Organisationseinstellungen | Dienste

Standardmäßig bietet Microsoft 365 Anwendern weitreichende Freiheiten bei der Installation von Drittanbieter-Apps. Aus Sicht der IT-Sicherheit und der DSGVO birgt dies ein enormes Risiko durch Schatten-IT.

Wenn Nutzer unkontrolliert Anwendungen aus dem Office Store hinzufügen, erteilen sie diesen oft umfangreiche Zugriffsrechte auf Unternehmensdaten wie E-Mails, Dateien oder Teams-Chats. Administratoren verlieren so schnell die Kontrolle über den Datenabfluss.

Zudem fehlen oft die rechtlich zwingend notwendigen Auftragsverarbeitungsverträge (AVV). Um die Compliance des Unternehmens zu wahren, reicht reine Kommunikation nicht aus – technische Einschränkungen im Admin Center sind Pflicht.

• Benutzern den Zugriff auf den Office Store gestatten
  • Einstellung: Deaktivieren
  • Verhindert unkontrollierten Datenabfluss an Drittanbieter. Apps sollten stattdessen nach IT- und Datenschutz-Prüfung zentral über "Integrierte Apps" freigegeben werden (Allow-List).
• Benutzern das Starten von Testversionen im Namen Ihrer Organisation gestatten
  • Einstellung: Deaktivieren
  • Stoppt eigenmächtige Zustimmungen zu externen Datenschutzbedingungen durch Nutzer und verhindert unkontrollierte Schatten-IT im Unternehmensumfeld.
• Benutzern den automatischen Anspruch auf Lizenzen für Apps und Dienste gestatten (Auto-Claim)
  • Einstellung: Deaktivieren
  • Schützt vor versteckten Kosten und undokumentierter Datenverarbeitung. Die Lizenzvergabe muss für eine DSGVO-konforme Transparenz zwingend zentral durch die IT erfolgen.

Die Azure Spracherkennungsdienste bieten in Microsoft 365 vielseitige Möglichkeiten – etwa für automatische Transkriptionen, Diktierfunktionen oder Sprachanalysen. Doch Vorsicht: Gesprochenes Wort und die daraus resultierenden Transkripte enthalten oft hochsensible, personenbezogene Daten.

Zwar erfüllt Azure AI zahlreiche Zertifizierungen (z. B. SOC, ISO, HIPAA), dennoch gilt im Rahmen der DSGVO zwingend das Prinzip der Datenminimierung. Die Nutzung unternehmenseigener Daten (wie E-Mails, Dokumente und Sprache) zur Optimierung der globalen Microsoft-Sprachmodelle sollte grundsätzlich unterbunden werden.

Wenn die Spracherkennungsdienste für eure Kernprozesse nicht zwingend erforderlich sind, ist das Abschalten an dieser zentralen Stelle der effektivste Schutz vor ungewolltem Datenabfluss.

• Geben Sie Ihren Mitarbeitern die Möglichkeit, mit Azure-Spracherkennungsdiensten mit Microsoft 365 zu kommunizieren
  • Einstellung: Deaktivieren
  • Verhindert die unnötige Verarbeitung von sensiblen Audio- und Transkriptionsdaten durch Azure AI. Sollte die Funktion für Barrierefreiheit oder spezifische Workflows benötigt werden, ist vor der Aktivierung eine formelle Datenschutz-Folgenabschätzung (DSFA) sowie eine transparente Aufklärung der Mitarbeiter zwingend erforderlich.

Microsoft 365 bietet umfassende Möglichkeiten, die Nutzung von Diensten zu analysieren. Doch bei der Auswertung von Benutzeraktivitäten stehen sich operative IT-Steuerung und der datenschutzrechtliche Grundsatz der Datensparsamkeit oft gegenüber.

Standardmäßig ist Microsoft 365 datenschutzfreundlich konfiguriert: In den Berichten des Admin Centers, in Microsoft Graph und in Power BI werden Benutzernamen, Gruppen und Website-Bezeichnungen pseudonymisiert (also ausgeblendet). Dies ist eine wichtige Voreinstellung, um eine verhaltens- oder leistungsbezogene Überwachung einzelner Mitarbeiter durch die IT-Administration zu verhindern – ein Bereich, der in Deutschland durch Betriebsvereinbarungen und den Beschäftigtendatenschutz (Art. 88 DSGVO) streng reglementiert ist. Die Aufhebung dieser Pseudonymisierung sollte daher nur in begründeten Ausnahmefällen und nach Rücksprache mit dem Datenschutzbeauftragten oder dem Betriebsrat erfolgen.

