Sicherheit und Datenschutz in Microsoft 365: Was Geschäftsführer wissen sollten

Microsoft 365 ist die Standard-Plattform für KMU geworden. E-Mail, Teams, SharePoint, OneDrive, Office-Apps — alles aus einer Hand. Aber genau diese Bündelung macht M365 zur lohnendsten Beute für Angreifer. Wer den Tenant übernimmt, übernimmt das Unternehmen.

Was Geschäftsführer wissen müssen: Microsoft liefert die Bausteine — die Konfiguration macht den Unterschied. Wer bei Standard-Einstellungen bleibt, betreibt Microsoft 365 unsicher. Wer richtig konfiguriert, hat eine der besten Sicherheitsplattformen am Markt.

Was Microsoft 365 nativ mitbringt

Die Plattform ist sicherheitstechnisch nicht nackt. Microsoft betreibt zertifizierte Rechenzentren in Frankfurt und Amsterdam, alle Daten werden verschlüsselt übertragen und at rest gespeichert, der Anti-Malware-Schutz scannt jede E-Mail. Wichtig zu wissen:

• Verschlüsselung: TLS 1.2+ für Transport, BitLocker für Speicherung. Optional Customer-Key oder Double Key Encryption für besonders sensible Daten.
• Compliance-Zertifikate: ISO 27001, ISO 27018 (Cloud-Datenschutz), C5-Testat des BSI, SOC 2 Typ II. Für die meisten KMU ein Niveau, das sie inhouse nie erreichen würden.
• Verteilte Rechenzentren: automatische Replikation zwischen mehreren Verfügbarkeitszonen — Hardware-Ausfälle merken Sie nicht.
• Anti-Phishing & Anti-Malware: Microsoft Defender for Office 365 prüft Links und Anhänge in Echtzeit, sandboxed verdächtige Dateien.

Klingt gut. Ist es auch. Aber: Im Default-Setup sind viele Schutzschichten ausgeschaltet oder nicht ausgereizt. Das BSI hat im September 2025 ausdrückliche Konfigurations-Empfehlungen für Microsoft Office veröffentlicht — genau weil die Standard-Einstellungen nicht ausreichen.

Die fünf wichtigsten Stellschrauben

1. Multi-Faktor-Authentifizierung (MFA) für ALLE Accounts. Keine Ausnahme. Auch nicht für „nur den Empfang" oder „die Aushilfe". Microsoft Authenticator-App oder FIDO2-Schlüssel. Reduziert das Übernahme-Risiko um über 99 %.
2. Conditional Access. Regelt, von welchem Gerät, aus welchem Land, zu welcher Zeit Zugriff erlaubt ist. Beispiel: Login aus dem Ausland nur mit zusätzlichem Approval. Login von unmanaged Devices? Nur lesend.
3. Sensitivity Labels. Klassifizierung von Dokumenten (öffentlich / intern / vertraulich / geheim) inklusive automatischer Verschlüsselung. „Geheim" markierte Dokumente sind auch außerhalb von Microsoft 365 noch verschlüsselt.
4. Audit-Logs aktiv schalten. Out-of-the-box ist die Audit-Aufzeichnung in vielen Tenants nicht aktiv. Wer hat eine Datei wann geöffnet, gelöscht, exportiert? Ohne Logs können Sie keinen Vorfall aufklären.
5. Externes Backup. Microsoft sichert ihre Infrastruktur — nicht Ihre Daten gegen versehentliches Löschen oder Ransomware. Drittanbieter-Backup ist Pflicht, nicht Kür.

Zwei-Faktor-Authentifizierung ist der Schutz Nummer eins vor Ransomware. Kostet nichts, dauert 5 Minuten pro Mitarbeiter — und macht 99 Prozent der Angriffe wirkungslos. Wer das nicht hat, spielt russisches Roulette mit seinem Unternehmen.

Jens HagelGeschäftsführer, hagel IT-Services GmbH

DSGVO und Microsoft 365: der Stand 2026

Die Diskussion „Ist Microsoft 365 datenschutzkonform?” ist seit Jahren Dauergast. Der Stand Mai 2026:

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) hat im November 2025 klargestellt: Microsoft 365 lässt sich DSGVO-konform betreiben. Voraussetzungen sind ein aktueller Auftragsverarbeitungsvertrag mit Microsoft Ireland Operations, Standardvertragsklauseln nach EU-Beschluss 2021/914 und eine korrekt konfigurierte EU-Datenresidenz.

In der Praxis heißt das für Sie:

• Datenresidenz prüfen: Im Microsoft 365 Admin Center unter „Settings → Org settings → Data residency” — sollte EU/EWR sein.
• AV-Vertrag aktuell halten: Microsoft passt die Bedingungen ein- bis zweimal pro Jahr an. Stand checken, neue Version unterzeichnen.
• Verarbeitungsverzeichnis: Microsoft 365 als Verarbeitung erfassen, Datenkategorien benennen.
• Risikoanalyse (DPIA): für sensible Datenkategorien (Gesundheit, Personalakten) Pflicht.

