Microsoft 365 und Cloud-Sicherheit: Was KMU prüfen sollten

Written by ExposIQ | März 22, 2026

Die Migration zu Microsoft 365 gehört zu den häufigsten IT-Projekten bei Schweizer KMU. E-Mail, Dokumentenmanagement, Zusammenarbeit – alles aus einer Hand, alles in der Cloud. Doch mit dem Umzug zu M365 entsteht ein gefährliches Missverständnis: Viele Unternehmen glauben, dass Microsoft sich um die Sicherheit kümmert. Das stimmt nur zum Teil.

Das Shared-Responsibility-Modell

Microsoft betreibt die Infrastruktur hinter Microsoft 365: Rechenzentren, Netzwerke, Plattformsicherheit, physische Sicherheit. Dafür ist Microsoft verantwortlich und investiert Milliarden in diesen Bereich.

Doch die Konfiguration, die Benutzerverwaltung, die Zugangskontrolle und der Schutz Ihrer Daten liegen bei Ihnen. Microsoft nennt das «Shared Responsibility Model» – geteilte Verantwortung. In der Praxis bedeutet es:

  • Microsoft sichert: Die Plattform, die physische Infrastruktur, die Verfügbarkeit der Dienste, Updates der Server-Software
  • Sie sichern: Benutzerkonten, Zugriffsrechte, Datenklassifizierung, Konfiguration der Sicherheitseinstellungen, Compliance-Anforderungen

Das bedeutet konkret: Wenn ein Angreifer sich mit gestohlenen Zugangsdaten in Ihr M365-Konto einloggt, ist das nicht Microsofts Problem. Wenn sensible Dokumente über eine fehlkonfigurierte SharePoint-Freigabe öffentlich zugänglich sind, liegt die Verantwortung bei Ihnen. Und wenn ein Mitarbeitender ohne MFA seinen Account verliert, haftet nicht Microsoft.

Die häufigsten Sicherheitslücken in M365-Umgebungen

Aus der Praxis kennen Sicherheitsexperten eine Reihe von Konfigurationsfehlern, die in KMU-M365-Umgebungen immer wieder auftreten. Viele davon sind Standardeinstellungen, die nie angepasst wurden.

1. Multi-Faktor-Authentifizierung nicht durchgesetzt

MFA ist die wichtigste einzelne Sicherheitsmassnahme für Cloud-Konten. Microsoft gibt an, dass MFA über 99 Prozent der automatisierten Kontoübernahmen verhindert. Und trotzdem ist MFA in vielen KMU-Tenants nicht für alle Benutzer aktiviert.

Häufige Ausreden: «Ist zu umständlich», «Funktioniert nicht mit unserem Drucker», «Die Geschäftsleitung will das nicht». Das Ergebnis: Ein gestohlenes Passwort genügt, um auf alle E-Mails, Dokumente und Teams-Chats eines Mitarbeitenden zuzugreifen.

Empfehlung: Aktivieren Sie MFA für alle Benutzer, ohne Ausnahme. Verwenden Sie die Microsoft Authenticator App oder FIDO2-Sicherheitsschlüssel statt SMS.

2. Legacy-Authentifizierung noch aktiv

Legacy-Authentifizierungsprotokolle wie POP3, IMAP und SMTP Basic Auth unterstützen kein MFA. Angreifer nutzen diese Protokolle gezielt, um MFA zu umgehen. Selbst wenn MFA für die normale Anmeldung aktiviert ist, kann ein Angreifer über IMAP mit einem gestohlenen Passwort auf das Postfach zugreifen.

Microsoft hat die Basic Authentication für Exchange Online schrittweise deaktiviert, doch in vielen Tenants sind Ausnahmen konfiguriert – oft für ältere Geräte oder Anwendungen, die Modern Authentication nicht unterstützen.

Empfehlung: Blockieren Sie Legacy-Authentifizierung vollständig über Conditional Access Policies. Identifizieren Sie zuerst Geräte und Anwendungen, die noch Legacy-Protokolle nutzen, und aktualisieren Sie diese.

