Sicherheit und Datenschutz

Die Funktion zur Namensaussprache unterstützt eine inklusive Unternehmenskultur. Benutzer zeichnen ihren Namen in den Profilinformationen auf und machen ihn anderen innerhalb von Microsoft 365 zugänglich. Das reduziert Missverständnisse bei der Ansprache und fördert die gegenseitige Wertschätzung.

Aus Datenschutzsicht relevant: Die Funktion steuert die Aufnahme und gibt klare Löschzyklen vor. Deaktivierst du sie, verbleiben die Daten bis zu 30 Tage im System, bevor sie endgültig gelöscht werden. Eine erneute Aktivierung innerhalb dieses Zeitfensters stellt die noch nicht gelöschten Aufnahmen automatisch wieder her. Berücksichtige diesen Zeitraum bei der Planung von Bereinigungskonzepten.

Details und Best Practices

• Namensaussprache zulassen
  • Einstellung: Aktivieren (empfohlen für eine inklusive Unternehmenskultur)
  • Beschreibung: Die Aufnahme ist freiwillig und unterstützt die respektvolle Ansprache im globalen Adressbuch und in Teams-Profilen.
• Namensaussprache deaktivieren
  • Einstellung: Deaktivieren (empfohlen bei strikten Datenschutzvorgaben ohne Nutzenbedarf)
  • Beschreibung: Die Deaktivierung löst nach bis zu 30 Tagen die Löschung aller gespeicherten Audiodateien im Tenant aus.

Der Baselinesicherheits-Modus (Baseline Security Mode, BSM) ist eine Schutzmaßnahme im Microsoft 365 Admin Center. Er verkleinert die Angriffsfläche, indem er veraltete, unsichere Protokolle und Dateiformate blockiert, die häufig als Einfallstore für Malware und Ransomware dienen.

Microsoft hat BSM bei der Ignite 2025 vorgestellt und Anfang 2026 allgemein verfügbar gemacht. BSM bündelt rund 18 empfohlene Sicherheitseinstellungen über fünf Bereiche: Office, OneDrive und SharePoint, Substrate, Identität und Teams. Die Einstellungen teilen sich in eine Gruppe sofort anwendbarer Standardrichtlinien mit geringer Auswirkung und eine größere Gruppe weiterer Richtlinien, die du erst nach Auswertung der Auswirkungsberichte aktivierst. Die genaue Aufteilung hat Microsoft seit der Vorschau angepasst, zuletzt berichtet wurden etwa sieben sofort anwendbare und elf weitere Richtlinien. Prüfe die aktuellen Zahlen in deinem Tenant.

Die Auswirkungsberichte sind für eine fundierte Entscheidung nötig, bringen aber einen erweiterten Datenzugriff auf personenbezogene Informationen (EUII) und Audit-Protokolle mit sich. Lass diesen Zugriff vorab vom Datenschutzbeauftragten freigeben, damit du die Auswirkungen auf Endbenutzer-Workflows analysieren kannst, bevor du restriktive Maßnahmen produktiv schaltest.

Details und Best Practices

• Standardrichtlinien (sofort anwendbar)
  • Einstellung: Aktivieren (empfohlen für alle Organisationen)
  • Beschreibung: Diese Richtlinien blockieren das veraltete FPRPC-Protokoll, öffnen Legacy-Dateiformate in der geschützten Ansicht und härten den Umgang mit OLE-Objekten. Microsoft stuft sie als wenig störend ein.
• Weitere Richtlinien (nach Prüfung der Auswirkungsberichte)
  • Einstellung: Evaluieren und aktivieren
  • Beschreibung: Diese Richtlinien blockieren Legacy-Protokolle wie IDCRL zu SharePoint, DDE-Server in Excel, ActiveX-Steuerelemente und Microsoft Publisher. Aktiviere sie erst, wenn der Auswirkungsbericht keine kritischen Abhängigkeiten zeigt.
• Auswirkungsberichte
  • Einstellung: Zustimmen und analysieren
  • Beschreibung: Identifizieren Benutzer, Apps und Geräte, die von den restriktiveren Richtlinien betroffen wären, und senken so den Supportaufwand. Sie greifen auf EUII und die Tenant-Audit-Logs zu, deshalb gehört der Datenschutzbeauftragte vorab eingebunden

Das Datenschutzprofil verbindet die Microsoft 365-Umgebung mit der externen Kommunikation zur Einhaltung der DSGVO. Hinterlegst du eine zentrale URL für die Datenschutzbestimmungen, erhalten Mitarbeiter bei Bedarf direkten Zugriff auf die rechtlichen Rahmenbedingungen der Datenverarbeitung im Unternehmen.

