Organisationseinstellungen | Dienste

Standardmäßig gewährt Microsoft 365 den Anwendern weitreichende Freiheiten bei der Installation von Drittanbieter-Apps. Ohne serverseitige Restriktionen bauen Nutzer so eine unkontrollierte Schatten-IT auf.

Installiert ein Anwender eine Applikation aus dem Office Store, autorisiert er den externen Dienst per OAuth-Consent häufig direkt für den Zugriff auf Postfächer, Teams-Chats und SharePoint-Ablagen. Durch diese direkte Rechtevergabe verlierst du als Administrator die Kontrolle über den Datenabfluss.

Da für diese Ad-hoc-Installationen keine Auftragsverarbeitungsverträge (AVV) vorliegen, verletzt dieser Prozess die Vorgaben der DSGVO. Reine Richtlinien auf dem Papier greifen hier zu kurz. Du musst die Rechte direkt im Admin Center technisch beschneiden.

Details und Best Practices

• Office Store-Zugriff
  • Einstellung: Deaktivieren
  • Beschreibung: Verhindert, dass Endanwender eigenständig OAuth-Berechtigungen an ungeprüfte Drittanbieter vergeben. Vertrauenswürdige Apps stellst du stattdessen global als Administrator bereit.
• Testversionen im Auftrag der Organisation starten
  • Einstellung: Deaktivieren
  • Beschreibung: Verhindert, dass Benutzer unerwünschte Abonnements aktivieren, welche die organisatorische Identität nutzen und Daten mit externen Cloud-Infrastrukturen synchronisieren.
• Automatisches Anfordern von Lizenzen
  • Einstellung: Deaktivieren
  • Beschreibung: Stoppt die automatische Zuweisung von Lizenzen bei der ersten Anmeldung an einer App. Das sichert das Transparenzgebot der DSGVO, weil jede Datenverarbeitung vorab dokumentiert sein muss.

Die Azure-Spracherkennungsdienste in Microsoft 365 ermöglichen Funktionen wie Transkriptionen oder Diktate. Da sie dafür E-Mails, Dokumente oder Sprachaufnahmen analysieren, können personenbezogene Daten an Microsoft-Sprachmodelle übertragen werden.

Um die DSGVO-Vorgabe der Datensparsamkeit einzuhalten und die Weitergabe von Firmendaten an globale Sprachmodelle zu verhindern, solltest du die Nutzung dieser Dienste steuern.

Details und Best Practices

• Organisationsweites Sprachmodell zulassen
  • Einstellung: Deaktivieren
  • Beschreibung: Die Option bewirkt, dass Microsoft E-Mails und Dokumente deiner Organisation nutzt, um das globale Sprachmodell mit organisationsspezifischen Begriffen und Akronymen zu trainieren. Das ist datenschutzrechtlich kritisch, weil deine Daten so in den Trainingsprozess für globale KI-Modelle einfließen.

Bei der Auswertung von Benutzeraktivitäten in Microsoft 365 stehen sich operative IT-Steuerung und der Grundsatz der Datensparsamkeit gegenüber.

Seit dem 1. September 2021 ist Microsoft 365 im Auslieferungszustand datenschutzfreundlich. Microsoft pseudonymisiert standardmäßig die Benutzer-, Gruppen- und Websitenamen in den Berichten des Admin Centers, in der Microsoft Graph API sowie in der Microsoft 365 Verwendungsanalyse für Power BI.

Statt Klarnamen siehst du pseudonymisierte Bezeichner, während die Logdaten selbst unverändert bleiben. Diese Pseudonyme bleiben nach Art. 4 Nr. 5 DSGVO ein personenbezogenes Datum. Die Maßnahme erschwert eine Leistungsüberwachung einzelner Mitarbeiter, die in Deutschland über Betriebsvereinbarungen und Beschäftigtendatenschutz streng geregelt ist (Art. 88 DSGVO, § 26 BDSG).

Details und Best Practices

• Benutzer-, Gruppen- und Websitenamen in allen Berichten verbergen
  • Einstellung: Aktiviert lassen
  • Beschreibung: Wahrt die Privatsphäre der Mitarbeiter und verhindert eine unzulässige Leistungsüberwachung.
• Microsoft 365 Verwendungsanalyse (Power BI)
  • Einstellung: Bedarfsgerecht prüfen
  • Beschreibung: Die Nutzung personalisierter Daten in Power BI erfordert vorab eine datenschutzrechtliche Bewertung durch die interne Compliance-Abteilung.
    
    Heb die Pseudonymisierung nur in Ausnahmefällen und nach Rücksprache mit Datenschutzbeauftragtem oder Betriebsrat auf.

Microsoft Bookings dient der Terminplanung, birgt durch die öffentliche Natur der Buchungsseiten aber erhebliche Datenschutzrisiken. Konfigurierst du Bookings unbedacht, gibst du Mitarbeiterdaten ungewollt preis oder leitest Kundendaten in nicht kontrollierte Prozesse.

Für einen DSGVO-konformen Betrieb musst du die öffentliche Erreichbarkeit einschränken und den Zugriff streng auf die notwendigen Personen begrenzen.

Der Fokus liegt auf dem Prinzip "Privacy by Default": Erst nach bewusster Konfiguration der Sicherheitsmechanismen gibst du den Dienst produktiv frei.

Details und Best Practices

• Bookings in der Organisation zulassen
  • Einstellung: Bedarfsgerecht (deaktivieren, falls nicht zwingend erforderlich, ansonsten gezielte Zuweisung an Gruppen)
  • Beschreibung: Beschränkt den Dienst auf die Nutzer, die ihn wirklich benötigen, und verkleinert so die Angriffsfläche innerhalb der Organisation.
• Terminbuchungen von außerhalb der Organisation blockieren
  • Einstellung: Aktivieren
  • Beschreibung: Verhindert unbefugte Zugriffe von außen und stellt sicher, dass nur authentifizierte Personen buchen.
• Teilen über soziale Netzwerke blockieren
  • Einstellung: Aktivieren
  • Beschreibung: Entfernt die Freigabe-Steuerelemente für soziale Netzwerke und die Facebook-Anbindung. Das verhindert, dass die Buchungsseite unkontrolliert in sozialen Medien verbreitet und damit öffentlich sichtbar wird.
• Direkte Suchmaschinen-Indizierung der Buchungsseite deaktivieren
  • Einstellung: Aktivieren
  • Beschreibung: Sorgt dafür, dass Suchmaschinen (Google, Bing) die Buchungsseite nicht indexieren, wodurch der Zugriff auf den direkten Link beschränkt bleibt.
• Sammlung von Kundendaten einschränken
  • Einstellung: Entsprechend konfigurieren
  • Beschreibung: Minimiert die erhobenen Daten auf das Notwendige und setzt damit die DSGVO-Vorgabe der Datensparsamkeit um.

Microsoft hat den Support für die Cortana-App und die meisten zugehörigen Microsoft 365-Dienste offiziell eingestellt. In gewachsenen IT-Umgebungen lohnt es sich dennoch, die Konfiguration zu prüfen, weil alte Konfigurationsreste noch aktive Datenzugriffe auf Microsoft 365-Ressourcen erlauben können.

Da Cortana für die Verarbeitung von Arbeitsabläufen Zugriff auf interne Informationen benötigt, solltest du diesen Zugriff aus Gründen der Datensparsamkeit und zur Vermeidung unkontrollierter Datenflüsse konsequent unterbinden.

Details und Best Practices

• Cortana den Zugriff auf M365-Organisationsdaten gestatten
  • Einstellung: Deaktivieren
  • Beschreibung: Auch wenn Cortana kaum noch aktiv genutzt wird, verkleinert die explizite Deaktivierung die Angriffsfläche und stellt sicher, dass keine ungewollten Datenanfragen an Microsoft-Dienste dieser Kategorie mehr gestellt werden.

Dynamics 365 Customer Voice holt systematisches Feedback von Kunden und Mitarbeitern ein. Da bei Umfragen regelmäßig personenbezogene Daten wie Namen, E-Mail-Adressen oder individuelles Feedback verarbeitet werden, ist das Tool aus Datenschutzsicht kritisch.

Ist Customer Voice in der Organisation aktiv, können Nutzer eigenständig Umfragen erstellen und versenden. Ohne klare Leitplanken droht eine unkontrollierte Erhebung sensibler Informationen, die mit internen Compliance-Richtlinien oder den DSGVO-Prinzipien der Zweckbindung und Datensparsamkeit kollidieren kann.