3. Überprivilegierte Konten

In vielen KMU-Tenants haben zu viele Benutzer die Rolle «Global Administrator». Jedes globale Administratorkonto ist ein hochattraktives Ziel für Angreifer. Im schlimmsten Fall genügt die Kompromittierung eines einzelnen Kontos, um die gesamte M365-Umgebung zu übernehmen.

Typische Probleme:

  • Der Geschäftsführer ist Global Admin, «weil er alles sehen können soll»
  • Der IT-Dienstleister hat einen permanenten Global-Admin-Account statt zeitlich begrenzter Zugänge
  • Ehemalige Mitarbeitende haben noch aktive Administratorkonten
  • Service-Accounts mit Administratorrechten und schwachen Passwörtern

Empfehlung: Reduzieren Sie Global Admins auf maximal zwei bis drei Notfall-Konten (Break-Glass-Accounts). Verwenden Sie rollenbasierte Administration: Ein Exchange-Administrator braucht keine SharePoint-Rechte. Aktivieren Sie Privileged Identity Management (PIM), um Administratorrechte nur bei Bedarf und zeitlich begrenzt zu erteilen.

4. SharePoint und OneDrive zu offen konfiguriert

SharePoint Online und OneDrive for Business sind mächtige Kollaborationswerkzeuge. Aber die Standardkonfiguration ist oft zu permissiv:

  • «Anyone»-Links: Dokumente können mit anonymen Links geteilt werden, die keinen Login erfordern. Einmal geteilt, ist die Kontrolle verloren.
  • Externe Freigaben: Standardmässig können Benutzer Dokumente mit externen Personen teilen. Ohne Richtlinien geschieht das unkontrolliert.
  • Übermässige Berechtigungen: Ganze SharePoint-Sites sind für «Jeder im Unternehmen» freigegeben, obwohl nur ein Team Zugriff braucht.
  • Keine Data Loss Prevention: Sensible Daten wie Kundenlisten, Verträge oder Finanzdaten werden ohne Schutz gespeichert und geteilt.

Empfehlung: Beschränken Sie externe Freigaben auf authentifizierte Benutzer. Deaktivieren Sie «Anyone»-Links oder schränken Sie deren Gültigkeit zeitlich ein. Überprüfen Sie regelmässig, wer Zugriff auf welche SharePoint-Sites hat.

5. Fehlende Überwachung und Protokollierung

M365 bietet umfangreiche Audit-Logs, aber viele KMU nutzen sie nicht. Ohne Überwachung bleiben verdächtige Aktivitäten unerkannt:

  • Anmeldungen aus ungewöhnlichen Ländern
  • Massenhafter Download von Dokumenten
  • Erstellung von Mail-Weiterleitungsregeln (ein klassischer Angreifer-Trick)
  • Änderungen an Administratorrollen
  • Neue OAuth-App-Berechtigungen

Empfehlung: Aktivieren Sie das Unified Audit Log. Konfigurieren Sie Alerts für verdächtige Aktivitäten. Auch ohne ein SIEM-System können die eingebauten M365-Alerts viele Bedrohungen erkennen.

6. E-Mail-Sicherheit nicht optimiert

Exchange Online bietet Exchange Online Protection (EOP) als Basis-Schutz. Doch die Standardkonfiguration reicht oft nicht aus:

  • SPF, DKIM und DMARC sind nicht oder unvollständig konfiguriert, was E-Mail-Spoofing ermöglicht
  • Anti-Phishing-Policies verwenden Standardeinstellungen statt massgeschneiderter Regeln
  • Safe Links und Safe Attachments (Defender for Office 365) sind nicht aktiviert
  • Benutzer können Makros in Office-Anhängen ausführen

Empfehlung: Konfigurieren Sie SPF, DKIM und DMARC für alle Ihre Domains. Verschärfen Sie die Anti-Phishing-Policies. Blockieren Sie Makros in E-Mail-Anhängen über Gruppenrichtlinien.

