Mit der korrekten Konfiguration des Microsoft-365-Tenants steht und fällt der ganze Unternehmensbetrieb. Laut Gartner sind 99 Prozent aller Störungen in Cloud-Umgebungen auf vermeidbare menschliche Fehler zurückzuführen. Mit einem klaren Vier-Schritte-Plan schützen Sie Ihren Microsoft-365-Tenant effektiv vor den vier größten Gefahren.
Mit der korrekten Konfiguration des Microsoft-365-Tenants steht und fällt der Unternehmensbetrieb. Menschliche Fehler, Insider-Bedrohungen und Tenant-Übernahmen gehören zu den größten Risiken.
Der Microsoft-365-Tenant ist das zentrale Element der meisten Unternehmensinfrastrukturen und doch wird seiner Bedeutung und damit seinem Schutz kaum Aufmerksamkeit gewidmet. M365 spielt längst eine Schlüsselrolle in den Bereichen Kommunikation, Zusammenarbeit und Sicherheit. So sorgen Dienste wie Entra, Intune, Exchange, Defender, Teams und SharePoint dafür, dass Unternehmen reibungslos und sicher laufen.
Die Basis dafür sind tausende Konfigurationsdetails. Und genau hier liegt das zentrale Problem: Jeder zweite IT-Verantwortliche geht fälschlicherweise davon aus, dass Microsoft automatisch Backups eben dieser Konfigurationen erstellt. Entsprechend kann die Kompromittierung der Konfigurationen verheerende Auswirkungen auf den Betrieb der gesamten Microsoft-365-Infrastruktur haben. Sicherheitsverantwortliche sollten deshalb den Blick auf die vier größten Risiken für den Tenant richten.
Jeder Mensch macht Fehler, selbst der gewissenhafteste Administrator. Gemäß Gartner sind Fehlkonfigurationen für 80 Prozent der Datenschutzverletzungen verantwortlich und gleichzeitig 99 Prozent aller Störungen in Cloud-Umgebungen auf vermeidbare menschliche Fehler zurückzuführen. Und dabei kann es sich um ganz einfache Fehler handeln: Ein Administrator nimmt beispielsweise eine Änderung direkt in der Produktions- statt in der Testumgebung vor. Oder es wird ein Benutzer fälschlicherweise aus dem Unternehmen entfernt, wodurch eine wichtige Richtlinie gelöscht wird. Alles kleine Fehler mit potenziell großen Auswirkungen.
Dieses Risiko wird vor allem durch manuelle Prozesse, etwa beim Onboarding und Offboarding von Benutzern, erheblich verstärkt. So zeigt der „2025 State of Microsoft 365 Security Report“, dass 30 Prozent der Unternehmen jeden neuen Benutzer manuell konfigurieren – ein Prozess, der mit zahlreichen möglichen Fehlern und Fehlkonfigurationen verbunden ist.
Risiko 2: Böswillige Aktivitäten und Insider-Bedrohungen
Die gezielte Manipulation von Konfigurationen ist eine beliebte Taktik von Angreifern, mit der sie Sicherheitskontrollen deaktivieren und sich unbemerkt dauerhaft Zugang verschaffen können. Seit 2023 verzeichnen Sicherheitsforscher einen Anstieg von 79 Prozent der Vorfälle durch Manipulationen an Konfigurationen. Bei Defender, Intune und Entra lässt sich sogar ein sprunghafter Anstieg verzeichnen, insbesondere um die Schutzmaßnahmen zu reduzieren und sich einen dauerhaften Zugang zu schaffen. Grundsätzlich geht es nicht nur um Änderungen der Konfigurationen. Angreifer können auch komplett neue Objekte und Konfigurationen für ihre Zwecke erstellen.
Unternehmen haben in aller Regel keine Möglichkeit, nach einem Vorfall festzustellen, welche Konfigurationen manipuliert wurden. Deshalb ist eine zeitaufwändige vollständige Überprüfung aller Konfigurationen erforderlich, bevor der Tenant wieder sicher betrieben werden kann.
Der Digital Defense Report von Microsoft verzeichnete 2024 in einem einzigen Monat über 176.000 Vorfälle im Zusammenhang mit Manipulationen an Sicherheitseinstellungen. Diese Form von Angriffen verläuft meist unbemerkt, da sie häufig nur subtile Änderungen an kritischen Kontrollen beinhaltet. Beispielsweise können Angreifer eine DLP-Richtlinie ändern, um Datenexfiltration zu ermöglichen, oder Audit-Protokolle deaktivieren, um ihre Spuren zu verwischen.
