M365 | Datenschutz-Guide

Der Reiter "Dienste" steuert, was Nutzende in deinem Tenant tun dürfen. Feature-Flags für Teams, Exchange Online, Planner, Forms und weitere Workloads werden hier global gesetzt, bevor spezialisierte Admin Center feingranularer eingreifen. Was hier offen ist, gilt als Basis für den gesamten Tenant.

Passwort-Richtlinien, externe Sharing-Policies und Self-Service-Funktionen: Die Grundlagen der Tenant-Sicherheit liegen nicht im Defender, sondern hier. Microsofts Defaults sind auf Kompatibilität ausgelegt, nicht auf Schutz. Wer das nicht aktiv korrigiert, gibt Kontrolle ab.

Datenspeicherorte, visuelle Designs, Support-Informationen und Release-Präferenzen: Das Organisationsprofil ist mehr als Visitenkarte. Ob neue Features sofort mandantenweit ausgerollt werden oder erst eine Pilotgruppe durchlaufen, entscheidest du hier.

Die Identität ist die neue Firewall. Entra ID steuert, wer überhaupt durch die Tür darf.

Zusammenarbeit zwischen Mandanten: Sichere B2B-Szenarien. Nutze Cross-Tenant Access Settings, um genau zu steuern, mit welchen externen Firmen ihr Daten tauscht.

Verzeichnissynchronisierung: Wenn du Hybrid fährst (Entra Connect), achte auf Datensparsamkeit. Synchronisiere nur die Attribute und User, die wirklich in die Cloud müssen.

Datenqualität: Veraltete Accounts sind ein Sicherheitsrisiko. Regelmäßige Access Reviews sind Pflicht.

Das Zentrum der Zusammenarbeit – und oft der größte Daten-Topf.

Team- & Kanalverwaltung: Verhindere Wildwuchs. Definiere klar, wer neue Teams erstellen darf (Lifecycle Management), damit du nicht tausende verwaiste Datengräber verwalten musst.

Gastzugang: Zusammenarbeit ja, aber kontrolliert. Stelle sicher, dass Gäste nur Zugriff auf das Nötigste haben und MFA nutzen müssen.

Mitarbeiterschulung: Technik ist nur die halbe Miete. Sensibilisiere deine Nutzer für den Umgang mit Chats, Dateifreigaben und Aufzeichnungen.

Hier liegen deine Dokumente. Die Verwaltung der Berechtigungen ist hier der Schlüssel.

Externe Freigabe: Das größte Risiko. Beschränke das "Teilen mit jedem" (Anonymous Links) und setze Ablaufdaten für externe Links.

Sicherheitsmaßnahmen: Nutze Data Loss Prevention (DLP), um das versehentliche Teilen von Kreditkartendaten oder Personalnummern zu blockieren.

Berechtigungs-Check: Prüfe regelmäßig vererbte Berechtigungen auf Bibliotheken. "Weniger ist mehr."

Die KI verstärkt alles – auch deine Sicherheitslücken. Copilot findet alles, worauf der Nutzer Zugriff hat (Oversharing-Problem).

Datenzugriff kontrollieren: Bevor du Copilot einschaltest, musst du deine Berechtigungen aufräumen (Just Enough Access). Copilot respektiert bestehende Rechte – sind diese zu weit gefasst, sieht die KI zu viel.

Sicherheitsmaßnahmen: Nutze Sensitivity Labels (Vertraulichkeitsbezeichnungen). Ein als "Streng Vertraulich" markiertes Dokument wird von Copilot nicht für Antworten genutzt.

Schutz: Verhindere Copy-Paste-Fehler durch DLP in den Copilot-Antworten.

Die Kommandozentrale für deine Compliance. Hier verlässt du die Ebene der einzelnen Apps und legst ein schützendes Netz über deine gesamten Daten.

Information Protection: Kenne deine Daten. Nutze Sensitivity Labels (Vertraulichkeitsbezeichnungen), um Dokumente zu klassifizieren und – wenn nötig – automatisch zu verschlüsseln, egal wo sie liegen.

Audit & eDiscovery: Wer hat was wann getan? Stelle sicher, dass Audit-Logs lange genug gespeichert werden, um im Fall einer Datenpanne oder eines Rechtsstreits beweis- und auskunftsfähig zu bleiben.

Totgesagte leben länger. Auch in Zeiten von Teams bleibt die E-Mail das Einfallstor Nummer 1 für Ransomware und Phishing-Angriffe.

Schutz vor Angriffen: Härte deine Verteidigung. Konfiguriere Anti-Phishing- und Anti-Malware-Richtlinien strikt, um Nutzer vor bösartigen Anhängen und gefälschten Chef-Mails zu schützen.

Authentifizierung (SPF/DKIM/DMARC): Kein Versand ohne Ausweis. Schütze deine Domain-Reputation vor Missbrauch (Spoofing) und sorge dafür, dass deine legitimen Mails nicht im Spam der Kunden landen.

Veraltete Protokolle: Schließe die Hintertüren. Deaktiviere Legacy Authentication (IMAP/POP) global, um Brute-Force-Attacken auf Passwörter ins Leere laufen zu lassen.