Ihr Microsoft 365 — professionell abgesichert.

Das Konto eines Mitarbeitenden ist heute der Schlüssel zum gesamten Unternehmen. Ein einziges kompromittiertes Login reicht aus, um auf E-Mails, Dateien und Kundenkommunikation zuzugreifen — und je nach Rolle auf erheblich mehr.

Was wir tun

• Mehrstufige Anmeldung (MFA) für alle Benutzer. Wer sich anmeldet, bestätigt seine Identität zusätzlich über die Authenticator-App oder einen Sicherheitsschlüssel — nicht mehr nur per Passwort.
• Strengere Regeln für Administratoren. Wer privilegierte Zugriffe hat, muss sich bei jedem Login neu bestätigen. Sitzungen sind zeitlich eng begrenzt.
• Sichere Anmeldeverfahren erzwingen. Veraltete und angreifbare Methoden (z. B. SMS-Codes, Basic Authentication) werden deaktiviert; zugelassen sind nur moderne Verfahren wie Authenticator-App mit Number Matching oder FIDO2-Sicherheitsschlüssel.
• Notfallzugang einrichten. Ein streng geschützter „Break-Glass”-Account stellt sicher, dass Sie auch dann noch in Ihren Tenant kommen, wenn die regulären Anmeldewege ausfallen — z. B. nach einer Fehlkonfiguration.
• Erkennbares Login. Die Microsoft-Anmeldeseite wird mit Ihrem Unternehmensbranding versehen — Mitarbeitende sehen sofort, dass sie sich tatsächlich an Ihrem Tenant anmelden.

Was Sie davon haben

Microsoft selbst gibt an, dass MFA über 99 % aller identitätsbasierten Angriffe blockiert. Konkret heißt das: Selbst wenn ein Passwort durch Phishing, ein Datenleck oder Schadsoftware in falsche Hände gerät, bleibt der Zugang verschlossen. Die meisten erfolgreichen Angriffe auf Unternehmen unserer Größenordnung scheitern an genau diesem Punkt.

Nicht jeder Anmeldeversuch ist gleich vertrauenswürdig. Ein Login aus Ihrem Büro um 10 Uhr von einem verwalteten Firmen-Notebook ist etwas anderes als ein Login um 3 Uhr nachts aus einem anderen Land von einem unbekannten Gerät.

Was wir tun

• Conditional Access Policies prüfen bei jedem Login wer sich wovon und von wo anmeldet — und entscheiden auf dieser Basis, ob, wie und worauf der Zugriff erlaubt wird.
• Geografische Einschränkung. Anmeldungen aus Ländern, in denen Sie keine Mitarbeitenden haben, werden blockiert. Reisende Mitarbeitende werden temporär freigeschaltet.
• Gerätebindung. Auf Unternehmensdaten dürfen nur Geräte zugreifen, die wir kennen, verwalten und als sicher eingestuft haben.
• Admin-Portale abgeschottet. Der Zugriff auf Verwaltungsoberflächen (Entra, Intune, Exchange, Security) ist auf wenige autorisierte Konten beschränkt.

Was Sie davon haben

Sie eliminieren ganze Klassen von Angriffen praktisch komplett: Automatisierte Brute-Force-Versuche aus dem Ausland, Anmeldungen von kompromittierten Privatgeräten, unbemerkte Konfigurationsänderungen durch Standardbenutzer. Statt einer Tür mit einem Schloss haben Sie eine Schleuse, die mehrere Faktoren gleichzeitig prüft.

Wenn ein Administrator gleichzeitig E-Mails liest, im Web surft und Software installiert, wird sein Konto zu einem Generalschlüssel mit hohem Risiko. Eine einzige Phishing-Mail kann genügen.

Was wir tun

• Mehrstufiges Admin-Modell. Administrative Rechte werden in Stufen vergeben, statt jedem Admin alles zu erlauben:

  • Stufe 0 — Tenant-Administration: Vollzugriff auf Identitäten, Sicherheitsrichtlinien und Tenant-Konfiguration. Nur sehr wenige Konten, höchste Schutzstufe, ausschließlich von gehärteten Geräten nutzbar.
  • Stufe 1 — Helpdesk: Tagesgeschäft im First/Second Level — Passwort- und MFA-Resets, Anlegen von Benutzern, Gruppen und Teams, einfache Intune-Aufgaben. Aber: kein Zugriff auf Sicherheitsrichtlinien, keine Vergabe weiterer Adminrechte, kein Zugriff auf privilegierte Konten.
  • Stufe 2 — Geräte-Administration: Lokale Administratorrechte auf Endgeräten für Installationen und Troubleshooting, ohne Zugriff auf den Tenant selbst.

  Der Effekt: Wird ein Helpdesk- oder Geräte-Admin-Konto kompromittiert, ist der Schaden begrenzbar — der Angreifer kann sich nicht eigenständig zum Tenant-Admin hochstufen.

• Dedizierte Admin-Konten. Administratoren erhalten eigene Konten, die ausschließlich zur Verwaltung dienen — ohne E-Mail-Postfach, ohne Office-Lizenz, nicht für die tägliche Arbeit nutzbar.

