7 Microsoft-365-Sicherheitslücken, die wir bei jedem zweiten Cloud-Check finden

„Das macht doch Microsoft.“ — Diesen Satz hören wir fast jede Woche. Und er stimmt zur Hälfte: Microsoft sichert die Plattform. Ihre Daten, Zugriffe und Backups sichern aber Sie. Genau in dieser Lücke zwischen „Microsofts Aufgabe“ und „Ihrer Aufgabe“ entstehen die Schwachstellen, die wir bei unseren Cloud-Checks immer wieder finden.

Wir haben unzählige Microsoft-365-Umgebungen in steirischen KMU geprüft. Das Ernüchternde: Es sind selten exotische Angriffsszenarien. Es sind dieselben sieben Basics, die im Tagesgeschäft untergehen — und genau deshalb so gefährlich sind, weil sie niemand auf dem Schirm hat. Meist völlig unbemerkt vom Unternehmen selbst.

Hier sind alle sieben Microsoft-365-Sicherheitslücken aus der Praxis — und wie Sie jede einzelne schließen.

Kurz vorweg: Warum überhaupt Sie zuständig sind, erklärt das Shared-Responsibility-Modell. Microsoft verantwortet die Infrastruktur (Rechenzentren, Verfügbarkeit, Netzwerk), Sie verantworten Ihre Inhalte (Daten, Identitäten, Backup, Konfiguration). Mehr dazu in unserem Beitrag Microsoft 365 richtig sichern.

1. MFA ist da — aber nur halb ausgerollt

Was wir sehen: Multi-Faktor-Authentifizierung ist aktiviert. Aber ausgerechnet bei den kritischen Konten fehlt sie — beim Geschäftsführer-Postfach, beim Sammelpostfach der Buchhaltung, beim Dienstleister-Zugang.

Warum das gefährlich ist: Ein gestohlenes Passwort allein reicht dann genau dort, wo der Schaden am größten ist. Angreifer suchen nicht den am besten geschützten Zugang — sie suchen den vergessenen.

Was hilft: MFA flächendeckend, nicht nur für Admins. Jedes Konto, jeder Dienst, keine Ausnahmen „aus Bequemlichkeit“.

2. „Backup“ heißt in Wahrheit Microsoft-Papierkorb

Was wir sehen: Auf die Frage „Haben Sie ein Backup Ihrer Cloud-Daten?“ kommt ein selbstbewusstes „Ja, ist ja alles in der Cloud.“ Was gemeint ist: der Papierkorb und die Standard-Aufbewahrung von Microsoft 365.

Warum das gefährlich ist: Microsoft 365 ist kein Backup. Es ist eine Plattform mit kurzen Aufbewahrungsfristen — designt für Verfügbarkeit, nicht für Wiederherstellung nach Wochen. Gelöschte Postfächer und Dateien sind nach 30 Tagen weg. Ein Quartal Buchhaltung, das erst nach 40 Tagen vermisst wird, ist unwiederbringlich.

Was hilft: Ein eigenständiges, von Microsoft unabhängiges Backup Ihrer Microsoft-365-Daten — mit längeren Aufbewahrungsfristen und getesteter Wiederherstellung.

3. Zugriffsrechte, über Jahre gewachsen — und nie aufgeräumt

Was wir sehen: Berechtigungen, die seit der Ersteinrichtung nur dazugekommen, aber nie weggenommen wurden. Der Praktikant von 2022 hat noch Zugriff. Halb Vertrieb sieht die Geschäftsführungs-Ablage. Faustregel im Ergebnis: jeder darf alles.

Warum das gefährlich ist: Wird ein einziges Konto kompromittiert, steht dem Angreifer alles offen, worauf dieser Nutzer Zugriff hat — also praktisch das ganze Unternehmen.

Was hilft: Least Privilege — Rechte nach tatsächlichem Bedarf. Plus eine regelmäßige Rechte-Inventur, die ungenutzte Zugriffe konsequent entfernt.

4. Versteckte Mail-Weiterleitungen nach außen

Was wir sehen: Postfächer mit aktiven Weiterleitungsregeln, die Mails still an externe Adressen schicken — eingerichtet vor Jahren „für den Urlaub“ oder, im schlimmeren Fall, von einem Angreifer selbst angelegt.

Warum das gefährlich ist: Das ist ein Klassiker bei Business-E-Mail-Compromise: Der Angreifer leitet sich unbemerkt sämtliche Kommunikation nach außen, liest still mit und schlägt im richtigen Moment zu (Stichwort: gefälschte Rechnung mit geänderter Bankverbindung).

Was hilft: Externe Weiterleitungen einschränken oder ganz blockieren — und bestehende Regeln einmal sauber durchgehen. Eine Einstellung, großer Unterschied.

5. Kein Protokoll — im Ernstfall tappen Sie im Dunkeln

Was wir sehen: Das Unified Audit Log ist nicht aktiviert oder wurde nie genutzt. Niemand kann nachvollziehen, wer wann was getan hat.

Warum das gefährlich ist: Ohne Protokoll keine Forensik. Nach einem Vorfall ist die wichtigste Frage „Was ist passiert, und sind Daten abgeflossen?“ — und ohne Logs lässt sie sich schlicht nicht beantworten. Das ist nicht nur technisch ein Problem, sondern auch bei Meldepflichten (Stichwort NIS2 und DSGVO).

Was hilft: Audit-Log aktivieren — kostenlos in Microsoft 365 enthalten. Damit Sie im Ernstfall Antworten haben statt Vermutungen.

