hagel IT-Services
Festpreis-Angebot
16 Min.

SharePoint-Sicherheit: So schützen IT-Leiter sensible Daten in Microsoft 365

KI
Karl Isler in IT-Insights

Inhalt in Kürze

  • SharePoint Online ist Microsofts wichtigstes Datenherz für den Mittelstand — und damit ein Top-Ziel für Angreifer und Insider-Lecks.
  • Die wirksamsten Hebel sind nicht exotische Tools, sondern saubere Berechtigungen, MFA, Sensitivity Labels und DLP-Richtlinien in Microsoft Purview.
  • SharePoint verschlüsselt Daten automatisch (at rest und in transit) — entscheidend ist, wie Sie Zugriff, Sharing und Klassifizierung steuern.
  • IT-Leiter, die Berechtigungen, Conditional Access und Auditierung in einer 90-Tage-Roadmap aufsetzen, eliminieren über 90 Prozent der typischen SharePoint-Risiken.

SharePoint Online ist in fast jedem Mittelstand das De-facto-Dateiarchiv: Verträge, Personalakten, Angebote, Konstruktionsdaten — alles liegt dort, oft ohne dass jemand den Überblick hat. Genau deshalb ist SharePoint-Sicherheit Chefsache. Dieser Leitfaden zeigt Ihnen Schritt für Schritt, wie Sie Ihre SharePoint-Umgebung in Microsoft 365 absichern, ohne die Zusammenarbeit zu lähmen.

Für eilige Leser: Wenn Sie heute nur drei Dinge umsetzen können, machen Sie diese: (1) MFA über Conditional Access für alle Nutzer erzwingen, (2) externe Freigaben auf „Nur authentifizierte Gäste” beschränken, (3) Sensitivity Labels mit Standard-Label „Intern” einführen. Allein das reduziert die häufigsten Vorfälle drastisch.

SharePoint-Daten verschlüsseln 2026 — in Kürze: Microsoft verschlüsselt SharePoint-Online-Daten standardmäßig at-rest (BitLocker plus pro-Datei-AES-256) und in-transit (TLS 1.2+). Zusätzliche Sicherheits-Layer für KMU: Microsoft Purview Information Protection (Sensitivity Labels mit AES-256-Verschlüsselung), Customer Key (eigener Schlüssel via Azure Key Vault, ab M365 E3) und Double Key Encryption (DKE, höchste Stufe für streng vertrauliche Daten). Mehr dazu in Abschnitt 7.

SharePoint Sicherheits-Konfiguration 2026 — die 5 Pflicht-Einstellungen

Wenn Sie nur fünf Tenant-Settings 2026 korrekt setzen, decken Sie über 90 Prozent der typischen SharePoint-Risiken im Mittelstand ab:

  1. Sensitivity Labels mit Standard-Label „Intern”: Microsoft Purview Information Protection aktivieren, vier Labels (Öffentlich / Intern / Vertraulich / Streng vertraulich) ausrollen. Pflicht-Klassifizierung für neue Dokumente in Word, Excel, PowerPoint und Outlook.
  2. MFA + Conditional Access (Entra ID): Phishing-resistente MFA für 100 % der Nutzer. Conditional-Access-Baseline: Legacy-Auth blockieren, MFA bei Risk-Level erzwingen, Block aus Hochrisiko-Ländern. Laut Microsoft blockt das über 99 % der Identitätsangriffe.
  3. External-Sharing-Defaults verschärfen: Tenant-Default auf „New and existing guests”, „Anyone”-Links global deaktivieren. Ablauf-Datum für Gast-Links auf 30 Tage, Re-Authentifizierung alle 14 Tage.
  4. Microsoft Purview DLP-Policies: Drei Standard-Richtlinien aktivieren — EU-Personendaten (IBAN, Personalausweis), Finanzdaten (PCI DSS) und branchenspezifische Schlüsselwörter. Roll-out gestaffelt: Audit → Hinweis → Block (siehe Abschnitt 6).
  5. Drittanbieter-Backup mit Point-in-Time-Recovery: Microsoft 365 hat KEIN Backup im klassischen Sinn — der Papierkorb endet nach 93 Tagen. SkyKick oder Veeam mit Item-Level-Restore und getrennter Cloud-Region sind 2026 Pflicht für jede NIS2-relevante Organisation.

Diese fünf Einstellungen lassen sich von einem erfahrenen M365-Admin in 2–3 Tagen umsetzen — danach folgt die Roll-out-Kommunikation an die Belegschaft.

