Microsoft 365 Security: die 5 wichtigsten Hardening-Schritte für KMU

Die kurze Antwort

Fünf Hardening-Schritte reduzieren das Angriffsrisiko in einem durchschnittlichen M365-Tenant um geschätzt 80 %. Alle fünf sind ohne zusätzliche Lizenzen umsetzbar, brauchen maximal einen Nachmittag eines M365-Administrators, und betreffen jeden M365-Tenant unabhängig von der Grösse.

1. Multi-Factor Authentication erzwingen – für alle

Wirkung: eliminiert über 99 % der bekannten Credential-Attacks (Microsoft-Statistik).

Was zu tun ist: Entra ID → Security → Conditional Access. Eine Richtlinie «Require MFA for all users, all cloud apps», ausser der Notfall-Admin-Account («Break-Glass»-Account), der mit einem physischen Sicherheitsschlüssel und überwachten Sign-ins abgesichert ist.

Fallstricke: Alte Multi-Function-Drucker oder Scan-to-Mail-Geräte scheitern bei MFA. Lösung: App-Passwörter sind nicht mehr empfohlen – stattdessen dediziertes SMTP-AUTH-fähiges Service-Postfach oder ein M365-fremder Relay-Dienst wie Brevo oder SendGrid.

Faktencheck: Die alten «Security Defaults» erzwingen MFA bereits – aber mit sehr groben Einstellungen. Conditional Access erlaubt feine Ausnahmen (z.B. Managed-Geräte ohne zweiten Faktor) ohne den Schutz zu kompromittieren.

2. Legacy Authentication vollständig blockieren

Wirkung: schliesst den Hauptvektor für Brute-Force-Angriffe auf Exchange Online. Legacy Auth (POP, IMAP, SMTP AUTH, MAPI, EWS, PowerShell mit Basic Auth) kennt kein MFA – auch wenn Sie MFA erzwingen, können Angreifer darüber einsteigen, solange Legacy Auth aktiviert ist.

Was zu tun ist:

• In Entra Sign-in-Logs: Filter auf «Legacy Authentication Client» → prüfen, ob noch Traffic vorhanden ist.
• Falls keine Treffer: Conditional Access-Policy «Block Legacy Authentication» für alle User aktivieren.
• Falls noch Traffic da ist: Quelle identifizieren (oft alte Drucker, Line-of-Business-Apps, Exchange-Add-ons), auf Modern Auth umstellen oder durch Alternative ersetzen.

Fallstricke: Manche Branchen-Applikationen (Treuhand-Software, Medical Software) sprechen noch Exchange Web Services mit Basic Auth. Hier ist ein Upgrade Pflicht – Microsoft hat SMTP AUTH zwar für Tenants >1 Jahr Alter deaktiviert, aber nicht komplett entfernt.

3. Gastzugriff drastisch einschränken

Wirkung: Verhindert den «offenen Flur» zwischen Ihrem Tenant und Dritten. Ab Werk kann jeder eingeladene Gast fast alle M365-Features nutzen, auch Teams-Kanal-Creator, Sharepoint-Site-Creator, OneDrive-Sharer.

Was zu tun ist: Entra ID → External Identities → External Collaboration Settings:

• Guest user access: «Guest users have limited access to properties and memberships of directory objects».
• Guest invite settings: auf «Only users assigned to specific admin roles can invite guest users» setzen – oder eng definierte Guest-Inviter-Rolle.
• Self-service sign-up via user flows: deaktivieren.

Dazu in Teams Admin Center: Users → Guest access: External Access auf Allow only specific domains einschränken (oder Block). Teams-spezifische Guest Access-Einstellungen prüfen.

Fallstricke: Wenn Sie Teams-Meetings mit Externen regelmässig haben, brauchen diese keinen Guest-Zugriff – Meeting-Links funktionieren für anonyme Teilnehmer. Gäste sind nur nötig, wenn externe Personen dauerhaft in Teams-Kanälen oder Sharepoint-Sites arbeiten.

4. Admin-Accounts absichern – wirklich absichern

Wirkung: Reduziert den «Blast Radius» eines kompromittierten Accounts. Wenn ein normaler User kompromittiert wird, öffnet sich eine E-Mail-Box. Wenn ein Global Admin kompromittiert wird, öffnet sich das gesamte Unternehmen.