• Bereinigung bestehender Berechtigungen. Wir prüfen, wer aktuell welche Admin-Rolle hat, und entfernen alles, was nicht zwingend nötig ist. Weniger Admins = weniger Angriffsziele.

• LAPS für lokale Geräte-Administratoren. Jedes Gerät bekommt ein individuelles, automatisch rotierendes lokales Admin-Passwort. Wird ein Gerät kompromittiert, ist nicht gleich die ganze Flotte betroffen.

Was Sie davon haben

Der mit Abstand häufigste Weg zu schweren IT-Sicherheitsvorfällen führt über kompromittierte Admin-Konten. Diese Trennung sorgt dafür, dass ein einzelner Fehler — eine falsch geklickte Mail, ein Browser-Exploit — niemals zum Totalschaden führen kann.

Ihre Daten sind nur so sicher wie das Gerät, von dem aus zugegriffen wird. Ein unverschlüsseltes, ungepatchtes Notebook ist ein offenes Hintertürchen — egal wie gut der Tenant abgesichert ist.

Was wir tun

• Geräte zentral verwaltet (Intune/MDM). Alle Firmen-Notebooks, Smartphones und Tablets werden zentral konfiguriert, überwacht und können bei Verlust oder Mitarbeiteraustritt aus der Ferne zurückgesetzt werden.
• Compliance-Anforderungen erzwingen. Nur Geräte, die definierte Mindeststandards erfüllen (aktiver Virenschutz, Verschlüsselung aktiv, kein Jailbreak), erhalten Zugriff auf Firmendaten.
• Festplattenverschlüsselung (BitLocker). Auf allen Windows-Geräten automatisch aktiviert. Bei Verlust oder Diebstahl sind die Daten unzugänglich.
• Sicherheitskonfiguration durchgesetzt. Standardisierte Konfigurationsprofile sorgen dafür, dass jedes Gerät dieselben Härtungseinstellungen mitbringt — niemand muss daran denken oder es manuell einrichten.

Was Sie davon haben

Ein verlorenes Notebook im Zug, ein gestohlenes Smartphone aus dem Auto, ein ausgeschiedener Mitarbeiter mit Firmen-iPad — all das sind Vorfälle, die ohne diese Maßnahmen meldepflichtige Datenschutzverletzungen wären. Mit diesen Maßnahmen sind sie ärgerlich, aber kontrollierbar.

Was wir tun

• Geschützter Container für private Geräte (MAM). Mitarbeitende können von ihren privaten Smartphones oder Tablets auf E-Mail, Teams und Firmendaten zugreifen — aber alle Unternehmensdaten liegen in einem abgeschotteten Bereich der jeweiligen App. Dieser Bereich ist separat durch PIN oder Biometrie geschützt, verschlüsselt, und gegenüber privaten Apps abgegrenzt: kein Copy/Paste in WhatsApp, keine Backups in iCloud, keine Screenshots. Bei Verlust des Geräts oder Ausscheiden des Mitarbeiters können wir gezielt nur die Firmendaten aus der Ferne löschen — private Fotos und Apps bleiben unberührt.

Was Sie davon haben

Sie müssen sich nicht zwischen Flexibilität und Kontrolle entscheiden. BYOD bleibt möglich — Mitarbeitende nutzen ihre vertrauten Privatgeräte, ohne dass Sie diese verwalten oder darauf zugreifen müssen. Trotzdem behalten Sie die Hoheit über Ihre Daten und können im Ernstfall sauber trennen, was Firma und was privat ist.

Zusätzlich relevant für den Datenschutz: Viele private Apps — von WhatsApp bis hin zu beliebigen Social-Media- oder Reise-Apps — fordern beim Installieren Zugriff auf Kontakte, Kalender oder Dateien. Wenn auf demselben Gerät auch ungeschützte Firmenkontakte und -dateien liegen, fließen diese Daten ungewollt an Dritte ab. Durch die Container-Trennung können private Apps die Unternehmensdaten gar nicht „sehen” — eine Voraussetzung für DSGVO-konformes Arbeiten auf privaten Geräten.

E-Mail ist nach wie vor das Angriffsmittel Nummer eins. Sowohl auf Sie eingehende Phishing-Mails als auch in Ihrem Namen versendete Fälschungen können erheblichen Schaden anrichten.

Was wir tun

• SPF, DKIM und DMARC. Drei aufeinander aufbauende DNS-Mechanismen, die zusammen sicherstellen, dass niemand E-Mails in Ihrem Namen versenden kann. Empfänger-Server erkennen Fälschungen und lehnen sie ab.
• Korrekt konfigurierter Mailflow. Die DNS-Einträge (MX-Records) sind so gesetzt, dass eingehende E-Mails zwingend durch die vorgelagerten Sicherheitsfilter laufen — ohne Umgehungsmöglichkeit.

