Microsoft 365 ist die meistgenutzte Cloud-Plattform in deutschen Unternehmen — und ein bevorzugtes Angriffsziel. Standard-Konfigurationen reichen nicht aus. Dieser Artikel zeigt die wichtigsten Sicherheitsmaßnahmen.
Was sind die häufigsten Angriffsvektoren bei Microsoft 365
Top-Angriffe auf M365: Phishing auf Microsoft-Login-Seiten (Credential Harvesting), Password Spraying und Brute Force gegen Azure AD, Business Email Compromise (BEC) durch kompromittierte Konten, OAuth-App-Missbrauch (Apps mit übermäßigen Berechtigungen genehmigt), Legacy-Authentifizierung (kein MFA möglich), Missbrauch von Admin-Konten ohne MFA.
Welche Sicherheitsmaßnahmen sind bei M365 Pflicht
M365 Mindestmaßnahmen: MFA für alle Benutzer (nicht nur Admins!), Conditional Access Policies (Zugriff nur von verwalteten Geräten, nur aus bekannten Ländern), Legacy-Authentifizierung deaktivieren (SMTP, IMAP ohne MFA), Azure AD Identity Protection aktivieren (Risk-Based Conditional Access), Audit-Logging aktivieren (90 Tage Standard, 1 Jahr mit E3/E5), Globale Admins auf <5 reduzieren.
Was ist der Microsoft Secure Score
Microsoft Secure Score: Sicherheitsbewertung der M365-Umgebung auf Basis aktivierter Sicherheitskontrollen. Score 0–100. Empfehlung: >70 Punkte als Ziel. Zeigt konkrete Verbesserungsmaßnahmen mit Prioritäten. Kostenlos im Microsoft 365 Defender Portal. Benchmarking gegen ähnliche Unternehmen möglich. Gut für: regelmäßiges Monitoring, Nachweis gegenüber Management.
Wie schützt man E-Mails in Microsoft 365
M365 E-Mail-Sicherheit: SPF, DKIM, DMARC konfigurieren (verhindert Domain-Spoofing), Microsoft Defender for Office 365 (Anti-Phishing, Safe Links, Safe Attachments), Anti-Spam und Anti-Malware Policies konfigurieren, externe E-Mails markieren (External E-Mail Warning), Regeln für automatische Weiterleitung deaktivieren (verhindert Datenexfiltration), Quarantäne-Verwaltung definieren.
Wie implementiert man Privileged Identity Management in M365
Azure AD Privileged Identity Management (PIM): Admin-Rollen nicht dauerhaft zuweisen, sondern nur bei Bedarf aktivieren (Just-in-Time). Aktivierung erfordert: MFA, Begründung, Genehmigung durch anderen Admin (optional). Zeitlich begrenzt (z.B. 4 Stunden). Vollständige Audit-Trail. PIM ist in Azure AD P2 / M365 E3/E5 enthalten. Reduziert Angriffsfläche privilegierter Konten drastisch.
✓ Checkliste: Wie schützt man Microsoft 365?
- Verantwortlichkeiten klar definiert
- Dokumentation vollständig und aktuell
- Risikoanalyse durchgeführt
- Maßnahmen priorisiert und umgesetzt
- Mitarbeiter geschult
- Regelmäßige Überprüfung geplant
- Management informiert und eingebunden
- Compliance-Anforderungen erfüllt
- Technische Maßnahmen implementiert
- Auditierbarkeit sichergestellt
Fazit
Wie schützt man Microsoft 365? ist für Unternehmen jeder Größe relevant. Professionelle Umsetzung schützt vor Risiken, erfüllt regulatorische Anforderungen und schafft Vertrauen. APASEC begleitet Sie von der ersten Analyse bis zur nachhaltigen Implementierung.
APASEC unterstützt Sie — praxisnah und auf Ihr Unternehmen zugeschnitten. Jetzt unverbindlich anfragen →
Häufige Fragen (FAQ)
Top-Angriffe auf M365: Phishing auf Microsoft-Login-Seiten (Credential Harvesting), Password Spraying und Brute Force gegen Azure AD, Business Email Compromise (BEC) durch kompromittierte Konten, OAuth-App-Missbrauch (Apps mit übermäßigen Berechtigungen genehmigt), Legacy-Authentifizierung (kein MFA möglich), Missbrauch von Admin-Konten ohne MFA.
M365 Mindestmaßnahmen: MFA für alle Benutzer (nicht nur Admins!), Conditional Access Policies (Zugriff nur von verwalteten Geräten, nur aus bekannten Ländern), Legacy-Authentifizierung deaktivieren (SMTP, IMAP ohne MFA), Azure AD Identity Protection aktivieren (Risk-Based Conditional Access), Audit-Logging aktivieren (90 Tage Standard, 1 Jahr mit E3/E5), Globale Admins auf <5 reduzieren.
Microsoft Secure Score: Sicherheitsbewertung der M365-Umgebung auf Basis aktivierter Sicherheitskontrollen. Score 0–100. Empfehlung: >70 Punkte als Ziel. Zeigt konkrete Verbesserungsmaßnahmen mit Prioritäten. Kostenlos im Microsoft 365 Defender Portal. Benchmarking gegen ähnliche Unternehmen möglich. Gut für: regelmäßiges Monitoring, Nachweis gegenüber Management.
M365 E-Mail-Sicherheit: SPF, DKIM, DMARC konfigurieren (verhindert Domain-Spoofing), Microsoft Defender for Office 365 (Anti-Phishing, Safe Links, Safe Attachments), Anti-Spam und Anti-Malware Policies konfigurieren, externe E-Mails markieren (External E-Mail Warning), Regeln für automatische Weiterleitung deaktivieren (verhindert Datenexfiltration), Quarantäne-Verwaltung definieren.
Azure AD Privileged Identity Management (PIM): Admin-Rollen nicht dauerhaft zuweisen, sondern nur bei Bedarf aktivieren (Just-in-Time). Aktivierung erfordert: MFA, Begründung, Genehmigung durch anderen Admin (optional). Zeitlich begrenzt (z.B. 4 Stunden). Vollständige Audit-Trail. PIM ist in Azure AD P2 / M365 E3/E5 enthalten. Reduziert Angriffsfläche privilegierter Konten drastisch.