Dies ist das Worst-Case-Szenario: Angreifer erlangen die vollständigen Administratorrechte und nutzen diese, um alle Nutzer und Administratoren auszusperren und für den Tenant ein Lösegeld zu fordern. Versuche des Unternehmens, ihren sekundären bzw. Entwicklungs-Tenant als Basis für den Betrieb zu etablieren, müssen sorgfältig überprüft werden und dauern entsprechend lange – oft Wochen, in denen das Unternehmen quasi stillsteht. Und dabei ist das Ergebnis offen, sodass womöglich der Tenant trotzdem komplett neu aufgebaut werden muss.
Auch wenn sie nicht so dramatisch erscheinen wie feindliche Übernahmen durch Cyberkriminelle, sind Konfigurationsänderungen ein oft unterschätztes Problem: Im Laufe der Zeit entsteht in nahezu jeder Unternehmensumgebung eine unsichtbare, stille, kumulative Ansammlung von Änderungen durch unterschiedliche Administratoren. Diese scheinbar kleinen Änderungen können eine Reihe von schwerwiegenden Folgen haben, von Ausfallzeiten über Compliance-Verstöße bis hin zu Sicherheitsverletzungen. Dieses Problem verschärft sich noch in komplexen Umgebungen mit mehreren Tenants oder vielen Administratoren.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Um den eigenen Microsoft-365-Tenant effektiv vor Fehlkonfigurationen, versehentlichen Änderungen und böswilligen Handlungen zu schützen, dürfen sich Sicherheitsverantwortliche nicht auf native Microsoft-Tools verlassen. Vielmehr müssen sie dem Tenant mehr Aufmerksamkeit widmen und dabei einige Punkte umsetzen.
Schritt 1: Das Modell der geteilten Verantwortung verstehen
Akzeptieren Sie die Spielregeln der Cloud: Sicherheitsverantwortliche müssen verinnerlichen, dass die Verantwortung für die Widerstandsfähigkeit der Mandantenkonfiguration bei ihnen und ihrem Unternehmen liegt. Microsoft schützt die zugrunde liegende Infrastruktur. Die Sicherheitsverantwortlichen des Unternehmens müssen ihre Instanz und alles darin schützen. Dies ist nicht nur ein technisches Problem, sondern auch ein strategisches und kulturelles.
Ändern Sie Ihre Denkweise: Verabschieden Sie sich von der Annahme, dass native Tools und Standardeinstellungen ausreichen und übernehmen Sie aktive Verantwortung für Ihre Cloud-Sicherheit. Diese realistische Sichtweise ist unerlässlich, um versteckte Sicherheitslücken zu schließen und zu einem proaktiven, widerstandsfähigen Sicherheitsmodell überzugehen.
Schritt 2: Dokumentieren und analysieren Sie Ihre grundlegende Tenant-Konfiguration
Erfassen Sie die Tenant-Ressourcen: Identifizieren Sie alle kritischen Konfigurationsbereiche wie Administratorrollen und -berechtigungen, Sicherheitsrichtlinien, bedingter Zugriff, Exchange-/SharePoint-/Teams-Einstellungen, Compliance-Konfigurationen oder die Integrationen von Drittanbietern.
Erstellen Sie einen „Konfigurations-Snapshot” des aktuellen Zustands: Dokumentieren Sie hierfür sämtliche Einstellungen, Richtlinien, Eigentümer und Ausnahmen.
Schritt 3: Implementieren Sie eine Backup-Lösung für Konfigurationen
Wählen Sie eine für Ihre Bedürfnisse passende Lösung: Diese sollte eine dedizierte Plattform bereitstellen, die die Konfigurations-Backups für alle Workloads (Exchange, Teams, OneDrive, SharePoint, Intune usw.) automatisiert. Dabei muss gewährleistet sein, dass alle sicherheits- und dienstbezogenen Konfigurationen enthalten sind und nicht nur die Benutzerdaten.
Führen Sie regelmäßige Backups durch: Automatisieren Sie Konfigurations-Backups täglich oder entsprechend Ihrer Änderungshäufigkeit.
