GLUECKSGRIFF Logo
Praxisleitfaden

Microsoft 365 sicher konfigurieren: 9 Sofortmaßnahmen für kleine Unternehmen

4. April 2026 ca. 7 Min. Lesezeit Fokus: KMU

Viele Sicherheitsvorfälle in kleinen Unternehmen beginnen nicht mit hochkomplexen Angriffen, sondern mit schwachen Standard-Einstellungen: zu offene Freigaben, fehlende Mehrfaktor-Authentifizierung, zu viele Admin-Rechte oder nicht überwachte Anmeldungen. Die gute Nachricht: Gerade in Microsoft 365 lassen sich mit wenigen, sauber priorisierten Schritten schnell deutliche Verbesserungen erreichen.

Beratung anfragen Zum Blog
Die 9 Maßnahmen

Womit Sie am besten sofort anfangen

  • MFA für alle Konten, zuerst für Admins und E-Mail
  • Legacy-Authentifizierung und alte Protokolle abschalten
  • Administrative Konten sauber trennen
  • Conditional Access und Anmelderisiken nutzen
  • Exchange Online gegen Phishing härten
  • Freigaben in SharePoint und OneDrive begrenzen
  • Geräte absichern und Mindeststandards erzwingen
  • Backup, Aufbewahrung und Wiederherstellung prüfen
  • Protokollierung, Alarmierung und Notfallablauf festlegen
Sicherheits-Basics mit hohem Hebel

Warum Microsoft 365 in KMU oft unnötig offen bleibt

Microsoft 365 ist für viele kleine Unternehmen die zentrale Arbeitsplattform: E-Mail, Teams, Dateien, Identitäten, mobile Geräte und oft auch erste Automatisierungen. Genau deshalb lohnt sich eine saubere Grundkonfiguration besonders. Wer die wichtigsten Stellschrauben kennt, reduziert Angriffsfläche, Fehlkonfigurationen und Alltagsrisiken deutlich – ohne gleich ein Großprojekt daraus zu machen.

Entscheidend ist die Reihenfolge: erst die Maßnahmen mit hoher Schutzwirkung und überschaubarem Aufwand, danach Feintuning. Die folgenden neun Punkte sind genau so aufgebaut.

1. Mehrfaktor-Authentifizierung konsequent aktivieren

Wenn es nur eine einzelne Sofortmaßnahme geben dürfte, wäre es diese. MFA schützt Konten selbst dann noch, wenn ein Passwort bereits bekannt ist. Besonders kritisch sind Admin-Konten, Postfächer der Geschäftsführung, Buchhaltung, Vertrieb und gemeinsam genutzte Funktionspostfächer.

Pragmatischer Start für KMU: zuerst alle administrativen Rollen absichern, dann alle regulären Benutzerkonten. Wichtig ist dabei, keine Ausnahmen „nur vorübergehend“ offen zu lassen. Genau diese Ausnahmen bleiben später oft dauerhaft bestehen.

2. Alte Authentifizierungsmethoden und unnötige Protokolle deaktivieren

Viele erfolgreiche Angriffe auf Microsoft-365-Umgebungen laufen nicht über moderne Login-Dialoge, sondern über ältere Protokolle ohne MFA-Unterstützung. POP, IMAP oder SMTP AUTH werden in kleinen Unternehmen oft aus Gewohnheit weiterbetrieben, obwohl sie längst nicht mehr nötig sind.

Prüfen Sie deshalb, welche Altlasten tatsächlich noch verwendet werden. Wenn ein altes Multifunktionsgerät oder eine Anwendung nicht modern angebunden ist, sollte das nicht die gesamte Sicherheitslinie bestimmen. Lieber gezielt modernisieren als breit offen lassen.

3. Administrative Konten vom Tagesgeschäft trennen

Ein häufiger Fehler in KMU: dieselbe Identität wird für Outlook, Teams, Webzugriffe und gleichzeitig für administrative Aufgaben genutzt. Damit erhöht sich das Risiko massiv, weil eine erfolgreiche Kompromittierung sofort auch privilegierte Zugriffe betrifft.

Besser ist ein einfaches Modell mit getrennten Rollen: ein normales Benutzerkonto für die tägliche Arbeit und ein separates Admin-Konto nur für Administrationsaufgaben. Je weniger privilegierte Konten im Alltag verwendet werden, desto besser.

4. Zugriffe mit Conditional Access absichern

Schon mit wenigen Regeln lässt sich der Zugang deutlich besser kontrollieren: Anmeldungen nur mit MFA, Blockierung veralteter Clients, Einschränkungen für riskante Länder oder Schutz für besonders sensible Anwendungen. Nicht jede Funktion steht in jedem Lizenzmodell zur Verfügung – aber selbst eine kleine, gezielte Policy-Auswahl bringt oft viel.

Für kleine Unternehmen gilt: lieber zwei oder drei verständliche Regeln sauber betreiben als zehn komplexe Richtlinien, die niemand mehr überblickt. Gute Policies sind dokumentiert, getestet und nachvollziehbar.