Ein dedizierter Datenschutzkontakt ermöglicht zusätzlich die schnelle Klärung von Rückfragen durch Benutzer oder interne Auditoren. Diese Konfiguration ist eine grundlegende administrative Maßnahme, um die Transparenzpflichten zu erfüllen und datenschutzrelevante Informationen für alle Beteiligten leicht auffindbar zu halten.

Details und Best Practices

• Datenschutzbestimmungen der Organisation
  • Einstellung: Korrekte URL zur Datenschutzerklärung hinterlegen (zwingend erforderlich)
  • Beschreibung: Die Verlinkung dient als zentrale Anlaufstelle für Transparenzinformationen nach Art. 13 und 14 DSGVO.
• Datenschutzkontakt der Organisation
  • Einstellung: Funktionale E-Mail-Adresse des Datenschutzbeauftragten oder Privacy-Teams (empfohlen)
  • Beschreibung: Eine Gruppen-Mailadresse wie datenschutz@domain.de stellt sicher, dass Anfragen auch bei Abwesenheit einzelner Personen zeitnah bearbeitet werden.

Die Kennwortablaufrichtlinie ist ein zentraler Bestandteil der Identitätssicherheit in Microsoft 365. Historisch setzten viele Organisationen auf regelmäßige Kennwortwechsel. Aktuelle Empfehlungen von Microsoft und NIST belegen jedoch, dass häufige Wechsel zu schwächeren Passwörtern oder unsicherem Verhalten führen, etwa zum Notieren von Passwörtern.

Die empfohlene Strategie: Passwörter nicht mehr pauschal ablaufen lassen und den Schutz stattdessen über starke Multi-Faktor-Authentifizierung (MFA) und Modern Authentication absichern. Das senkt den administrativen Aufwand und hebt das Sicherheitsniveau zugleich deutlich.

Details und Best Practices

• Kennwörter so festlegen, dass sie nie ablaufen
  • Einstellung: Aktivieren (im Einklang mit aktuellen Sicherheitsrichtlinien)
  • Beschreibung: Ohne erzwungenes Ablaufdatum erstellen Benutzer eher längere, komplexere Passphrasen, statt einfache, leicht zu merkende Muster zu wählen.

Das Leerlaufsitzungstimeout verhindert unbefugten Zugriff auf M365-Webanwendungen an ungeschützten oder gemeinsam genutzten Arbeitsplätzen. Durch die automatische Abmeldung inaktiver Sitzungen senkst du das Risiko, dass Dritte sensible Daten an kurzzeitig verlassenen Arbeitsplätzen einsehen oder bearbeiten.

Aus Sicht der IT-Sicherheit ist das vor allem in Umgebungen mit hoher Fluktuation oder mobilen Arbeitsplätzen sinnvoll. Du musst dabei zwischen dem Sicherheitsgewinn durch erzwungene erneute Anmeldungen und der Benutzerfreundlichkeit abwägen, um Anmeldeunterbrechungen während aktiver Arbeitsphasen zu vermeiden.

Details und Best Practices

• Leerlaufsitzungstimeout aktivieren
  • Einstellung: Aktivieren (empfohlen bei erhöhten Sicherheitsanforderungen)
  • Beschreibung: Schützt vor Session-Hijacking und Datenzugriff an unbeaufsichtigten Endgeräten in unsicheren Umgebungen.
• Dauer der Inaktivität (in Minuten).
  • Einstellung: Individuell festlegen (zum Beispiel 60 bis 300 Minuten, je nach Risikoprofil)
  • Beschreibung: Ein kürzerer Zeitrahmen erhöht die Sicherheit, ein längerer steigert die Produktivität durch weniger häufige Anmeldeaufforderungen

Microsoft Graph Data Connect extrahiert große Datenmengen für Analysen und App-Entwicklung. Wegen des potenziell weitreichenden Zugriffs auf sensible Unternehmensdaten ist eine strikte administrative Kontrolle Pflicht.

