Alexandra - stock.adobe.com
Microsoft 365: In vier Schritten zur Cyberresilienz
In vielen Unternehmen beherbergt Microsoft 365 ein Gutteil der sensiblen Cloud-Daten. Angesichts dessen und der Risiken herrscht in Sachen Cyberresilienz vielerorts Nachholbedarf.
Microsoft 365 hat sich längst von einer Produktivitäts-Suite zum zentralen Bestandteil zahlreicher Unternehmens-Infrastrukturen entwickelt – und damit zu einem bevorzugten Ziel für Cyberkriminelle: Ein durchschnittlicher M365-Tenant enthält 58 Prozent der sensiblen Cloud-Daten eines Unternehmens. Zudem werden hier die Konten verwaltet, die unternehmensweit über die höchsten Privilegien verfügen.
Ohne einen klaren Abwehrplan können sich Angreifer lateral ausbreiten, ihre Berechtigungen ausweiten und Daten entwenden, bevor sie überhaupt entdeckt werden. Ein typischer Angriff auf M365 beginnt selten mit einem spektakulären Hack. Er beginnt meist alltäglich: Eine Phishing-E-Mail rutscht durch, ein Benutzer meldet sich auf einer gefälschten Seite an und Angreifer verwenden diese Credentials, um sich beim Tenant anzumelden. Von dort aus erweitern sie ihre Berechtigungen, missbrauchen den Zugriff auf OAuth-Apps oder bestehende Administratorrollen, bewegen sich lateral durch Postfächer und SharePoint/OneDrive und bauen eine dauerhafte Präsenz auf. So können sie auch nach einem Passwort-Reset zurückkehren.
In Unternehmen mit unzureichender M365-Sicherheitsstrategie fällt dieser Ablauf nicht auf, bis die Auswirkungen offensichtlich werden. In einer resilienten Umgebung hingegen lösen dieselben Aktionen Warnungen und Eindämmungsmaßnahmen aus, das Ausmaß der Attacke wird rasch erkannt und unerwünschte Änderungen an den Tenant-Konfigurationen werden rückgängig gemacht. Deshalb sollte es oberste Priorität für Sicherheitsverantwortliche haben, ihre Tenants effektiv zu härten.
Schritt 1: Die Grundlagen schaffen
In einem ersten Schritt wird das Risiko einer erfolgreichen Kompromittierung des Tenants nachhaltig reduziert. Hierbei sind Nutzerzugriff, E-Mail-Filter und Backups von zentraler Bedeutung.
- Grundlegende Cyberhygiene: Dieser Aspekt ist so alt wie die Cybersicherheit, wird aber erschreckenderweise immer noch nicht flächendeckend umgesetzt. Im Vordergrund steht dabei das Identitäts- und Zugriffsmanagement: Passwortrichtlinien, eine obligatorische Multifaktor-Authentifizierung (MFA) und die Durchsetzung des Least-Privilege-Ansatzes reduzieren schnell und deutlich das Cyberrisiko.
- E-Mail-Filterung: Laut CrowdStrike sind E-Mails nach wie vor das häufigste Einfallstor für Sicherheitsverletzungen. Deshalb ist die E-Mail-Filterung als grundlegende Sicherheitsmaßnahme ein absolutes Muss. Die Kontrolle der Berechtigungen für E-Mail-Postfächer ist eine Grundvoraussetzung für die Cyberresilienz von M365-Tenants und von entscheidender Bedeutung für die Einhaltung gesetzlicher Vorschriften. Dies ist besonders bei personellen Veränderungen wichtig, wie beispielsweise bei der Einarbeitung neuer Mitarbeitender, bei Rollenwechseln und beim Ausscheiden von Mitarbeitenden.
- Datensicherung: 96 Prozent der Unternehmen sichern gemäß dem State of M365 Security 2025-Report ihre Daten (oder planen dies in Kürze). Das Thema Daten-Backup ist somit glücklicherweise zum Standard geworden. Aber Datensicherung ist nur eine Seite der Medaille, denn ohne verlässliches Konfigurationen-Backup gibt es keinen funktionsfähigen Tenant, in dem die Daten wiederhergestellt werden können.
Schritt 2: Die Konfigurationen schützen
Im zweiten Schritt geht es darum, die Auswirkungen einer Kompromittierung des Tenants möglichst gering zu halten. Dabei spielen die Konfigurationen eine Schlüsselrolle. Jeder zweite IT-Verantwortliche geht fälschlicherweise davon aus, dass Microsoft oder andere Backup-Anbieter auch sämtliche Microsoft-365-Tenant Konfigurationen sichern.
