IT-Security
Microsoft 365 sicher einrichten: die 7 wichtigsten Einstellungen
Der Fehler steckt selten in Microsoft 365 selbst
Ein Architekturbüro in Schaffhausen ruft an: Ein Mitarbeiter hat auf einer täuschend echten Login-Seite sein Passwort eingegeben. Zwei Tage später verschickte sein Konto Rechnungen mit geänderter Bankverbindung an die halbe Kundenkartei. Der Schaden lag im fünfstelligen Bereich.
Das Ärgerliche daran: Microsoft 365 hätte das verhindern können. Die passende Einstellung war vorhanden. Sie war nur nie aktiviert worden.
So läuft es fast immer. Microsoft 365 ist ab Werk auf «funktioniert sofort» getrimmt, nicht auf «ist sicher». Wer eine Lizenz kauft, bekommt ein System, das für den bequemen Start optimiert ist. Die Schutzfunktionen liegen bereit, aber der erste Klick nach dem Kauf schaltet sie nicht ein. Das ist Ihre Aufgabe, oder die Ihres IT-Partners.
Sieben Einstellungen machen den grössten Unterschied. Keine davon kostet extra, wenn Sie schon eine Business-Lizenz haben. Die meisten sind in einer halben Stunde erledigt.
1. Mehrstufige Anmeldung für alle, ohne Ausnahme
Die Multi-Faktor-Anmeldung, kurz MFA, ist die einzige Massnahme auf dieser Liste, die ich als nicht verhandelbar bezeichne. Ein gestohlenes Passwort allein reicht dann nicht mehr, um ins Konto zu kommen. Es braucht zusätzlich die Bestätigung auf dem Handy.
Microsoft schaltet für neuere Konten inzwischen einen Basisschutz automatisch ein. Verlassen Sie sich nicht darauf. Prüfen Sie aktiv, ob wirklich jedes Konto MFA nutzt, auch der Geschäftsführer, auch das gemeinsame «info@»-Postfach, auch der Praktikant.
Nutzen Sie die Authenticator-App, nicht die SMS. SMS-Codes lassen sich abfangen, die App ist sicherer und erst noch schneller. Der Aufwand für die Umstellung: einmalig zehn Minuten pro Person.
2. Nur von dort anmelden, wo es Sinn ergibt
Conditional Access, auf Deutsch die bedingte Zugriffssteuerung, klingt kompliziert, ist aber ein simpler Gedanke. Sie legen Regeln fest, unter welchen Umständen eine Anmeldung erlaubt ist.
Die nützlichste Regel für ein Schweizer KMU: Sperren Sie Anmeldungen aus Ländern, in denen Sie schlicht keine Mitarbeitenden haben. Ein Treuhandbüro mit acht Leuten in der Region hat keinen Grund, Logins aus Übersee zuzulassen. Diese eine Regel blockt einen Grossteil der automatisierten Angriffe, bevor sie überhaupt beim Passwort ankommen.
Achtung: Diese Funktion braucht meist die Lizenz Business Premium oder höher. Mit einer reinen Business-Standard-Lizenz steht sie nicht zur Verfügung. Für die meisten KMU ist der Aufpreis auf Premium das Geld wert, allein wegen dieser Funktion.
3. Externe Freigaben festziehen, bevor etwas hinausrutscht
In Teams und SharePoint lassen sich Dateien mit ein paar Klicks nach aussen teilen. Praktisch, bis jemand versehentlich einen ganzen Ordner mit Lohndaten über einen offenen Link freigibt, den danach jeder mit der Adresse öffnen kann.
Stellen Sie externe Freigaben so ein, dass Links nur für benannte Personen gelten, nicht für «jeden mit dem Link». Und setzen Sie ein Ablaufdatum, damit alte Freigaben nicht ewig offen bleiben. Wer nie extern teilt, schaltet die Funktion ganz ab. Das ist in fünf Minuten geregelt und verhindert die peinlichste Art von Datenleck.
4. Wissen, wo Ihre Daten liegen
Viele Kunden fragen uns, ob ihre Daten in Microsoft 365 in der Schweiz bleiben. Die ehrliche Antwort: Es kommt darauf an, und Sie sollten es nachschauen, statt zu raten.
