Viele kleine Unternehmen setzen Microsoft 365 ein, weil es „einfach funktioniert“. E-Mail läuft, Teams verbindet das Team, Dokumente liegen in SharePoint oder OneDrive. Auf den ersten Blick scheint alles sauber organisiert.
Was jedoch häufig fehlt, ist eine klare Sicherheits- und Strukturstrategie. Microsoft stellt die Plattform bereit – für die Absicherung, Berechtigungslogik und Datensicherung sind jedoch die Unternehmen selbst verantwortlich. Und genau hier entstehen Risiken, die im Ernstfall teuer werden können.
In diesem Artikel zeigen wir, wo typische Schwachstellen bei kleinen Unternehmen liegen – und wie Microsoft 365 professionell und kontrollierbar betrieben werden sollte.
Das größte Missverständnis: „Microsoft sichert unsere Daten“
Microsoft garantiert die Verfügbarkeit der Infrastruktur.
Nicht jedoch, dass Ihre Daten jederzeit vollständig und unangetastet wiederhergestellt werden können.
Typisches Szenario:
Ein Mitarbeiter klickt auf eine Phishing-Mail.
Das Konto wird kompromittiert.
Der Angreifer richtet Postfachregeln ein, leitet Rechnungen um und löscht relevante E-Mails.
Nach einigen Wochen fällt der Betrug auf.
Die E-Mails sind nicht mehr im Papierkorb.
Die Standard-Aufbewahrungsfristen sind abgelaufen.
Ohne separates Microsoft-365-Backup ist die Wiederherstellung oft nicht möglich.
Viele kleine Unternehmen verlassen sich auf Versionierung oder Papierkorb-Funktionen. Das ist kein Backup-Konzept.
Zugriffssicherheit – das unterschätzte Einfallstor
In der Praxis sehen wir bei kleinen Unternehmen häufig:
-
Gemeinsame Administrator-Konten
-
MFA nur teilweise aktiviert
-
Keine Conditional-Access-Richtlinien
-
Alte Benutzerkonten noch aktiv
Ein kompromittiertes Konto genügt, um:
-
SharePoint-Daten herunterzuladen
-
OneDrive-Inhalte zu verschlüsseln
-
interne Kommunikation mitzulesen
-
Rechnungen zu manipulieren
Microsoft 365 ist sicher konfigurierbar – aber nicht automatisch sicher konfiguriert.
Ein sauberes Setup umfasst:
-
verpflichtende Multi-Faktor-Authentifizierung für alle Benutzer
-
FIDO2-Keys für Administratoren
-
Trennung von Benutzer- und Admin-Konten
-
Zugriffsbeschränkung nach Standort oder Gerät
-
Minimierung globaler Admin-Rechte
Gerade kleine Unternehmen verzichten häufig auf diese Maßnahmen, weil „es ja bisher funktioniert hat“.
Berechtigungschaos in Teams und SharePoint
Ein weiteres typisches Problem: gewachsene Strukturen ohne Konzept.
Beispiele aus der Praxis:
-
Jeder darf neue Teams erstellen
-
Externe Freigaben bleiben dauerhaft aktiv
-
Projektordner sind für alle sichtbar
-
Ehemalige Mitarbeiter behalten Zugriff
Das führt nicht nur zu Sicherheitsrisiken, sondern auch zu Kontrollverlust.
Eine strukturierte Mandantenarchitektur bedeutet:
-
klare Rollenverteilung
-
definierte Team-Strukturen
-
kontrollierte externe Freigaben
-
regelmäßige Berechtigungsprüfungen
Microsoft 365 ist kein Dateiablagesystem – es ist ein kollaboratives Arbeitsumfeld, das bewusst gestaltet werden muss.
Warum kleine Unternehmen besonders gefährdet sind
Große Unternehmen verfügen über dedizierte IT-Sicherheitsabteilungen. Kleine Unternehmen nicht.
Dennoch sind sie attraktive Ziele:
-
Automatisierte Phishing-Kampagnen unterscheiden nicht nach Größe
-
Rechnungsbetrug trifft kleine Betriebe besonders hart
-
Ein Ausfall von E-Mail oder Daten legt oft den gesamten Betrieb lahm
In Gesprächen mit Unternehmen aus Köln erleben wir häufig:
„Wir nutzen Microsoft 365 seit Jahren – aber ehrlich gesagt weiß niemand genau, wie unser Tenant konfiguriert ist.“
Das ist kein Vorwurf, sondern Realität.
Und genau hier entsteht Handlungsbedarf.
Wie wir Microsoft 365 bei kleinen Unternehmen strukturieren
Unser Ansatz ist nicht, Funktionen zu aktivieren, sondern Strukturen zu schaffen.
Ein typisches Setup umfasst:
-
Sicherheitsanalyse des bestehenden Mandanten
-
Bereinigung unnötiger Administratorrechte
-
Einführung verpflichtender MFA
-
Einrichtung von Conditional Access
-
Implementierung eines separaten Microsoft-365-Backups
-
Dokumentation und regelmäßige Überprüfung
Besonders wichtig: regelmäßige Kontrolle.
Ein einmal eingerichtetes System bleibt nicht automatisch sicher.
Neue Benutzer, neue Freigaben, neue Geräte – die Struktur verändert sich ständig.
Sicherheit ist kein Zustand, sondern ein Prozess.
Häufige Irrtümer rund um Microsoft 365
„Wir sind zu klein für gezielte Angriffe.“
Automatisierte Angriffe zielen nicht auf Größe, sondern auf Schwachstellen.
„Wir haben MFA aktiviert, also sind wir sicher.“
MFA ist ein Baustein – kein vollständiges Sicherheitskonzept.
„Unsere Daten liegen doch in der Cloud.“
Cloud bedeutet nicht automatisch abgesichert gegen Fehlkonfiguration oder gezielte Manipulation.
„OneDrive ersetzt ein Backup.“
Synchronisation ist kein Backup. Wenn Daten verschlüsselt werden, wird die verschlüsselte Version synchronisiert.
Fazit: Microsoft 365 braucht Führung
Microsoft 365 ist für kleine Unternehmen eine leistungsfähige Plattform.
Doch ohne klare Struktur, Zugriffskontrolle und Backup-Strategie entsteht ein trügerisches Sicherheitsgefühl.
Wer seinen Tenant bewusst konfiguriert, regelmäßig überprüft und professionell absichert, reduziert das Risiko erheblich – ohne unnötige Komplexität aufzubauen.
Wenn Sie wissen möchten, wie Ihr Microsoft-365-Mandant aktuell aufgestellt ist, analysieren wir das strukturiert und nachvollziehbar. Oft lassen sich mit überschaubarem Aufwand deutliche Sicherheitslücken schließen.
