Microsoft-365-Sicherheits-Checkliste: 12 Punkte, die Ihr M365 schützen

Microsoft 365 ist im Standard nicht sicher konfiguriert — es ist flexibel konfiguriert. Wer es ohne Anpassung nutzt, lässt vermeidbare Lücken offen, über die Angreifer regelmäßig in mittelständische Netzwerke kommen. Diese Checkliste nennt die 12 Punkte, die Ihr Microsoft 365 nachweisbar schützen. Sie ist als Lead-Magnet gedacht: Den vollständigen, abhakbaren Leitfaden erhalten Sie als PDF.

Hinweis: Diese Seite zeigt die 12 Punkte im Überblick. Die ausführliche Checkliste mit Einrichtungshinweisen und Prioritäten laden Sie als PDF herunter (Transitional CTA am Seitenende).

Ist Microsoft 365 im Standard schon sicher?

Nein. Microsoft 365 liefert im Auslieferungszustand viele Sicherheitsfunktionen, aktiviert aber nicht alle davon automatisch. Der Standard ist auf einfache Nutzbarkeit ausgelegt, nicht auf maximalen Schutz. Mehr-Faktor-Authentifizierung, Phishing-Schutzregeln, Audit-Protokolle und Backup-Konzepte müssen Sie bewusst einrichten.

Für Sie als Entscheider heißt das: Die Sicherheit Ihres Microsoft 365 ist eine Frage der Konfiguration — nicht etwas, das der Anbieter Ihnen vollständig abnimmt. Genau hier setzt diese Checkliste an: Sie macht aus „läuft irgendwie“ ein „ist nachweisbar abgesichert“.

Was sind die wichtigsten Schutzmaßnahmen für Microsoft 365?

Die wichtigste Einzelmaßnahme ist Mehr-Faktor-Authentifizierung für alle Konten — sie verhindert die meisten Kontoübernahmen. Direkt danach folgen ein eigenständiges Backup der M365-Daten, ein konfigurierter Phishing- und Spam-Schutz sowie ein durchdachtes Berechtigungskonzept. Diese vier Bereiche decken die häufigsten Angriffswege ab.

Die folgenden 12 Punkte ordnen diese Maßnahmen in eine vollständige, abhakbare Liste. Sie sind nach Wirkung sortiert: Punkt 1 zuerst, weil er den größten Schutz pro Aufwand bietet.

Die 12-Punkte-Checkliste für Microsoft 365 (Überblick)

  1. Mehr-Faktor-Authentifizierung (MFA) für alle Konten aktivieren. Der wirksamste Einzelschritt gegen Kontoübernahme. Gilt auch — gerade — für Administratoren und Geschäftsführung.
  2. Conditional Access / bedingten Zugriff einrichten. Anmeldungen nach Standort, Gerät und Risiko steuern, statt jeden Login überall zuzulassen.
  3. Administrator-Konten trennen und absichern. Keine täglichen Arbeiten mit Admin-Rechten; separate, stark geschützte Admin-Konten.
  4. Eigenständiges Backup der Microsoft-365-Daten einrichten. Microsoft sichert die Verfügbarkeit der Plattform — nicht den Wiederaufbau Ihrer Daten nach versehentlichem Löschen oder einem Angriff. Ein drittes Backup ist Ihre Aufgabe.
  5. Phishing- und Spam-Schutz konfigurieren. E-Mail ist der häufigste Angriffsweg. Schutzregeln gegen gefälschte Absender und schädliche Anhänge aktivieren.
  6. Berechtigungen nach dem Prinzip der minimalen Rechte vergeben. Jeder bekommt nur Zugriff auf das, was er für seine Arbeit braucht — nicht mehr.
  7. Externe Freigaben in SharePoint und OneDrive steuern. Unkontrollierte Teilen-Links sind ein stilles Datenleck. Freigaben bewusst regeln.
  8. Audit-Protokollierung aktivieren. Ohne Protokolle lässt sich nach einem Vorfall nicht nachvollziehen, was passiert ist. Protokollierung früh einschalten.
  9. Legacy-Authentifizierung deaktivieren. Veraltete Anmeldeverfahren umgehen MFA und werden gezielt angegriffen. Wo möglich abschalten.
  10. Geräte- und Endpoint-Schutz anbinden. Den Zugriff auf verwaltete, geschützte Geräte beschränken — der Login ist nur so sicher wie das Gerät.
  11. Datenklassifizierung und Verschlüsselung sensibler Inhalte einführen. Vertrauliche Dokumente kennzeichnen und schützen, damit sie nicht unkontrolliert das Haus verlassen.
  12. Sicherheitskonfiguration regelmäßig prüfen und dokumentieren. Eine einmalige Einrichtung reicht nicht. Regelmäßige Kontrolle und eine saubere Dokumentation — wichtig auch für NIS2 und Cyberversicherung.