Microsoft 365 Sicherheit & DSGVO sauber aufzusetzen ist heute kein juristisches Problem mehr — es ist ein Konfigurations-Problem.

Aus der Praxis: drei typische Lücken bei Neukunden

Wenn wir Microsoft 365 von einem anderen Anbieter übernehmen, sehen wir diese Schwachstellen fast immer:

• Globale Admins ohne MFA. Vier Personen mit Vollzugriff, keine zweite Faktor. Ein erfolgreicher Phishing-Klick = Tenant-Übernahme.
• Audit-Log nicht aktiv. Ein Mitarbeiter kündigt, kopiert Kundendaten in OneDrive auf den Privat-Account — und niemand weiß es.
• Externes Sharing offen. Anonyme Links in SharePoint mit Vollzugriff, oft jahrealt, längst „durchgereicht" an Externe.

Bei einer Hamburger Werbeagentur mit acht Mitarbeitenden haben wir genau diese drei Lücken in einer 2-stündigen Sitzung geschlossen — Aufwand für den Kunden: drei Reset-E-Mails an die Mitarbeitenden, fünf Minuten App-Setup. Effekt: dramatisch.

Backup: das oft vergessene Stück

Microsoft repliziert Ihre Daten — vor Hardware-Ausfällen sind Sie geschützt. Aber:

• Versehentlich gelöschte Dateien sind nach 30 Tagen weg (Standard-Retention).
• Ransomware verschlüsselt OneDrive- und SharePoint-Daten genauso wie lokale.
• Böswillige Mitarbeitende können Daten exportieren oder löschen — wenn die Berechtigungen es zulassen.
• DSGVO-Anfragen (Auskunft, Berichtigung, Löschung) brauchen reproduzierbare Zustände.

Wir setzen bei unseren Mandanten Veeam Backup for Microsoft 365 oder Acronis Cyber Protect ein. Kosten: ab ca. 4 Euro pro Postfach und Monat. Backup geht in einen separaten Cloud-Speicher (eigene Cloud-Region oder lokales Rechenzentrum). Bei Bedarf in 4 Stunden wieder herstellbar — auch der Zustand vor 6 Monaten.

Lizenzwahl: was Sie wofür brauchen

Für die meisten KMU mit 5-150 Mitarbeitenden ist Business Premium die richtige Lizenz. Sie enthält alle relevanten Sicherheitsfunktionen ohne Enterprise-Preisaufschlag. Details: Microsoft Learn — Microsoft 365 Business Premium.

Einwände, die wir oft hören

„Wir sind zu klein für gezielte Angriffe.” — Falsch. Heutige Phishing-Angriffe laufen automatisiert. Ob 5 oder 5.000 Mitarbeitende, dem Bot ist es egal. BSI-Lagebericht 2025 zeigt: Über 70 % der erfolgreichen Ransomware-Angriffe trafen Mittelständler.

„Microsoft 365 ist doch sicher.” — Microsoft 365 ist sicher konfigurierbar. Die Plattform liefert Schutzmechanismen — Sie müssen sie aktivieren und betreiben. Das ist kein Knopfdruck, sondern eine bewusste Entscheidung.

„Das schaffen wir nicht zusätzlich.” — Verstehen wir. Genau dafür gibt es Managed-Modelle. Co-Managed IT oder vollständig Managed IT Services kümmern sich darum, dass die Konfiguration aktuell bleibt — auch wenn Microsoft halbjährlich neue Features ausrollt.

Konkrete Roadmap: 90 Tage zum sicheren Microsoft 365

1. Tag 1–7: Inventur. Tenant-Audit. Welche Lizenzen? Welche Admins? Welche Sharings sind aktiv? Welche Geräte greifen zu?
2. Tag 8–21: MFA für alle. Inklusive Aushilfen, Externe und Service-Konten (außer wenige technische, die per Conditional Access geschützt werden). Microsoft Authenticator empfohlen.
3. Tag 22–45: Conditional Access aufsetzen. Standardregeln: Nur EU-Logins. Nur managed Devices. Risikobasierte zusätzliche Faktoren.
4. Tag 46–60: Audit-Logs aktivieren, Sensitivity Labels einführen. Vier Stufen reichen. Schulung der Mitarbeitenden zu „Was ist intern? Was vertraulich?"
5. Tag 61–80: Backup-System einrichten. Veeam oder Acronis. Test-Restore durchführen — nicht nur dokumentieren.
6. Tag 81–90: Schulung & Übergabe. Phishing-Simulation, Incident-Response-Plan, regelmäßiger Review-Termin (alle 3 Monate).

Wir helfen — pragmatisch und mit Festpreis

Als Microsoft Partner und IT-Systemhaus aus Hamburg betreuen wir mit 32 Spezialisten KMU in ganz Norddeutschland. Wir prüfen Ihren Microsoft 365 Tenant, decken die typischen Lücken auf und machen Ihren Betrieb sicher — zum festen Preis. Auch in Bremen, Kiel und Lübeck. Vergleichen Sie auch unsere Cybersecurity-Leistungen und unseren Pillar zur NIS-2-Beratung.