Inhalt in Kürze
- Bezahlt heißt nicht geschützt: In fast allen betreuten Microsoft-365-Umgebungen sind die Security-Werkzeuge lizenziert, schlummern aber halb konfiguriert. Ein Microsoft 365 Security Check deckt das in 15 bis 60 Minuten auf.
- Vier Fragen entscheiden: Ist MFA mit Conditional Access für alle aktiv? Läuft Defender wirklich? Ist der E-Mail-Schutz gestaffelt? Gibt es ein eigenes, getestetes Backup?
- Microsoft schützt die Plattform, nicht Ihre Daten: Gelöschte Postfächer sind nach 30 Tagen weg, SharePoint und OneDrive nach 93 Tagen — gegen Ransomware hilft nur ein eigenes Backup.
- Microsoft Defender for Business steckt in Business Premium (~22 €/Nutzer) bereits drin. Viele zahlen daneben für eine zweite Schutzlösung, die sie gar nicht brauchen.
Ihr Unternehmen zahlt jeden Monat für Microsoft 365 — und damit für ein ganzes Arsenal an Sicherheitsfunktionen. Die Frage ist nur: Ist davon wirklich etwas aktiv? Ein ehrlicher Microsoft 365 Security Check zeigt in unter einer Stunde, ob Sie geschützt sind oder ob Ihr bezahlter Schutz halb konfiguriert vor sich hin schläft.
Microsoft 365 Security Check: Bezahlt heißt nicht geschützt
Wir betreuen Microsoft-365-Umgebungen quer durch Hamburg und Norddeutschland. Und in fast jeder finden wir dasselbe Muster: Die Lizenzen sind da, die Werkzeuge sind bezahlt — aber nur zur Hälfte eingeschaltet.
Das ist kein Vorwurf an die Unternehmen. Microsoft liefert die Funktionen aus, aber niemand schaltet sie für Sie scharf. Ein neuer Tenant ist nicht automatisch ein sicherer Tenant. Multi-Faktor-Authentifizierung steht zur Verfügung, gilt aber nicht für alle. Defender ist im Paket, läuft aber im Auslieferungszustand. Der E-Mail-Schutz ist lizenziert, fängt aber nur die offensichtlichen Fälle ab.
Ein Microsoft 365 Security Check prüft genau diese Lücke zwischen “bezahlt” und “geschützt”. Microsoft selbst liefert dafür eine Kennzahl: den Secure Score, eine Messung Ihres Sicherheitsstatus mit konkreten Empfehlungen. Viele Tenants liegen hier weit unter dem, was schon mit der vorhandenen Lizenz möglich wäre.
Die vier Fragen, die ein ehrlicher Security Check beantwortet
Ein guter Check ist kein 80-seitiger Audit-Bericht, den niemand liest. Er beantwortet vier klare Fragen — und für jede gibt es ein eindeutiges Ja oder Nein.
- Ist MFA mit Conditional Access für alle aktiv? Nicht nur "MFA irgendwie an", sondern: gilt sie für jeden Account, inklusive Admins und Dienstkonten? Werden veraltete Anmeldeverfahren blockiert?
- Läuft Microsoft Defender wirklich? Ist Defender for Business oder Defender for Endpoint nicht nur lizenziert, sondern auf den Geräten ausgerollt und im richtigen Modus?
- Ist der E-Mail-Schutz gestaffelt? E-Mail ist das größte Einfallstor. Greifen Defender for Office, Anti-Phishing und sichere Anhänge ineinander — oder nur der Standardfilter?
- Gibt es ein eigenes, getestetes Backup? Verlassen Sie sich auf die Microsoft-Aufbewahrung oder haben Sie eine echte, geprüfte Sicherung Ihrer Daten?
Diese vier Fragen lassen sich je nach Unternehmensgröße in 15 bis 60 Minuten beantworten. Sie brauchen dafür keine Wochen und kein Projekt — Sie brauchen jemanden, der genau weiß, wo er nachschaut.
MFA allein reicht nicht — Identität ist das erste Ziel
E-Mail und Identität sind die größten Einfallstore in jedes Unternehmen. Deshalb beginnt jeder seriöse Security Check bei den Konten, nicht bei der Firewall.
Multi-Faktor-Authentifizierung ist der wichtigste Einzelschutz — aber sie reicht allein nicht. Angreifer umgehen sie heute über gestohlene Sitzungs-Cookies: Sie klauen die aktive Anmeldung, nicht das Passwort. Erst Conditional Access schließt diese Lücke. Drei Regeln gehören in jeden Tenant:
- MFA für alle erzwingen. Ohne Ausnahme — gerade Admin-Konten sind das lohnendste Ziel.
- Geräte-Compliance verlangen. Zugriff nur von Geräten, die Ihre Sicherheitsvorgaben erfüllen.
- Veraltete Anmeldung blockieren. Alte Protokolle (Basic Auth) sind ein offenes Scheunentor und werden von Angreifern gezielt gesucht.
Dass das kein theoretisches Risiko ist, zeigt der BSI-Lagebericht 2025: Im Durchschnitt kamen täglich rund 119 neue Schwachstellen dazu — ein Plus von etwa 24 Prozent gegenüber dem Vorjahr. Wer Identität und E-Mail nicht im Griff hat, lässt die meistgenutzten Angriffswege offen.

