Das Wichtigste in Kürze:
- Microsoft-Dienste müssen durch Cybersicherheitsmaßnahmen zusätzlich abgesichert werden.
- Passwortsicherheit, Multi-Faktor-Authentifizierung, Adminrechte, Freigabenkontrolle und Sensibilisierung im Team sind entscheidende Faktoren, um Microsoft365 sicherer zu nutzen.
- Interne Zuständigkeiten müssen klar geregelt sein, um die kontinuierliche Kontrolle der Maßnahmen zu gewährleisten.
Microsoft 365 ist aus dem digitalen Arbeitsalltag nicht mehr wegzudenken. E-Mails, Dateien, Chats und gemeinsame Dokumente laufen heute oft über genau diese Plattform. Gerade deshalb ist sie auch ein attraktives Ziel für Angriffe: Wer Zugriff auf ein Konto erhält, kann schnell an sensible Informationen gelangen, Nachrichten manipulieren oder weitere Zugänge ausnutzen.
Die eigentliche Herausforderung liegt dabei selten in einer einzelnen Schwachstelle, sondern in der Kombination aus Identitäten, Freigaben, Benutzerverhalten und technischen Einstellungen. Sicherheit in Microsoft 365 entsteht also nicht automatisch durch den Einsatz der Plattform selbst, sondern durch bewusste Konfiguration, klare Regeln und regelmäßige Kontrolle. Genau hier setzt der folgende Blick auf typische Risiken und wirksame Schutzmaßnahmen an.
Die Cloud ist nicht automatisch sicher
Microsoft 365 ist aus dem Arbeitsalltag vieler Unternehmen nicht mehr wegzudenken. E-Mails über Outlook, gemeinsame Dokumente in SharePoint, Videokonferenzen über Teams — all das läuft über eine zentrale Plattform, auf die Mitarbeitende von überall zugreifen können. Genau das macht Microsoft 365 so praktisch. Und genau das macht es für Angreifer interessant.
Ein weit verbreiteter Irrtum lautet: „Wir nutzen die Cloud, da kümmert sich Microsoft um die Sicherheit.“ Das stimmt nur zum Teil. Microsoft sorgt dafür, dass die Infrastruktur stabil und geschützt ist. Wer aber Zugriff auf welche Daten hat, welche Konten mit welchen Rechten ausgestattet sind, und ob Mitarbeitende wissen, wie sie Phishing-Mails erkennen, liegt in der Verantwortung des jeweiligen Unternehmens.
Kurz gesagt: Die Plattform ist sicher gebaut. Aber ob sie sicher genutzt wird, entscheidet jedes Unternehmen selbst.
Wo die Risiken im Alltag lauern
Die häufigsten Sicherheitsprobleme bei Microsoft 365 entstehen nicht durch komplexe Hackerangriffe. Sie beginnen mit kleinen Nachlässigkeiten, die sich mit der Zeit ansammeln. Ein paar typische Beispiele:
- Schwache oder mehrfach verwendete Passwörter: Wer dasselbe Passwort für mehrere Dienste nutzt, riskiert, dass ein einzelner Datendiebstahl gleich mehrere Konten gefährdet.
- Fehlende Zwei-Faktor-Absicherung: Ohne zusätzliche Bestätigung beim Login reicht ein gestohlenes Passwort, um Zugang zu erhalten.
- Zu großzügige Freigaben: Dateien und Ordner in OneDrive oder SharePoint werden manchmal öffentlich geteilt oder für „jeden mit dem Link“ zugänglich gemacht — oft ohne dass man sich darüber im Klaren ist.
- Zu viele Admin-Konten: Je mehr Konten mit Administratorrechten ausgestattet sind, desto größer ist der Schaden, wenn eines davon kompromittiert wird.
- Unbemerkte Angriffe: Wenn niemand regelmäßig prüft, ob es ungewohnte Anmeldungen oder verdächtige Aktivitäten gibt, bleibt ein Einbruch oft wochenlang unentdeckt.
Besonders beliebt bei Angreifern sind gefälschte Microsoft-Login-Seiten oder Freigabeanfragen, die auf den ersten Blick echt wirken. Wer nicht weiß, worauf er achten muss, tappt schnell in die Falle.
Was wirklich hilft: Maßnahmen, die sich lohnen
Gute Sicherheit braucht kein großes IT-Projekt. Viele der wirksamsten Maßnahmen sind einfach umzusetzen und machen in der Summe einen großen Unterschied.
1. Zwei-Faktor-Authentifizierung für alle einrichten
Die Zwei-Faktor-Authentifizierung (kurz: 2FA oder MFA) ist eine der wirksamsten Schutzmaßnahmen überhaupt. Sie bedeutet: Wer sich anmeldet, muss nicht nur sein Passwort eingeben, sondern zusätzlich einen zweiten Nachweis erbringen, zum Beispiel einen Code, der per App oder SMS generiert wird. Selbst wenn ein Passwort gestohlen wird, scheitert der Angreifer daran. Wichtig: Diese Absicherung sollte nicht nur für Administratoren gelten, sondern für alle Konten im Unternehmen.