Du musst den Zugriff auf das Erstellen von Umfragen auf einen autorisierten Personenkreis beschränken und sicherstellen, dass beim Versand keine ungeschützten E-Mail-Kanäle genutzt werden.

Details und Best Practices

• Dynamics 365 Customer Voice für deine Organisation zulassen
  • Einstellung: Nutzung auf spezifische Sicherheits- oder Benutzergruppen beschränken
  • Beschreibung: Beschränkt das Erstellen von Umfragen auf einen definierten Kreis von Mitarbeitern. So lässt sich jede Umfrage datenschutzrechtlich prüfen, etwa auf eine korrekte Datenschutzerklärung im Umfrage-Header.
• Benutzerdefinierte E-Mail-Adresse verwenden
  • Einstellung: Aktivieren (bzw. Konfiguration erzwingen)
  • Beschreibung: Verhindert den Versand über generische Microsoft-Domains. Eine eigene Unternehmensadresse erhöht die Transparenz gegenüber den Empfängern und stärkt die Vertrauenswürdigkeit der Datenverarbeitung.
    

Da das Tool keine automatische DSGVO-Konformität garantiert, musst du sicherstellen, dass jede Umfrage explizit auf die Datenschutzerklärung hinweist, um die Transparenzpflicht zu erfüllen.

Dynamics 365 ist das zentrale System für Marketing, Vertrieb und Kundenservice. Da es hochsensible personenbezogene Daten von Kunden und Interessenten speichert, stellt es hohe Anforderungen an den Datenschutz. Ein fehlerhaft konfiguriertes CRM-System führt schnell zu Verstößen gegen die DSGVO, etwa bei unzureichender Datenlöschung, unberechtigten Zugriffen oder fehlender Transparenz.

Um Dynamics 365 rechtskonform zu betreiben, musst du die technischen Schutzmechanismen des Admin Centers nutzen und das CRM-System durch den Microsoft Purview Compliance Manager überwachen lassen.

Details und Best Practices

• Microsoft Purview Compliance Manager nutzen
  • Einstellung: Aktiv und kontinuierlich nutzen
  • Beschreibung: Der Compliance Manager liefert konkrete Kontrollpunkte für die Risikoanalyse. Er übersetzt DSGVO-Anforderungen wie Datensicherheit und Zweckbindung in konkrete IT-Prozesse.

Die Einführungsbewertung liefert datengestützte Analysen zu zwei Kernbereichen. Die Personenerfahrung zeigt, wie Mitarbeiter die Collaboration-Tools nutzen, die Technologieerfahrung bewertet den Zustand von Geräten und Netzwerkverbindungen.

Microsoft berechnet die Daten aggregiert auf Organisationsebene, um Rückschlüsse auf Einzelpersonen zu vermeiden. Nutzt du feingranulare Filter, brauchst du dennoch eine sorgfältige datenschutzrechtliche Prüfung. Aktivierst du Gruppendatenfilter nach Abteilung oder Standort, können bei kleinen Gruppen einzelne Nutzer identifizierbar werden. In solchen Fällen hat der Schutz der Persönlichkeitsrechte Vorrang vor der analytischen Auswertung.

Details und Best Practices

• Auswahl von Benutzern und Gruppen für Erkenntnisse
  • Einstellung: Bewusst auf notwendige Bereiche beschränken
  • Beschreibung: Analysiere nicht die gesamte Organisation pauschal, wenn nur bestimmte Teilbereiche für eine gezielte Verbesserung der Adoption relevant sind. Das folgt dem Grundsatz der Datenminimierung.
• Gruppendatenfilterung (Abteilung oder Standort)
  • Einstellung: Nur nach sorgfältiger Prüfung der Entra-Daten aktivieren
  • Beschreibung: Prüfe vor der Aktivierung, ob die Filter Rückschlüsse auf Einzelpersonen ermöglichen. In kleineren Abteilungen kann das gegen den Beschäftigtendatenschutz verstoßen. Eine Abstimmung mit dem Betriebsrat ist hier zwingend.
• Organisationsnachrichten (Empfehlungen an Benutzer)
  • Einstellung: Mit Vorsicht steuern
  • Beschreibung: Automatisierte Nachrichten, die das Nutzungsverhalten von Mitarbeitern ändern sollen, können als "Nudging" wahrgenommen werden. Halte die Nachrichten transparent und datenschutzkonform.
    

Datenschutz-Compliance:
Die Nutzung von Gruppendatenfiltern zum Vergleich von Abteilungen oder Standorten ist eine Form der Leistungs- und Verhaltenskontrolle. Sie erfordert nach deutschem Arbeitsrecht zwingend die Beteiligung des Betriebsrats oder eine Datenschutz-Folgenabschätzung (DSFA). Binde Betriebsrat oder Datenschutzbeauftragten frühzeitig ein.

Die Profilkarten in Microsoft 365 sind das zentrale Verzeichnis für die Zusammenarbeit im Unternehmen. Sie zeigen Informationen aus Microsoft Entra ID an, um die Kommunikation zu erleichtern. Aus Datenschutzsicht ist Vorsicht geboten: Zeigst du zu viele persönliche oder optionale Attribute an, verletzt du den Grundsatz der Datensparsamkeit, vor allem wenn diese Informationen über den beruflichen Kontext hinausgehen.

Stelle nur die Informationen bereit, die für die Zusammenarbeit im geschäftlichen Alltag erforderlich sind. Alles Weitere bleibt optional oder deaktiviert, um eine Über-Information und Missbrauchsrisiken wie Social Engineering zu verringern.

Details und Best Practices

• Personeninformationen auf Profilkarten (optional)
  • Einstellung: Auf das Notwendige reduzieren
  • Beschreibung: Deaktiviere die Anzeige von Attributen, die für die Arbeit nicht erforderlich sind, etwa Privatadressen oder private Telefonnummern. Prüfe regelmäßig, welche Felder die IT-Richtlinie als dienstlich notwendig definiert.
• Aussprache von Namen
  • Einstellung: Bedarfsgerecht (deaktivieren, falls keine organisatorische Notwendigkeit besteht)
  • Beschreibung: Eine freiwillige Angabe. In globalen Organisationen kann sie die Zusammenarbeit verbessern, in rein nationalen Einheiten ist sie oft nicht erforderlich.
• Pronomen
  • Einstellung: Bedarfsgerecht (deaktivieren, falls nicht gewünscht)
  • Beschreibung: Die Angabe von Pronomen berührt einen sensiblen Bereich der Identität. Aktivierst du die Funktion, muss die Angabe auf absoluter Freiwilligkeit beruhen und die Benutzer müssen jederzeit die Kontrolle über die Anzeige behalten.

Das Entwicklerportal für Teams ist die zentrale Anlaufstelle für die Konfiguration, Validierung und Veröffentlichung von benutzerdefinierten Apps, Agenten und Copilot-Erweiterungen. Für Entwickler ist es ein wichtiges Produktivitäts-Tool, gleichzeitig öffnet es die Tür für Code, der tief in die Microsoft 365-Umgebung eingreift.

Unkontrollierte App-Entwicklungen können zu Datenabflüssen oder unautorisierten Zugriffen auf M365-Daten führen. Du musst sicherstellen, dass die Entwicklungsumgebung von der produktiven Umgebung isoliert ist und dass die Einsicht in Nutzungsdaten nicht gegen den Beschäftigtendatenschutz verstößt.

Details und Best Practices

• App-Nutzung für benutzerdefinierte Anwendungen anzeigen
  • Einstellung: Deaktivieren (bzw. auf ein minimales Entwickler-Team einschränken)
  • Beschreibung: Verhindert, dass Entwickler ohne Notwendigkeit detaillierte Einblicke in Nutzeraktivitäten erhalten. Die Einsicht in aktive Benutzer kann bei unsauberer Aggregation zu einer Verhaltensüberwachung werden, die strengen betriebsverfassungsrechtlichen Vorgaben unterliegt.
• Governance und App-Lebenszyklus
  • Einstellung: Zentraler Freigabeprozess
  • Beschreibung: Stelle sicher, dass jede im Entwicklerportal erstellte App vor dem Rollout einen zentralen Sicherheits-Check durch IT-Administration und Datenschutzbeauftragten durchläuft. Nutze dabei das Least-Privilege-Prinzip bei den App-Berechtigungen.