• Berichtserstellung: "Benutzernamen, Gruppen und Websites in Berichten anzeigen"
  • Einstellung: Deaktiviert lassen
  • Schützt die Privatsphäre der Mitarbeiter durch Pseudonymisierung. Dies verhindert eine individualisierte Leistungsüberwachung und sorgt für die Einhaltung der DSGVO-konformen Standardeinstellungen.
• Microsoft 365 Verwendungsanalyse (Power BI)
  • Einstellung: Bedarfsgerecht prüfen
  • Die Analyse sollte ausschließlich auf den aggregierten, anonymisierten Daten basieren. Der Zugriff auf detaillierte, personalisierte Daten für die "Microsoft 365-Verwendungsanalyse" in Power BI erfordert eine explizite datenschutzrechtliche Bewertung und Freigabe durch die interne Compliance-Abteilung.

Microsoft Bookings ist ein mächtiges Werkzeug für die Terminplanung, birgt jedoch durch die öffentliche Natur der Buchungsseiten erhebliche Risiken für den Datenschutz. Wenn Bookings unbedacht konfiguriert wird, können Mitarbeiterdaten ungewollt preisgegeben oder Kundendaten in nicht kontrollierte Prozesse fließen.

Um DSGVO-konform zu agieren, muss die öffentliche Erreichbarkeit eingeschränkt und der Zugriff streng auf notwendige Personen begrenzt werden. Der Fokus liegt hier auf dem "Privacy by Default"-Prinzip: Erst nach bewusster Konfiguration der Sicherheitsmechanismen sollte der Dienst für den produktiven Einsatz freigegeben werden.

• Bookings in der Organisation zulassen
  • Einstellung: Bedarfsgerecht (Deaktivieren, falls nicht zwingend erforderlich; ansonsten gezielte Zuweisung an Gruppen)
  • Beschränkt den Dienst auf die Nutzer, die ihn wirklich benötigen, und minimiert so die Angriffsfläche innerhalb der Organisation.
• "Nur Benutzer in meiner Organisation, die sich angemeldet haben, können Termine buchen"
  • Einstellung: Aktivieren
  • Verhindert unbefugte Zugriffe von außen und stellt sicher, dass Buchungen nur durch authentifizierte Personen erfolgen.
• "Entfernen der Steuerelemente für die Freigabe von sozialen Netzwerken"
  • Einstellung: Aktivieren
  • Verhindert die unkontrollierte Verbreitung der Buchungsseite in sozialen Medien und schützt so vor ungewollter öffentlicher Sichtbarkeit.
• "Suche verhindern"
  • Einstellung: Aktivieren
  • Sorgt dafür, dass die Buchungsseite nicht in Suchmaschinen (Google, Bing etc.) indexiert wird. Der Zugriff ist dann nur über einen direkten Link möglich.
• "Einschränken der Sammlung von Kundendaten"
  • Einstellung: Aktivieren
  • Minimiert die erhobenen Daten auf das absolut Notwendige, um die DSGVO-Vorgabe der Datensparsamkeit umzusetzen.

Cortana diente als cloudbasierter digitaler Assistent zur Unterstützung von Mitarbeitern bei Besprechungen, Dokumenten und der Organisation von Arbeitsabläufen. Microsoft hat den Support für Cortana als eigenständige App sowie in den meisten Microsoft 365-Diensten (Teams, Outlook Mobile etc.) mittlerweile offiziell eingestellt.

Dennoch ist die Prüfung dieser Einstellung in gewachsenen IT-Umgebungen relevant, um sicherzustellen, dass keine alten Konfigurationsreste noch aktive Datenzugriffe auf M365-Ressourcen erlauben. Aus datenschutzrechtlicher Sicht ist kritisch, dass Cortana – sofern noch aktiv – Zugriff auf interne Informationen erhält, um "Erkenntnisse" zu generieren. Da die Verarbeitung in der Cloud stattfindet, sollte der Zugriff auf Unternehmensdaten unter dem Gesichtspunkt der Datensparsamkeit und zur Vermeidung unkontrollierter Datenabflüsse konsequent unterbunden werden.

• Cortana den Zugriff auf M365-Organisationsdaten gestatten
  • Einstellung: Deaktivieren
  • Verhindert, dass der Assistent auf sensible Besprechungsdaten, Dokumente und Kommunikationsbeziehungen zugreift. Dies reduziert die Angriffsfläche für Datenlecks und stellt sicher, dass keine unternehmensinternen Informationen für Profiling oder KI-Training durch Microsoft-Dienste dieser Kategorie verarbeitet werden.

Dynamics 365 Customer Voice ist ein leistungsstarkes Werkzeug, um systematisches Feedback von Kunden und Mitarbeitern einzuholen. Doch aus Datenschutzsicht ist das Tool kritisch zu betrachten: Da bei Umfragen regelmäßig personenbezogene Daten (wie Namen, E-Mail-Adressen oder individuelles Feedback) verarbeitet werden, muss die Nutzung strikt reglementiert sein.

Wenn Customer Voice in der Organisation aktiviert ist, können Nutzer eigenständig Umfragen erstellen und versenden. Ohne klare Leitplanken droht eine unkontrollierte Erhebung sensibler Informationen, die möglicherweise nicht mit der internen Compliance-Richtlinie oder der DSGVO (insb. Zweckbindung und Datensparsamkeit) vereinbar sind. Administratoren müssen sicherstellen, dass nur autorisierte Personen Umfragen erstellen und dass beim Versand keine ungeschützten E-Mail-Kanäle genutzt werden.

