Einstieg
Viele Firmen sind erleichtert, wenn sie auf Microsoft 365 umgestellt haben.
Kein eigener Server mehr, alles in der Cloud, Microsoft als großer Name dahinter.
Sieht modern aus, fühlt sich erstmal stabil an.
Das kann ich gut nachvollziehen.
Trotzdem erlebe ich immer wieder dasselbe Muster:
Die Technik ist stark, aber die Umgebung ist nicht wirklich durchdacht.
In diesem Beitrag erzähle ich Ihnen, welche Sicherheitsfehler ich in Microsoft 365 bei kleinen und mittleren Unternehmen immer wieder sehe.
Die Sache mit dem Backup
Ein Gedanke taucht sehr oft auf:
„Die Daten liegen doch bei Microsoft, das wird schon alles gesichert sein.“
Ein Teil davon stimmt.
Microsoft sorgt dafür, dass die Plattform läuft und die Daten nicht einfach so verschwinden.
Papierkorb, Wiederherstellung, bestimmte Aufbewahrungsfristen, all das gibt es.
Was Microsoft aber nicht kennt: Ihre Firma, Ihre Abläufe, Ihre Anforderungen.
Wenn jemand gründlich aufräumt, ganze Ordner löscht, Berechtigungen ändert oder ein Konto gekapert wird, kommen Sie mit den Standardfunktionen schnell an Grenzen.
Gerade bei E Mails, OneDrive und SharePoint reicht der normale Zustand oft nicht aus.
Wenn dann wirklich etwas Wichtiges fehlt, ist der Moment für ein Backup Konzept leider schon vorbei.
Mehrfaktor Anmeldung: vorhanden, aber nicht überall genutzt
Microsoft 365 bringt von Haus aus gute Möglichkeiten für Mehrfaktor Anmeldung mit.
Also zum Beispiel Kennwort plus Bestätigung per App auf dem Handy.
Trotzdem sehe ich noch immer Umgebungen, in denen zentrale Konten nur mit Benutzername und Kennwort laufen.
Das ist bequem, klar.
Aber es ist auch genau die Stelle, an der Angriffe ansetzen.
Kennwörter werden wiederverwendet, irgendwo notiert, per Phishing abgegriffen oder landen in einem Datenleck eines ganz anderen Dienstes.
Wenn dann kein zweiter Faktor aktiviert ist, reicht dieses eine Kennwort aus.
Das ärgerliche daran:
Die Lösung liegt schon bereit.
Sie kostet nichts extra, sie ist nur nicht konsequent eingerichtet.
Freigaben, die niemand mehr so richtig überblickt
Ein weiteres Thema sind Freigaben in OneDrive und SharePoint.
Am Anfang ist noch alles übersichtlich.
Mit der Zeit entstehen aber immer mehr Ordner, Projekte, Links, externe Zugriffe.
Dann tauchen Fragen auf wie:
-
Wer hat eigentlich noch Zugriff auf diesen Bereich
-
Gibt es Freigaben an externe Partner, die längst draußen sind
-
Welche Links funktionieren noch, ohne dass man sich anmelden muss
Niemand plant das bewusst chaotisch, es wächst einfach so mit.
Kritisch wird es, wenn sensible Daten im Spiel sind und keiner mehr genau sagen kann, wer was sehen darf.
Konten von ehemaligen Mitarbeitenden
Ein echter Klassiker:
Mitarbeitende verlassen das Unternehmen, ihre Konten und Rechte hängen noch halb im System.
Manchmal wird das Konto nur deaktiviert, aber nicht sauber bereinigt.
Manchmal bleiben Freigaben in Gruppen bestehen.
Manchmal existieren Weiterleitungen auf persönliche Postfächer, von denen niemand mehr weiß.
Das ist nicht nur unsauber, sondern auch ein Sicherheitsrisiko.
Gerade kleine Firmen könnten das mit einem einfachen Offboarding Prozess gut in den Griff bekommen.
Phishing Mails und Stress im Alltag
Technisch lässt sich in Microsoft 365 sehr viel absichern.
Was sich aber nie komplett wegautomatisieren lässt: Menschen unter Zeitdruck.
Viele Angriffe laufen heute über gut gemachte E Mails.
Die sehen auf den ersten Blick nach Microsoft, nach Paketdienst oder nach Bank aus.
Ein unaufmerksamer Moment reicht oft.
Das hat nichts mit „dummen Nutzerinnen und Nutzern“ zu tun, sondern mit normalem Arbeitsalltag.
Genau deshalb hilft es, das Thema Phishing regelmäßig anzusprechen und nicht nur als Randnotiz im Onboarding zu erwähnen.
Was wir in solchen Umgebungen machen
Wenn wir uns bei einem Kunden eine Microsoft 365 Umgebung ansehen, geht es selten um eine einzelne Einstellung irgendwo in einem versteckten Menü.
Es geht um ein paar einfache Fragen:
-
Sind die wichtigen Konten mit Mehrfaktor abgesichert
-
Gibt es ein klares Konzept für Sicherung und Aufbewahrung von Daten
-
Wer hat worauf Zugriff und macht das noch Sinn
-
Wie werden Konten behandelt, wenn jemand das Unternehmen verlässt
Mit arian CloudProtect und unseren Servicepaketen kümmern wir uns nicht nur um Lizenzverwaltung und Einrichtung.
Wir helfen dabei, diese Fragen sauber zu beantworten und in der Technik so umzusetzen, dass sie auch im Alltag funktioniert.
Zum Schluss
Microsoft 365 ist eine starke Plattform und für viele Firmen ein guter Schritt nach vorn.
Sie nimmt Ihnen aber nicht automatisch alle Entscheidungen ab.
Wenn Sie das Gefühl haben, dass Ihre Umgebung in den letzten Jahren einfach gewachsen ist, ohne dass einmal bewusst jemand draufgeschaut hat, sind Sie damit nicht allein.
Genau an diesem Punkt lohnt sich ein ehrlicher Blick von außen.
Wenn Sie möchten, dass wir Ihre Microsoft 365 Umgebung gemeinsam durchgehen, melden Sie sich gerne.
Dann klären wir in Ruhe, was gut ist, was bleiben kann und wo wir nachschärfen sollten.