2. Admin-Rechte bewusst vergeben
Konten mit Administratorrechten haben besonderen Zugriff auf Einstellungen, Nutzerverwaltung und sensible Bereiche der Plattform. Je weniger solcher Konten es gibt, desto geringer ist das Risiko. Empfehlenswert ist außerdem, dass Administratoren für ihre privilegierten Aufgaben ein separates Konto nutzen und im Alltag mit einem normalen Benutzerkonto arbeiten. So sind auch versehentliche Änderungen mit weitreichenden Folgen unwahrscheinlicher.
3. Freigaben regelmäßig überprüfen
In OneDrive und SharePoint entstehen über die Zeit viele Freigaben für Kolleg:innen, Kund:innen und externe Dienstleister. Manche davon sind längst nicht mehr nötig, aber noch aktiv. Eine regelmäßige Kontrolle, zum Beispiel einmal im Monat, hilft, den Überblick zu behalten und unnötige Zugriffsmöglichkeiten zu schließen. Die Faustregel dabei: So offen wie nötig, so eingeschränkt wie möglich.
4. Verdächtige Aktivitäten beobachten
Microsoft 365 protokolliert Anmeldungen und Aktivitäten. Wer regelmäßig einen Blick darauf wirft oder automatische Benachrichtigungen einrichtet, erkennt früh, wenn etwas nicht stimmt: zum Beispiel eine Anmeldung aus einem unbekannten Land oder zu ungewöhnlicher Uhrzeit. Je früher ein Vorfall bemerkt wird, desto geringer ist in der Regel der Schaden.
5. Mitarbeitende für Phishing sensibilisieren
Technik allein kann Menschen nicht ersetzen. Wer weiß, wie gefälschte E-Mails aussehen, worauf man bei Links achten sollte und warum man im Zweifel lieber einmal nachfragt, ist ein wichtiger Teil der Sicherheitsarchitektur. Kurze, regelmäßige Hinweise, etwa eine monatliche Erinnerung oder ein kurzes Team-Meeting-Update, sind wirkungsvoller als ein einmaliges Pflichttraining, das schnell in Vergessenheit gerät.
6. Backup und Wiederherstellung mitdenken
Microsoft 365 speichert Daten in der Cloud, aber das ist kein vollwertiger Ersatz für eine eigene Sicherung. Dateien können versehentlich gelöscht, überschrieben oder bei einem Angriff verschlüsselt werden. Ein separates Backup-Konzept, das regelmäßig getestet wird, gibt die nötige Sicherheit, im Notfall handlungsfähig zu bleiben.
Die eingebauten Sicherheitsfunktionen wirklich nutzen
Microsoft 365 bringt von Haus aus eine Reihe hilfreicher Sicherheitsfunktionen mit. Es gibt Schutzmechanismen gegen Phishing und Schadsoftware, Möglichkeiten zur Zugriffskontrolle und Werkzeuge, um sensible Daten zu klassifizieren und vor unbeabsichtigter Weitergabe zu schützen.
Das Problem: Viele dieser Funktionen sind nicht automatisch aktiv oder müssen erst konfiguriert werden. Ein Sicherheitsfeature, das nicht eingerichtet ist, nützt nichts. Das ist vergleichbar mit einem Schlüssel, der im Flur liegt, während die Tür offensteht. Es lohnt sich daher, regelmäßig zu prüfen, welche Funktionen verfügbar sind und ob sie sinnvoll eingestellt wurden.
Sicherheit als Routine verankern
Das Wissen um Risiken und Maßnahmen ist ein guter Anfang. Sicherheit entsteht jedoch erst durch Gewohnheit. Wer klare Zuständigkeiten im Unternehmen definiert und feste Routinen einrichtet, macht es Angreifern dauerhaft schwerer.
Hilfreiche Fragen dabei sind: Wer ist dafür verantwortlich, Zugriffsrechte zu überprüfen? Wer reagiert, wenn ein Konto möglicherweise kompromittiert wurde? Wer hält Mitarbeitende regelmäßig auf dem Laufenden?
Einfache Werkzeuge helfen dabei: eine kurze Checkliste für den monatlichen Rundumcheck, ein fester Termin im Kalender, eine klare Ansprechperson für Sicherheitsfragen. Es braucht kein großes IT-Team, aber jemanden, der das Thema im Blick behält.
Fazit: Kleine Schritte machen den Unterschied
Microsoft 365 ist ein leistungsstarkes Werkzeug für moderne Zusammenarbeit. Gerade weil so viele Abläufe darüber laufen, lohnt sich ein genauer Blick auf die Sicherheit. Die gute Nachricht: Man muss kein IT-Experte sein, um die wichtigsten Stellschrauben zu kennen und zu nutzen. Wer Identitäten schützt, Freigaben sauber organisiert, Mitarbeitende regelmäßig sensibilisiert und Aktivitäten im Blick behält, verbessert die Sicherheitslage oft mit überschaubarem Aufwand erheblich.
Verfasst von Johanna Baldus
Senior Projektmanagerin Kommunikation
Aktualisiert am: 15.06.2026