- Die Konfigurationen sichern: Ein durchschnittlicher Tenant umfasst zehntausende Einstellungen. Wird er nun kompromittiert, etwa durch Verschlüsselung oder manipulierte beziehungsweise gelöschte Konfigurationen, gestaltet sich der Wiederaufbau entsprechend aufwendig. Dieser manuelle Prozess ist nicht nur zeitintensiv, sondern auch fehleranfällig. Durch ein Backup der Konfigurationen kann der Tenant jedoch schnell wieder in den gewünschten Zustand gebracht werden
- Konfigurationsdrift erkennen: Schon eine einzige Fehlkonfiguration kann weitreichende Folgen haben, etwa, dass das Unternehmen einem verheerenden Cyberangriff ausgesetzt wird oder keinen Zugriff mehr auf den Tenant hat. Deshalb ist das Change-Management von größter Bedeutung. Sicherheitsverantwortliche müssen in der Lage sein, unbefugte Änderungen an den Konfigurationen zu erkennen und gegebenenfalls rückgängig zu machen.
Schritt 3: Least Privilege durchsetzen
Nachdem die Konfigurationen nun vor Manipulationen geschützt sind, gilt es im dritten Schritt, die von Cyberkriminellen häufig genutzten Angriffspfade zu beseitigen.
- Admin-Rollen beschränken: Globale Administratorenrollen sollten mit Bedacht erteilt werden. Unternehmen mit zehn oder mehr globalen Administratorkonten sind fast doppelt so häufig von Vorfällen mit kompromittierten Konten betroffen.
- Entra in den Blick nehmen: Selbst gut verwaltete Microsoft-Tenants sind so komplex, dass es schwierig ist, alle potenziellen Risiken wie ungenutzte Gastkonten, veraltete Administratorrollen oder riskante App-Berechtigungen zu überwachen. So können Entra-Apps Lese- und Schreibberechtigungen besitzen, die sich als Trojanisches Pferd für Unternehmen erweisen und eine riesige Angriffsfläche eröffnen. Und dieses Problem ist weit verbreitet: 51 Prozent der IT-Verantwortlichen betreiben über 250 Entra-Anwendungen mit zu weit gefassten Privilegien und Lese-/Schreibrechten. Dies vergrößert den Explosionsradius deutlich und bringt erhebliche Sicherheitsrisiken mit sich.
![]()
„Schon eine einzige Fehlkonfiguration kann weitreichende Folgen haben, etwa, dass das Unternehmen einem verheerenden Cyberangriff ausgesetzt wird oder keinen Zugriff mehr auf den Tenant hat. Deshalb ist das Change-Management von größter Bedeutung.“
Lukas Haas, CoreView
Schritt 4: Prozesse etablieren und automatisieren
Die ersten drei Schritte haben die Barrieren für Angreifer wesentlich erhöht. Nun geht es darum, Governance-Maßnahmen und Automatisierung zu implementieren, um die Angriffsfläche klein und die Reaktionszeit kurz zu gestalten.
- Zugriffsrechte regelmäßig überprüfen: Compliance-Vorgaben wie die NIS2 verlangen eine regelmäßige Kontrolle der Berechtigungen. Aber auch jenseits gesetzlicher Vorgaben empfiehlt sich eine kontinuierliche Überprüfung, um der stetigen Ausbreitung von Zugriffsrechten in M365 Herr zu werden und so Risiken und Komplexität zu reduzieren.
- Audits und Berichte nutzen: Auditprotokolle erfassen das gesamte Geschehen in einer M365-Umgebung und liefern wichtige Daten sowohl für Sicherheits- als auch für Compliance-Zwecke. Für Sicherheitsverantwortliche sind Auditprotokolle (insbesondere bei der Incident Response) ein unverzichtbares Werkzeug. Und im Hinblick auf die Einhaltung gesetzlicher Vorschriften und die Berichterstattung liefern Auditprotokolle die erforderlichen Nachweise, um die Compliance zu dokumentieren.
- Tasks automatisieren: Die Automatisierung von Aufgaben steigert die Produktivität, verringert das Risiko menschlicher Fehler und entlastet die Mitarbeitenden. Auf diese Weise können sie sich auf ihre eigentliche Arbeit konzentrieren, anstatt sich mit sich wiederholenden Verwaltungsaufgaben zu beschäftigen.
- Schnelle Erweiterungen ermöglichen: Gerade die Cybersicherheit ist ein sehr dynamisches Umfeld, bei dem Agilität ein wichtiger Faktor ist. Unternehmen müssen sich schnell an neue Cyberbedrohungen anpassen sowie neue Erkennungsregeln, Tools oder Compliance-Richtlinien integrieren. Sie müssen in der Lage sein, schnell zu skalieren sowie M365 in die Sicherheitsstrategie zu integrieren.
Über den Autor:
Lukas Haas ist Solutions Specialist bei CoreView,
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