• Dynamics 365 Customer Voice für Ihre Organisation zulassen
  • Einstellung: Bedarfsgerecht (Deaktivieren, falls nicht zwingend erforderlich)
  • Beschränkt das Erstellen von Umfragen auf einen definierten Kreis von Mitarbeitern. Dies stellt sicher, dass jede Umfrage durch eine datenschutzrechtliche Prüfung (z. B. auf korrekte Datenschutzerklärung im Umfrage-Header) validiert werden kann.
• Verwendung einer benutzerdefinierten E-Mail-Adresse
  • Einstellung: Aktivieren (bzw. Konfiguration erzwingen)
  • Verhindert den Versand über generische Microsoft-Domains. Die Nutzung einer eigenen Unternehmensadresse erhöht die Transparenz gegenüber den Empfängern und ist ein wichtiger Baustein für die Vertrauenswürdigkeit der Datenverarbeitung.
    

Dynamics 365 ist das Herzstück für Marketing, Vertrieb und Kundenservice. Da hier jedoch hochsensible personenbezogene Daten von Kunden und Interessenten zentral gespeichert und verarbeitet werden, ist das System ein kritischer Bereich für den Datenschutz. Ein fehlerhaft konfiguriertes CRM-System führt schnell zu Verstößen gegen die DSGVO – etwa bei unzureichender Löschung von Daten, unberechtigten Zugriffen oder fehlender Transparenz bei der Datenverarbeitung.

Um Dynamics 365 rechtskonform zu betreiben, müssen Administratoren nicht nur die technischen Schutzmechanismen des Admin Centers nutzen, sondern das CRM-System aktiv durch den Compliance Manager begleiten lassen.

• Einsatz des Microsoft Compliance Managers
  • Einstellung: Aktiv & kontinuierlich nutzen
  • Der Compliance Manager liefert spezifische Kontrollpunkte für die Risikoanalyse. Er hilft dabei, die Anforderungen der DSGVO (wie Datensicherheit und Zweckbindung) in konkrete IT-Prozesse zu übersetzen.
• Kundenspezifische Datenschutz-Implementierung (Privacy by Design)
  • Einstellung: Prozessgesteuerte Konfiguration
  • Jede Anpassung (Customization) im CRM muss auf Datenschutz geprüft werden. Implementiere Funktionen für das automatisierte Management von Betroffenenrechten (Recht auf Auskunft, Berichtigung und Löschung) direkt bei der Erstellung neuer Entitäten.
• Dynamics CRM-Zugriffssteuerung
  • Einstellung: Rollenbasiertes Zugriffskonzept (RBAC)
  • Beschränke den Zugriff auf CRM-Datensätze streng nach dem "Need-to-know"-Prinzip. Nicht jeder Mitarbeiter benötigt Zugriff auf alle Kundendaten.

Die Einführungsbewertung (Adoption Score) bietet eine datengestützte Analyse der "Personenerfahrungen" (wie nutzen Mitarbeiter die Collaboration-Tools) und "Technologieerfahrungen" (Geräteleistung, Konnektivität).

Obwohl Microsoft betont, dass Erkenntnisse aggregiert auf Organisationsebene berechnet werden, um individuelle Leistungsüberwachungen zu vermeiden, birgt das Feature das Risiko einer zu tiefen Granularität. Insbesondere die Aktivierung von Gruppendatenfiltern (z. B. nach Abteilung oder Standort) kann – je nach Größe der Gruppe – eine indirekte Identifizierung von Nutzern ermöglichen. Der Schutz der Persönlichkeitsrechte der Mitarbeiter muss hierbei stets Vorrang vor der analytischen Neugier haben.

• Auswahl von Benutzern und Gruppen für Erkenntnisse
  • Einstellung: Bewusst auf notwendige Bereiche beschränken
  • Vermeide es, die gesamte Organisation pauschal zu analysieren, wenn nur bestimmte Teilbereiche für eine gezielte Verbesserung der Adoption relevant sind. Dies folgt dem Grundsatz der Datenminimierung.
• Gruppendatenfilterung (Abteilung oder Standort)
  • Einstellung: Nur nach sorgfältiger Prüfung der Entra-Daten (Azure AD) aktivieren
  • Achtung: Bevor du diese Filter aktivierst, musst du prüfen, ob dadurch Rückschlüsse auf Einzelpersonen möglich sind. In kleineren Abteilungen kann dies gegen den Beschäftigtendatenschutz verstoßen. Eine Abstimmung mit dem Betriebsrat ist hier zwingend erforderlich.
• Organisationsnachrichten (Empfehlungen an Benutzer)
  • Einstellung: Mit Vorsicht steuern
  • Das Versenden von automatisierten Nachrichten an Mitarbeiter, um ihr Nutzungsverhalten zu ändern, kann als "Nudging" wahrgenommen werden. Stelle sicher, dass die Nachrichten transparent, wertschätzend und datenschutzkonform gestaltet sind.