Nur globale Administratoren autorisieren, lehnen ab oder verwalten Anwendungen im Microsoft 365 Admin Center.

Die Autorisierung folgt dem Alles-oder-nichts-Prinzip: Genehmigst du eine Anwendung, erhält sie Zugriff auf alle spezifizierten Datensätze, Spalten und Bereiche. Bei Multi-Tenant-Apps (ISV-Szenarien) ist höchste Vorsicht geboten, weil Daten hier den Mandanten verlassen können. Alle administrativen Entscheidungen protokolliert Microsoft revisionssicher in den Audit-Logs.

Details und Best Practices

• Microsoft Graph Data Connect
  • Einstellung: Deaktivieren (empfohlene Standardeinstellung nach "Privacy by Default")
  • Beschreibung: Aktiviere den Dienst nur nach expliziter Prüfung von Bedarf und Datenschutzanforderungen.
• Autorisierung von Anwendungen
  • Einstellung: Restriktiv (nur für verifizierte Anwendungen)
  • Beschreibung: Prüfe jede App-Anfrage im Detail. Eine Genehmigung gilt 180 Tage und gilt danach als abgelaufen, du musst sie dann erneuern.
• Audit-Logs für MGDC
  • Einstellung: Regelmäßig überwachen
  • Beschreibung: Überwache Consent-Änderungen über die Workload-Kategorie "MicrosoftGraphDataConnect" in den Audit-Logs, um unbefugte Datenabflüsse früh zu erkennen

Die Anzeige von Pronomen in Benutzerprofilen unterstützt eine inklusive Unternehmenskultur und fördert eine respektvolle, korrekte Ansprache. Über die Integration in Microsoft 365 hinterlegen Mitarbeiter ihre bevorzugten Pronomen im Profil, was die Kommunikation in einer diversen Arbeitsumgebung erleichtert.

Wie bei anderen personenbezogenen Daten gelten klare Mechanismen zur Datenminimierung. Deaktivierst du die Funktion, löscht das System gespeicherte Pronomen nach bis zu 30 Tagen. Reaktivierst du sie in diesem Zeitfenster, werden die noch nicht gelöschten Pronomen wieder sichtbar. Beachte, dass Änderungen an dieser Einstellung bis zu 7 Stunden brauchen, bevor sie für alle Benutzer wirksam werden.

Details und Best Practices

• Pronomen hinzufügen gestatten
  • Einstellung: Aktivieren (empfohlen für eine inklusive Unternehmenskultur)
  • Beschreibung: Ermöglicht Benutzern, ihre Pronomen freiwillig im Profil zu hinterlegen, und sichert die korrekte Adressierung im gesamten M365-Ökosystem.
• Pronomen-Funktion deaktivieren
  • Einstellung: Deaktivieren (empfohlen, falls keine geschäftliche Relevanz besteht)
  • Beschreibung: Führt nach bis zu 30 Tagen zur Löschung aller hinterlegten Pronomen aus dem Tenant.

Diese Einstellung betrifft Telemetriedaten aus den Suchanfragen deiner Administratoren in den Microsoft 365 Admin Centern. Microsoft nutzt diese Daten, um die Relevanz der Hilfe-Artikel und Support-Vorschläge zu verbessern.

Aus Datenschutzsicht greift hier die Datenminimierung. Auch wenn die Daten der Produktverbesserung dienen, können inhaltliche Details deiner Suchanfragen an Microsoft gehen.

In Organisationen mit restriktiven Datenschutzrichtlinien solltest du prüfen, ob die bessere Trefferqualität das Risiko einer Übermittlung kontextbezogener Suchdaten rechtfertigt, weil diese Rückschlüsse auf interne Probleme oder Konfigurationen zulassen können. Für eine Strategie nach "Privacy by Default" ist die Deaktivierung in vielen Fällen vorzuziehen.