Die Kalenderfreigabe in Microsoft 365 ist ein wichtiges Werkzeug für die Zusammenarbeit, stellt aber ein erhebliches Datenschutzrisiko dar, wenn sie unkontrolliert erfolgt. Geben Mitarbeiter Kalender unbedacht nach extern frei, etwa an Kunden oder Privatkonten, fließen Informationen über Arbeitszeiten, Besprechungsteilnehmer und interne Projekte ungewollt ab.

Im M365 Admin Center legst du grundlegende Richtlinien fest, die feingranulare Steuerung erfolgt im Exchange Admin Center (EAC). Implementiere eine restriktive Standardrichtlinie, die die externe Freigabe entweder komplett unterbindet oder auf ein Minimum reduziert, zum Beispiel auf Verfügbarkeitsdaten statt vollständiger Betreffzeilen.

Details und Best Practices

• Externes Teilen (Exchange Admin Center)
  • Einstellung: Restriktiv (Standard: keine Freigabe oder nur Frei/Gebucht-Informationen)
  • Beschreibung: Wähle "Verfügbarkeitsinformationen nur anzeigen", statt vollständige Kalenderdetails freizugeben. Das schützt vor dem Abfluss von Inhalten wie Projekttiteln oder Namen interner Ansprechpartner.
• Steuerung der Zielgruppe
  • Einstellung: Bedarfsgerecht einschränken
  • Beschreibung: Begrenze die externe Freigabe im Exchange Admin Center auf verifizierte Domänen oder Nutzergruppen, statt sie für die gesamte Organisation pauschal zu erlauben.

Die E-Mail ist nach wie vor der primäre Angriffsvektor für Cyberangriffe und das größte Risiko für unkontrollierte Datenabflüsse. Die allgemeinen M365-Einstellungen bilden die Oberfläche, die tiefe Konfiguration der E-Mail-Sicherheit liegt im Exchange Admin Center (EAC).

Ein DSGVO-konformer E-Mail-Verkehr erfordert Schutz vor externen Bedrohungen, eine lückenlose Protokollierung und die Verhinderung der Exfiltration sensibler Daten. Die Kategorien Überwachung, E-Mail-Fluss und Schutz bilden das Fundament für ein sicheres Kommunikationsumfeld.

Details und Best Practices

• Überwachung (Audit Logs)
  • Einstellung: Alle Protokollierungen aktivieren und regelmäßig prüfen
  • Beschreibung: Protokolliere Änderungen an Postfächern und globalen Einstellungen. Das ist Pflicht für die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO, weil du im Vorfallsfall nachvollziehen musst, wer wann welche Änderung vorgenommen hat.
• Schutz (Antispam und Antischadsoftware)
  • Einstellung: Standardrichtlinien durch striktere Profile ersetzen
  • Beschreibung: Konfiguriere Antischadsoftware-, Verbindungsfilter- und Spamfilterrichtlinien über die Microsoft-Standardvorgaben hinaus. Nutze Safe Attachments und Safe Links, um E-Mails proaktiv auf bösartige Inhalte zu scannen.
• Richtlinien zur Verhinderung von Datenverlust (Data Loss Prevention, DLP)
  • Einstellung: Aktivieren und auf sensible Datentypen trainieren
  • Beschreibung: Implementiere DLP-Richtlinien, die den Versand sensibler Informationen wie IBANs, Ausweisnummern oder interner Geheimnisse automatisch unterbinden oder verschlüsseln, bevor sie die Organisation verlassen.

Das Markencenter ist die zentrale Anlaufstelle für die Verwaltung von Corporate-Design-Ressourcen (Logos, Schriftarten, Farbpaletten), die in Microsoft 365-Anwendungen wie SharePoint, Teams oder PowerPoint genutzt werden. Aus Sicht der IT-Sicherheit ist das Markencenter weniger ein Vektor für externe Angriffe, sondern primär ein Instrument zur Governance und Datenhoheit.

Durch das Markencenter stellst du sicher, dass keine unautorisierten oder veralteten Design-Elemente in Unternehmensdokumente gelangen. Zudem verhinderst du, dass Benutzer eigenständig externe Quellen (z. B. Drittanbieter-Design-Tools) einbinden müssen, was wiederum das Risiko von Schatten-IT und Compliance-Verstößen reduziert.

• Zugriff auf die Markencenter-Website
  • Einstellung: Auf interne Mitarbeiter beschränken
  • Die Standardeinstellung schließt externe Benutzer aus. Dies ist absolut korrekt, um sicherzustellen, dass unternehmensinterne Branding-Assets geschützt bleiben und nicht in falsche Hände geraten.
• Zuweisung von Website-Besitzern (Markenmanager)
  • Einstellung: Nach dem "Least Privilege"-Prinzip
  • Weise nur den Personen Admin-Rechte für die Markencenter-App zu, die zwingend für die Markenführung verantwortlich sind. Nutze hierfür Gruppen-basierte Berechtigungen, um die Verwaltung flexibel, aber nachvollziehbar zu halten.
• Berechtigungsmanagement
  • Einstellung: Zentral über SharePoint Admin Center oder Markencenter-Website
  • Überprüfe in regelmäßigen Abständen (z. B. quartalsweise) die Berechtigungsliste der Website-Besitzer. Entferne Konten von Personen, die das Unternehmen verlassen haben oder deren Aufgabenbereich sich geändert hat, um den Zugriff auf das interne Branding zu beschränken.

Die Multi-Faktor-Authentifizierung ist heute kein optionales Sicherheitsfeature mehr, sondern die notwendige Basis für jede IT-Infrastruktur. Passwörter lassen sich durch Phishing, Brute-Force-Angriffe oder Datenlecks bei Drittanbietern kompromittieren. MFA fügt eine zweite Sicherheitsebene hinzu: Erbeutet ein Angreifer das Kennwort, bleibt ihm der Zugriff auf das M365-Konto ohne den zweiten Faktor verwehrt.

Microsoft erzwingt MFA inzwischen verpflichtend für die Anmeldung an den Admin-Portalen. Seit Oktober 2024 gilt das für Azure-Portal, Microsoft Entra Admin Center und Intune Admin Center, seit Februar 2025 auch für das Microsoft 365 Admin Center. Seit dem 1. Oktober 2025 läuft Phase 2 für Azure CLI, Azure PowerShell, die Azure-App und Infrastructure-as-Code-Werkzeuge bei schreibenden Operationen. Im M365 Admin Center und in Microsoft Entra ID ist die MFA-Konfiguration der wirksamste Hebel, um Identitätsdiebstahl zu unterbinden.

Details und Best Practices

• Multi-Faktor-Authentifizierung für alle Benutzer erzwingen
  • Einstellung: Aktivieren (über Sicherheitsstandards oder Conditional Access Policies)
  • Beschreibung: MFA sollte für jeden Benutzer verpflichtend sein, vor allem für Administratoren. Aktiviere idealerweise Conditional Access Policies, um die MFA-Anforderung anhand von Kontext wie Standort, Gerät oder Risiko zu steuern.
• Methoden für die Authentifizierung
  • Einstellung: Starke Faktoren bevorzugen (Authenticator-App oder FIDO2)
  • Beschreibung: Vermeide SMS-basierte Authentifizierung, weil sie anfällig für SIM-Swapping-Angriffe ist. Nutze stattdessen Microsoft Authenticator mit Push und Number Matching oder physische Sicherheitsschlüssel (FIDO2).

Innerhalb der Microsoft 365 Web-Apps (wie Word, Excel oder PowerPoint online) haben Benutzer die Möglichkeit, externe Dateien von Drittanbietern direkt zu öffnen. Was auf den ersten Blick wie ein praktisches Feature zur Produktivitätssteigerung wirkt, stellt für Administratoren ein signifikantes Sicherheits- und Compliance-Risiko dar.

Microsoft weist explizit darauf hin, dass für diese externen Inhalte weder die Microsoft-eigenen Sicherheitsstandards noch die Datenschutzrichtlinien des Unternehmens gelten.

Sobald ein Benutzer eine solche Datei öffnet, verlässt er den "geschützten Raum" der Microsoft-Cloud. Sensible Unternehmensdaten könnten so in Drittsysteme abfließen, für die kein Auftragsverarbeitungsvertrag (AVV) besteht oder deren Sicherheitsniveau völlig unbekannt ist.