Microsoft schützt die Plattform — Ihre Daten schützen Sie selbst
Hier liegt das gefährlichste Missverständnis. Microsoft 365 ist ein Modell der geteilten Verantwortung: Microsoft sorgt für Plattform, Rechenzentrum und Verfügbarkeit. Für Ihre Konten, Ihre Daten und Ihre Einstellungen sind Sie zuständig.
Das hat handfeste Folgen. Wird ein Postfach gelöscht — versehentlich oder durch einen Angreifer — ist es nach 30 Tagen endgültig weg. Inhalte in SharePoint und OneDrive verschwinden nach 93 Tagen. Gegen Ransomware oder ein gelöschtes Projektverzeichnis hilft die Microsoft-Aufbewahrung nicht. Dagegen hilft nur ein eigenes, regelmäßig getestetes Backup & Datensicherung.
Ein nie getestetes Backup ist kein Backup. Wir sehen regelmäßig Sicherungen, die seit Monaten laufen — aber im Ernstfall nicht wiederherstellbar sind. Mehr dazu in unserem Leitfaden zu Cloud-Backup & Datensicherung.
Defender ist meist schon bezahlt — und teure E5-Lizenzen oft ungenutzt
Ein Security Check schaut auch auf die Rechnung. Microsoft Defender for Business steckt in Microsoft 365 Business Premium (rund 22 € pro Nutzer und Monat) bereits drin. Trotzdem kaufen viele Unternehmen daneben eine separate EDR-Lösung — und zahlen doppelt für Schutz, den sie längst haben.
Umgekehrt finden wir teure Microsoft 365 E5-Lizenzen (rund 53 € pro Nutzer), deren Zusatzfunktionen niemand nutzt. Wer von E5 auf Business Premium wechselt, spart oft über 30 € pro Person und Monat — ohne echten Schutz aufzugeben. Bei 40 Mitarbeitern sind das schnell über 14.000 € im Jahr. Welches Paket wann passt, haben wir in unserem Überblick zu Microsoft 365 Kosten & Pakete 2026 aufgeschlüsselt.
Auch die großen Werkzeuge wie Sentinel oder Security Copilot lohnen sich erst ab einer gewissen Größe. Security Copilot kostet realistisch ab rund 35.000 US-Dollar im Jahr — sinnvoll erst ab etwa 250 Mitarbeitern mit eigenem Security-Team. Warum man sich davor nicht in eine Kostenfalle locken lassen sollte, lesen Sie unter Security Copilot: Kostenfalle vermeiden.
Prüfen Sie vor jeder neuen Sicherheitsanschaffung, was Ihre Lizenz schon enthält. Sehr oft braucht es kein zusätzliches Produkt, sondern nur die richtige Konfiguration. Die DSGVO-Seite davon finden Sie unter Microsoft 365 Sicherheit & DSGVO.
Aus der Praxis
Bei einem Hamburger Betrieb haben wir in einem 60-Minuten-Audit drei kritische Risiken auf einmal gefunden: einen Server jenseits der Garantie, ein nie getestetes Backup und geteilte Logins zwischen Büro und Werkstatt. Keines davon war den Verantwortlichen bewusst — und jedes einzelne hätte den Betrieb lahmlegen können.
Genau darum geht es bei einem Security Check: nicht Angst machen, sondern ehrlich zeigen, wo Sie stehen.
Wir starten jede Zusammenarbeit mit einer Cyber-Risikoanalyse gemeinsam mit der Geschäftsführung. Nicht um Angst zu machen, sondern um ehrlich zu sehen, wo Sie stehen — und was als Erstes passieren muss.
Der Aha-Moment kommt fast immer an derselben Stelle: bei der Frage nach dem Sicherheitsaudit. Unser Microsoft-365-Experte Dennis Kreft bringt es auf den Punkt.
Habe ich sowas wie ein Sicherheitsaudit durchgeführt, das mir eben ganz klar die Stärken, aber vor allem auch die Schwächen meiner aktuellen IT-Infrastruktur aufzeigt?
Wie wichtig eine verlässliche Sicherung ist, weiß niemand besser als ein Unternehmen, das einmal ohne dastand:
Über Weihnachten wurde bei uns alles verschlüsselt. Nur weil ich jede Woche eine externe Festplatte mit nach Hause genommen habe, hatten wir noch eine brauchbare Sicherung. Das war pures Glück.
Ihr nächster Schritt: Den Security Check anfragen
Sie zahlen bereits für den Schutz. Die einzige offene Frage ist, ob er aktiv ist. Ein Microsoft 365 Security Check gibt Ihnen darauf in unter einer Stunde eine ehrliche Antwort — ohne Vertriebsdruck.
Für Hamburger Unternehmen kommen wir auf Wunsch persönlich vorbei. Ob Sie Ihre IT komplett auslagern wollen (Managed IT Services) oder Ihr internes Team entlasten möchten (Co-Managed IT) — der Check ist immer der erste Schritt. Mehr zu unserer Arbeit vor Ort finden Sie unter IT-Service Hamburg.
Wie sicher ist Ihre Microsoft-365-Umgebung wirklich?
15 Minuten. Kostenlos. Ohne Vertriebsdruck.
Security-Check anfragen →