Was zu tun ist:

• Dedizierte Admin-Accounts: Global Admin und Exchange Admin dürfen nicht Mailbox-Owner sein. Ein IT-Mitarbeiter bekommt zwei Accounts: einen normalen (E-Mail, Teams, OneDrive) und einen Admin-Account (nur für administrative Tasks, keine E-Mail-Nutzung).
• Max. 2 Global Admins: Microsoft empfiehlt mindestens 2 (Vier-Augen-Prinzip, Ausfallschutz), maximal 5. Alles darüber ist eine Audit-Finding.
• Privileged Identity Management (PIM): wenn Sie Entra ID P2 haben, aktivieren. Admin-Rollen sind dann nicht mehr permanent zugewiesen, sondern müssen für jede Session eskaliert werden – mit Begründung, optionaler Approval, Zeitlimit.
• Break-Glass-Account: ein Global Admin ausserhalb des MFA-Zwangs (als Backup bei MFA-Provider-Ausfall), abgesichert durch FIDO2-Hardware-Schlüssel, überwacht via Sign-in Alerts.

5. Audit-Logs aktivieren und aufbewahren

Wirkung: Post-Breach-Analyse möglich machen. Ohne aktivierte Audit-Logs wissen Sie im Ernstfall nicht, was ein Angreifer gemacht hat – welche Mails er gelesen, welche Dateien er heruntergeladen, welche Mailbox-Regeln er eingerichtet hat.

Was zu tun ist:

• Microsoft Purview → Audit → Audit-Log aktivieren (Standard: 90 Tage bzw. 180 Tage mit Standard-Lizenzen; 1 Jahr mit E5 Compliance).
• Mailbox Audit Logging aktivieren für alle Mailboxen – standardmässig für Mailboxen mit E3+ aktiv, aber prüfen.
• PowerShell-Audit: Aktivieren Sie Set-AdminAuditLogConfig -AdminAuditLogEnabled $true – Änderungen via Exchange Online PowerShell landen sonst nicht im Log.
• Alerting auf kritische Events: Inbox-Rule-Creation, Admin-Role-Assignment, MFA-Registration-Changes – entweder via Defender for Office 365 oder einfache Entra-Alerts.

Fallstricke: Ohne E5 Compliance verliert Ihr Tenant Audit-Events nach 90 Tagen. Für ein Incident, das erst in Monat 4 bemerkt wird, ist das Log weg. Ein SIEM mit externem Speicher (z.B. unser SOC) löst das Problem.

Secure Score als Wegweiser

Microsoft Defender → Secure Score zeigt Ihnen den aktuellen Härtungsgrad Ihres Tenants prozentual, mit konkreten Handlungsempfehlungen und deren relativem Beitrag. Ziel für einen ernsthaft gehärteten KMU-Tenant: Secure Score ≥ 65 %. Alles darunter ist primär historisch bedingt, nicht bewusst entschieden.

Jeder der fünf hier beschriebenen Schritte trägt signifikant zum Secure Score bei. Wer die fünf sauber umsetzt, landet typischerweise bei 50–55 % – das ist bereits deutlich über dem KMU-Durchschnitt.

Was dann noch kommt

Die fünf Hardening-Schritte sind nicht alles, aber sie sind das Fundament. Darauf bauen dann komplexere Konzepte auf:

• Conditional Access Baseline mit Device Compliance (Intune)
• Data Loss Prevention (DLP) für sensitive Daten
• Microsoft Defender for Office 365 Plan 1 oder 2 (wenn Budget vorhanden)
• External Sharing Policies für OneDrive und Sharepoint
• Information Rights Management für kritische Dokumente

Wer diese fünf Basics nicht hat, sollte keine fortgeschrittenen Controls kaufen – das wäre, als würde man Alarmanlagen einbauen, aber die Haustür offen lassen.

Fazit

Microsoft 365 ist aus dem Karton heraus nicht sicher – aber Microsoft gibt Ihnen alle Werkzeuge, es sicher zu machen. Die meisten dieser Werkzeuge sind in Business-Premium-Lizenzen enthalten, brauchen keine Zusatzkosten, nur informierte Entscheidungen.

Ein typischer Hardening-Workshop dauert bei uns einen halben Tag plus einen halben Tag Umsetzung. Danach sind die fünf Schritte oben umgesetzt, dokumentiert und für Compliance-Audits vorzeigbar. Wenn Sie das intern machen wollen: Die Microsoft-Dokumentation zu jedem der fünf Themen ist gut. Reservieren Sie sich einen ganzen Admin-Tag, und prüfen Sie jede Änderung in einem Test-User-Account, bevor Sie global aktivieren.