1. Warum SharePoint-Sicherheit gerade jetzt Chefsache ist

Drei Entwicklungen treffen 2026 zusammen: Erstens hat Microsoft die Standardeinstellungen für Sharing in den letzten Jahren mehrfach gelockert, damit Teams-Zusammenarbeit reibungslos funktioniert. Zweitens nutzen Angreifer zunehmend OAuth-Phishing und Token-Diebstahl, um an SharePoint-Inhalte zu kommen — Passwörter werden umgangen, MFA teils ebenso. Drittens fordern NIS2, DSGVO und Lieferketten-Verträge nachweisbare Schutzmaßnahmen.

Die gute Nachricht: Microsoft liefert mit Microsoft Purview, Conditional Access und Defender für Cloud Apps inzwischen ein Werkzeug-Set, das auch ohne Großkonzern-Budget zu beherrschen ist. Sie müssen es nur nutzen — und genau hier scheitern viele Organisationen.

99 %
der Identitätsangriffe lassen sich laut Microsoft durch konsequente MFA blockieren
68 %
der Datenlecks im Cloud-Speicher gehen laut IBM Cost of a Data Breach Report 2024 auf menschliches Fehlverhalten zurück
277 Tage
dauert es im Schnitt, bis ein Datenleck erkannt und eingedämmt ist — Auditierung kürzt das massiv

Lesen Sie ergänzend unseren Überblick zur Microsoft 365 Sicherheit & DSGVO — dort beleuchten wir den Compliance-Rahmen, in den SharePoint eingebettet ist.

2. Die SharePoint-Bedrohungslage 2026 — was wirklich passiert

In unseren Hamburger Kunden-Audits sehen wir immer wieder das gleiche Muster. Die folgenden fünf Risiken decken über 90 Prozent der realen Vorfälle ab:

  • Vergessene externe Freigaben: Ein Mitarbeiter teilt eine Excel-Datei „Mit jedem mit Link" — und vergisst sie. Drei Jahre später ist das Dokument noch öffentlich.
  • Überberechtigte Standardgruppen: „Alle in der Organisation" hat Schreibzugriff auf Sites mit HR- oder Finanzdaten.
  • OAuth-Phishing: Mitarbeiter geben einer scheinbar legitimen App Lese-Rechte auf SharePoint — der Angreifer saugt Daten ab, ohne MFA überhaupt zu sehen.
  • Token-Diebstahl per AiTM-Phishing: Adversary-in-the-Middle-Angriffe stehlen Session-Tokens. MFA wird umgangen, wenn keine zusätzlichen Conditional-Access-Regeln greifen.
  • Insider-Fehlverhalten: Ausscheidende Mitarbeiter laden Sites massenhaft auf private OneDrives oder USB-Sticks herunter.

Wer diese fünf Vektoren ernst nimmt und systematisch entschärft, ist deutlich besser geschützt als 80 Prozent der KMU. Die folgenden Abschnitte zeigen, wie das praktisch aussieht.

3. Berechtigungsmodell in SharePoint richtig aufsetzen

Das fundamentalste Sicherheitsprinzip in SharePoint ist Least Privilege: Jeder Nutzer bekommt genau die Rechte, die er für seine Arbeit braucht — nicht mehr. Klingt simpel, ist aber in der Praxis selten umgesetzt.

3.1 Die drei Standardrollen verstehen

SharePoint kennt pro Site drei Default-Gruppen: Besitzer (Vollzugriff inkl. Berechtigungsverwaltung), Mitglied (Lesen und Schreiben) und Besucher (nur Lesen). Wer auf der Site-Ebene nichts Eigenes definiert, fährt damit gut. Vermeiden Sie Eigenbau-Berechtigungslevels — sie machen die Wartung später zur Hölle.

3.2 Microsoft-365-Gruppen vs. SharePoint-Gruppen

Moderne Team-Sites werden über Microsoft-365-Gruppen oder Microsoft Teams gesteuert. Die Mitglieds- und Besitzer-Listen der Gruppe steuern automatisch Site-Zugriff plus E-Mail-Verteiler, Planner, OneNote und Teams. Klassische SharePoint-Gruppen brauchen Sie nur für Sonderfälle, etwa hochsensible Sites mit eigener Owner-Crew oder Read-only-Stakeholder.

3.3 Vererbung — Segen und Falle

Berechtigungen vererben sich von Site zu Bibliothek zu Ordner zu Element. Solange die Vererbung intakt ist, bleibt die Verwaltung sauber. Sobald Sie auf Ordner- oder Item-Ebene „Vererbung beenden” anklicken, wird es schnell unübersichtlich. Faustregel: Maximal eine Vererbungsunterbrechung pro Site, dokumentiert in Ihrer IT-Doku.

