Ein kompromittiertes Microsoft-365-Konto reicht oft aus, um E-Mails mitzulesen, interne Chats abzugreifen oder Dateien in SharePoint zu exfiltrieren. Der häufigste Grund ist nicht „komplexe Malware“, sondern eine zu offene Standardkonfiguration: zu viele globale Admins, fehlende Schutzstufen für Anmeldungen, unkontrollierte App-Zugriffe oder Geräte ohne Mindeststandards. Mit wenigen, gut priorisierten Schritten lässt sich die Angriffsfläche deutlich reduzieren.
Welche Angriffswege in Microsoft 365 am häufigsten ausgenutzt werden
Kontoübernahme durch Passwort-Reuse und Anmeldetricks
Angreifer arbeiten häufig mit Zugangsdaten aus Leaks und probieren diese automatisiert aus (Credential Stuffing). Zusätzlich werden Nutzer über Phishing-Seiten, OAuth-Zustimmungen oder „Support“-Anrufe zur Preisgabe von Codes verleitet. Besonders kritisch sind Konten mit vielen Berechtigungen (Admin-Rollen, Postfachzugriff, SharePoint-Site-Owner).
OAuth- und App-Missbrauch statt klassischer Malware
Ein unterschätzter Weg sind bösartige oder überprivilegierte Apps: Wird einer App Zugriff auf Mailbox oder Dateien gewährt, kann sie Daten lesen, auch wenn später das Passwort geändert wird. Deshalb sind App-Zustimmungen und die Kontrolle von „Enterprise Applications“ zentral.
Datenabfluss über Freigaben und Gastzugänge
„Jeder mit dem Link“ oder unbeschränkte Gastfreigaben in Teams/SharePoint sind bequem, aber riskant. Häufig fehlt ein Review-Prozess: Externe bleiben dauerhaft, Links werden weitergeleitet, und sensible Bibliotheken landen in falschen Händen.
Identitäten zuerst: Basisschutz für Konten und Rollen
Mehrstufiger Anmeldeschutz als Pflichtprogramm
Ohne Multi-Faktor-Authentifizierung (zusätzlicher Faktor, z. B. App-Bestätigung) ist Microsoft 365 in der Praxis nicht ausreichend abgesichert. Wichtig ist nicht nur „MFA aktiv“, sondern eine saubere Durchsetzung: möglichst für alle Benutzer, mit härteren Anforderungen für Admins und sensible Rollen. SMS gilt als weniger robust als App-basierte Bestätigungen oder FIDO2-Keys, weil SIM-Swaps und Umleitungen möglich sind.
Passend dazu lohnt der Blick auf MFA sicher nutzen, um typische Fehler (Ausnahmen, schwache Faktoren, fehlende Recovery) zu vermeiden.
Admin-Rollen minimieren und trennen
In vielen Tenants existieren zu viele globale Administratoren. Besser ist: so wenige wie möglich, Rollen nach Aufgaben aufteilen (z. B. Exchange-Admin, Teams-Admin), und administrative Konten getrennt von normalen Arbeitskonten führen. Ein Admin-Konto sollte nicht für tägliche E-Mail- und Teams-Nutzung eingesetzt werden.
Passwortpolitik realistisch gestalten
Starke Passwörter entstehen nicht durch häufigen Zwangswechsel, sondern durch Länge und Einzigartigkeit. Empfehlenswert sind lange Passphrasen und ein Passwortmanager. Gleichzeitig sollten riskante Anmeldungen sichtbar werden (fehlgeschlagene Logins, ungewöhnliche Orte/Devices) und ein klarer Prozess für Sperrung/Reset existieren.
Geräte und Zugriff: Nur compliant hineinlassen
Warum Geräte-Standards wichtiger sind als einzelne Apps
Selbst ein gut geschütztes Konto hilft wenig, wenn das Endgerät kompromittiert oder unverwaltet ist. Typische Risiken: veraltete Browser, fehlende Festplattenverschlüsselung, lokale Adminrechte, unsichere WLANs, ungeschützte Wiederherstellungskeys. Ziel ist ein Mindeststandard: aktuelles Betriebssystem, aktive Firewall, Bildschirm-Sperre, Verschlüsselung und definierte Update-Policies.
Zugriff an Bedingungen knüpfen
Mit Conditional Access (regelbasierte Zugriffssteuerung) lassen sich pragmatische Schutzregeln umsetzen: Admin-Logins nur von verwalteten Geräten, Blocken von Legacy-Authentifizierung, MFA bei riskanten Logins, und Einschränkungen für Länder/Netze, wenn das zur Organisation passt. Entscheidend ist eine stufenweise Einführung: erst im Report-only-Modus testen, dann gezielt durchsetzen.