6. Unverwaltete Geräte mit vollem Zugriff

Was wir sehen: Private Notebooks, alte Smartphones, das Tablet vom Außendienst — alle greifen ungeprüft auf Firmendaten zu. Niemand weiß, ob diese Geräte aktuelle Updates haben oder überhaupt einen Virenschutz.

Warum das gefährlich ist: Ein infiziertes Privatgerät wird zum offenen Tor in Ihre saubere Cloud. Der beste zweite Faktor hilft nicht, wenn das Gerät selbst kompromittiert ist.

Was hilft: Geräte-Compliance — nur verwaltete, gesunde Geräte dürfen rein. Bedingter Zugriff (Conditional Access) prüft Kontext wie Standort, Gerät und Risiko, bevor er den Zugang freigibt.

7. Kein geübter Notfallplan

Was wir sehen: Auf die Frage „Was tun Sie, wenn morgen ein Konto gekapert oder Daten verschlüsselt werden?“ kommt Schweigen — oder ein Plan, den nie jemand geübt hat und der in einer Schublade liegt.

Warum das gefährlich ist: Im Ernstfall zählt jede Minute. Wer erst dann anfängt zu überlegen, wer zu informieren ist und wie man wiederherstellt, verliert genau die Zeit, die über das Ausmaß des Schadens entscheidet.

Was hilft: Ein einfacher, geübter Notfallplan — wer macht was, in welcher Reihenfolge, mit welchen Kontakten. Lieber eine Seite, die sitzt, als zwanzig Seiten, die niemand kennt.

Was diese 7 Lücken gemeinsam haben

Keine davon ist ein Microsoft-Fehler. Alle sieben liegen in dem Teil der Verantwortung, der bei Ihnen bleibt — und keine erfordert teure Spezialsoftware. Es sind Konfiguration, Aufräumen und Vorsorge. Das Gute daran: Jede dieser Lücken lässt sich schließen — wenn man sie kennt.

Genau deshalb prüfen wir bei jedem Cloud-Check systematisch alle fünf Sicherheitsbereiche — Backup, Endpoint, Identität, E-Mail und Notfall. Denn Sicherheit entsteht nicht im stärksten Bereich, sie scheitert am schwächsten.

Häufige Fragen zu Microsoft-365-Sicherheitslücken

Ist Microsoft 365 nicht von Haus aus sicher? Microsoft sichert die Plattform und die Infrastruktur. Die Standardeinstellungen sind aber auf einfachen Einstieg optimiert, nicht auf maximale Sicherheit. Das Härten der Konfiguration bleibt Ihre Aufgabe.

Brauche ich wirklich ein zusätzliches Backup für Microsoft 365? Ja. Microsoft 365 hat kurze Aufbewahrungsfristen (Standard 30 Tage) und ist für Verfügbarkeit ausgelegt, nicht für Wiederherstellung nach Wochen. Ein eigenständiges Backup schließt diese Lücke.

Reicht MFA als Schutz aus? MFA ist die wichtigste einzelne Maßnahme — aber sie muss flächendeckend ausgerollt sein und durch bedingten Zugriff und Geräte-Compliance ergänzt werden. MFA ist das Fundament, nicht das ganze Haus.

Wie finde ich heraus, welche dieser Lücken bei mir offen sind? Mit unserem IT-Sicherheits-Check schätzen Sie Ihren Stand in rund 3 Minuten selbst ein — über alle fünf Bereiche, inklusive Ampel-Score und NIS2-Einschätzung.

Wo stehen Sie bei diesen 7 Punkten?

Das Tückische an diesen Lücken ist nicht ihre Komplexität — es ist ihre Unsichtbarkeit. Keine davon löst eine Fehlermeldung aus. Keine davon fällt im Tagesgeschäft auf. Sie zeigen sich erst, wenn es zu spät ist: wenn die Datei wirklich weg ist, wenn das Konto wirklich übernommen wurde, wenn im Ernstfall niemand weiß, wer was zu tun hat.

Die gute Nachricht: Jede einzelne dieser sieben Lücken lässt sich schließen — wenn man sie kennt. Und die sieben Punkte verteilen sich nicht zufällig, sondern auf fünf Sicherheits-Bereiche, die zusammenspielen müssen: Backup, Endpoint, Identität, E-Mail und Notfall. Eine Kette ist nur so stark wie ihr schwächstes Glied — und in der Praxis sehen wir fast immer, dass Unternehmen in zwei, drei Bereiche viel investiert und die anderen schlicht übersehen haben.

Wo Sie in jedem dieser fünf Bereiche stehen, müssen Sie nicht raten. Unser IT-Sicherheits-Check gibt Ihnen in rund 3 Minuten eine erste Selbsteinschätzung — 10 Fragen, ein klarer Ampel-Score über alle fünf Bereiche, dazu eine NIS2-Einschätzung. Keine Registrierung, kein Verkaufsgespräch. Wenige Tage später erhalten Sie einen persönlichen Report mit Ihren Top-3-Maßnahmen, den wir tatsächlich von Hand schreiben — keine generische Vorlage.

👉 Jetzt selbst einschätzen: icte.biz/it-check

Sie möchten lieber direkt über Ihre konkrete Situation sprechen? Dann buchen Sie ein unverbindliches Erstgespräch — wir schauen uns Ihre fünf Bereiche gemeinsam an und sagen Ihnen ehrlich, wo Sie stehen.

👉 Erstgespräch vereinbaren: icte.biz