• Öffnen externer Dateien in M365 im Web zulassen
  • Einstellung: Deaktivieren
  • Beschreibung: Durch das Deaktivieren dieser Funktion verhinderst du, dass Benutzer unkontrolliert externe Drittanbieter-Dateien in der M365-Umgebung öffnen. Dies ist ein wichtiger Schritt zur Vermeidung von Schatten-IT und zum Schutz vor unkontrolliertem Datenabfluss. Sollte ein geschäftlicher Bedarf bestehen, sollten diese Dateien ausschließlich über kontrollierte, unternehmenseigene Wege (z. B. verschlüsselte E-Mail-Anhänge oder freigegebene SharePoint-Bibliotheken) geprüft und bereitgestellt werden.

Microsoft 365 Lighthouse ist ein Administrationswerkzeug für IT-Dienstleister (Managed Service Provider), um Mandanten zu verwalten, Geräte zu überwachen und Sicherheitsrisiken zu senken.

Aus Datenschutz- und Sicherheitssicht ist Lighthouse kritisch: Mit der Aktivierung gewährst du deinem Partner umfassende Zugriffsrechte auf deine Unternehmensdaten, also Benutzer, E-Mails, Geräte und Konfigurationen. Ein unbedachter Zugriff oder eine schlecht gesicherte Partnerschaft wird schnell zum Sicherheitsrisiko. Die Freigabe ist eine Einstellung auf Mandantenebene und gehört deshalb nur nach sorgfältiger Prüfung der vertraglichen Vereinbarungen aktiviert.

Details und Best Practices

• Microsoft 365 Lighthouse-Zugriff für Partner aktivieren
  • Einstellung: Bedarfsgerecht (nur bei aktivem, vertraglich gebundenem Partner)
  • Beschreibung: Aktiviere den Zugriff nur, wenn ein gültiger AVV vorliegt und der Umfang der IT-Dienstleistungen klar vereinbart ist. Prüfe regelmäßig unter "Beziehungen mit Partnern", ob die Verbindung noch notwendig ist.
• Audit und Monitoring
  • Einstellung: Regelmäßige Prüfung
  • Beschreibung: Kontrolliere in den Audit-Logs, welche Aktionen dein Partner über Lighthouse im Mandanten durchgeführt hat. Das ist ein zentraler Bestandteil der proaktiven Sicherheitskontrolle.

Microsoft 365-Gruppen bilden das Rückgrat der Zusammenarbeit in Teams, SharePoint und Outlook. Ohne strikte Governance führen sie jedoch schnell zu "Group Sprawl" (unkontrollierte Gruppenbildung) und riskanten Datenfreigaben.

Besonders kritisch sind hier die Einbindung externer Gäste sowie das Fehlen verantwortlicher Eigentümer, was Compliance-Lücken bei der Datenlöschung und Zugriffsberechtigung zur Folge hat.

• Gastzugriff in Microsoft 365-Gruppen
  • Einstellung: Restriktiv konfigurieren (bzw. auf explizit erlaubte Szenarien begrenzen)
  • Beschreibung: Wenn Gäste nicht zwingend erforderlich sind, deaktiviere den Gastzugriff vollständig. Falls externe Zusammenarbeit nötig ist, nutze stattdessen spezifische "Guest Access Policies" auf Gruppenebene oder in Microsoft Teams, um den Zugriff präzise zu steuern, anstatt ihn global für alle Gruppen freizugeben.
• Besitzerlose Gruppen (Orphaned Groups)
  • Einstellung: Aktive Überwachung etablieren
  • Beschreibung: Gruppen ohne Eigentümer sind ein Sicherheitsrisiko, da niemand für die Berechtigungsprüfung oder Datenlöschung verantwortlich ist. Implementiere einen automatischen Review-Prozess oder nutze Microsoft 365-Richtlinien für den Ablauf von Gruppen (Expiration Policy), die Gruppen ohne aktive Besitzer automatisch kennzeichnen oder archivieren.

Die Steuerung der Update-Kanäle und Installationsrechte ist ein kritischer Bestandteil der IT-Governance. Unkontrollierte Updates oder freie Installationsrechte gefährden die Stabilität der IT-Umgebung und schaffen Sicherheitslücken durch veraltete oder nicht autorisierte Softwareversionen.

Eine durchdachte Update-Strategie verringert das Risiko von Inkompatibilitäten und stellt sicher, dass du Sicherheits-Patches zeitnah ausrollst.

Details und Best Practices

• Update-Kanal
  • Einstellung: Standardmäßig "Monatlicher Enterprise-Kanal" oder "Halbjährlicher Enterprise-Kanal"
  • Beschreibung: Wähle stabile Kanäle für produktive Umgebungen und vermeide den Insider-Kanal auf produktiven Geräten. Der Kanal bestimmt, wie schnell neue Features verteilt werden, was direkt die Stabilität deiner IT beeinflusst.
• Installation auf eigenen Geräten
  • Einstellung: Deaktivieren (sofern keine BYOD-Richtlinie mit Mobile Device Management existiert)
  • Beschreibung: Verhindert, dass M365-Apps auf privaten, nicht verwalteten Geräten installiert werden, auf denen keine Conditional-Access-Richtlinien greifen. Die Bereitstellung erfolgt idealerweise zentral durch die IT.
• Rollback und Überspringen von Versionen
  • Einstellung: Nur bei akuten Problemen nutzen
  • Beschreibung: Das Rollback-Feature ist ein Notfall-Werkzeug für die Business Continuity. Es sollte nie Standard sein, weil ältere Versionen Sicherheitsrisiken bergen.
• Verwalten von Neuigkeitennachrichten
  • Einstellung: Anpassen (bzw. bei hoher Sicherheitsanforderung deaktivieren)
  • Beschreibung: Reduziert In-App-Marketing. In stark regulierten Umgebungen sorgt die Deaktivierung für ein einheitliches App-Verhalten.

Microsoft Purview Information Protection (MPIP) ist das zentrale Werkzeug für eine moderne Data-Loss-Prevention-Strategie. Es verschlüsselt Dateien und stellt sicher, dass Dokumente stets durch die von der IT definierten Schutzregeln begleitet werden, unabhängig davon, wo sie gespeichert sind oder ob sie auf ein privates Gerät heruntergeladen wurden.

Die Funktionen liefen früher unter dem Namen Azure Information Protection (AIP). Das AIP-Add-in für Office hat Microsoft im April 2024 zurückgezogen, die Beschriftung (Sensitivity Labels) erfolgt seitdem über die integrierte Labeling-Funktion in den Microsoft 365 Apps und wird zentral in Microsoft Purview verwaltet. Scanner, Viewer und PowerShell-Erweiterung laufen unter dem Microsoft Purview Information Protection Client weiter.

Werden Daten über Unternehmensgrenzen hinweg geteilt, behält MPIP die Kontrolle: Selbst wenn eine Datei per E-Mail versendet oder auf einem USB-Stick gespeichert wird, bleiben Zugriffsberechtigungen und Verschlüsselungsregeln am Dokument gebunden.

Details und Best Practices

• Vertraulichkeitsbezeichnungen und Verschlüsselung
  • Einstellung: Aktivieren und auf sensible Datentypen anwenden
  • Beschreibung: Definiere Schutzregeln für unterschiedliche Klassifizierungen wie "Vertraulich" oder "Streng geheim". Nur berechtigte Personen öffnen die Dokumente, unautorisierte Weiterleitungen werden technisch unterbunden.
• Zusammenarbeit mit anderen Diensten (OneDrive, E-Mail)
  • Einstellung: Integriertes Labeling in den Microsoft 365 Apps erzwingen
  • Beschreibung: Die Integration sorgt dafür, dass auch beim Bearbeiten im Browser dieselben Schutzmechanismen greifen wie bei der lokalen Bearbeitung. Das schließt Sicherheitslücken beim Arbeiten aus dem Home-Office oder von mobilen Geräten.

Die Verwaltung von Websitelisten in Microsoft Edge ist ein wichtiges Instrument für die Unternehmens-IT. Der Fokus liegt hierbei auf dem "Internet Explorer-Modus" (IE-Modus), der es ermöglicht, alte, für den Internet Explorer entwickelte Webanwendungen in einem modernen, sicheren Browser zu betreiben.