Microsoft betreibt seit einigen Jahren Rechenzentren in Zürich und Genf. Für neu eingerichtete Konten mit Schweizer Firmensitz landen die Kerndaten aus Exchange, SharePoint und Teams in der Regel dort. Prüfen Sie im Admin-Center unter den Datenspeicherorten, was für Ihren Mandanten hinterlegt ist. Für ein Treuhand- oder Anwaltsbüro mit Berufsgeheimnis ist das kein Detail, sondern eine Pflicht gegenüber den Klienten.
5. Weiterleitungsregeln im Blick behalten
Ein Trick, den Angreifer nach einem Kontoeinbruch fast immer nutzen: Sie richten heimlich eine Regel ein, die alle eingehenden Mails an eine fremde Adresse weiterleitet oder direkt in den gelöschten Ordner verschiebt. So lesen sie mit, ohne dass das Opfer etwas merkt, und fangen genau die Rechnung ab, bei der sich das Umbiegen der Bankverbindung lohnt.
Schalten Sie die automatische Weiterleitung nach aussen für die ganze Firma ab. Wer sie ausnahmsweise braucht, bekommt eine gezielte Ausnahme. Prüfen Sie zusätzlich hin und wieder, ob in einzelnen Postfächern verdächtige Regeln aufgetaucht sind. Das ist oft das erste sichtbare Zeichen, dass ein Konto gekapert wurde.
6. Alte und ungenutzte Konten aufräumen
Jedes Konto, das niemand mehr braucht, ist eine offene Tür. Der Praktikant vom letzten Sommer, die Kollegin, die im Frühling gekündigt hat, das Test-Konto von der Einführung. Solange diese Konten aktiv sind und womöglich ein schwaches Passwort tragen, sind sie ein Einfallstor.
Machen Sie es sich zur Regel: Wer die Firma verlässt, dessen Konto wird am letzten Arbeitstag gesperrt, nicht «irgendwann». Und einmal im Jahr, etwa in der ruhigen Woche zwischen den Jahren, geht jemand die Kontenliste durch und deaktiviert, was niemand mehr braucht.
7. Die Alarmglocke einschalten
Microsoft 365 kann Sie warnen, wenn etwas Ungewöhnliches passiert: eine Anmeldung aus einem fremden Land, plötzlicher Massenversand aus einem Postfach, ein neu vergebenes Administratorenrecht. Diese Warnungen sind vorhanden, aber sie nützen nur, wenn sie bei einer echten Person landen, die reagiert.
Legen Sie fest, an welche Adresse Sicherheitsmeldungen gehen, und sorgen Sie dafür, dass jemand sie liest. Ein Alarm, den niemand sieht, ist kein Alarm. Gerade kleine Firmen ohne eigene IT lagern diesen Teil sinnvollerweise an einen Partner aus, der die Meldungen im Blick behält.
Ehrlich gesagt: das meiste davon macht man einmal
Der grösste Irrtum ist der Gedanke, Sicherheit in Microsoft 365 sei ein Dauerprojekt. Ist sie nicht. Sechs der sieben Punkte richten Sie einmal sauber ein, danach laufen sie. Nur das Aufräumen der Konten und der Blick auf die Alarme brauchen ab und zu Aufmerksamkeit.
Wenn Sie unsicher sind, ob Ihr Mandant richtig eingestellt ist, machen wir einen Durchgang mit Ihnen. Eine Stunde, die sich in aller Regel bezahlt macht, bevor der Ernstfall die Rechnung schreibt.
Checkliste: Microsoft 365 absichern
- MFA für alle Konten aktiv, per Authenticator-App statt SMS
- Anmeldungen aus Ländern ohne Mitarbeitende gesperrt (bedingter Zugriff, Business Premium)
- Externe Freigaben auf benannte Personen begrenzt, mit Ablaufdatum
- Datenspeicherort im Admin-Center geprüft und dokumentiert
- Automatische Weiterleitung nach aussen firmenweit abgeschaltet
- Konten ausgetretener Mitarbeitender am letzten Arbeitstag gesperrt
- Sicherheitswarnungen gehen an eine Adresse, die jemand tatsächlich liest
Brauchen Sie Unterstützung?
Wir schauen uns Ihre Situation unverbindlich an und sagen Ihnen ehrlich, was sich lohnt.
Kontakt aufnehmenSolche Tipps direkt ins Postfach?
Praxisnahes IT-Wissen für KMU — kein Spam, jederzeit abmeldbar.
Newsletter
Bleiben Sie informiert über die neuesten IT-Trends und unsere Services