  1. Inventur: Listen Sie alle aktiven SharePoint-Sites auf — über das Admin Center oder per PowerShell (`Get-SPOSite`).
  2. Owner zuordnen: Jede Site braucht mindestens zwei aktive Owner aus der Fachabteilung, nicht aus IT.
  3. Standardgruppen prüfen: Wer ist Mitglied in „Alle in der Organisation"? Sollte das wirklich für jede Site gelten?
  4. Externe entfernen: Über das SharePoint Admin Center alle externen Nutzer auflisten — alte und unbekannte sofort entfernen.
  5. Quartals-Review aufsetzen: Per Microsoft Purview Access Reviews oder Excel-Liste an alle Owner. Wer drei Monate inaktiv ist, fliegt raus.

Mehr zur Wahl zwischen klassischer Ablage und SharePoint finden Sie in unserem Vergleich Fileserver oder SharePoint für Ihre Dateien.

4. Identität & Zugriff — MFA, Conditional Access, Zero Trust

SharePoint-Sicherheit beginnt nicht in SharePoint, sondern in Microsoft Entra ID (ehemals Azure AD). Wer hier sauber arbeitet, hat 70 Prozent der Sicherheitsarbeit erledigt.

4.1 MFA für alle, kompromisslos

Multi-Faktor-Authentifizierung ist Pflicht — und zwar phishing-resistent. Empfohlen sind Microsoft Authenticator mit Number Matching, FIDO2-Sicherheitsschlüssel oder Windows Hello for Business. SMS und Voice-Call sind out, weil sie sich per SIM-Swap aushebeln lassen.

4.2 Conditional Access — der eigentliche Schutzschild

Mit Conditional Access in Entra ID definieren Sie Regeln wie: „Zugriff auf SharePoint nur von verwalteten, konformen Geräten” oder „MFA bei jedem Login aus Nicht-EU-Ländern” oder „Block für veraltete Authentifizierungsprotokolle”. Das ist die Stellschraube, an der die meisten KMU verschenken — dabei ist sie Bestandteil von M365 Business Premium und E3.

Jens Hagel

„Zwei-Faktor-Authentifizierung ist der Schutz Nummer eins vor Ransomware. Kostet nichts, dauert 5 Minuten pro Mitarbeiter — und macht 99 % der Angriffe wirkungslos."

Jens Hagel, Geschäftsführer hagel IT-Services

4.3 Zero-Trust-Prinzipien anwenden

Zero Trust heißt: Niemals vertrauen, immer prüfen. Übersetzt für SharePoint:

  • Verifizieren Sie explizit: Identität, Gerätestatus und Standort werden bei jedem Zugriff geprüft — nicht nur beim ersten Login.
  • Least Privilege: Auch Administratoren bekommen nur dann Vollzugriff, wenn sie ihn brauchen (Just-in-Time über Privileged Identity Management).
  • Vom Worst Case ausgehen: Alles auditieren, anomale Downloads alarmieren, Notfallpläne testen.

Ihr Cybersecurity-Konzept rund um Microsoft 365 finden Sie kompakt auf unserer Seite zur Cybersecurity Hamburg.

SharePoint-Sicherheit im Team — IT-Verantwortliche und Geschäftsführung besprechen Berechtigungen und Compliance
Berechtigungs-Reviews funktionieren am besten gemeinsam mit den Fachabteilungen — nicht im IT-Silo.

5. Sensitivity Labels — Schutz, der an der Datei klebt

Sensitivity Labels (auf Deutsch „Vertraulichkeitsbezeichnungen”) sind das wichtigste Klassifizierungs-Werkzeug in Microsoft 365. Ein Label ist ein Etikett mit Wirkung: Es markiert das Dokument sichtbar im Header, kann es verschlüsseln, Wasserzeichen einfügen, Druck und Weiterleitung verhindern oder externe Empfänger blockieren.

5.1 Empfohlene Label-Struktur für KMU

Halten Sie es einfach. Vier Stufen reichen für 99 Prozent der Fälle:

LabelBeispiel-InhalteSchutzmaßnahmen
ÖffentlichPressemitteilungen, Marketing-MaterialKeine Verschlüsselung, keine Einschränkungen
Intern (Standard)Interne Notizen, ProjektpläneWasserzeichen „Intern”, Verschlüsselung optional
VertraulichVerträge, Angebote, PersonalaktenVerschlüsselung, nur Empfänger der Organisation
Streng vertraulichVorstandsdokumente, M&AVerschlüsselung, Druck blockiert, definierte Empfänger

5.2 Auto-Labeling — Schutz ohne Nutzer-Reibung

Microsoft Purview erkennt sensible Inhalte (z. B. IBANs, Kreditkarten, Personalausweis-Nummern) und vergibt automatisch passende Labels. Der Nutzer merkt davon nichts — das Dokument ist trotzdem geschützt. Genau das macht Auto-Labeling so wertvoll: Es schützt das, was Menschen vergessen.