Aus Sicht der Sicherheit und des Datenschutzes ist es kritisch, den IE-Modus nur für absolut notwendige Anwendungen freizugeben. Der IE-Modus ist eine notwendige Legacy-Krücke, bietet aber nicht den Schutzstandard von Microsoft Edge.

Jede Website, die unnötigerweise in diesem Modus geöffnet wird, erhöht das Risiko für Sicherheitslücken. Zudem bietet die zentrale Steuerung der Listen Schutz gegen Schatten-IT, indem Anwender daran gehindert werden, eigenmächtig unsichere Browserkonfigurationen auf ihren Endgeräten vorzunehmen.

• IE-Modus-Richtlinien (Websitelisten)
  • Einstellung: Zentral durch IT-Administration verwalten
  • Beschreibung: Erstelle explizite Listen nur für verifizierte Geschäftsanwendungen. Blockiere für alle anderen Websites den IE-Modus, um die Angriffsfläche zu minimieren. Nutze die Gruppenrichtlinien (GPO) oder Intune, um diese Listen verbindlich auf alle Endgeräte anzuwenden.
• Feedback-basierte Website-Vorschläge
  • Einstellung: Nur nach Prüfung durch IT-Security übernehmen
  • Beschreibung: Edge schlägt Websites vor, die im IE-Modus geöffnet werden sollten. Übernimm diese nicht blind! Jede neue Website in der Liste muss eine Sicherheitsbewertung durchlaufen, bevor sie in die produktive Liste aufgenommen wird.

Microsoft Forms ist ein verbreitetes Werkzeug für Umfragen und Abstimmungen. Da es regelmäßig personenbezogene Daten erhebt, ist eine präzise Konfiguration Pflicht. Ohne klare Richtlinien riskierst du den Abfluss sensibler Informationen oder den Missbrauch von Formularen für Phishing.

Der Schutz vor Phishing wiegt hier schwer, weil Forms oft als Eintrittstor für Social-Engineering-Angriffe missbraucht wird. Passe die Standardeinstellungen so an, dass sie die Datensparsamkeit unterstützen und die Identität der Befragten sowie die Vertraulichkeit der Daten wahren.

Detail & Best Practices

• Externes Teilen
  • Einstellung: Bedarfsgerecht einschränken
  • Beschreibung: Beschränke das Teilen von Formularen auf interne Zwecke, wann immer möglich. Externe Freigaben sollten explizit geprüft werden, um sicherzustellen, dass keine internen Daten an Unbefugte gelangen.
• Namen von Personen in Ihrer Organisation aufzeichnen
  • Einstellung: Standardmäßig aktivieren
  • Beschreibung: Die Identifizierbarkeit ist wichtig für die Nachvollziehbarkeit. Stelle sicher, dass die Befragten vorab informiert werden (Datenschutzhinweis im Formular), dass ihre Identität erfasst wird (Transparenzgebot gemäß DSGVO).
• Schutz vor Phishing
  • Einstellung: Aktivieren
  • Beschreibung: Dies ist eine unverzichtbare Sicherheitsfunktion, die automatisch Formulare mit riskanten Inhalten (z. B. Abfrage von Passwörtern oder Kreditkartendaten) blockiert. Aktiviere diese Funktion zwingend, um dein Unternehmen vor internem Datenmissbrauch zu schützen.
• Aktionen der Befragten (Antworten bearbeiten)
  • Einstellung: Deaktiviert lassen (Standard)
  • Beschreibung: Behalte die Standardeinstellung bei, um die Integrität der erhobenen Daten zu wahren. Nachträgliche Änderungen an Antworten sollten nur erfolgen, wenn dies für den Zweck der Umfrage explizit erforderlich ist.

Microsoft Graph Data Connect überträgt große Mengen an Microsoft 365-Daten wie E-Mails, Kalenderdaten oder Teams-Nachrichten zur Analyse in die Azure-Umgebung deiner Organisation. Da hier potenziell sensible Unternehmens- und personenbezogene Daten in großen Mengen exportiert werden, ist das einer der kritischsten Bereiche für Datenschutz und IT-Security.

Die Aktivierung ist optional und erfordert eine bewusste Entscheidung. Sobald die Daten den geschützten M365-Raum verlassen und im Azure-Datenspeicher liegen, greifen die M365-eigenen Schutzmechanismen nicht mehr automatisch. Die Verantwortung für den Schutz der Daten in der Azure-Umgebung liegt dann vollständig bei deiner Organisation.

Detail & Best Practices

• Microsoft Graph Data Connect aktivieren
  • Einstellung: Standardmäßig deaktivieren
  • Beschreibung: Aktiviere diesen Dienst nur, wenn ein konkreter, legitimierter Analyse-Anwendungsfall vorliegt. Der Datentransfer darf nur nach einer erfolgreich abgeschlossenen Datenschutz-Folgenabschätzung (DSFA) erfolgen.
• App-Autorisierung (Microsoft Graph Data Connect-Anwendungsportal)
  • Einstellung: Strikte Freigabeprozesse (App-Genehmigung)
  • Beschreibung: Über das Anwendungsportal musst du jede App einzeln genehmigen, die auf Daten zugreifen darf. Wende hier das Prinzip der strikten Autorisierung an: Welche App braucht genau welche Daten für welchen Zweck?
• Speichersicherheit in Azure
  • Einstellung: Azure-Richtlinien (Governance) implementieren
  • Beschreibung: Da M365-Schutzrichtlinien im Azure-Speicher nicht direkt weitergreifen, musst du dort eigene Sicherheitsmechanismen (wie Azure Key Vault zur Verschlüsselung, Rollenbasierte Zugriffskontrolle RBAC und Logging) zwingend einrichten.

Microsoft Loop ist eine Plattform für kollaboratives Arbeiten, die Arbeitsbereiche und Komponenten über M365-Anwendungen hinweg synchronisiert. Loop steigert die Produktivität durch Flexibilität, stellt Administratoren aber vor Herausforderungen bei der Daten-Governance.

Loop-Komponenten lassen sich sehr leicht in Chats oder Dokumente einbetten. Deshalb brauchst du eine strikte Kontrolle, damit keine vertraulichen Informationen in falschen Arbeitsbereichen oder bei unbefugten Benutzergruppen landen.

Detail & Best Practices

• Zugriff auf Arbeitsbereiche in Microsoft Loop-App zulassen
  • Einstellung: Bedarfsgerecht (deaktivieren, falls keine organisatorische Freigabe für Loop vorliegt)
  • Beschreibung: Wenn Loop aktiviert wird, sollten Administratoren den Zugriff nicht pauschal für alle Benutzer freischalten. Nutze stattdessen das Gruppen-basierte Berechtigungsmanagement (via Cloud-Richtlinien), um Loop nur den Abteilungen zur Verfügung zu stellen, die einen geschäftlichen Nutzen nachweisen können.
• Steuerung durch Cloud-Richtlinien
  • Einstellung: Gezielte Zuweisung
  • Beschreibung: Da Loop eng mit Microsoft 365-Gruppen verknüpft ist, sollten Administratoren die "Cloudrichtlinie zum Erstellen und Konfigurieren von Microsoft 365-Gruppen" verwenden. Damit stellst du sicher, dass die Erstellung neuer Arbeitsbereiche denselben Governance-Regeln folgt wie die Erstellung von Teams oder SharePoint-Websites.

Microsoft Planner organisiert Teamwork und Aufgaben. Die zentrale Sicherheitsentscheidung betrifft die iCalendar-Veröffentlichung. Über iCalendar-Feeds lassen sich Plan-Daten in externe Kalender wie Outlook, Google Calendar oder Apple Calendar integrieren.

Aus Datenschutzsicht ist das kritisch: Sobald ein iCalendar-Feed für einen Plan existiert, greifen externe Anwendungen auf die darin enthaltenen Informationen zu, also Aufgabennamen, Fälligkeitsdaten und teilweise Metadaten der Beteiligten. Gelangen diese Feeds unkontrolliert nach außen, lassen sich Rückschlüsse auf interne Arbeitsabläufe, Projektfortschritte und Kapazitäten ziehen.

