Microsoft 365 Security Baseline für KMU: Die wichtigsten Einstellungen

Microsoft 365 ist für die meisten mittelständischen Unternehmen heute die zentrale Arbeitsplattform: E-Mail, Dateien, Teams-Kommunikation und Identitäten liegen in einem einzigen Mandanten. Genau das macht den Tenant zum lohnenden Ziel. Die gute Nachricht ist, dass Microsoft viele wirksame Schutzmechanismen bereits mitliefert – sie sind nur nicht alle ab Werk aktiv oder optimal konfiguriert. In diesem Beitrag beschreiben wir die Security Baseline, die jeder M365-Mandant eines KMU haben sollte, und zwar in einer sinnvollen Reihenfolge für die Umsetzung. Es geht bewusst nicht um Klick-für-Klick-Anleitungen, sondern darum, dass Sie als IT-Leiter oder Geschäftsführer verstehen, was zu tun ist und warum.

Wichtig vorab: Die richtige Konfiguration hängt vom konkreten Mandanten, Ihren Lizenzen und Ihren Arbeitsabläufen ab. Die folgende Liste ist eine belastbare Grundlinie – kein Ersatz für eine strukturierte Bestandsaufnahme. Wo welche Lücke sitzt, zeigt am verlässlichsten ein geordneter IT-Security-Check.

Die Security Baseline in der richtigen Reihenfolge

1. Multi-Faktor-Authentifizierung (MFA) für alle Benutzer. MFA ist die wirksamste Einzelmaßnahme gegen Kontoübernahmen, weil ein gestohlenes Passwort allein nicht mehr ausreicht. Aktivieren Sie MFA für sämtliche Konten – und mit höchster Priorität für alle Administratoren, die ohne zweiten Faktor ein Vollzugriffsrisiko darstellen. Bevorzugen Sie App-basierte oder Passkey-Verfahren gegenüber SMS-Codes.
2. Legacy-Authentifizierung deaktivieren (Basic Auth blockieren). Alte Protokolle wie POP, IMAP oder SMTP-Basic-Auth können MFA umgehen und werden gezielt für Brute-Force- und Password-Spray-Angriffe missbraucht. Blockieren Sie diese veralteten Anmeldeverfahren konsequent – sonst läuft Ihre frisch aktivierte MFA an einer offenen Hintertür vorbei. Prüfen Sie vorab über die Anmeldeprotokolle, welche Anwendungen noch Legacy-Auth nutzen.
3. Conditional Access statt Security Defaults. Security Defaults sind ein guter Start für sehr kleine Umgebungen und erzwingen MFA pauschal. Sobald Sie aber differenzieren wollen – etwa MFA nur bei riskanten Anmeldungen, Zugriff nur aus bestimmten Ländern oder nur von Compliance-konformen Geräten – brauchen Sie Conditional Access. Damit steuern Sie Zugriff risikobasiert nach Standort, Gerätezustand und Anmelderisiko und vermeiden unnötige Reibung für die Belegschaft. Conditional Access setzt entsprechende Entra-ID-Lizenzen voraus.
4. Admin-Rollen-Hygiene. Reduzieren Sie die Zahl der Global Admins auf das absolute Minimum (Richtwert: zwei bis vier). Administratoren sollten getrennte Admin-Konten nutzen, die nicht für E-Mail oder das tägliche Arbeiten verwendet werden. Mit Privileged Identity Management (PIM) werden hohe Rechte nur zeitlich begrenzt und auf Anforderung aktiviert (Just-in-Time) – so liegt nicht dauerhaft eine große Angriffsfläche offen.
5. Microsoft Defender for Office 365. Aktivieren Sie Safe Links und Safe Attachments, damit Links und Anhänge zum Zeitpunkt des Klicks bzw. vor der Zustellung in einer sicheren Umgebung geprüft werden. Die Anti-Phishing-Richtlinien erkennen Identitätsfälschung und Spoofing, das gerade bei Geschäftsführungs- und Buchhaltungs-Konten teuer werden kann. Diese Funktionen schließen die Lücke, die klassische Spam-Filter offenlassen.
6. Geräteverwaltung mit Intune. Definieren Sie Compliance-Richtlinien, sodass nur sichere Geräte überhaupt auf Unternehmensdaten zugreifen. Dazu gehören erzwungene Festplattenverschlüsselung (BitLocker), aktuelle Betriebssystem-Updates und ein aktiver Endpoint-Schutz. In Kombination mit Conditional Access wird daraus eine durchgehende Kette: Nur ein verwaltetes, verschlüsseltes und gepatchtes Gerät erhält Zugriff.
7. Audit-Logging und Alerting aktivieren. Ohne Protokollierung können Sie einen Vorfall weder erkennen noch nachvollziehen. Stellen Sie sicher, dass das einheitliche Audit-Log aktiv ist und sinnvolle Warnungen für verdächtige Vorgänge (etwa neue Weiterleitungsregeln oder ungewöhnliche Anmeldungen) eingerichtet sind. Den Microsoft Secure Score nutzen Sie dabei als Fortschrittsmaß: Er bewertet Ihre Konfiguration und zeigt priorisierte nächste Schritte.
8. E-Mail-Authentifizierung: SPF, DKIM, DMARC. Diese drei DNS-Mechanismen stellen sicher, dass E-Mails in Ihrem Namen nicht beliebig gefälscht werden können. SPF legt fest, welche Server für Ihre Domain senden dürfen, DKIM signiert die Nachrichten kryptografisch, und DMARC sagt empfangenden Servern, wie mit nicht authentifizierten Mails umzugehen ist. Richtig gesetzt schützt das Ihre Marke und verbessert nebenbei die Zustellbarkeit.
9. Separates Backup einplanen. Ein häufiges und gefährliches Missverständnis: Microsoft 365 sichert Ihre Inhalte nicht automatisch im Sinne eines Backups. Microsoft betreibt die Plattform hochverfügbar, aber für Ihre Daten gilt das Modell der geteilten Verantwortung (Shared Responsibility) – gegen versehentliches Löschen, Ransomware oder böswillige Innentäter brauchen Sie eine eigene, unabhängige Sicherung. Ohne separates Backup riskieren Sie nach Ablauf der kurzen Aufbewahrungsfristen einen endgültigen Datenverlust.

