutzeraccount hat, kann Dateien herunterladen oder Freigaben erstellen, die nach außen führen. Ohne entsprechende Überwachung bleibt das unsichtbar.
In manchen Fällen nutzen Angreifer den Zugang, um sich dauerhaft im Tenant einzunisten. Sie erstellen neue Konten, vergeben sich selbst Berechtigungen oder registrieren eigene Anwendungen mit direktem Zugriff auf Unternehmensdaten. Selbst wenn das ursprünglich kompromittierte Konto gesperrt wird, bleibt der Zugang bestehen.
Was sind typische Fehler bei der Tenant-Konfiguration?
Die meisten Sicherheitslücken entstehen nicht durch komplexe Angriffe, sondern durch einfache Versäumnisse. Wer keinen IT-Sicherheitshintergrund hat, richtet Microsoft 365 so ein, wie es naheliegt: schnell, funktional, ohne tiefergehende Anpassungen. Genau das führt zu vermeidbaren Risiken.
| Fehler | Beschreibung | Konsequenz |
|---|---|---|
| Keine Multi-Faktor-Authentifizierung | Zugang erfolgt nur mit Benutzername und Passwort, ohne zusätzliche Bestätigung. | Ein gestohlenes Passwort genügt für vollen Zugriff. |
| Zu weitreichende Benutzerrechte | Nutzer erhalten mehr Berechtigungen, als sie für ihre Arbeit benötigen. | Eine Kompromittierung betrifft nicht einzelne Bereiche, sondern den gesamten Datenbestand. |
| Externe Freigaben nicht eingeschränkt | SharePoint und OneDrive erlauben Freigaben an externe Personen ohne klare Regeln. | Daten verlassen das Unternehmen, ohne dass jemand davon erfährt. |
| Veraltete Konten bleiben aktiv | Ehemalige Mitarbeitende, Testkonten oder Dienstkonten werden nicht deaktiviert. | Angreifer nutzen unbeobachtete Konten als Einstiegspunkt. |
| Keine Protokollierung aktiviert | Audit-Logs sind nicht eingeschaltet oder werden nicht ausgewertet. | Im Ernstfall fehlt jede Grundlage für Analyse und Nachverfolgung. |
Microsoft liefert ein Werkzeug, keine fertige Sicherheitslösung zum Microsoft 365 absichern. Die sichere Konfiguration liegt beim Unternehmen.
Wie oft muss ich meinen Microsoft 365-Tenant prüfen?
Einmal konfigurieren und dann nicht mehr anfassen – das funktioniert nicht. Die Bedrohungslage verändert sich laufend. Angreifer entwickeln neue Methoden, Microsoft verändert Funktionen und Standardeinstellungen, Ihr Unternehmen wächst oder strukturiert sich um. Ein Tenant, der heute sicher konfiguriert ist, kann in sechs Monaten Lücken aufweisen.
Härtung ist ein fortlaufender Prozess. Das bedeutet: regelmäßige Prüfung der Konfiguration, Abgleich mit aktuellen Sicherheitsempfehlungen, Kontrolle von Benutzerrechten und Freigaben, Auswertung von Protokollen.
Wie oft diese Prüfung stattfinden sollte, hängt von der Größe und Kritikalität Ihrer Umgebung ab. Als Richtwert: Eine grundlegende Überprüfung sollte mindestens quartalsweise erfolgen. Sicherheitsrelevante Ereignisse wie Personalwechsel, neue Anwendungen oder Hinweise auf verdächtige Aktivitäten erfordern sofortige Kontrolle.
Ohne festen Prozess bleibt Sicherheit dem Zufall überlassen!
Wie kann ich meinen Microsoft 365 absichern lassen?
Sie haben zwei Möglichkeiten: Sie bauen intern das notwendige Know-how auf, etablieren einen kontinuierlichen Prüfprozess und halten diesen dauerhaft aufrecht. Oder Sie übergeben diese Aufgabe an einen Partner, der Microsoft 365 absichern für Sie übernimmt.
Für viele mittelständische Unternehmen ist der erste Weg nicht realistisch. Die Ressourcen fehlen, die Fachkompetenz ist anderswo gebunden, das Tagesgeschäft hat Priorität. Das ist kein Versäumnis – es ist eine Frage der unternehmerischen Schwerpunktsetzung.
Wer die Verantwortung abgibt, muss wissen, an wen. Es braucht einen Partner, der nicht nur einmalig konfiguriert, sondern dauerhaft begleitet: mit regelmäßigen Prüfungen, mit Reaktion auf neue Bedrohungen, mit klarer Zuständigkeit.
Microsoft 365 Tenant Hardening gehört zu den Leistungsfacetten unserer IT-Service-Flatrate. Parallel dazu unterstützt unser Security Awareness Programm dabei, das Verhalten Ihrer Mitarbeitenden als Sicherheitsfaktor zu stärken – denn Technik allein schützt nicht, wenn der Mensch das Einfallstor bleibt.
Die Entscheidung, wie Sie Ihren Tenant absichern, liegt bei Ihnen. Dass Sie ihn absichern müssen, steht nicht zur Debatte.