Die Profilkarten in Microsoft 365 sind das zentrale Verzeichnis für die Zusammenarbeit im Unternehmen. Sie zeigen Informationen aus Microsoft Entra ID (ehemals Azure AD) an, um die Kommunikation zu erleichtern. Aus Datenschutzsicht ist jedoch Vorsicht geboten: Die Anzeige von zu vielen persönlichen oder optionalen Attributen kann den Grundsatz der Datensparsamkeit verletzen, insbesondere wenn diese Informationen über den beruflichen Kontext hinausgehen.

Das Ziel sollte es sein, nur die Informationen bereitzustellen, die für eine effiziente Zusammenarbeit im geschäftlichen Alltag zwingend erforderlich sind. Alles darüber hinaus sollte optional bleiben oder deaktiviert werden, um eine "Über-Information" und mögliche Missbrauchsrisiken (z.B. für Social Engineering) zu minimieren.

• Personeninformationen auf Profilkarten (Optionale Eigenschaften)
  • Einstellung: Auf das Notwendige reduzieren
  • Deaktiviere die Anzeige von Attributen, die nicht zwingend für die Arbeit erforderlich sind (z. B. Privatadressen oder zusätzliche private Telefonnummern). Prüfe regelmäßig, welche Felder in der IT-Richtlinie als "dienstlich notwendig" definiert sind.
• Aussprache von Namen
  • Einstellung: Bedarfsgerecht (deaktivieren, falls keine organisatorische Notwendigkeit besteht)
  • Dies ist eine freiwillige Angabe. In globalen Organisationen kann dies die Zusammenarbeit verbessern, in rein lokalen/nationalen Einheiten ist es oft nicht erforderlich.
• Pronomen
  • Einstellung: Bedarfsgerecht (deaktivieren, falls nicht gewünscht)
  • Die Angabe von Pronomen ist ein sensibler Bereich der Identität. Wenn die Funktion aktiviert wird, muss sichergestellt sein, dass dies auf absoluter Freiwilligkeit basiert und die Benutzer jederzeit die Kontrolle über die Anzeige haben.

Das Entwicklerportal für Teams ist die zentrale Anlaufstelle für die Konfiguration, Validierung und Veröffentlichung von benutzerdefinierten Apps, Agenten und Copilot-Erweiterungen. Während es für Entwickler ein essenzielles Produktivitäts-Tool darstellt, öffnet es gleichzeitig die Tür für die Integration von Code, der tief in die Microsoft 365-Umgebung eingreift.

Aus Sicherheits- und Datenschutzsicht ist es kritisch, dass unkontrollierte App-Entwicklungen innerhalb der Organisation zu Datenabflüssen oder unautorisierten Zugriffen auf M365-Daten führen können. Administratoren müssen sicherstellen, dass die Entwicklungsumgebung von der produktiven Umgebung isoliert ist und dass die Einsicht in Nutzungsdaten nicht gegen den Beschäftigtendatenschutz verstößt.

• App-Nutzung für benutzerdefinierte Anwendungen anzeigen
  • Einstellung: Deaktivieren (bzw. auf ein minimales Entwickler-Team einschränken)
  • Verhindert, dass Entwickler ohne Notwendigkeit detaillierte Einblicke in Nutzeraktivitäten erhalten. Die Einsicht in "aktive Benutzer" kann bei nicht fachgerechter Aggregation zu einer Verhaltensüberwachung führen, was strengen betriebsverfassungsrechtlichen Vorgaben unterliegt.
• Governance & App-Lebenszyklus
  • Einstellung: Zentraler Freigabeprozess
  • Stelle sicher, dass jede App, die im Entwicklerportal erstellt wurde, vor dem Rollout im Unternehmen einen zentralen Sicherheits-Check (App-Zustimmungsrichtlinie) durch die IT-Administration und den Datenschutzbeauftragten durchläuft. Nutze hierfür das Prinzip der "Least Privilege" bei den App-Berechtigungen.

Die Kalenderfreigabe in Microsoft 365 ist ein essenzielles Tool für die Zusammenarbeit, stellt jedoch ein signifikantes Datenschutzrisiko dar, wenn sie unkontrolliert erfolgt. Wenn Mitarbeiter Kalender unbedacht nach extern (z. B. an Kunden oder Privatkonten) freigeben, können Informationen über Arbeitszeiten, Besprechungsteilnehmer und interne Projekte ungewollt abfließen.

Im M365 Admin Center lassen sich grundlegende Richtlinien festlegen, die feingranulare Steuerung erfolgt jedoch im Exchange Admin Center (EAC). Das Ziel sollte sein, eine restriktive Standardrichtlinie zu implementieren, die die externe Freigabe entweder komplett unterbindet oder auf ein notwendiges Minimum (z. B. nur Freigabe von Verfügbarkeitsdaten statt vollständiger Betreffzeilen) reduziert.