Warum die Reihenfolge zählt

Die obige Reihenfolge ist kein Zufall. MFA und das Blockieren von Legacy-Auth bilden das Fundament: Sie schließen die Tür, durch die die meisten Angriffe tatsächlich gelingen. Erst danach lohnt der Feinschliff mit Conditional Access und PIM, weil diese Maßnahmen auf einer sauberen Identitätsbasis aufbauen. Defender und Intune erweitern den Schutz auf E-Mail-Inhalte und Endgeräte, während Logging, E-Mail-Authentifizierung und Backup sicherstellen, dass Sie Vorfälle erkennen, Missbrauch Ihrer Domain verhindern und im Ernstfall wiederherstellen können. Wer in dieser Logik vorgeht, erreicht mit überschaubarem Aufwand schnell ein deutlich höheres Schutzniveau – ganz ohne große Einmalprojekte.

Typische Stolpersteine im Mittelstand

In der Praxis sehen wir immer wieder dieselben Muster: MFA ist aktiviert, aber einige Dienstkonten oder ein altes Multifunktionsgerät nutzen weiterhin Basic Auth. Security Defaults und einzelne Conditional-Access-Regeln existieren parallel und widersprechen sich. Es gibt fünf oder mehr Global Admins, teils mit Postfach. Und das Backup fehlt vollständig, weil man Microsofts Verfügbarkeit mit Datensicherung verwechselt. Solche Lücken fallen im Tagesgeschäft nicht auf – bis es zu spät ist. Genau deshalb ist eine externe, strukturierte Prüfung wertvoll: Sie deckt die blinden Flecken auf, die intern niemand bemerkt.

Viele dieser Bausteine greifen über mehrere unserer Leistungsbereiche ineinander. Die Identitäts- und Cloud-Themen rund um Entra ID und Intune ordnen wir unserem Bereich Microsoft 365 & Cloud zu, während Defender, EDR und das laufende Monitoring zur Managed Security gehören. Das oft vergessene Thema Datensicherung adressieren wir gesondert über unser Backup-Angebot – damit Ihre M365-Daten auch dann verfügbar sind, wenn etwas schiefgeht.

Wie Sie jetzt am besten vorgehen

Eine Baseline lässt sich nicht aus einer Checkliste abschreiben, weil jeder Mandant anders gewachsen ist. Lizenzumfang, vorhandene Geräte, Alt-Anwendungen und interne Abläufe entscheiden darüber, welche Einstellung in Ihrem Fall die richtige ist und in welcher Reihenfolge sie umgesetzt werden sollte. Der sichere Weg ist deshalb, zuerst den Ist-Zustand sauber zu erheben und dann gezielt die größten Risiken zuerst zu schließen – statt blind alle Schalter umzulegen und im laufenden Betrieb Störungen zu verursachen.

Genau dafür bieten wir einen strukturierten IT-Security-Check an: Wir bewerten Ihren Microsoft-365-Mandanten anhand dieser Baseline, ordnen die Befunde nach Risiko und priorisieren konkrete, machbare Maßnahmen – mit einem festen Ansprechpartner und ehrlicher Einschätzung statt Produktverkauf. Mehr zu unserem Ansatz finden Sie unter Managed Security; für ein erstes, unverbindliches Gespräch erreichen Sie uns über unsere Kontakt-Seite. Wir freuen uns darauf, gemeinsam mit Ihnen herauszufinden, wo Ihr Tenant heute steht und welche drei Schritte den größten Sicherheitsgewinn bringen.