Detail & Best Practice

• iCalendar-Veröffentlichung (Zulassen, dass Planner-Benutzer Pläne in anderen Kalendern veröffentlichen können)
  • Einstellung: Deaktivieren (Empfohlen für hohe Sicherheitsanforderungen)
  • Beschreibung: Durch die Deaktivierung verhinderst du, dass Projektdaten die geschützte M365-Umgebung verlassen. Sollte die Ansicht in externen Kalendern notwendig sein, ist dies ein Sicherheitsrisiko. Wenn die Funktion dennoch aktiv bleibt, müssen die Benutzer explizit instruiert werden, nur Pläne ohne sensible Titel oder Projektinhalte zu veröffentlichen.

Microsoft Teams ist das zentrale Werkzeug für die moderne Zusammenarbeit. Wegen seiner Tiefe von Echtzeit-Chats über Dateifreigaben bis zu Besprechungsaufzeichnungen brauchst du eine durchdachte Governance, um DSGVO-Konformität zu gewährleisten und Datenabflüsse zu verhindern.

Die Steuerung im M365 Admin Center ist nur der erste Schritt, die eigentliche Sicherheitskonfiguration erfolgt im dedizierten Teams Admin Center.

• Microsoft Teams für Benutzer aktivieren
  • Einstellung: Bewusst steuern (nicht pauschal für alle)
  • Beschreibung: Aktiviere Teams nur für Benutzergruppen, die es für ihre Arbeit benötigen. Das verkleinert die Angriffsfläche und vereinfacht die Verwaltung von Lizenzen und Sicherheitsrichtlinien.
• Gastzugriff in Teams ermöglichen
  • Einstellung: Restriktiv konfigurieren (bzw. auf notwendige Szenarien begrenzen)
  • Beschreibung: Gastzugriff ist ein großes Risiko, weil Externe Zugriff auf sensible Chat-Verläufe und Dateien erhalten. Sind Gäste erlaubt, sichere das zwingend mit Conditional Access Policies ab, um den Zugriff nur von verifizierten Geräten oder Standorten zu erlauben.

Microsoft To Do dient als persönlicher Aufgabenplaner, der eng mit Exchange Online synchronisiert ist. Aus administrativer Sicht ist die Steuerung vergleichsweise einfach, da der Zugriff über die Zuweisung von Lizenzen an Benutzer gesteuert wird.

Datenschutzrechtlich ist hierbei vor allem die Synchronisation mit Exchange Online relevant: Da alle Aufgaben im Postfach des Benutzers gespeichert werden, unterliegen sie den gleichen Compliance-Richtlinien wie E-Mails (z. B. Aufbewahrungsrichtlinien, eDiscovery).

Detail & Best Practice

• Push-Benachrichtigungen
  • Einstellung: Bedarfsgerecht (deaktivieren, wenn Sicherheitsrichtlinien dies erfordern)
  • Beschreibung: Push-Benachrichtigungen informieren Benutzer über Fälligkeiten auf ihren Endgeräten. In hochsensiblen Umgebungen, in denen keine Daten (auch keine Aufgabentitel) auf mobilen Geräten oder in Benachrichtigungszentralen erscheinen sollen, kann dies deaktiviert werden. In der Regel ist die Standardeinstellung für die Produktivität jedoch unbedenklich.
• Zugriffssteuerung
  • Einstellung: Lizenzbasierte Verwaltung
  • Beschreibung: To Do ist an die Exchange-Lizenz gekoppelt. Wenn du To Do nicht für alle Benutzer erlauben willst, stelle sicher, dass keine pauschalen M365-Lizenzen vergeben werden, die To Do automatisch mit enthalten, oder schränke den Zugriff über entsprechende Exchange-Konfigurationen ein.

Microsoft Viva Insights analysiert Arbeitsmuster, Besprechungszeiten und Kommunikationsgewohnheiten, um Empfehlungen für eine gesündere Arbeitsweise zu geben. Da diese Analysen tief in die Privatsphäre der Mitarbeiter eingreifen können, ist bei der Konfiguration höchste Sensibilität geboten. Das größte Risiko: Mitarbeiter fühlen sich überwacht (Performance-Profiling), was rechtliche und ethische Folgen hat.

Microsoft begegnet dem mit Datenschutz-by-Design-Prinzipien wie Aggregation und Anonymisierung bei Manager-Insights. Prüfe die Standardeinstellungen trotzdem kritisch.

Detail & Best Practices

• Zugriff auf Viva Insights-Elemente
  • Einstellung: Bewusst steuern (Nutze das "Opt-In"-Prinzip)
  • Empfehlung: Aktiviere nur die Elemente, die einen klaren Mehrwert für das Wohlbefinden bieten (z. B. "Sendevorschläge planen"), und vermeide eine ungefragte Aktivierung von "Organisationserkenntnissen" für Manager, wenn kein Betriebsrat-konformes Konzept vorliegt.
  • E-Mail-Zusammenfassung: Sollte nur dann aktiviert sein, wenn Mitarbeiter aktiv Unterstützung bei der Priorisierung suchen.
• Sendevorschläge planen
  • Einstellung: Aktivieren
  • Beschreibung: Diese Funktion fördert die "Work-Life-Balance", indem sie E-Mails automatisch auf den Beginn der Arbeitszeit des Empfängers verschiebt. Dies ist ein hervorragendes Instrument zur Reduzierung von Stress außerhalb der Arbeitszeiten.

Microsoft informiert Benutzer regelmäßig über Produktneuheiten, Tipps und Schulungen, basierend auf den zugewiesenen M365-Lizenzen. Aus Sicht der IT-Governance und des Datenschutzes ist es wichtig zu entscheiden, ob diese Kommunikation als nützliche Hilfe oder als unerwünschte Ablenkung wahrgenommen wird.

Detail & Best Practices

• Kommunikation von Microsoft erlauben
  • Einstellung: Bedarfsgerecht (Empfehlung: Deaktivieren für eine kontrollierte IT-Umgebung)
  • Beschreibung: Wenn du die Option deaktivierst, erhalten Benutzer keine direkten Marketing- oder Produktinformations-E-Mails von Microsoft. Dies ist sinnvoll, um ein einheitliches Bild der IT-Kommunikation zu wahren und sicherzustellen, dass wichtige Informationen nur über interne Kanäle fließen.
• Stärkere Kontrolle durch Benutzerschulungsinhalte
  • Einstellung: Aktiv nutzen
  • Beschreibung: Statt auf die generische Microsoft-Kommunikation zu setzen, empfiehlt es sich, die Option "Benutzerschulungsinhalte an bestimmte Personen senden" zu wählen. Dies erlaubt dir, Informationen gezielt auf die Bedürfnisse deiner Organisation zuzuschneiden und sicherzustellen, dass nur relevante, geprüfte Inhalte bei den Anwendern ankommen.

Die Umstellung auf Moderne Authentifizierung (OAuth 2.0) ist ein zentraler Sicherheitsmeilenstein. Die veraltete Basisauthentifizierung sendet Benutzername und Passwort bei jeder Anfrage, was sie anfällig für Phishing und Brute-Force-Angriffe macht. Moderne Authentifizierung erlaubt MFA und bedingten Zugriff (Conditional Access) und hebt den Identitätsschutz auf ein aktuelles Niveau.

Wichtig für den aktuellen Stand: Microsoft hat die Basisauthentifizierung in Exchange Online für die meisten Protokolle bereits Ende 2022 dauerhaft abgeschaltet, darunter Outlook, EWS, Remote PowerShell, POP, IMAP, EAS und Autodiscover.

Diese Abschaltung lässt sich nicht mehr rückgängig machen. Einzige Ausnahme war lange das SMTP AUTH Client Submission. Auch dafür hat Microsoft das Ende angekündigt: Nach mehreren Verschiebungen wird SMTP AUTH Basic Authentication laut aktueller Planung (Stand Januar 2026) Ende Dezember 2026 für bestehende Tenants standardmäßig deaktiviert, neue Tenants erhalten es danach gar nicht mehr. Das finale Entfernungsdatum kündigt Microsoft in der zweiten Hälfte 2027 an.