• Externes Teilen (Exchange Admin Center)
  • Einstellung: Restriktiv (Standard: Keine Freigabe oder nur "Frei/Gebucht"-Informationen)
  • Beschreibung: Wähle die Option "Verfügbarkeitsinformationen nur anzeigen", anstatt vollständige Kalenderdetails freizugeben. Dies schützt vor dem ungewollten Abfluss von Inhalten (wie Projekttiteln oder Namen interner Ansprechpartner).
• Steuerung der Zielgruppe
  • Einstellung: Bedarfsgerecht einschränken
  • Beschreibung: Nutze im Exchange Admin Center Richtlinien, um die externe Freigabe auf spezifische, verifizierte Domänen oder Nutzergruppen zu begrenzen, anstatt sie für die gesamte Organisation pauschal zu erlauben.

Die E-Mail ist nach wie vor der primäre Angriffsvektor für Cyberangriffe und das größte Risiko für unkontrollierte Datenabflüsse. Während die allgemeinen M365-Einstellungen die Oberfläche bilden, liegt die tiefe Konfiguration der E-Mail-Sicherheit im Exchange Admin Center (EAC).

Ein DSGVO-konformer E-Mail-Verkehr erfordert nicht nur den Schutz vor externen Bedrohungen, sondern auch eine lückenlose Protokollierung und die Verhinderung der Exfiltration sensibler Daten. Die hier aufgeführten Kategorien – Überwachung, E-Mail-Fluss und Schutz – bilden das Fundament für ein sicheres Kommunikationsumfeld.

• Überwachung (Audit Logs)
  • Einstellung: Alle Protokollierungen aktivieren und regelmäßig prüfen
  • Protokolliere Änderungen an Postfächern und globalen Einstellungen. Dies ist essenziell für die Erfüllung der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO, um im Falle eines Vorfalls nachvollziehen zu können, wer wann welche Änderung vorgenommen hat.
• Schutz (Antispam & Antischadsoftware)
  • Einstellung: Standardrichtlinien durch striktere Profile ersetzen
  • Konfiguriere Antischadsoftware-, Verbindungsfilter- und Spamfilterrichtlinien so, dass sie über die Microsoft-Standardvorgaben hinausgehen. Nutze "Safe Attachments" und "Safe Links", um E-Mails proaktiv auf bösartige Inhalte zu scannen.
• Richtlinien zur Verhinderung von Datenverlust (Data Loss Prevention - DLP)
  • Einstellung: Aktivieren und auf sensible Datentypen trainieren
  • Implementiere DLP-Richtlinien, die den Versand von sensiblen Informationen (z. B. IBANs, Personalausweisnummern oder unternehmensinterne Geheimnisse) in E-Mails automatisch unterbinden oder verschlüsseln, bevor sie die Organisation verlassen.

Das Markencenter ist die zentrale Anlaufstelle für die Verwaltung von Corporate-Design-Ressourcen (Logos, Schriftarten, Farbpaletten), die in Microsoft 365-Anwendungen wie SharePoint, Teams oder PowerPoint genutzt werden. Aus Sicht der IT-Sicherheit ist das Markencenter weniger ein Vektor für externe Angriffe, sondern primär ein Instrument zur Governance und Datenhoheit.

Durch das Markencenter stellst du sicher, dass keine unautorisierten oder veralteten Design-Elemente in Unternehmensdokumente gelangen. Zudem verhinderst du, dass Benutzer eigenständig externe Quellen (z. B. Drittanbieter-Design-Tools) einbinden müssen, was wiederum das Risiko von Schatten-IT und Compliance-Verstößen reduziert.

• Zugriff auf die Markencenter-Website
  • Einstellung: Auf interne Mitarbeiter beschränken
  • Die Standardeinstellung schließt externe Benutzer aus. Dies ist absolut korrekt, um sicherzustellen, dass unternehmensinterne Branding-Assets geschützt bleiben und nicht in falsche Hände geraten.
• Zuweisung von Website-Besitzern (Markenmanager)
  • Einstellung: Nach dem "Least Privilege"-Prinzip
  • Weise nur den Personen Admin-Rechte für die Markencenter-App zu, die zwingend für die Markenführung verantwortlich sind. Nutze hierfür Gruppen-basierte Berechtigungen, um die Verwaltung flexibel, aber nachvollziehbar zu halten.
• Berechtigungsmanagement
  • Einstellung: Zentral über SharePoint Admin Center oder Markencenter-Website
  • Überprüfe in regelmäßigen Abständen (z. B. quartalsweise) die Berechtigungsliste der Website-Besitzer. Entferne Konten von Personen, die das Unternehmen verlassen haben oder deren Aufgabenbereich sich geändert hat, um den Zugriff auf das interne Branding zu beschränken.