Was Sie davon haben

Es gibt zwei sehr unterschiedliche Arten von „CEO-Fraud”: Bei der einen schreibt der Angreifer aus einer offensichtlich fremden Mailadresse (z. B. einer freien Gmail-Adresse) und hofft darauf, dass der Empfänger nicht genau hinschaut. Diese Variante lässt sich technisch kaum verhindern, hier hilft Schulung der Mitarbeitenden.

Die zweite, deutlich gefährlichere Variante fälscht den Absender so, dass die Mail tatsächlich von Ihrer echten Domain zu kommen scheint — z. B. von der Geschäftsführungs-Adresse an die Buchhaltung. Genau diese Variante machen SPF, DKIM und DMARC praktisch unmöglich, weil Empfänger-Server gefälschte Absender erkennen und ablehnen. Das schützt nicht nur Sie selbst, sondern auch Ihre Kunden und Partner: Niemand kann Phishing-Mails in Ihrem Namen an Ihre Geschäftskontakte versenden.

Was wir tun

• Externe Freigaben geregelt. Wir definieren klar, wer mit wem worüber Dokumente teilen darf. Anonyme „Anyone-Links” werden blockiert, externe Freigaben verfallen automatisch.
• Strukturierte Zugriffskontrollen in SharePoint. Berechtigungen werden über Gruppen verwaltet, nach dem Prinzip „so viel wie nötig, so wenig wie möglich”.

Was Sie davon haben

In nahezu jedem Unternehmen schlummern in SharePoint und OneDrive Dokumente, die unbeabsichtigt für viel zu viele Personen freigegeben sind — intern wie extern. Strukturierte Berechtigungen sind die Basis dafür, dass „nur die Richtigen” Zugriff haben — eine Voraussetzung sowohl für die DSGVO als auch für jede Form von Geschäftsgeheimnis-Schutz.

Was wir tun

• Gastzugänge eingeschränkt. Nur autorisierte Personen können Externe einladen.
• Drittanbieter-Apps geprüft. Wir inventarisieren alle Apps, die Zugriff auf Ihren Tenant haben, prüfen deren Berechtigungen und entfernen, was nicht benötigt wird.
• Admin-Genehmigung für neue Apps. Wenn ein Mitarbeitender einer App Zugriff auf Firmendaten geben möchte (z. B. ein Tool, das auf das eigene Postfach oder Kalender zugreift), läuft diese Freigabe über einen Genehmigungsworkflow: Der Benutzer kann die App anfordern, ein Administrator prüft die angefragten Berechtigungen und gibt sie frei oder lehnt ab. Bestehende Einwilligungen wurden geprüft und bereinigt.

Was Sie davon haben

Eine der unauffälligsten Angriffsarten der letzten Jahre ist „Consent Phishing”: Mitarbeitende werden dazu gebracht, einer scheinbar harmlosen App Zugriff auf ihre Mails und Dateien zu geben. Diese Tür schließen wir.

Was wir tun

• Audit-Logging aktiviert. Alle sicherheitsrelevanten Ereignisse — Anmeldungen, Dateizugriffe, Admin-Änderungen, Postfachzugriffe — werden zentral und durchsuchbar protokolliert.

Was Sie davon haben

Im Ernstfall — Vorwurf eines Datenmissbrauchs, Cybervorfall, Mitarbeiterstreit, Audit-Anfrage — ist die zentrale Frage immer dieselbe: Wer hat wann was getan? Ohne Audit-Logs ist diese Frage nicht beantwortbar. Mit ist sie es. Das macht den Unterschied zwischen einem geordneten Vorfall und einem unkontrollierten Krisenfall.

Ein häufiges Missverständnis: „Wir sind in der Microsoft Cloud, da kümmert sich Microsoft um Backups." Das stimmt nicht — und steht so auch ausdrücklich in den Microsoft-Vertragsbedingungen.

Was wir tun

• Backup der Microsoft-365-Daten. Vollständige, granulare Sicherung Ihrer Exchange-Postfächer, OneDrive-Dateien, SharePoint-Sites und Teams-Inhalte. Im Bedarfsfall können einzelne E-Mails oder ganze Postfächer wiederhergestellt werden.
• Backup der Entra-ID-Konfiguration. Zusätzlich sichern wir die Konfiguration Ihrer Identitätsumgebung — Benutzer, Gruppen, Rollen, Conditional-Access-Richtlinien, App-Registrierungen. Bei einer versehentlichen oder bösartigen Änderung lässt sich der Soll-Zustand gezielt nachvollziehen und wiederherstellen.
• Revisionssichere Archivierung. Langzeitarchivierung sämtlicher E-Mails entsprechend den gesetzlichen Aufbewahrungsfristen (GoBD, HGB §257, AO §147).

Was Sie davon haben

Zwei separate Themen, die oft verwechselt werden:

• Backup schützt Sie vor Datenverlust durch versehentliche Löschung, Ransomware, böswillige Mitarbeitende oder Konfigurationsfehler. Microsoft hält gelöschte Daten nur 30–93 Tage vor — danach sind sie weg.
• Archivierung ist eine gesetzliche Pflicht. Bei Betriebsprüfungen oder Rechtsstreitigkeiten müssen geschäftsrelevante E-Mails über Jahre lückenlos vorgehalten werden können.