5. Exchange Online gegen Phishing härten

E-Mail bleibt das wichtigste Einfallstor. Deshalb lohnt sich eine saubere Basishärtung in Exchange Online besonders. Dazu gehören unter anderem SPF, DKIM und idealerweise ein sinnvoll aufgebautes DMARC-Konzept, Schutzmechanismen gegen Identitätsmissbrauch sowie klare Markierungen für externe Absender.

Ebenso wichtig: Mitarbeitende sollten verdächtige Nachrichten leicht melden können, und es sollte klar sein, wer intern reagiert. Technik allein reicht nicht – aber ohne saubere Mail-Basis arbeiten Teams permanent gegen unnötige Risiken an.

6. Freigaben in SharePoint und OneDrive begrenzen

Zu offene Datei-Freigaben sind in Microsoft 365 ein klassischer Schwachpunkt. Offene Gastlinks, anonyme Freigaben oder unklare Besitzerrechte sorgen dafür, dass vertrauliche Daten schnell in falsche Hände geraten – oft ganz ohne böse Absicht.

Sinnvolle Sofortmaßnahmen sind: Standardfreigaben enger setzen, Gastzugriffe bewusst steuern, anonyme Links nur dann erlauben, wenn sie wirklich benötigt werden, und regelmäßig prüfen, wer auf besonders sensible Bereiche zugreifen darf. Gerade für Geschäftsführung, HR und Buchhaltung sollte es klar abgegrenzte Bereiche geben.

7. Geräte absichern und Mindeststandards festlegen

Microsoft 365 ist nur so sicher wie die Endgeräte, die darauf zugreifen. Ein unverschlüsseltes Notebook, ein privates Smartphone ohne Sperrcode oder ein Windows-System ohne Updates hebeln viele gute Cloud-Einstellungen schnell wieder aus.

Kleine Unternehmen brauchen dafür keine perfekte Enterprise-Struktur. Schon einfache Standards helfen: aktuelle Updates, Gerätesperre, Festplattenverschlüsselung, Malware-Schutz und klare Regeln für private versus verwaltete Geräte. Wenn Intune oder vergleichbare Verwaltung genutzt wird, sollten diese Mindestanforderungen verbindlich gemacht werden.

8. Backup ist nicht gleich Papierkorb: Wiederherstellung realistisch absichern

Viele Teams verlassen sich auf Aufbewahrungsfristen, Versionierung oder den Papierkorb und nennen das „Backup“. Das greift zu kurz. Für versehentliche Löschung reicht das manchmal, für Ransomware, böswillige Änderungen oder länger unbemerkte Manipulationen oft nicht.

Prüfen Sie deshalb bewusst, welche Daten und Postfächer wirklich wiederherstellbar sein müssen, wie lange die Aufbewahrung reichen soll und wie ein Restore praktisch durchgeführt wird. Ein Backup ist nur dann belastbar, wenn Wiederherstellung regelmäßig getestet wird.

9. Protokollierung, Alarme und Notfallablauf definieren

Viele kleine Unternehmen merken einen Vorfall erst dann, wenn bereits Schaden entstanden ist. Deshalb sollten mindestens die wichtigsten Signale überwacht werden: ungewöhnliche Anmeldungen, neue Weiterleitungsregeln, auffällige Admin-Aktionen oder Massenänderungen an Dateien.

Ebenso wichtig ist ein einfacher Notfallablauf: Wer sperrt Konten? Wer prüft E-Mail-Regeln? Wer informiert die Geschäftsführung? Wer dokumentiert den Vorfall? Ein kurzer, klarer Ablaufplan ist im Ernstfall wertvoller als ein langes PDF, das niemand findet.

Wichtiger Praxispunkt: Nicht jede Sicherheitsfunktion ist in jedem Microsoft-365-Paket enthalten. Für KMU ist deshalb weniger entscheidend, möglichst viele Features zu aktivieren, sondern die vorhandenen Möglichkeiten sauber und konsequent zu nutzen – und Lizenz-Upgrades nur dort zu wählen, wo der Mehrwert wirklich entsteht.

Fazit: zuerst die Angriffsfläche verkleinern, dann verfeinern

Wer Microsoft 365 sicherer machen will, muss nicht mit einem Mammutprojekt starten. In vielen kleinen Unternehmen reichen schon wenige, klar priorisierte Schritte, um das Risiko deutlich zu senken: MFA, weniger Admin-Rechte, bessere Mail-Sicherheit, kontrollierte Freigaben, saubere Gerätebasis und ein realistischer Notfallablauf.

Wenn diese Grundlagen stehen, lassen sich weitere Maßnahmen deutlich strukturierter angehen – etwa ein umfassenderer Cyber-Risiko-Check, dokumentierte Verantwortlichkeiten oder die Vorbereitung auf höhere Sicherheitsstandards.

Microsoft-365-Setup prüfen lassen Mehr zur Cybersecurity-Beratung