Jeder dieser Punkte ist für sich machbar. In der Summe ergeben sie den Unterschied zwischen einem Microsoft 365, das offen steht, und einem, das nachweisbar abgesichert ist.

Reicht das integrierte Backup von Microsoft 365 aus?

Nein. Microsoft sichert die Verfügbarkeit der Plattform und repliziert Ihre Daten gegen Hardware-Ausfälle. Microsoft stellt aber nicht sicher, dass Sie versehentlich gelöschte oder durch einen Angriff verschlüsselte Daten dauerhaft wiederherstellen können. Diese Verantwortung liegt beim Kunden — das ist als geteiltes Verantwortungsmodell auch so dokumentiert.

Konkret heißt das: Wenn ein Mitarbeiter ein Postfach leert, ein Ransomware-Angriff Dateien verschlüsselt oder ein Konto kompromittiert wird, brauchen Sie ein eigenständiges Backup, um in Stunden statt Wochen wieder arbeitsfähig zu sein. Punkt 4 der Checkliste ist deshalb keine Kür, sondern Pflicht.

Warum ist MFA der wichtigste Punkt?

Weil Mehr-Faktor-Authentifizierung die häufigste Angriffsart wirksam stoppt: die Übernahme eines Kontos über ein gestohlenes oder erratenes Passwort. Selbst wenn das Passwort in falsche Hände gerät, fehlt dem Angreifer der zweite Faktor.

MFA hat zusätzlich einen handfesten geschäftlichen Nutzen: Cyberversicherer setzen MFA inzwischen als Vertragsvoraussetzung an. Wer MFA nicht nachweisen kann, riskiert im Schadensfall, dass der Versicherer nicht zahlt. Ein regionaler Fall vor dem LG Kiel zeigte 2024, wie teuer eine Falschangabe zu Sicherheitsmaßnahmen werden kann — der Versicherer zahlte über 424.000 Euro nicht. MFA schützt also doppelt: technisch und vertraglich.

Für wen ist diese Checkliste gedacht?

Für Geschäftsführer und IT-Verantwortliche in mittelständischen Betrieben, die Microsoft 365 nutzen und wissen wollen, ob ihre Konfiguration sicher ist — ohne tief in die Technik einsteigen zu müssen. Die Checkliste ist so geschrieben, dass Sie sie an Ihr Team oder Ihren Dienstleister weitergeben und Punkt für Punkt abhaken können.

Wenn Sie Microsoft 365 ohne externe Betreuung betreiben, ist die Liste Ihr Prüfraster. Wenn Sie einen Dienstleister haben, ist sie Ihr Gesprächsleitfaden, um die richtigen Fragen zu stellen.

Konzept: Die gated Checkliste als Lead-Magnet

Die vollständige Checkliste ist der Transitional CTA dieser Seite. Auf der Seite stehen die 12 Punkte im Überblick (damit die Seite eigenständigen Wert hat und GEO-/Answer-First-tauglich bleibt). Den ausführlichen Leitfaden — mit Einrichtungshinweisen, Prioritäten und Platz zum Abhaken — erhalten Besucher als PDF nach Eingabe ihrer geschäftlichen E-Mail-Adresse.