5.3 Container-Labels für Sites und Teams

Sensitivity Labels lassen sich auch auf SharePoint-Sites und Teams anwenden. Ein Site-Label kann externe Freigaben pauschal verbieten, „Nicht verwaltete Geräte” blockieren oder die Privacy-Einstellung erzwingen. So fließt Klassifizierung bis in die Container-Ebene durch — ohne dass jeder Owner alle Settings einzeln pflegen muss.

Praxistipp: Starten Sie mit „Intern" als verpflichtendem Standard-Label. Jedes neue Dokument muss klassifiziert werden — Outlook und Word verlangen das. Klingt nervig, ist aber der einzige Weg, Klassifizierung dauerhaft im Alltag zu verankern.

6. Data Loss Prevention (DLP) — Daten dürfen nicht raus

DLP ist die Versicherung gegen das, was Menschen nicht hätten tun sollen: Vertragsentwürfe an die private Mail schicken, Kreditkartendaten in eine Excel kopieren, Patientenakten in einen Teams-Channel laden. Microsoft Purview DLP scannt SharePoint, OneDrive, Teams und Exchange auf Muster und reagiert sofort.

6.1 Sinnvolle Standard-Richtlinien

Drei DLP-Policies sollten in jedem KMU laufen:

  • EU-Personendaten: Erkennt IBAN, Personalausweis-, Pass- und Sozialversicherungsnummern in Dokumenten und blockiert externes Teilen.
  • Finanzdaten: Findet Kreditkartennummern (PCI DSS) und warnt bei Versand außerhalb der Organisation.
  • Branchen-Spezifika: Eigene Schlüsselwörter wie „Gehalt 2026", „Kundennummer" oder Projektkürzel — automatisch klassifiziert und gesperrt.

6.2 Endpoint DLP — Schutz bis zum lokalen PC

Mit Endpoint DLP erweitern Sie den Schutz auf Windows-Geräte: Kopieren auf USB-Sticks blockieren, Drucken überwachen, Cloud-Upload nur in Firmen-Tenants zulassen. So verhindern Sie, dass jemand sensible Daten aus SharePoint herunterlädt und auf dem Privat-Laptop weiterverarbeitet.

6.3 Wie aggressiv soll DLP eingreifen?

Drei Stufen, die wir empfehlen:

  1. Audit-Modus (erste 4 Wochen): Nur protokollieren, nicht eingreifen. Sie sehen, wo Mitarbeiter wirklich Risiken eingehen.
  2. Hinweis-Modus (nächste 4 Wochen): Pop-up im Office: „Achtung, dieses Dokument enthält IBANs. Bitte prüfen, ob Versand wirklich nötig ist.”
  3. Blockier-Modus (ab Woche 9): Automatisch verhindern und protokollieren. Override mit Begründung möglich.

Diese gestaffelte Einführung verhindert die größte DLP-Falle: Eine Tür-zu-Politik, die alle so nervt, dass die Geschäftsführung das Projekt nach drei Wochen kippt.

7. Verschlüsselung in SharePoint — was Microsoft macht und was Sie ergänzen

Eine der häufigsten Suchanfragen, die uns erreicht, lautet: „SharePoint Daten verschlüsseln — wie?” Die kurze Antwort: SharePoint Online ist standardmäßig verschlüsselt. Die längere ist interessanter, weil sie zeigt, wo Sie wirklich Hand anlegen sollten.

7.1 Verschlüsselung at rest

SharePoint Online verschlüsselt jede Datei bei Speicherung. Microsoft nutzt BitLocker auf Disk-Ebene und zusätzlich pro-Datei AES-256-Verschlüsselung mit individuellen Schlüsseln. Die Schlüssel liegen in Microsofts Key Stores — verteilt, redundant, ISO 27001 / ISO 27017 / ISO 27018 zertifiziert. Details dokumentiert Microsoft auf Microsoft Learn — Encryption in OneDrive and SharePoint.

7.2 Verschlüsselung in transit

Der Transport zwischen Client und SharePoint Online ist über TLS 1.2 oder höher gesichert. Auch Server-zu-Server-Kommunikation innerhalb von Microsoft 365 ist durchgängig verschlüsselt. Sie selbst müssen hier nichts konfigurieren — solange Ihre Clients aktuell sind und keine veralteten Protokolle (TLS 1.0/1.1) zulassen.