Schritt 4: Integrieren Sie Konfigurations-Backups in die Disaster-Recovery-Strategie
Verknüpfen Sie Backups mit der Vorfallreaktion: Stimmen Sie die Konfigurations-Backups auf die Strategien zur Vorfallreaktion und Cyber-Resilienz ab.
Überwachen Sie Änderungen der Konfigurationen: Wenn Konfigurationen geändert werden und so von der Baseline oder dem gewünschten Zustand abweichen, müssen Sicherheitsverantwortliche unmittelbar gewarnt werden.
Planen und üben Sie die Wiederherstellung: Führen Sie regelmäßig Notfallübungen durch. Stellen Sie Konfigurationen in Testumgebungen wieder her, um sicherzustellen, dass Ihr Team unter Druck schnell reagieren kann.
Die Härtung des Microsoft-365-Tenants ist wie die meisten Cybersecurity-Maßnahmen ein fortlaufender Prozess. Der erste und wichtigste Schritt ist die Schaffung des Bewusstseins um die enorme Bedeutung des Tenants. Hieraus ergeben sich vielschichtige Maßnahmen von der Basisbewertung über automatisierte Konfigurations-Backups bis hin zur kontinuierlichen Überwachung auf Änderungen und Manipulationen. Setzt man diese konsequent und kontinuierlich um, lassen sich die Risiken erheblich senken und die Resilienz stärken.
Über den Autor: Nurschan Bisenov ist Solution Specialist bei CoreView.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8e/5d/8e5d0f6f970d55f15b7a2c93a3928435/0130575784v2.jpeg "Unternehmen, die TLS-Zertifikate von D-Trust im Einsatz haben, sollten prüfen, ob diese zwischen dem 15.03.2025 und dem 02.04.2026 um 10:45 Uhr ausgestellt wurden. (Bild: Eakrin - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/f3/f2f38be8340a8b744e5c693e90aabfd4/0128625667v2.jpeg "Auch 2026 ist der Microsoft Patchday immer am zweiten Dienstag des Monats. (Bild: Microsoft, Pixabay)")
:quality(80)/p7i.vogel.de/wcms/52/a1/52a17d49a93b72767dbb13e2d825a33a/0130736402v1.jpeg "Mit KI-Modellen wie Mythos von Anthropic beginnt eine Zäsur: Die digitale Sicherheit, wie wir sie kennen, ist definitiv vorbei. (Bild: © ภาคภูมิ ปัจจังคะตา - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ed/23/ed2307b4a030d20f6b5585d75110d30b/0130620391v2.jpeg "Der Referentenentwurf zur Umsetzung des CRA des Bundesministeriums des Innern stößt beim Teletrust-Verband auf Kritik. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/83/6e/836ef2e618ad218ab8bea682bc8e3709/0130592725v2.jpeg "Die Diskussionen über die Sicherheit von Claude und weiterer Anthropic-Technologie reißen nicht ab. Stattdessen haben sie sich von der Öffentlichkeit in den Gerichtssaal verlagert. Das US-Verteidigungsministerium möchte die Technologien des Herstellers auf eine Blacklist setzen lassen, damit sie in entsprechenden Aufträgen nicht mehr verwendet wird – auch nicht von Partnern. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/a9/f3/a9f376495d6256ae662b312b63070d1f/0129495520v2.jpeg "Beim Thema Sicherheit müssen sämtliche Komponenten wie Zahnräder ineinandergreifen und perfekt aufeinander abgestimmt sein. Ein Leitfaden des BSI soll jegliche Unsicherheiten im Umgang mit Cloud-Lösungen ausräumen. (Bild: © Science RF - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/73/b0737698c01bffce828096309032c85f/0130547557v2.jpeg "Graphtechnologie und GraphRAG ermöglichen Sicherheitsbehörden neue Ansätze für investigative Datenanalyse gegen vernetzte Täterstrukturen und terroristische Netzwerke. (Bild: © Arthur Kattowitz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a2/bd/a2bdcca213aa2b874c6e7289b7b9bda9/0130236872v1.jpeg "Palo Alto Networks stellt Prisma Browser for Business vor: ein Unternehmensbrowser für KMU mit Schutz vor Phishing, Ransomware und KI-Datenlecks. (Bild: Palo Alto Networks)")