Die Multi-Faktor-Authentifizierung (MFA) ist heute kein optionales Sicherheitsfeature mehr, sondern die absolut notwendige Basis für jede IT-Infrastruktur. Da Passwörter durch Phishing, Brute-Force-Angriffe oder Datenlecks bei Drittanbietern kompromittiert werden können, bietet MFA eine essenzielle zweite Sicherheitsebene. Selbst wenn ein Angreifer das Kennwort eines Benutzers erbeutet, bleibt ihm der Zugriff auf das M365-Konto ohne den zweiten Faktor verwehrt.

Im M365-Admin-Center (bzw. in Azure AD / Microsoft Entra ID) ist die MFA-Konfiguration der wirksamste Hebel, um Identitätsdiebstahl in deiner Organisation zu unterbinden.

• Multi-Faktor-Authentifizierung für alle Benutzer erzwingen
  • Einstellung: Aktivieren (über "Sicherheitsstandards" oder "Conditional Access Policies")
  • Beschreibung: MFA sollte für jeden Benutzer – insbesondere für Administratoren – verpflichtend sein. Aktiviere idealerweise "Conditional Access Policies" (Bedingter Zugriff), um die MFA-Anforderung basierend auf Kontext (z. B. Standort, Gerät, Risiko) noch intelligenter zu steuern.
• Methoden für die Authentifizierung
  • Einstellung: Starke Faktoren bevorzugen (Authenticator-App / FIDO2)
  • Beschreibung: Vermeide SMS-basierte Authentifizierung, da diese anfällig für "SIM-Swapping"-Angriffe ist. Nutze stattdessen Microsoft Authenticator-Apps (mit Push-Benachrichtigung und Number Matching) oder physische Sicherheitsschlüssel (FIDO2) für höchste Sicherheit.

Innerhalb der Microsoft 365 Web-Apps (wie Word, Excel oder PowerPoint online) haben Benutzer die Möglichkeit, externe Dateien von Drittanbietern direkt zu öffnen. Was auf den ersten Blick wie ein praktisches Feature zur Produktivitätssteigerung wirkt, stellt für Administratoren ein signifikantes Sicherheits- und Compliance-Risiko dar.

Microsoft weist explizit darauf hin, dass für diese externen Inhalte weder die Microsoft-eigenen Sicherheitsstandards noch die Datenschutzrichtlinien des Unternehmens gelten.

Sobald ein Benutzer eine solche Datei öffnet, verlässt er den "geschützten Raum" der Microsoft-Cloud. Sensible Unternehmensdaten könnten so in Drittsysteme abfließen, für die kein Auftragsverarbeitungsvertrag (AVV) besteht oder deren Sicherheitsniveau völlig unbekannt ist.

• Öffnen externer Dateien in M365 im Web zulassen
  • Einstellung: Deaktivieren
  • Beschreibung: Durch das Deaktivieren dieser Funktion verhinderst du, dass Benutzer unkontrolliert externe Drittanbieter-Dateien in der M365-Umgebung öffnen. Dies ist ein wichtiger Schritt zur Vermeidung von Schatten-IT und zum Schutz vor unkontrolliertem Datenabfluss. Sollte ein geschäftlicher Bedarf bestehen, sollten diese Dateien ausschließlich über kontrollierte, unternehmenseigene Wege (z. B. verschlüsselte E-Mail-Anhänge oder freigegebene SharePoint-Bibliotheken) geprüft und bereitgestellt werden.

Microsoft 365 Lighthouse ist ein mächtiges Administrationswerkzeug, das speziell für IT-Dienstleister (Managed Service Provider) entwickelt wurde, um Mandanten effizient zu verwalten, Geräte zu überwachen und Sicherheitsrisiken zu minimieren.

Aus Datenschutz- und IT-Sicherheitssicht ist Lighthouse jedoch ein kritischer Punkt: Mit der Aktivierung gewährst du deinem Partner umfassende Zugriffsrechte auf deine Unternehmensdaten (Benutzer, E-Mails, Geräte, Konfigurationen).

Ein unbedachter Zugriff oder eine nicht ausreichend gesicherte Partnerschaft kann zu einem massiven Sicherheitsrisiko werden. Das "Zulassen" dieses Zugriffs ist eine Einstellung auf Mandantenebene und sollte daher nur nach sorgfältiger Prüfung der vertraglichen Vereinbarungen erfolgen.

• Microsoft 365 Lighthouse-Zugriff für Partner aktivieren
  • Einstellung: Bedarfsgerecht (nur bei aktivem, vertraglich gebundenem Partner)
  • Beschreibung: Aktiviere diesen Zugriff nur, wenn ein gültiger Auftragsverarbeitungsvertrag (AVV) vorliegt und eine klare Vereinbarung über den Umfang der verwalteten IT-Dienstleistungen besteht. Überprüfe regelmäßig in den "Beziehungen mit Partnern", ob die aktive Verbindung noch notwendig ist.
• Audit & Monitoring
  • Einstellung: Regelmäßige Prüfung
  • Beschreibung: Kontrolliere in den Audit-Logs regelmäßig, welche Aktionen dein Partner über Lighthouse in deinem Mandanten durchgeführt hat. Dies ist ein zentraler Bestandteil der proaktiven Sicherheitskontrolle.