Cloud-Sicherheit und Schwachstellenscanning

Klassisches Schwachstellenscanning richtet sich primär auf On-Premise-Systeme: Server, Netzwerkgeräte, Endpunkte. Doch in einer Cloud-First-Welt müssen auch Cloud-Dienste in die Sicherheitsstrategie einbezogen werden.

Auch wenn die M365-Plattform selbst von Microsoft gepatcht wird, gibt es Bereiche, in denen externes Scanning relevant bleibt:

  • Hybrid-Umgebungen: Viele KMU betreiben hybride Setups mit On-Premise Exchange und Exchange Online, Active Directory und Azure AD, oder lokalen Dateiservern und SharePoint Online. Die On-Premise-Komponenten müssen weiterhin gescannt werden.
  • Cloud-exponierte Dienste: Auch in einer M365-Umgebung gibt es oft noch lokale Webserver, VPN-Gateways und andere exponierte Dienste, die angreifbar sind.
  • DNS und Domain-Konfiguration: Fehlende SPF/DKIM/DMARC-Einträge, dangling DNS-Records oder exponierte Subdomains sind Risiken, die ein externer Scan erkennen kann.
  • OAuth-Anwendungen und Integrationen: Drittanbieter-Apps, die mit M365 verbunden sind, erweitern die Angriffsfläche. Jede App mit weitreichenden Berechtigungen ist ein potenzielles Risiko.

Ein pragmatischer M365-Sicherheitscheck

Für KMU, die ihre M365-Sicherheit verbessern wollen, ist hier eine priorisierte Checkliste:

  1. MFA für alle Benutzer aktivieren – höchste Wirkung, sofort umsetzbar
  2. Legacy-Authentifizierung blockieren – schliesst eine der grössten Lücken
  3. Global-Admin-Konten reduzieren – minimiert das Risiko einer vollständigen Übernahme
  4. Externe SharePoint-Freigaben einschränken – verhindert unkontrollierten Datenabfluss
  5. E-Mail-Authentifizierung konfigurieren (SPF, DKIM, DMARC) – schützt vor Spoofing
  6. Audit-Logging aktivieren und Alerts einrichten – ermöglicht die Erkennung von Angriffen
  7. Microsoft Secure Score prüfen – Microsofts eigenes Bewertungstool zeigt Verbesserungspotenzial
  8. On-Premise-Systeme regelmässig scannen – die Hybrid-Angriffsfläche nicht vergessen

ExposIQ für Ihre Cloud-Ära

Die Verlagerung in die Cloud verändert die Bedrohungslandschaft, macht Schwachstellenmanagement aber nicht überflüssig – im Gegenteil. Die Angriffsfläche wird komplexer: Cloud-Dienste, On-Premise-Systeme, Hybrid-Verbindungen und Drittanbieter-Integrationen müssen alle berücksichtigt werden.

ExposIQ unterstützt Schweizer KMU dabei, den Überblick zu behalten. Externes Scanning prüft Ihre öffentlich erreichbaren Systeme und Dienste – ob On-Premise oder Cloud-exponiert. Mit über 35 Scan-Engines und 64’000 CVEs werden Schwachstellen in Webservern, VPN-Gateways, Mail-Konfigurationen und weiteren exponierten Diensten erkannt. Das Breach-Monitoring warnt Sie zudem, wenn Zugangsdaten Ihrer Mitarbeitenden in Datenlecks auftauchen – eine der häufigsten Ursachen für M365-Kontoübernahmen.

Schweizer Hosting, nDSG-konform, ab CHF 99 pro Monat. Weil Cloud-Migration nur mit einer klaren Sicherheitsstrategie verantwortungsvoll ist: exposiq.ch

ExposIQ ist die Schweizer Plattform für automatisiertes Vulnerability Management. Wir helfen KMU und IT-Dienstleistern, Schwachstellen zu erkennen und zu beheben – sicher, verständlich und nDSG-konform.

Zürich, Schweiz

info@exposiq.ch
+41 43 200 02 52

Firma

Über uns Kontakt Blog
 Datenschutzerklärung Nutzungsbedingungen

Newsletter

Copyright © ExposIQ Schweiz 2026. Alle Rechte vorbehalten.