• Moderne Authentifizierung für Outlook 2013 und höher
  • Einstellung: Aktiviert lassen (Standard in modernen Umgebungen)
  • Beschreibung: Erzwingt OAuth für Outlook-Clients und damit MFA. In aktuellen Tenants ist das ohnehin Standard, weil Basic Auth für Outlook bereits abgeschaltet ist.
• Authentifiziertes SMTP
  • Einstellung: Nur aktivieren, wenn zwingend erforderlich
  • Beschreibung: Ältere Anwendungen oder Multifunktionsgeräte benötigen teils authentifiziertes SMTP. Löse den Versand wenn möglich über OAuth, Direct Send oder dedizierte SMTP-Relay-Dienste. Wegen der Abschaltung der SMTP-Basisauthentifizierung Ende 2026 solltest du verbleibende Geräte und Skripte frühzeitig auf OAuth oder High Volume Email migrieren.
• Verbleibende Basisauthentifizierung identifizieren
  • Einstellung: SMTP-AUTH-Clients-Report im Exchange Admin Center auswerten
  • Beschreibung: Da Basic Auth für die übrigen Protokolle bereits abgeschaltet ist, konzentriert sich die Analyse auf SMTP AUTH. Identifiziere im Report die Postfächer und Anwendungen, die noch Basic Auth nutzen, und migriere sie vor der Abschaltung. Aktiviere zusätzlich die Sicherheitsstandards in Microsoft Entra ID oder eine Conditional-Access-Richtlinie, die Legacy-Authentifizierung blockiert.

Die Konfiguration der Nachrichten-Feeds auf der Bing-Homepage oder der neuen Microsoft Edge-Registerkartenseite hat primär Auswirkungen auf das Nutzererlebnis und die Unternehmenskultur. Aus datenschutzrechtlicher Sicht ist dieses Feature eher unkritisch, da es sich um eine bereichsbasierte Personalisierung handelt. Dennoch sollten Administratoren steuern, welche Inhalte Mitarbeitern im geschäftlichen Kontext präsentiert werden.

Detail & Best Practices

• Inhalt ausschließen (Blacklist)
  • Einstellung: Gezielte Stichworte nutzen
  • Beschreibung: Wenn du in einer hochsensiblen Branche tätig bist, kannst du hier Begriffe oder Themen blockieren, die nicht im Einklang mit euren Unternehmenswerten stehen oder die von Mitarbeitern als ablenkend oder unpassend empfunden werden.
• Personalisierung durch Benutzer
  • Einstellung: Bedarfsgerecht (deaktivieren für einheitliches Corporate Branding)
  • Beschreibung: Wenn du die Option "Benutzern das Anpassen der Themen erlauben" deaktivierst, behält die IT die volle Kontrolle über den Content-Feed. Dies kann sinnvoll sein, um ein professionelles Umfeld auf Arbeitsgeräten sicherzustellen, schränkt aber die individuelle Nutzerfreiheit ein.
• Microsoft Feed (Branchennachrichten)
  • Einstellung: Bewusst wählen
  • Beschreibung: Überlege genau, ob der Empfang täglicher E-Mails zu Branchenneuigkeiten einen Mehrwert für deine Mitarbeiter bietet. In einer Informationsflut-lastigen Arbeitswelt ist es oft ratsam, diese Option zu deaktivieren, um den Fokus auf die eigentliche Arbeit zu lenken.

Dieser Bereich ist finanziell und datenschutzrechtlich sehr anspruchsvoll. Diese Dienste (wie OCR, Dokumentenverarbeitung oder KI-basierte Textextraktion) verarbeiten Daten oft mittels KI-Modellen in der Cloud.

Detail & Best Practices

• • Kostenkontrolle: Da es sich um eine nutzungsbasierte Zahlung handelt ("Pay-as-you-go"), besteht das Risiko von "Cost Sprawl". Überwache die Abrechnung im Azure Cost Management monatlich.
  • Datenschutz-Folgenabschätzung (DSFA): Da Dienste wie "Dokumentenverarbeitung", "OCR" oder "eSignature" Unternehmensdaten analysieren, müssen diese Funktionen vor der Freigabe für Benutzer einer DSFA unterzogen werden. Prüfe, ob die Verarbeitung innerhalb der EU-Region (Datenresidenz) stattfindet.
  • Funktions-Governance: Schalte nur die Module frei, die dein Team wirklich benötigt. Nicht genutzte Dienste wie "Inhaltsassembly" oder "Videoübersetzung" sollten deaktiviert bleiben, um die Angriffsfläche und Komplexität gering zu halten.

Self-Service-Testversionen und -Käufe erlauben Benutzern, ohne Umweg über die IT produktiv zu werden, erzeugen aber ein erhebliches Risiko für Schatten-IT und unkontrollierte Kosten (Cost Sprawl). Kritischer ist der Datenschutz: Abonnieren Mitarbeiter eigenständig Cloud-Dienste wie Power Apps oder Dynamics-Module, verarbeiten diese Dienste oft unternehmensrelevante Daten in Umgebungen, die die IT weder auditiert noch abgesichert hat.

Die Gefahr der aktuellen Konfiguration: In der Standardansicht stehen fast alle Produkte (Copilot, Power Automate, Dynamics) auf "Zulassen". Jeder Benutzer kann also Daten in diese Dienste einspeisen, ohne dass eine zentrale Prüfung auf DSGVO-Konformität oder Datensicherheit stattgefunden hat.

• Zentralisierung statt Wildwuchs
  • Einstellung: Geschäftskritische oder datenintensive Dienste auf "Nicht zulassen" stellen
  • Beschreibung: Setze Microsoft 365 Copilot, Power Apps, Power Automate und Dynamics 365 auf "Nicht zulassen". Diese Dienste erfordern eine individuelle DSFA und zentrale Governance, die automatische Freigabe ist ein erhebliches Compliance-Risiko.
• Schatten-IT-Prozess etablieren
  • Einstellung: Standardisierter interner Antragsprozess
  • Beschreibung: Benötigt ein Benutzer eine neue App, ersetzt ein interner Antragsprozess den direkten Kauf. So behält die IT die Kontrolle über die Datenhoheit.
• Spezielle Dienste prüfen
  • Einstellung: Microsoft Purview Discovery deaktivieren
  • Beschreibung: Steht Purview Discovery auf "Zulassen", ist das kritisch. Purview-Dienste sind Compliance-Werkzeuge und dürfen nicht durch Benutzer selbst aktiviert werden.

SharePoint ist der zentrale Speicherort für Unternehmensdokumente. Die Einstellung zur externen Freigabe ist eine der kritischsten Sicherheitsentscheidungen in Microsoft 365, weil sie direkt bestimmt, wie leicht sensible Daten die geschützte Umgebung verlassen.

Die richtige Option hängt von deinem Sicherheitsbedürfnis ab. Eine zu offene Konfiguration erhöht das Risiko von Datenabflüssen drastisch, eine zu restriktive behindert die notwendige Zusammenarbeit.

Details und Best Practices

• Benutzer können teilen mit
  • Einstellung: Option je nach Sicherheitsbedarf wählen
  • Beschreibung:
    Option 1 (nur Personen in deiner Organisation) bietet die höchste Sicherheit und unterbindet externes Teilen komplett.
    Option 2 (nur vorhandene Gäste) ist der empfohlene Standard und erlaubt Zusammenarbeit nur mit Personen, die bereits in Entra ID bekannt sind.
    Option 3 (neue und vorhandene Gäste) erfordert Vorsicht, weil Benutzer selbst neue Gäste einladen, und gehört nur bei etablierten Gastzugriffsrichtlinien aktiviert.
    Option 4 (jeder, anonyme Links) ist nicht empfohlen, weil sie das Teilen ohne Authentifizierung erlaubt: ein massives Sicherheitsrisiko.
• Erweiterte Optionen für externes Teilen
  • Einstellung: Zentral im SharePoint Admin Center steuern
  • Beschreibung: Nutze Domänen-Einschränkungen für erlaubte Partner-Domains und beschränke die Freigabe auf spezifische Sicherheitsgruppen, um den Kreis der teilenden Personen zu steuern.

• Datenminimierung und Zweckbindung
  • Einstellung: Berichte nur für autorisierte Administratoren
  • Beschreibung: Stelle sicher, dass die Granularität der Daten keine Rückschlüsse auf das Suchverhalten einzelner Mitarbeiter erlaubt (Überwachung am Arbeitsplatz).
• Such-Governance (Answers und Datenquellen)
  • Einstellung: ACLs und Security Trimming strikt beachten
  • Beschreibung: Lege fest, welche Quellen wie SharePoint oder OneDrive durchsuchbar sind. Bei Connectors zu externen Datenquellen müssen die Berechtigungen (ACLs) greifen, damit ein Mitarbeiter über die Suche keine Informationen findet, auf die er regulär keinen Zugriff hätte.