Microsoft 365-Gruppen bilden das Rückgrat der Zusammenarbeit in Teams, SharePoint und Outlook. Ohne strikte Governance führen sie jedoch schnell zu "Group Sprawl" (unkontrollierte Gruppenbildung) und riskanten Datenfreigaben.

Besonders kritisch sind hier die Einbindung externer Gäste sowie das Fehlen verantwortlicher Eigentümer, was Compliance-Lücken bei der Datenlöschung und Zugriffsberechtigung zur Folge hat.

• Gastzugriff in Microsoft 365-Gruppen
  • Einstellung: Restriktiv konfigurieren (bzw. auf explizit erlaubte Szenarien begrenzen)
  • Beschreibung: Wenn Gäste nicht zwingend erforderlich sind, deaktiviere den Gastzugriff vollständig. Falls externe Zusammenarbeit nötig ist, nutze stattdessen spezifische "Guest Access Policies" auf Gruppenebene oder in Microsoft Teams, um den Zugriff präzise zu steuern, anstatt ihn global für alle Gruppen freizugeben.
• Besitzerlose Gruppen (Orphaned Groups)
  • Einstellung: Aktive Überwachung etablieren
  • Beschreibung: Gruppen ohne Eigentümer sind ein Sicherheitsrisiko, da niemand für die Berechtigungsprüfung oder Datenlöschung verantwortlich ist. Implementiere einen automatischen Review-Prozess oder nutze Microsoft 365-Richtlinien für den Ablauf von Gruppen (Expiration Policy), die Gruppen ohne aktive Besitzer automatisch kennzeichnen oder archivieren.

Die Steuerung der Update-Kanäle und Installationsrechte ist ein kritischer Bestandteil der IT-Governance. Unkontrollierte Updates oder freie Installationsrechte für Benutzer können die Stabilität der IT-Umgebung gefährden und Sicherheitslücken durch veraltete oder nicht autorisierte Softwareversionen schaffen.

Eine durchdachte Update-Strategie minimiert das Risiko von Inkompatibilitäten und stellt sicher, dass Sicherheits-Patches zeitnah ausgerollt werden.

• Update-Kanal (Version XXxx vs. YYyy)
  • Einstellung: Standardmäßig "Monatlicher Enterprise-Kanal" oder "Halbjährlicher Enterprise-Kanal"
  • Beschreibung: Wähle stabile Kanäle für produktive Umgebungen. Vermeide den "Insider"-Kanal auf produktiven Geräten, um Instabilitäten zu verhindern. Die Wahl des Kanals bestimmt, wie schnell neue Features verteilt werden, was für die Stabilität deiner IT entscheidend ist.
• Installation auf eigenen Geräten
  • Einstellung: Deaktivieren (sofern keine BYOD-Richtlinie mit Mobile Device Management existiert)
  • Beschreibung: Verhindert, dass M365-Apps auf privaten, nicht verwalteten Geräten installiert werden, auf denen keine Sicherheitsrichtlinien (Conditional Access) greifen. Die Bereitstellung sollte idealerweise zentral durch die IT erfolgen, um die Kontrolle über die Datenintegrität zu behalten.
• Rollback & Überspringen von Versionen
  • Einstellung: Nur bei akuten Problemen nutzen
  • Beschreibung: Das Rollback-Feature ist ein wichtiges Notfall-Werkzeug ("Business Continuity"). Es sollte jedoch nie Standard sein, da ältere Versionen Sicherheitsrisiken bergen.
• Verwalten von Neuigkeitennachrichten
  • Einstellung: Anpassen (bzw. bei hoher Sicherheitsanforderung deaktivieren)
  • Beschreibung: Reduziert die Ablenkung der Benutzer durch In-App-Marketing. In hochregulierten Umgebungen kann dies deaktiviert werden, um ein einheitliches App-Verhalten sicherzustellen.

Microsoft Azure Information Protection (AIP) ist das Herzstück einer modernen Data-Loss-Prevention-Strategie. Es ermöglicht nicht nur die Verschlüsselung von Dateien, sondern stellt sicher, dass Dokumente – unabhängig davon, wo sie gespeichert sind oder ob sie auf ein privates Gerät heruntergeladen wurden – stets durch die von der IT definierten Schutzregeln begleitet werden.

In einer Welt, in der Daten über Unternehmensgrenzen hinweg geteilt werden, bietet AIP die notwendige Kontrolle: Selbst wenn eine Datei per E-Mail versendet oder auf einem USB-Stick gespeichert wird, bleiben die Zugriffsberechtigungen und Verschlüsselungsregeln "am Dokument kleben".