7.3 Customer Key (BYOK) und Double Key Encryption

Wenn Branchenanforderungen (z. B. Verteidigung, Pharma, Anwaltschaft) eigene Schlüssel-Hoheit verlangen, gibt es zwei Optionen:

  • Customer Key: Sie stellen den Schlüssel über Azure Key Vault bereit. Microsoft kann ohne diesen Schlüssel keine Daten lesen — Sie behalten die Hoheit.
  • Double Key Encryption (DKE): Zwei Schlüssel pro Dokument. Einer bei Microsoft, einer bei Ihnen on-premises. Selbst Microsoft kann das Dokument nicht entschlüsseln. Geeignet für höchste Vertraulichkeitsstufen, aber mit Kollaborations-Einbußen — DKE-Dokumente lassen sich nicht im Web-Browser bearbeiten.

Für die meisten KMU reicht der Standard plus Sensitivity Labels mit Verschlüsselung. BYOK und DKE sind Zusatzoptionen für regulierte Branchen.

7.4 Information Rights Management (IRM)

IRM ergänzt Sensitivity Labels mit klassischen Rechte-Optionen: Drucken verbieten, Bildschirmfotos blockieren, Ablauf-Datum für Dokumente. IRM-Schutz wandert mit dem Dokument — auch wenn es in eine andere Cloud kopiert wird, bleibt der Zugriff auf berechtigte Nutzer beschränkt.

8. Externe Zusammenarbeit — sicher, aber nicht zu eng

Kollaboration mit Kunden, Lieferanten und Steuerberatern ist eine der wichtigsten SharePoint-Funktionen. Falsch konfiguriert ist sie aber auch das größte Datenleck-Risiko.

8.1 Sharing-Modus pro Tenant und Site

SharePoint kennt vier Sharing-Modi: Anyone, New and existing guests, Existing guests, Only people in your organization. Unsere Empfehlung für KMU: Tenant-Default auf „New and existing guests” — pro Site können hochsensible Bereiche enger eingestellt werden. „Anyone”-Links komplett deaktivieren, weil sie ohne Login funktionieren und damit jede Authentifizierung umgehen.

8.2 Gast-Zugänge sauber verwalten

Externe Gäste werden in Entra ID als B2B-Gastkonten geführt. Auch hier gilt Conditional Access: MFA Pflicht, optionale Geräte-Compliance. Über Access Reviews und Entra ID Governance lassen sich Gäste regelmäßig auf Aktualität prüfen — wer 90 Tage inaktiv ist, wird automatisch entfernt.

8.3 Self-Service mit Leitplanken

Wenn Mitarbeiter selbst externe einladen dürfen, brauchen sie eine kurze Anleitung: Wofür „Bearbeiten” vs. „Lesen”, wann Ablauf-Datum, wann Sensitivity Label „Vertraulich”. Eine 1-Seiten-Schulung reicht und vermeidet, dass IT bei jeder Freigabe einspringen muss.

9. Auditierung & Monitoring — wer hat was wann gemacht

Sie können nicht schützen, was Sie nicht sehen. Microsoft Purview Audit (Standard ist in M365 Business Premium enthalten) protokolliert über 100 Aktivitäten in SharePoint, OneDrive und Teams.

9.1 Was Sie unbedingt überwachen sollten

  • Massendownloads: Mehr als 50 Dateien in 5 Minuten — meist ein Indikator für Datendiebstahl oder Ausscheidende.
  • Externe Freigaben auf sensible Sites: Sofort alarmieren, manuell prüfen.
  • Berechtigungsänderungen auf Site-Owner-Ebene: Wer macht plötzlich „Alle in der Organisation" zum Owner?
  • Ungewöhnliche Login-Standorte: Login aus Land X, in dem Sie keine Niederlassung haben — Conditional Access blockiert oder challenged.
  • OAuth-App-Zustimmungen: Welche Drittanbieter-Apps haben Zugriff? Verdächtige sofort revoken.

9.2 Defender für Cloud Apps — der Türsteher

Microsoft Defender for Cloud Apps (Teil von M365 E5 oder als Add-on) erweitert das Monitoring um Anomalie-Erkennung: ungewöhnliche Download-Mengen, Zugriffe aus unmöglichen Geo-Kombinationen („Impossible Travel”), Ransomware-Verhalten in OneDrive. Die KI-gestützten Alarme reduzieren Fehlalarme, weil sie pro Nutzer ein Verhaltensbasis lernen.

