Microsoft 365 Security Hardening: Best Practices für KMU

Microsoft 365 ist für die meisten deutschen KMU die produktivste Angriffsoberfläche, die sie besitzen. E-Mail, Teams, SharePoint, OneDrive, Azure AD - alles in einem Tenant, alles aus dem Internet erreichbar, alles mit denselben Anmeldedaten. Ein kompromittiertes M365-Konto ist oft der Ausgangspunkt für CEO-Fraud, Datenexfiltration und Ransomware.

Die gute Nachricht: Microsoft 365 Business Premium (ca. EUR 20/Nutzer/Monat) enthält nahezu alle Security-Tools die ein KMU benötigt - sie müssen nur konfiguriert werden.

Microsoft 365 Security Score

Startpunkt für jedes Härtungsprojekt ist der Microsoft Secure Score unter security.microsoft.com → Secure Score. Er berechnet Punkte für aktivierte Sicherheitskontrollen. Das Ziel: über 60% - der Branchen-Durchschnitt liegt bei ca. 35-40%.

Die wichtigsten Maßnahmen nach Score-Gewichtung:

1. MFA für alle Nutzer erzwingen (+15 Punkte)

Entra ID → Security defaults aktivieren - oder besser: eine Conditional Access Policy mit MFA-Pflicht einrichten.

2. Legacy-Authentifizierung blockieren (+10 Punkte)

Protokolle wie POP3, IMAP und SMTP AUTH ohne Modern Authentication unterstützen kein MFA. Eine Conditional Access Policy “Block legacy auth” schließt diesen Angriffspfad.

3. Privilegierte Konten: kein normaler Account-Zugang (+8 Punkte)

Separate Global-Admin-Konten einrichten, die nicht für die tägliche Arbeit genutzt werden. Privileged Identity Management (PIM) aktivieren.

4. Self-Service Password Reset (+5 Punkte)

SSPR mit Authenticator-App und E-Mail als Methoden aktivieren.

Conditional Access: Das Herzstück der M365-Sicherheit

Conditional Access Policies (CA) sind die zentrale Schaltstelle für M365-Sicherheit. Die Reihenfolge der Einführung ist wichtig - jede Stufe baut auf der vorherigen auf.

1. Basisschutz: MFA für alle Nutzer

• Bedingung: Alle Nutzer, Alle Cloud-Apps
• Aktion: MFA anfordern
• Ausnahme: Emergency-Access-Konto (Breakglass-Account - zwingend erforderlich)

2. Legacy-Auth blockieren

• Bedingung: Alle Nutzer, Auth-Flow: Legacy auth clients
• Aktion: Zugriff blockieren

3. Risikobasierte Anmeldung (erfordert Azure AD P2 / M365 Business Premium)

• Bedingung: User Risk Medium/High oder Sign-in Risk Medium/High
• Aktion: MFA und Passwort-Änderung erzwingen

4. Nicht-konforme Geräte blockieren (empfohlen)

• Bedingung: Alle Nutzer, Gerät nicht konform (kein Intune-Enrollment)
• Aktion: Zugriff blockieren oder nur lesenden Zugriff erlauben
• Hinweis: Intune-Enrollment zuerst sicherstellen - sonst sind alle Nutzer ausgesperrt

5. Admin-Konten: nur von konformen Geräten

• Bedingung: Globale Admins
• Aktion: Konformes Gerät als Pflicht

Notfall-Konto (“Break Glass”): Zwei Emergency-Admin-Konten anlegen (emergency-admin-1@firma.onmicrosoft.com), auf die keine Conditional-Access-Richtlinien angewendet werden. Das Passwort kommt auf Papier in den Tresor (Zwei-Mann-Prinzip). Monatlich überprüfen: Anmelde-Logs auf diese Konten müssen leer bleiben.

Exchange Online Protection und Defender for Office 365

Anti-Phishing

In Defender for Office 365 Plan 1 (in M365 Business Premium enthalten) wird Impersonationsschutz für CEO, CFO und weitere Führungskräfte konfiguriert. Domain-Impersonation schützt eigene Domains und ähnliche Domains. Mailbox Intelligence analysiert das normale Schreibverhalten und erkennt Abweichungen.

Konfiguration: security.microsoft.com → Email & Collaboration → Policies → Anti-phishing

Anti-Malware

Zero-Hour Auto Purge (ZAP) entfernt nachträglich bereits zugestellte Malware aus Postfächern. Safe Attachments (Defender P1) führt alle Anhänge in einer isolierten Sandbox aus, bevor sie zugestellt werden.

Safe Links

URLs werden bei jedem Klick gegen die Microsoft-Bedrohungsdatenbank geprüft - selbst wenn ein Link nach der Zustellung als schädlich eingestuft wird, wird er beim nächsten Klick blockiert. Safe Links sollte auch für Microsoft Teams aktiviert werden.