• Microsoft das Sammeln von Supportanfragen gestatten (Standard)
  • Einstellung: Deaktivieren (empfohlen zur Datenminimierung)
  • Beschreibung: Verhindert die Übertragung interner Suchanfragen an Microsoft und unterbindet so die Offenlegung administrativer Tätigkeiten und spezifischer Problemstellungen im Tenant.
• Microsoft das Sammeln von Supportanfragen gestatten (Ausnahme)
  • Einstellung: Aktivieren (optional zur Unterstützung der Fehlersuche)
  • Beschreibung: Sinnvoll, wenn deine IT-Teams stark auf die integrierten KI-gestützten Such- und Hilfe-Funktionen setzen und deren kontinuierliche Verbesserung wünschen.

Die Self-Service-Kennwortzurücksetzung (SSPR) gehört zur modernen Identitätsverwaltung. Benutzer setzen ihre Passwörter eigenständig zurück, was den Support-Aufwand senkt und die Produktivität bei vergessenen Zugangsdaten sichert.

Aus Sicherheitssicht ist SSPR kritisch. Die Registrierung erfordert Kontaktinformationen wie Mobilnummer oder alternative E-Mail-Adresse, die als zweiter Faktor zur Identitätsbestätigung dienen. Du musst SSPR zwingend mit Multi-Faktor-Authentifizierung (MFA) koppeln, weil Angreifer sonst versuchen, die Rücksetzungsfunktion zu missbrauchen und so Identitäten zu übernehmen.

Details und Best Practices

• Self-Service-Kennwortzurücksetzung (SSPR)
  • Einstellung: Aktivieren
  • Beschreibung: Ermöglicht Benutzern eine sichere Selbsthilfe bei Anmeldeproblemen und reduziert das Ticketvolumen im IT-Service-Desk.
• Registrierung der Kontaktinformationen
  • Einstellung: Erzwingen (bei nächster Anmeldung)
  • Beschreibung: Hält alle Benutzer dazu an, die nötigen Sicherheitsinformationen für die Identitätsüberprüfung aktiv zu hinterlegen.
• Multi-Faktor-Authentifizierung (MFA) für SSPR
  • Einstellung: Aktivieren (zwingend erforderlich)
  • Beschreibung: Verhindert unberechtigte Passwort-Resets, weil eine bloße E-Mail oder SMS ohne zusätzliche MFA-Validierung als Sicherheitsfaktor nicht ausreicht.

Die Verwaltung externer Gäste ist ein kritischer Aspekt der IT-Governance in Microsoft 365. Die Standardeinstellung erlaubt jedem Benutzer, beliebige externe Personen als Gäste hinzuzufügen, und birgt damit das Risiko eines Schatten-Gästeverzeichnisses. Ohne zentrale Kontrolle verlierst du den Überblick darüber, wer Zugriff auf interne Daten hat, was dem Least-Privilege-Prinzip widerspricht.

Ein restriktiver Ansatz, bei dem nur Administratoren Gäste einladen, stellt sicher, dass du jeden externen Zugriff vorab prüfst, dokumentierst und bei Bedarf mit Conditional Access Policies absicherst. Das verkleinert die Angriffsfläche deutlich und stützt die Einhaltung interner Compliance-Richtlinien.

Details und Best Practices

• Benutzer dürfen neue Gäste zur Organisation hinzufügen
  • Einstellung: Deaktivieren (empfohlen bei hohen Sicherheitsanforderungen)
  • Beschreibung: Zentrale Kontrolle durch die IT verhindert unkontrolliertes Wachstum externer Identitäten und schützt vor unerwünschtem Datenaustausch mit Unbefugten.
• Gastzugriff durch Administratoren
  • Einstellung: Aktivieren (erforderlich für kontrollierte Zusammenarbeit)
  • Beschreibung: Gäste werden nur bei Bedarf durch autorisiertes Personal angelegt, wodurch der Prozess auditierbar und sicher bleibt