• New Usage Analytics (Aktivierung)
  • Einstellung: Aktiv lassen für Transparenz (falls für das IT-Monitoring nötig)
  • Beschreibung: Nutzt du die Analyse nicht aktiv zur Verbesserung der Suchinfrastruktur, deaktiviere sie, um die Datenerhebung auf das Notwendige zu beschränken.
• Verwaltung der Answers
  • Einstellung: Bookmarks für Intranet-Seiten setzen
  • Beschreibung: Über Bookmarks leitest du Mitarbeiter sicher zu autorisierten Quellen und schützt sie vor phishingähnlichen Suchergebnissen.

Microsoft Sway ist ein Tool zum Erstellen interaktiver Präsentationen und Newsletter. Da Sways häufig extern geteilt werden (z. B. als Link für Kunden oder Partner), ist das Hauptrisiko nicht der interne Zugriff, sondern die unbeabsichtigte Veröffentlichung sensibler Inhalte.

Sways wirken oft informell und weniger wie "offizielle Dokumente", was dazu führen kann, dass Mitarbeiter vertrauliche Informationen in Sways einbetten, ohne sich der Tragweite der Freigabe bewusst zu sein.

Detail & Best Practices

• Sway für Benutzer aktivieren
  • Einstellung: Lizenzbasierte Steuerung
  • Beschreibung: Aktiviere Sway nur für Benutzergruppen, die regelmäßig professionelle Inhalte erstellen müssen. Durch die gezielte Lizenzzuweisung verhinderst du, dass das Tool unkontrolliert als "Spielwiese" für Schatten-IT genutzt wird.
• Inhaltsquellen steuern
  • Einstellung: Wikipedia-Integration prüfen
  • Beschreibung: Die Option "Mit einem Thema beginnen" (basierend auf Wikipedia) ist nützlich für Einsteiger, kann aber zu einer Vermischung von externen, ungeprüften Inhalten mit internen Dokumenten führen. Wenn du eine strikte Trennung von Unternehmensdaten und externen Quellen wünscht, deaktiviere die Wikipedia-Integration.

Die Funktion „Vertrieb“ ermöglicht den Austausch von Microsoft 365-Daten mit externen CRM-Systemen (Customer Relationship Management). Aus Sicherheits- und Datenschutzsicht ist dies eine der kritischsten Schnittstellen, da hier systematisch Unternehmensdaten (wie E-Mails, Kontakte oder Kalenderdaten) in Systeme von Drittanbietern exportiert werden.

Da diese Drittanbieter nicht direkt unter der Microsoft-365-Compliance-Hoheit stehen, musst du sicherstellen, dass für die jeweilige CRM-Lösung ein valider Auftragsverarbeitungsvertrag (AVV) vorliegt und die Datenübertragung den internen Compliance-Vorgaben entspricht.

Detail & Best Practices

• Freigabe an CRM-Dienste von Drittanbietern
  • Einstellung: Zentral steuern (IT-Administration)
  • Risikoprüfung: Bevor du die Verbindung aktivierst, muss geprüft werden: Welche Daten fließen ab? Wo werden sie gespeichert? Ist der Drittanbieter DSGVO-konform?
• Compliance & Haftung
  • Einstellung: Vertragliche Absicherung
  • Beschreibung: Wie der Hinweis im Admin Center unterstreicht, unterliegen die Daten den Bedingungen des Drittanbieters. Stelle sicher, dass deine interne Rechts- oder Compliance-Abteilung die Nutzungsbedingungen der Drittanbieter-Integrationen explizit freigegeben hat.

Die Verzeichnissynchronisierung mit Microsoft Entra Connect (vormals Azure AD Connect) verbindet deine lokale Active-Directory-Infrastruktur (AD DS) mit Microsoft Entra ID. Du verwaltest Benutzerkonten und Gruppen zentral vor Ort und spiegelst ihre Identitäten automatisch in die Cloud.

Das ist eine kritische Infrastrukturkomponente: Ein Fehler in der Synchronisierung blockiert den Zugriff aller Benutzer auf M365-Dienste oder schafft, im schlimmsten Fall, Sicherheitslücken, etwa wenn inaktive Konten oder privilegierte Gruppen aus dem lokalen AD unkontrolliert in die Cloud übertragen werden.

Details und Best Practices

• Active-Directory-Synchronisierung
  • Einstellung: Zu synchronisierende Objekte sorgfältig filtern
  • Beschreibung: Synchronisiere nur die Benutzer und Gruppen, die M365-Dienste benötigen. Vermeide den Import toter Konten, Test-Accounts oder hochprivilegierter Service-Accounts. Das verkleinert die Angriffsfläche deutlich.
• Sicherheit des Entra-Connect-Servers
  • Einstellung: Server-Härtung
  • Beschreibung: Der Server mit Entra Connect ist ein Tier-0-Asset, weil er über das Passwort-Hash-Sync-Verfahren eine Brücke zur Cloud schlägt. Sichere und überwache ihn so streng wie einen Domain-Controller.
• Identitäts-Governance
  • Einstellung: Konsistente Datenpflege im lokalen AD
  • Beschreibung: Das lokale Active Directory bleibt die Source of Truth. Halte Offboarding-Prozesse strikt ein. Deaktivierst du ein Konto lokal, spiegelt Entra Connect das in die Cloud, ein zwingender Bestandteil der Zugriffskontrolle.

Microsoft Viva Learning integriert Lerninhalte direkt in Microsoft Teams. Aus IT-Governance-Sicht ist es weniger ein direktes Sicherheitsrisiko, sondern eine Herausforderung bei Inhalts-Governance und Compliance.

Inhalte, die du selbst in Viva Learning einbindest, etwa aus internen SharePoint-Bibliotheken, unterliegen nicht den Microsoft-Produktbedingungen. Du bist hier selbst für die Einhaltung von Datenschutz- und Urheberrechtsbestimmungen verantwortlich.

Detail & Best Practices

• Datenschutz (Diagnosedaten)
  • Einstellung: Erforderliche Diagnosedaten aktivieren, optionale prüfen
  • Erforderliche Diagnosedaten sind für Stabilität und Sicherheit der App nötig. Bei optionalen Diagnosedaten (Telemetrie zur Produktverbesserung) wäge ab. In stark regulierten Branchen ist die Deaktivierung Standard, um die Datenmenge bei Microsoft zu verringern.
• Inhalts-Governance
  • Einstellung: Zugriff auf Viva Learning Admin beschränken
  • Beschreibung: Beschränke den Zugriff auf eine kleine Gruppe von L&D-Managern. Da interne SharePoint-Inhalte eingebunden werden, stelle sicher, dass diese SharePoint-Seiten keine vertraulichen Informationen enthalten, weil sie über den Lern-Hub breiter zugänglich werden.

Microsoft Whiteboard ist ein Werkzeug für hybride Meetings und Brainstormings. Da Whiteboards zunehmend als persistente Arbeitsflächen dienen und inzwischen in OneDrive for Business gespeichert werden, brauchst du eine klare Governance, um Wildwuchs von Boards und den Abfluss sensibler Ideen zu verhindern.

• OneDrive-Speicher
  • Einstellung: Automatisch aktiv (Zentraler Bestandteil der Modernisierung)
  • Beschreibung: Durch die Speicherung in OneDrive unterliegen Whiteboards denselben Governance-Richtlinien wie Office-Dokumente, etwa DLP, Aufbewahrungsrichtlinien und eDiscovery. Stimme die OneDrive-Richtlinien deiner Organisation auf Whiteboards ab.
• Board-Freigabe (Surface Hub)
  • Einstellung: Restriktiv (Sitzungsende erzwingen)
  • Beschreibung: Das Teilen vom Surface Hub ohne Anmeldung ist komfortabel, birgt aber das Risiko, dass Boards nach dem Meeting für Dritte sichtbar bleiben. Die Einstellung "nach Sitzungsende kein Zugriff" sollte zwingend aktiv bleiben.
• Diagnosedaten
  • Einstellung: "Erforderliche" Diagnosedaten (Standard)
  • Beschreibung: In hochsensiblen Umgebungen deaktivierst du die optionalen Diagnosedaten, um die Datenmenge bei Microsoft zu verringern. Die erforderlichen Daten sind für Stabilität und Sicherheit der Whiteboard-Clients nötig.