DKIM und DMARC

# DKIM aktivieren:
# Security.microsoft.com → Email auth settings → DKIM → Key aktivieren

# DMARC DNS TXT Record setzen:
_dmarc.firma.de → "v=DMARC1; p=quarantine; rua=mailto:dmarc@firma.de"

Datenverlust verhindern (DLP)

Microsoft Purview DLP erkennt und blockiert den unautorisierten Abfluss sensibler Daten. Die wichtigsten Policies für KMU:

1. Kreditkartendaten nicht per Mail versenden

• Trigger: E-Mail mit erkannter Kreditkartennummer (Regex-Erkennung)
• Aktion: Blockieren, Nutzer informieren, Compliance-Log

2. Personalausweis / Reisepass nicht nach extern

• Trigger: Dokument mit deutschen Ausweisdaten außerhalb der Domain
• Aktion: Blockieren und Manager-Benachrichtigung

3. NDA-markierte Dokumente nicht nach extern

• Trigger: Dokument mit Klassifizierung “Vertraulich” oder “Restricted”
• Aktion: Warnung anzeigen (nicht hart blockieren - Fehlalarme vermeiden)

4. Massendownload aus SharePoint

• Trigger: mehr als 50 Dateien-Downloads in kurzer Zeit
• Aktion: Alert an das Security Team (Insider-Threat-Indikator)

Konfiguration: compliance.microsoft.com → Data loss prevention → Policies

Azure AD / Entra ID Härtung

Passwort-Richtlinie

Entra ID sperrt schwache Passwörter wie “Firma123” oder “Sommer2024” über die Global Banned Passwords Liste bereits automatisch. Die empfohlene Mindestlänge nach NIST 800-63B beträgt 14 Zeichen.

Passwort-Ablauf sollte deaktiviert werden - das klingt kontraintuitiv, ist aber NIST-Empfehlung: Ablaufzwang führt zu schwachen, vorhersehbaren Mustern wie “Sommer2024!” → “Winter2024!”. Self-Service Password Reset (SSPR) sollte aktiv sein und die Registrierung erzwingen.

Application Permissions (OAuth-Apps)

User Consent sollte auf “Allow user consent for apps from verified publishers” beschränkt werden - Nutzer dürfen keine beliebigen Drittanbieter-Apps eigenständig mit dem Tenant verbinden. Admin Consent stellt sicher, dass das Security-Team alle neuen App-Integrationen freigibt. Alle App-Berechtigungen sollten monatlich überprüft werden.

Konfiguration: Entra ID → Enterprise Applications → User settings

Service Principals

Alle Service Principals mit Client Secret benötigen eine Secret-Rotation alle 90 Tage. Wo möglich, sollten Managed Identities bevorzugt werden - diese brauchen kein Passwort. Neue Service Principals mit hohen Berechtigungen sollten einen sofortigen Alert auslösen.

Microsoft Intune: Geräteverwaltung

Intune Device Compliance Policies bilden die technische Grundlage für Conditional Access. Nur Geräte, die die Compliance-Anforderungen erfüllen, erhalten Zugriff.

Windows Compliance Policy:

• BitLocker aktiviert
• Antivirus aktiv und aktuell (Microsoft Defender)
• OS-Version mindestens Windows 11 22H2
• Firewall aktiviert
• TPM vorhanden

macOS Compliance Policy:

• FileVault (Disk Encryption) aktiviert
• Gatekeeper aktiviert
• Minimale OS-Version konfiguriert

Mobile (iOS/Android):

• PIN/Passcode erzwingen
• Jailbreak/Root-Geräte blockieren
• App Protection Policies für Outlook und Teams

Wichtig beim Rollout: “Non-compliant devices” zunächst nur mit “Warnung” behandeln, nicht sofort blockieren. Zwei Wochen Meldephase einräumen - dann erst blockieren. Andernfalls sperren sich Nutzer mit Altgeräten selbst aus.

Checkliste: M365 Security Quick Wins

30-Minuten-Härtung (sofort umsetzbar)

• Security Defaults aktivieren (falls noch kein Conditional Access vorhanden): Entra ID → Properties → Security defaults
• Globale Admin-Konten zählen: Ziel unter 5, nur bei Bedarf nutzen
• Inaktive Nutzer-Konten deaktivieren (kein Login seit über 90 Tagen): Reports → Microsoft Entra ID → Sign-in logs → Filter anwenden
• Externe E-Mail-Weiterleitung blockieren: Exchange Admin → Mail flow rules → Block external forwarding
• Audit-Log aktivieren (falls noch nicht aktiv): compliance.microsoft.com → Audit → Start recording user activity
• App-Passwort-Verwendung prüfen und deaktivieren: Entra ID → Authentication methods → Settings

Wochen-Aufgaben

• Conditional Access: MFA-Pflicht und Legacy-Auth-Block einrichten
• Defender-Alerting konfigurieren (mindestens: E-Mail-Alert bei Impossible Travel)
• DKIM und DMARC für die eigene Domain aktivieren
• Secure Score-Aufgaben abarbeiten: Top-5 nach Punktgewicht

M365 Security ist kein Einmal-Projekt, sondern ein kontinuierlicher Prozess. Der Microsoft Secure Score dient als Dashboard - er zeigt Schritt für Schritt, wo die nächsten Verbesserungen sinnvoll sind. AWARE7 unterstützt bei M365-Sicherheitsaudits, Conditional Access Konfiguration und der Umsetzung von Datenschutzanforderungen in M365-Umgebungen.