9.3 Aufbewahrungsfristen für Logs

Audit-Logs der Standard-Stufe bleiben 180 Tage erhalten (Premium-Audit: ein Jahr). Für DSGVO- und NIS2-Compliance reicht das oft nicht — exportieren Sie kritische Logs in ein SIEM oder Microsoft Sentinel und behalten Sie sie dort sieben Jahre.

10. Backup & Disaster Recovery — der vergessene Layer

Microsoft repliziert SharePoint-Daten zwischen Rechenzentren — das ist Hochverfügbarkeit, aber kein Backup. Wenn ein Ransomware-Angriff Ihre Inhalte verschlüsselt oder ein Admin versehentlich eine ganze Site löscht, sind die Daten nach 93 Tagen aus dem Papierkorb endgültig weg.

Lösung: Drittanbieter-Backup mit längerer Aufbewahrung und Point-in-Time-Recovery. Wir setzen für Kunden bewährt auf SkyKick Backup für Microsoft 365 — unbegrenzte Aufbewahrung, granulares Restore bis Item-Ebene, getrennte Cloud-Region.

Mehr zu unserem Gesamtansatz für Backup und Wiederherstellung finden Sie auf der Produktseite Backup-Lösung für Unternehmen.

„Über Weihnachten wurde bei uns alles verschlüsselt. Nur weil ich jede Woche eine externe Festplatte mit nach Hause genommen habe, hatten wir noch eine brauchbare Sicherung. Das war pures Glück."

Klaus Bergmann, Geschäftsführer, Maschinen- und Anlagenbau

11. Mitarbeiter-Awareness — der schwächste oder stärkste Faktor

Technik schützt nicht vor Klicks. Phishing- und OAuth-Angriffe zielen auf Menschen, nicht auf Server. Eine wirksame Awareness-Strategie hat drei Bausteine:

  1. Microlearning statt Jahresschulung: 5-Minuten-Module, monatlich. Themen: Phishing-Erkennung, sichere Freigabe, Sensitivity Labels, USB-Hygiene.
  2. Phishing-Simulationen: Realistische Test-Mails an die Belegschaft. Wer klickt, bekommt direkt eine Schulung — ohne Bloßstellung.
  3. Konkrete SharePoint-Schulung: „Wie teile ich richtig?”, „Was bedeutet Vertraulich?”, „Was tue ich, wenn ich versehentlich was gepostet habe?”

Wir liefern das in unserem Security Awareness Training als Festpreis-Paket inkl. monatlicher Phishing-Simulation und Reporting für die Geschäftsführung.

12. SharePoint-Sicherheit in 90 Tagen — eine Roadmap, die funktioniert

Theorie allein hilft nichts — Sie brauchen einen Plan. Diese 90-Tage-Roadmap haben wir mit Hamburger Mittelständlern dutzende Male durchgespielt.

  1. Tag 1–14 (Bestandsaufnahme): Inventur aller SharePoint-Sites, Owner-Zuordnung, Liste externer Gäste, Audit-Log aktivieren, MFA-Status pro Nutzer.
  2. Tag 15–30 (Identität härten): MFA für 100 % der Nutzer. Conditional Access mit Baseline-Regeln (Block Legacy Auth, MFA bei Risiko, Block aus Hochrisiko-Ländern).
  3. Tag 31–45 (Berechtigungen): „Alle in der Organisation" aus sensiblen Sites entfernen. Inaktive externe Gäste löschen. Standardrollen pro Site etablieren.
  4. Tag 46–60 (Klassifizierung): Sensitivity Labels einführen mit vier Stufen. „Intern" als Pflicht-Standard. Kommunikation an alle Mitarbeiter mit 1-Seiten-Anleitung.
  5. Tag 61–75 (DLP): Drei Standard-DLP-Richtlinien aktivieren. Erst Audit-Modus, dann Hinweis-Modus. Endpoint DLP für Geräte mit Compliance-Status.
  6. Tag 76–90 (Monitoring & Backup): Defender for Cloud Apps oder Sentinel anbinden. Drittanbieter-Backup einführen. Quartals-Review-Prozess etablieren.

Nach 90 Tagen haben Sie eine SharePoint-Umgebung, die DSGVO-, NIS2- und ISO-27001-Audits standhält — und vor allem im Alltag funktioniert.

Das Wichtigste auf einen Blick

  • SharePoint Online verschlüsselt automatisch — entscheidend ist die Steuerung von Identität, Berechtigungen und Klassifizierung.
  • MFA plus Conditional Access blockiert über 99 % der Identitätsangriffe.
  • Sensitivity Labels und DLP in Microsoft Purview machen den Schutz an Daten und Geräten sichtbar — und automatisch.
  • Quartals-Reviews der Berechtigungen und externer Gäste sind nicht verhandelbar.
  • Drittanbieter-Backup ist Pflicht — Microsoft macht keines.
  • Eine 90-Tage-Roadmap reicht, um SharePoint im Mittelstand auditierungs-fähig abzusichern.