Umsetzungs-Logik:

  • Formular radikal minimiert: geschäftliche E-Mail als einziges Pflichtfeld, Name optional (Spec §7 — jedes Pflichtfeld kostet Conversion).
  • Versand des PDF und CRM-Übergabe über GoHighLevel; Leadinfo-Tracking aktiv.
  • Double-Opt-in und Datenschutz-Einwilligung am Formular (DSGVO).
  • Das PDF schließt mit dem Direct CTA: kostenloses Erstgespräch zur Durchsprache der eigenen M365-Konfiguration.

[Platzhalter: Gestaltung und Inhalt des Checklisten-PDF — Freigabe ausstehend]

Häufige Fragen zur Microsoft-365-Sicherheit (FAQ)

Ist Microsoft 365 im Standard sicher konfiguriert? Nein. Wichtige Schutzfunktionen wie MFA, Phishing-Regeln und Audit-Protokolle müssen bewusst aktiviert werden. Der Standard ist auf einfache Nutzbarkeit ausgelegt.

Brauche ich ein zusätzliches Backup für Microsoft 365? Ja. Microsoft sichert die Plattform-Verfügbarkeit, nicht die Wiederherstellung Ihrer Daten nach Löschung oder Angriff. Ein eigenständiges Backup ist Aufgabe des Kunden.

Was ist der wichtigste einzelne Sicherheitsschritt? Mehr-Faktor-Authentifizierung für alle Konten. Sie stoppt die häufigste Angriffsart und ist zugleich Voraussetzung vieler Cyberversicherer.

Wie oft sollte ich die M365-Sicherheit prüfen? Regelmäßig, nicht einmalig. Konfigurationen ändern sich, neue Funktionen kommen hinzu. Eine wiederkehrende Prüfung mit Dokumentation ist auch für NIS2 und Versicherung relevant.

Kann ich die Absicherung selbst machen? Viele Punkte ja. Mit der Checkliste haben Sie ein Prüfraster. Bei komplexeren Punkten wie Conditional Access, Datenklassifizierung und der dauerhaften Überwachung entlastet Sie ein betreuter Ansatz spürbar.

Ihr nächster Schritt

Transitional CTA:

12-Punkte-Checkliste als PDF herunterladen. Der vollständige Leitfaden zum Abhaken — für Sie und Ihr Team. Nur Ihre geschäftliche E-Mail nötig.

Direct CTA:

Kostenloses Erstgespräch buchen. 15 Minuten, dann wissen Sie, wo Ihr Microsoft 365 steht. Wir gehen die wichtigsten Punkte mit Ihnen durch — ehrliche Einschätzung, keine Verpflichtung.

Quellen

  • Geteiltes Verantwortungsmodell Microsoft 365 (Backup-Verantwortung beim Kunden): Microsoft (Grundlage entspricht der EOL-/Microsoft-Quellenlage aus `12-marktrecherche.md` §1, Trigger 2).
  • Cyberversicherung fordert MFA als Voraussetzung; LG Kiel 23.05.2024 (Versicherer zahlte über 424.000 € nicht wegen Falschangabe): GDV/Forsa 2025, LG Kiel, it-business (aus `12-marktrecherche.md` §1, Trigger 3).

Annahmen

  • Die 12 Punkte sind als allgemein anerkannte Härtungsmaßnahmen für Microsoft 365 formuliert (MFA, Conditional Access, Backup, Phishing-Schutz, Least Privilege, Audit, Legacy-Auth deaktivieren u. a.). Konkrete Schritt-für-Schritt-Einrichtungen und produktspezifische Lizenzvoraussetzungen gehören ins PDF und sind vor Veröffentlichung fachlich gegenzuprüfen.
  • Das gated PDF und das Formular werden über GoHighLevel umgesetzt; Inhalt und Gestaltung des PDF sind als Platzhalter markiert.
  • Leadinfo-Hinweis (Pflicht) und Datenschutz-/Double-Opt-in-Anbindung gemäß CLAUDE.md §7 und Spec §7 sind beim Einbau zu setzen.
  • no-go-wording geprüft: keine „100 % sicher“-Aussage (bewusst vermieden), keine Floskeln/Superlative, Sie-Ansprache, Risiken sachlich, genau ein Direct- und ein Transitional-CTA.
Nach oben scrollen