Vorsicht bei Legacy-Authentifizierung und alten Protokollen
Ältere Authentifizierungsverfahren umgehen moderne Schutzmechanismen teilweise. Wenn noch „alte Mail-Clients“ oder Geräte im Einsatz sind, sollten diese identifiziert und ersetzt werden. Als Zwischenlösung eignen sich app-spezifische Passwörter nur eingeschränkt und erhöhen die Komplexität im Incident-Fall.
E-Mail absichern: Exchange Online als häufigstes Ziel
Schutz vor Business-E-Mail-Compromise (BEC)
BEC zielt auf Rechnungsbetrug, Zahlungsumleitungen und das unauffällige Mitlesen. Neben Anmeldeschutz sind technische Leitplanken wichtig: Warnungen bei externen Absendern, strenge Regeln gegen Auto-Forwarding nach extern, und ein Prozess für die Freigabe von Zahlungsänderungen (Vier-Augen-Prinzip auf Prozess-Ebene).
Externe Weiterleitungen und Regeln überwachen
Angreifer legen nach Kontoübernahme häufig Posteingangsregeln an (z. B. „alle Mails mit ‚Rechnung‘ löschen/weiterleiten“). Daher sollten Admins regelmäßig nach verdächtigen Regeln und externem Forwarding suchen und diese zentral einschränken.
Domain-Schutz sauber konfigurieren
SPF, DKIM und DMARC reduzieren Spoofing und verbessern die Erkennungsrate für gefälschte Absender. Die Einführung sollte geplant erfolgen: erst Monitoring/Policy testen, dann schrittweise härter stellen, um legitime Absender nicht versehentlich zu blockieren.
Teams und SharePoint: Zusammenarbeit ohne Datenleck
Freigaben und Gastzugriffe kontrollierbar halten
Teams und SharePoint leben von einfacher Zusammenarbeit – und genau dort entstehen Lecks. Sinnvoll sind klare Standards: wer Gäste einladen darf, wie lange Gäste bleiben, und welche Sites/Teams für externe Zusammenarbeit freigegeben sind. Zusätzlich sollten Link-Freigaben bevorzugt auf „bestimmte Personen“ statt „jeder mit dem Link“ gesetzt werden.
Sensible Daten erkennen und automatisch schützen
Mit Data Loss Prevention (Richtlinien gegen Datenabfluss) lassen sich Regeln definieren, die z. B. das Teilen von personenbezogenen Daten, Zugangsdaten oder Vertragsdokumenten nach extern verhindern oder zumindest protokollieren und genehmigungspflichtig machen. Wichtig ist ein realistischer Start: wenige Regeln, klare Ausnahmen, Pilotgruppe – sonst entstehen zu viele False Positives.
Lebenszyklus: Teams und Sites nicht endlos wachsen lassen
Ungepflegte Teams/Sites mit verwaisten Owners sind ein Risiko: Berechtigungen werden nicht mehr überprüft, externe bleiben aktiv, und niemand merkt es. Abhilfe schaffen Owner-Pflichten, periodische Reviews und einfache Stilllegungsprozesse für alte Bereiche.
App-Zugriffe und Drittanbieter: Der stille Datenkanal
App-Consent begrenzen und prüfen
Wenn Benutzer beliebig Apps zustimmen dürfen, entsteht ein Schatten-Ökosystem mit unbekannten Berechtigungen. Besser ist: User-Consent einschränken, Admin-Consent-Workflow nutzen und regelmäßig prüfen, welche Apps breite Rechte haben (Mail.Read, Files.Read.All etc.). Für jede App sollte klar sein: Zweck, Datenzugriff, Verantwortlicher, und Deinstallationsweg.
Service-Konten und Automationen absichern
Automationen (z. B. Skripte, Integrationen, Backup-Tools) verwenden oft privilegierte App-Registrierungen. Hier gilt: minimal notwendige Rechte, Secrets/Zertifikate mit Ablauf, Rotation, und Monitoring auf ungewöhnliche Nutzung. Veraltete Secrets sind ein häufiger Einfallspunkt.
Überwachung und Reaktion: Signale früh sehen, sauber handeln
Welche Log-Daten im Alltag wirklich helfen
Für Incident Response zählt: Anmeldungen (Erfolg/Fehler, Ort, Gerät), Änderungen an MFA/Recovery-Infos, neu hinzugefügte Admin-Rollen, neue Inbox-Regeln, App-Consent-Ereignisse und Massen-Downloads aus SharePoint/OneDrive. Diese Daten sollten aufbewahrt werden, damit Vorfälle nachvollziehbar bleiben.