13. Wer macht das in Hamburg und Norddeutschland?

Genau dafür gibt es uns. Als IT-Systemhaus Hamburg begleiten wir KMU mit 5–150 Mitarbeitern bei genau dieser Reise — vom 15-minütigen Erstgespräch über die Risikoanalyse bis zur 90-Tage-Umsetzung. Wir kombinieren Microsoft 365 Management, Cybersecurity Hamburg und NIS2 & IT-Compliance Hamburg zu einem Festpreis-Paket — keine Stundenabrechnung, keine Überraschungen.

Wenn Sie wissen wollen, ob Ihr Unternehmen NIS2-relevant ist, machen Sie zuerst unseren NIS2-Betroffenheits-Check — zwei Minuten, dann wissen Sie es.

SharePoint-Sicherheit auf den Prüfstand?

15 Minuten Erstgespräch. Wir prüfen Ihre Tenant-Konfiguration und nennen die drei wichtigsten Hebel — kostenlos und unverbindlich.

Erstgespräch buchen →

Weiterführende Quellen

Karl Isler
Karl Isler
IT-Experte & Autor, hagel IT-Services GmbH

Karl Isler ist ein erfahrener IT-Experte und Autor. Seine Fachkenntnisse in den Bereichen IT-Strategie, Cloud Computing und Datensicherheit ermöglichen es ihm, fundierte Artikel für unseren IT-Entscheider-Blog zu verfassen.

Frage stellen Profil ansehen
Thorsten Eckel

«Mit Hagel IT haben wir einen erfahrenen Partner, auf den wir uns jederzeit zu 100 % verlassen können.»

Thorsten Eckel
Geschäftsführer · Hanse Service
Deutschlands beste IT-Dienstleister 2026 — brand eins / Statista
Bester IT-Dienstleister
2026 — brand eins / Statista
Fallstudie · Gesundheit
Vom IT-Chaos zur sicheren Praxis: Einblicke in unsere Infrastruktur-Analyse (ISA) am Beispiel einer Therapiepraxis
Ausgezeichnete Bewertung
Basierend auf 46 Bewertungen

„Wir arbeiten seit einiger Zeit mit hagel IT zusammen und sind absolut zufrieden. Das Team ist kompetent, freundlich und immer schnell zur Stelle, wenn Hilfe gebraucht wird. Besonders schätzen wir die individuelle Beratung, den zuverlässigen Support und die modernen IT-Lösungen, die perfekt auf unsere Bedürfnisse abgestimmt sind. Ein rundum professioneller Partner, den wir uneingeschränkt weiterempfehlen können!"

Robin Koppelmann
Alle ansehen
Kostenlos & unverbindlich

IT-Herausforderungen? Wir helfen.

Sprechen Sie mit unseren Experten — 15 Minuten, kostenlos, kein Vertriebsdruck.

Festpreis-Angebot anfordern Lieber direkt Termin?

Häufig gestellte Fragen

SharePoint Online verschlüsselt alle Inhalte automatisch — at rest mit AES-256 (BitLocker auf Disk-Ebene plus pro-Datei-Verschlüsselung) und in transit mit TLS 1.2+. Wer mehr Kontrolle braucht, ergänzt Microsoft Purview Customer Key (BYOK), Sensitivity Labels mit Verschlüsselung sowie Double Key Encryption für hochsensible Dokumente. Diese Optionen sind in den Microsoft-365-Plänen E3/E5 enthalten oder als Add-on verfügbar.

Sensitivity Labels (Vertraulichkeitsbezeichnungen) klassifizieren Dokumente und Container nach Schutzbedarf — etwa Öffentlich, Intern, Vertraulich, Streng vertraulich. Sie steuern automatisch Verschlüsselung, Wasserzeichen, Berechtigungen und Freigabeoptionen. So hängt der Schutz an der Datei selbst, nicht am Speicherort. Ein als Vertraulich gelabeltes Dokument bleibt verschlüsselt, auch wenn es per E-Mail das Unternehmen verlässt.

Multi-Faktor-Authentifizierung ist die wichtigste Einzelmaßnahme für SharePoint-Sicherheit. Microsoft beziffert den Schutz vor automatisierten Identitätsangriffen auf über 99 Prozent. Ohne MFA reicht ein abgegriffenes Passwort, um auf alle SharePoint-Sites des Nutzers zuzugreifen. Mit Conditional Access lässt sich MFA pro App, Standort und Risiko-Level differenziert erzwingen.

