Microsoft 365IT-SicherheitPhishingMFAKMU

Microsoft 365 absichern: 7 Einstellungen die jedes Unternehmen sofort ändern sollte

Microsoft 365 ist das Hauptziel für Phishing und Account-Übernahmen. Diese 7 Einstellungen schützen Ihr Unternehmen — ohne zusätzliche Kosten.

Microsoft 365 ist das meistgenutzte Produktivitätstool in Unternehmen — und damit auch das meistangegriffene. Laut Microsofts Digital Defense Report 2024 werden täglich über 600 Millionen Angriffe auf Microsoft-Konten registriert. Die Mehrheit davon sind Phishing-Angriffe, die auf Zugangsdaten abzielen.

Das Problem: Viele Unternehmen nutzen Microsoft 365 mit den Standardeinstellungen. Und die sind nicht auf maximale Sicherheit ausgelegt, sondern auf einfache Nutzung.

1. Multi-Faktor-Authentifizierung (MFA) für alle Nutzer

Das ist die wichtigste Maßnahme überhaupt. Laut Microsoft verhindert MFA 99,9% aller automatisierten Angriffe auf Konten.

So aktivieren Sie es:

  1. Öffnen Sie das Microsoft Entra Admin Center (entra.microsoft.com)
  2. Navigieren Sie zu Benutzer → Alle Benutzer
  3. Klicken Sie auf MFA pro Benutzer
  4. Aktivieren Sie MFA für jeden Benutzer

Empfehlung: Nutzen Sie die Microsoft Authenticator App statt SMS. SMS-basierte MFA ist besser als keine, aber anfällig für SIM-Swapping-Angriffe.

2. Security Defaults aktivieren

Wenn Sie kein Azure AD Premium haben, aktivieren Sie mindestens die Security Defaults:

  1. Entra Admin Center → Eigenschaften → Sicherheitsstandards verwalten
  2. Schalten Sie Security Defaults auf Aktiviert

Das aktiviert automatisch:

  • MFA-Registrierung für alle Nutzer
  • MFA-Abfrage bei Administratoren bei jedem Login
  • Blockierung veralteter Authentifizierungsprotokolle

3. Veraltete Authentifizierung blockieren

Ältere Mail-Protokolle wie POP3, IMAP und SMTP mit Basic Authentication umgehen MFA komplett. Das ist eine der häufigsten Methoden, mit der gestohlene Zugangsdaten ausgenutzt werden.

So blockieren Sie es:

  1. Entra Admin Center → Schutz → Bedingter Zugriff → Neue Richtlinie
  2. Bedingung: Client-Apps → Exchange ActiveSync, Andere Clients
  3. Aktion: Zugriff blockieren

4. Admin-Konten absichern

Globale Administratoren sind das wertvollste Ziel. Ein kompromittiertes Admin-Konto gibt dem Angreifer Zugriff auf alles.

Best Practices:

  • Separate Admin-Konten (nicht das tägliche Arbeitskonto)
  • MFA mit Hardware-Key (FIDO2) für Admins
  • Maximal 2-3 globale Administratoren
  • Notfall-Zugriffskonto (Break Glass) ohne MFA, aber mit extrem starkem Passwort, in einem Tresor aufbewahrt
Managed Security von Binary System Services

5. E-Mail-Schutz konfigurieren

Anti-Phishing-Richtlinie

  1. Microsoft Defender Portal (security.microsoft.com)
  2. E-Mail & Zusammenarbeit → Richtlinien → Anti-Phishing
  3. Aktivieren Sie:
    • Impersonation Protection für Ihre Führungskräfte
    • Mailbox Intelligence
    • Spoof Intelligence

Falls Sie Microsoft Defender for Office 365 haben (Plan 1 oder Plan 2):

  • Safe Links: Prüft URLs in E-Mails beim Anklicken in Echtzeit
  • Safe Attachments: Öffnet Anhänge in einer Sandbox, bevor sie zugestellt werden

6. Audit-Logging aktivieren

Standardmäßig werden nicht alle Aktivitäten protokolliert. Für eine nachvollziehbare Sicherheitsüberwachung:

  1. Microsoft Purview (compliance.microsoft.com)
  2. Audit → Audit aktivieren (falls nicht bereits aktiv)
  3. Stellen Sie die Aufbewahrung auf mindestens 90 Tage ein

Wichtige Logs:

  • Anmeldeaktivitäten (erfolgreiche und fehlgeschlagene)
  • Änderungen an Berechtigungen
  • E-Mail-Weiterleitungsregeln (häufig von Angreifern eingerichtet)

7. Externe Freigaben in SharePoint/OneDrive einschränken

Standardmäßig können Nutzer Dateien mit beliebigen externen Personen teilen — ein Datenschutzrisiko:

  1. SharePoint Admin Center (admin.sharepoint.com)
  2. Richtlinien → Freigabe
  3. Beschränken Sie externe Freigabe auf:
    • Neue und bestehende Gäste (statt "Jeder")
    • Optional: Nur bestimmte Domains zulassen

Bonus: Regelmäßiger Security-Check

Microsoft bietet einen kostenlosen Security-Score:

  1. Öffnen Sie security.microsoft.com
  2. Navigieren Sie zu Secure Score
  3. Sie sehen eine Punktzahl und konkrete Empfehlungen zur Verbesserung

Ziel: über 70% (der Durchschnitt liegt laut Microsoft bei etwa 50%).

Fazit

Diese 7 Einstellungen kosten kein zusätzliches Geld (die meisten sind in jedem Microsoft 365 Plan enthalten) und dauern zusammen etwa eine Stunde. Der Schutzgewinn ist enorm — insbesondere MFA und die Blockierung veralteter Authentifizierung eliminieren die häufigsten Angriffsvektoren.

Wenn Sie eine umfassende Sicherheitsüberprüfung Ihrer Microsoft 365 Umgebung benötigen, führen wir gerne ein Security-Assessment durch.

Mehr zu unseren Managed Security Services