Alarme definieren, die nicht ignoriert werden
Zu viele Benachrichtigungen führen zu Alarmmüdigkeit. Effektiver sind wenige, harte Signale: Admin-Rolle vergeben, ungewöhnliche Anmeldeorte, Weiterleitung nach extern, OAuth-App mit breiten Rechten, viele fehlgeschlagene Logins. Wer Logs zentralisiert auswerten will, findet Grundlagen in SIEM im Mittelstand.
Wenn ein Konto kompromittiert ist: saubere Reihenfolge
In der Praxis geht es darum, Persistenz zu entfernen und den Schaden zu begrenzen: Sessions beenden, MFA/Recovery-Infos prüfen, verdächtige Regeln und Apps entfernen, Passwort zurücksetzen, betroffene Geräte untersuchen, und die Datenzugriffe rückwirkend bewerten. Je nach Umfang sollten betroffene Partner/Kunden informiert werden, wenn Datenabfluss plausibel ist.
Priorisierte Schritte, die in den meisten Tenants sofort wirken
Eine kurze Umsetzung in sinnvoller Reihenfolge
- Multi-Faktor-Authentifizierung für alle Benutzer durchsetzen; Admins mit stärkerem Faktor absichern.
- Conditional Access einführen: Legacy-Auth blocken, Admin-Zugriff an verwaltete Geräte knüpfen, riskante Logins härter behandeln.
- Globale Admins reduzieren; getrennte Admin-Konten einführen; Rollen nach Aufgaben verteilen.
- Externe Weiterleitungen nach außen einschränken; nach verdächtigen Inbox-Regeln suchen.
- Gastzugriffe in Teams/SharePoint begrenzen; Link-Freigaben auf „bestimmte Personen“ standardisieren.
- Data Loss Prevention mit wenigen, klaren Regeln pilotieren (z. B. personenbezogene Daten nach extern blocken oder warnen).
- App-Consent steuern: User-Consent reduzieren, Admin-Workflow aktivieren, bestehende Apps mit breiten Rechten reviewen.
Häufige Stolperfallen bei der Einführung und wie sie vermeidbar sind
„Alles auf einmal“ ausrollen und den Betrieb ausbremsen
Ein harter Cut bei Zugriffspolitiken kann legitime Workflows stoppen (z. B. Scanner, Altgeräte, Service-Konten). Besser ist: zuerst Transparenz schaffen (Report-only), Pilotgruppen definieren, dann schrittweise durchsetzen. Dokumentierte Ausnahmen sollten befristet sein und eine technische Ablösung haben.
Ausnahmen werden zur Regel
Eine einzelne Ausnahme für „wichtiges Konto“ wird schnell zum Muster. Ausnahmen sollten immer begründet, zeitlich limitiert und regelmäßig überprüft werden. Für privilegierte Konten gilt: keine Ausnahmen beim Anmeldeschutz.
Sicherheit ohne Wiederherstellungsplan
Wenn MFA und Zugriffspolicys greifen, muss Account-Recovery sauber funktionieren: Notfallzugang für Admins, dokumentierter Prozess für verlorene Geräte/Keys, und klare Verantwortlichkeiten. Sonst entsteht im Störungsfall Druck, Schutzmaßnahmen wieder abzuschalten.
| Bereich | Typisches Risiko | Pragmatische Gegenmaßnahme |
|---|---|---|
| Identität | Passwort-Reuse, Phishing, OAuth-Missbrauch | MFA durchsetzen, Consent steuern, Admin-Rollen minimieren |
| Zugriff | Unverwaltete Geräte, Legacy-Auth | Conditional Access, Geräte-Compliance, Block alter Protokolle |
| BEC, Forwarding, Inbox-Regeln | Forwarding begrenzen, Regeln überwachen, DMARC/DKIM/SPF | |
| Zusammenarbeit | Offene Links, dauerhafte Gäste | Gastpolitik, Link-Standards, regelmäßige Berechtigungsreviews |
| Daten | Unkontrolliertes Teilen sensibler Inhalte | DLP pilotieren, klare Klassifizierung/Labels, Schulung |
Wer zusätzlich Endgeräte im Alltag härten will (Browser-Risiken, Tracking, Session-Diebstahl), kann passende Maßnahmen in Browser absichern ergänzen. Für grundsätzliche Leitlinien zur Netzwerk- und Zugriffsarchitektur bietet Zero Trust praktisch umsetzen einen guten Rahmen, der sich auch auf Cloud-Konten übertragen lässt.