DLP-Richtlinien in Microsoft Purview scannen SharePoint-, OneDrive- und Teams-Inhalte auf sensible Muster wie Kreditkartennummern, IBAN, Personalausweis-Daten oder eigene Schlüsselwörter. Bei einem Treffer kann die Richtlinie warnen, blockieren, externes Teilen verhindern oder den Admin alarmieren. So verhindern Sie, dass sensible Daten versehentlich in Gast-Links oder Teams-Chats landen.

SharePoint arbeitet mit Site-, Listen-, Ordner- und Item-Berechtigungen sowie SharePoint-Gruppen und Microsoft-365-Gruppen. Im Idealfall vergeben Sie nie individuell Rechte, sondern arbeiten mit Gruppen und drei Standardrollen (Besitzer, Mitglied, Besucher). Im Vergleich zu klassischen NTFS-Rechten ist die Verwaltung gruppenorientierter, dafür kann eine zu großzügige Vererbung schnell zu Datenlecks führen.

Microsoft Purview ist die Compliance- und Datenschutz-Suite in Microsoft 365 — sie umfasst Sensitivity Labels, DLP, Information Barriers, Records Management, Audit, eDiscovery und Insider Risk Management. Für KMU mit DSGVO-, NIS2- oder branchenspezifischen Anforderungen ist Purview praktisch unverzichtbar. Die wichtigsten Funktionen sind in M365 Business Premium und E3 enthalten.

Mindestens einmal pro Quartal sollten Sie Berechtigungen, externe Freigaben und Anmeldeprotokolle reviewen. Bei sensiblen Sites (Geschäftsführung, HR, Finanzen) eher monatlich. Microsoft Purview Access Reviews automatisiert das, indem Site-Besitzer regelmäßig bestätigen müssen, dass die Mitglieder noch berechtigt sind. So wird die Berechtigungspflege zur Routine statt zur jährlichen Großaktion.

Customer Key (Bring Your Own Key, BYOK) erlaubt es Ihnen, den Verschlüsselungs-Master-Key für SharePoint Online, OneDrive und Exchange Online selbst über Azure Key Vault bereitzustellen. Microsoft kann ohne diesen Schlüssel keine Daten lesen — die Schlüsselhoheit liegt vollständig bei Ihnen. Customer Key ist ab Microsoft 365 E3 verfügbar und damit auch für ambitionierte KMU bezahlbar. Sinnvoll für regulierte Branchen (Anwaltschaft, Pharma, Verteidigung) oder Unternehmen mit besonderen Compliance-Anforderungen (NIS2-besonders-wichtig, BAIT, ISO 27001 mit Schlüssel-Hoheits-Klausel). Für die meisten Standard-KMU reicht die Microsoft-verwaltete Verschlüsselung plus Sensitivity Labels.

DLP-Richtlinien werden im Microsoft Purview Compliance Portal (compliance.microsoft.com) unter „Data Loss Prevention → Policies” angelegt. Wählen Sie zuerst Speicherorte (SharePoint, OneDrive, Teams, Exchange), dann eine vorgefertigte Vorlage (z. B. „EU-Personendaten” oder „Finanzdaten PCI DSS”) oder eine eigene Regel mit Schlüsselwörtern und sensitiven Informationstypen. Best Practice: Starten Sie 4 Wochen im Audit-Modus (nur protokollieren), wechseln Sie dann zu Hinweis-Modus (Tipp-Pop-up an den Nutzer) und erst nach 8 Wochen in den Blockier-Modus mit Override-Option. So bauen Sie DLP nachhaltig ein, ohne dass die Geschäftsführung das Projekt nach drei Wochen kippt.

Ja. hagel IT-Services begleitet Hamburger und norddeutsche Mittelständler bei SharePoint-Härtung, Microsoft Purview, Sensitivity Labels und Conditional Access. Wir starten mit einem 15-minütigen Erstgespräch, einer Risikoanalyse Ihrer SharePoint-Tenant-Konfiguration und liefern eine priorisierte Roadmap. Termin direkt buchen unter /termin.

Das könnte Sie auch interessieren

IT-Insights

Maklerbüro Hamburg: IT-Stack 2026 für Immobilienprofis
IT-Insights

Hafen-IT 4.0: Die Digitalisierung der Hamburger Logistik 2026
IT-Insights

n8n vs Make vs Microsoft Power Automate: Workflow-Tools 2026 für Hamburger KMU