Über 80% der Schweizer KMU nutzen Microsoft 365. Die Standardkonfiguration ist nicht sicher genug. Diese Checkliste zeigt die 10 wichtigsten Sicherheitseinstellungen, die Sie sofort umsetzen können.
Ihr Unternehmen nutzt Microsoft 365. E-Mail, Dateien, Teams, SharePoint, alles läuft über die Microsoft-Cloud. Die Einrichtung hat Ihr IT-Partner übernommen, seither läuft es. Aber haben Sie die Sicherheitseinstellungen jemals geprüft? Die Standardkonfiguration von M365 priorisiert Benutzerfreundlichkeit, nicht Sicherheit. Laut der KMU-Cyberstudie 2025 fühlen sich nur 42% der Schweizer KMU ausreichend geschützt, und ein Grossteil der erfolgreichen Phishing-Angriffe nutzt genau diese Standardlücken aus.
Identität und Zugang absichern
Die ersten drei Einstellungen betreffen den wichtigsten Angriffsvektor: gestohlene Zugangsdaten. Erstens: Aktivieren Sie Multi-Faktor-Authentifizierung (MFA) für alle Benutzer, ohne Ausnahme. Nutzen Sie die Microsoft Authenticator App oder FIDO2-Schlüssel, nicht SMS. Zweitens: Richten Sie Conditional Access Policies ein: Zugriff nur von verwalteten Geräten, nur aus der Schweiz, nur mit aktuellen Sicherheitsupdates. Drittens: Deaktivieren Sie Legacy-Authentifizierungsprotokolle (IMAP, POP3, SMTP Auth), denn diese umgehen MFA komplett und sind das häufigste Einfallstor.
E-Mail-Sicherheit konfigurieren
E-Mail bleibt der Angriffsvektor Nummer eins. Viertens: Aktivieren Sie Safe Attachments und Safe Links in Microsoft Defender for Office 365, damit Anhänge in einer Sandbox geprüft und Links beim Klick verifiziert werden. Fünftens: Konfigurieren Sie SPF, DKIM und DMARC für alle Ihre Domains, damit Angreifer keine E-Mails in Ihrem Namen versenden können. Sechstens: Aktivieren Sie Anti-Phishing-Policies mit Impersonation Protection für Ihre Geschäftsleitung, denn CEO-Fraud-Meldungen in der Schweiz sind 2024 um 48% gestiegen.
Daten und Geräte schützen
Siebtens: Richten Sie Data Loss Prevention (DLP) Regeln ein, damit sensible Daten (AHV-Nummern, Kreditkartennummern, Gesundheitsdaten) nicht versehentlich per E-Mail oder Teams nach aussen gelangen. Achtens: Aktivieren Sie BitLocker-Verschlüsselung über Intune für alle Firmengeräte, damit verlorene Laptops kein Datenschutzvorfall werden. Neuntens: Konfigurieren Sie automatisches Session-Timeout (Idle-Timeout 15 Minuten) für Web-Sessions, damit offene Browser-Tabs kein Risiko darstellen.
Monitoring und Nachvollziehbarkeit
Zehntens: Aktivieren Sie das Unified Audit Log und richten Sie Alert-Policies ein für verdächtige Aktivitäten: unmögliche Reiseaktivität (Login aus Zürich und Lagos innerhalb einer Stunde), Massendownloads von SharePoint, Erstellung von Inbox-Weiterleitungsregeln. Diese Logs sind auch Pflicht für die nDSG-Compliance, denn ohne Nachvollziehbarkeit können Sie einen Datenvorfall weder erkennen noch korrekt melden.
Nächste Schritte
Diese zehn Einstellungen decken die kritischsten Lücken ab und lassen sich an einem Arbeitstag umsetzen. Für ein vollständiges M365 Security Assessment empfehlen wir zusätzlich: Microsoft Secure Score als Benchmark (Ziel: über 80%), regelmässige Access Reviews für Gastbenutzer und externe Freigaben, sowie eine jährliche Überprüfung der Konfiguration. MilesGuard führt M365 Security Assessments für KMU durch: Wir prüfen Ihre aktuelle Konfiguration gegen Best Practices, erstellen einen priorisierten Massnahmenplan und begleiten die Umsetzung.
Quellen
- [1] Microsoft Security Documentation (learn.microsoft.com)
- [2] KMU-Cyberstudie 2025 FHNW/digitalswitzerland
- [3] BACS Halbjahresbericht 2025/2