:quality(80)/p7i.vogel.de/wcms/e2/6e/e26e519ff76693bec7bef7c0a6b39585/0130399340v1.jpeg "Werden HTTP-Header in Anwendungen nicht geschrieben, verlieren Webbrowser und Zwischenstellen wichtige Schutzmechanismen. Dieses Risiko besteht aufgrund einer kritischen Sicherheitslücke in Spring Security. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/28/fb/28fbd4b66d5a6547362c2c784d852934/0130549494v2.jpeg "Cyberkriminelle hebeln MFA über gefälschte SSO-Portale mit dem MitM-Framework Evilginx aus. Mindestens 18 US-Universitäten wurden seit April 2025 attackiert. (Bild: © kucherav - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/27/c6/27c6f9a3b4a923cdb2563bce950984ea/0130498170v2.jpeg "Myra Security startet mit EU CAPTCHA eine in Europa entwickelte, DSGVO‑konforme und KRITIS‑erprobte Captcha‑Lösung, die drei Monate kostenlos getestet werden kann. (Bild: © Dragon Claws - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a9/56/a9568e19e71f36272b559071914c8a63/0126593157v1.jpeg "Das Computer Emergency Response Team der Europäischen Union (CERT-EU) hat die Aufgabe, Cyberangriffe gegen EU-Institutionen zu verhindern, zu erkennen und abzuwehren. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/5c/e0/5ce060d4d2f8c718ecc850759b1b7c4d/0126593157v1.jpeg "External Attack Surface Management (EASM) ist die Verwaltung und Absicherung der von außen zugänglichen digitalen Assets und externen Angriffsflächen.
(Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/13/e5/13e52ba754a65049c995146bac2f5426/0130048944v2.jpeg "Das US-Außenministerium hat sechs Männer sanktioniert, die zu CyberAv3ngers gehören. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/65/60/65609cf9d5d06/aagon-logo.png "aagon-logo (Aagon)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/79/79/7979624f016e7e6caa1e5ca39184c625/0127749320v2.jpeg "KI verändert die Angriffstaktiken: Gezielte Phishing-Mails und manipulierte OAuth-Anmeldungen ermöglichen den Zugriff auf Microsoft-365- und Azure-Konten. (Bild: © Art_spiral - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/99/63995c4556cd1ea33c5d9074172856ce/0120904290v2.jpeg "Maximale Sicherheit mit Entra ID in Microsoft 365 ermöglicht die Minimierung von Sicherheitsrisiken durch effektive Rollenverwaltung im Entra Admin Center. (Bild: Song_about_summer - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/64/e4/64e433e8d65e2d008319ef619203c4ef/0128274326v1.jpeg "Viele IT Teams gehen davon aus, dass Microsoft Tenant Konfigurationen automatisch absichert. Der CoreView-Report zu Microsoft 365 Security zeigt, wie riskant diese Annahme ist. (Bild: Midjourney / Paula Breukel / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/33/07/330715e07e85cb5ab855b87277dd2bd8/0123215790v2.jpeg "Entra ID und Microsoft 365 mit Passkeys nutzen: So geht’s. (Bild: BillionPhotos.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ff/a4/ffa4bf35c7597a0caad09638cee1778a/0121813103v2.jpeg "Mit der verpflichtenden Multifaktor-Authentifizierung für das Microsoft 365 Admin Center will Microsoft das Risiko von Kontokompromittierungen verringern. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/ad/1eadbda01eb4ee5fedd49c2483ee1312/0122240532v2.jpeg "Windows Hello for Business erweitert die biometrische Authentifizierungslösung Windows Hello um Features, die speziell für den Einsatz in Unternehmensumgebungen entwickelt wurden. (Bild: everythingpossible - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/42/4b/424b8ce7ebf8c34ffc63bcb013da8c22/0125332406v1.jpeg "Für die Sicherung der Daten, die in Public-Cloud-Lösungen wie MS365 gespeichert werden, hat der Kunde selbst zu sorgen. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d6/5a/d65a05a6f1f8f938e4af7aeb6dba90ca/0128263315v2.jpeg "Windows Backup for Organizations sichert Einstellungen und Store-Apps cloudbasiert und bietet die Wiederherstellung bereits im OOBE an. Es ersetzt jedoch kein klassisches Backup. (Bild: © Miha Creative - stock.adobe.com)")