• AIP-Richtlinien & Verschlüsselung
  • Einstellung: Aktivieren und auf sensible Datentypen anwenden
  • Beschreibung: Definiere Schutzregeln für unterschiedliche Klassifizierungen (z. B. "Vertraulich", "Streng Geheim"). Dies stellt sicher, dass nur berechtigte Personen Dokumente öffnen können und unautorisierte Weiterleitungen technisch unterbunden werden.
• Zusammenarbeit mit anderen Diensten (OneDrive/E-Mail)
  • Einstellung: AIP-Integration in Office 365 erzwingen
  • Beschreibung: Die Integration sorgt dafür, dass auch beim Bearbeiten im Browser (Microsoft 365 im Web) die gleichen Schutzmechanismen greifen wie bei der lokalen Bearbeitung auf dem Desktop. Dies schließt Sicherheitslücken beim Arbeiten aus dem Home-Office oder von mobilen Endgeräten.

Die Verwaltung von Websitelisten in Microsoft Edge ist ein wichtiges Instrument für die Unternehmens-IT. Der Fokus liegt hierbei auf dem "Internet Explorer-Modus" (IE-Modus), der es ermöglicht, alte, für den Internet Explorer entwickelte Webanwendungen in einem modernen, sicheren Browser zu betreiben.

Aus Sicht der Sicherheit und des Datenschutzes ist es kritisch, den IE-Modus nur für absolut notwendige Anwendungen freizugeben. Der IE-Modus ist eine notwendige Legacy-Krücke, bietet aber nicht den Schutzstandard von Microsoft Edge.

Jede Website, die unnötigerweise in diesem Modus geöffnet wird, erhöht das Risiko für Sicherheitslücken. Zudem bietet die zentrale Steuerung der Listen Schutz gegen Schatten-IT, indem Anwender daran gehindert werden, eigenmächtig unsichere Browserkonfigurationen auf ihren Endgeräten vorzunehmen.

• IE-Modus-Richtlinien (Websitelisten)
  • Einstellung: Zentral durch IT-Administration verwalten
  • Beschreibung: Erstelle explizite Listen nur für verifizierte Geschäftsanwendungen. Blockiere für alle anderen Websites den IE-Modus, um die Angriffsfläche zu minimieren. Nutze die Gruppenrichtlinien (GPO) oder Intune, um diese Listen verbindlich auf alle Endgeräte anzuwenden.
• Feedback-basierte Website-Vorschläge
  • Einstellung: Nur nach Prüfung durch IT-Security übernehmen
  • Beschreibung: Edge schlägt Websites vor, die im IE-Modus geöffnet werden sollten. Übernimm diese nicht blind! Jede neue Website in der Liste muss eine Sicherheitsbewertung durchlaufen, bevor sie in die produktive Liste aufgenommen wird.

Microsoft Forms ist ein weit verbreitetes Werkzeug für Umfragen und Abstimmungen. Da hierbei regelmäßig personenbezogene Daten erhoben werden, ist eine präzise Konfiguration essenziell. Ohne klare Richtlinien riskierst du den unkontrollierten Abfluss sensibler Informationen oder den Missbrauch von Formularen für Phishing-Attacken.

Der Schutz vor Phishing ist hierbei besonders hervorzuheben, da Forms oft als Eintrittstor für Social-Engineering-Angriffe missbraucht wird. Administratoren sollten die Standardeinstellungen so anpassen, dass sie das Prinzip der Datensparsamkeit unterstützen und die Identität der Befragten sowie die Vertraulichkeit der Daten wahren.

• Externes Teilen
  • Einstellung: Bedarfsgerecht einschränken
  • Beschreibung: Beschränke das Teilen von Formularen auf interne Zwecke, wann immer möglich. Externe Freigaben sollten explizit geprüft werden, um sicherzustellen, dass keine internen Daten an Unbefugte gelangen.
• Namen von Personen in Ihrer Organisation aufzeichnen
  • Einstellung: Standardmäßig aktivieren
  • Beschreibung: Die Identifizierbarkeit ist wichtig für die Nachvollziehbarkeit. Stelle sicher, dass die Befragten vorab informiert werden (Datenschutzhinweis im Formular), dass ihre Identität erfasst wird (Transparenzgebot gemäß DSGVO).
• Schutz vor Phishing
  • Einstellung: Aktivieren
  • Beschreibung: Dies ist eine unverzichtbare Sicherheitsfunktion, die automatisch Formulare mit riskanten Inhalten (z. B. Abfrage von Passwörtern oder Kreditkartendaten) blockiert. Aktiviere diese Funktion zwingend, um dein Unternehmen vor internem Datenmissbrauch zu schützen.
• Aktionen der Befragten (Antworten bearbeiten)
  • Einstellung: Deaktiviert lassen (Standard)
  • Beschreibung: Behalte die Standardeinstellung bei, um die Integrität der erhobenen Daten zu wahren. Nachträgliche Änderungen an Antworten sollten nur erfolgen, wenn dies für den Zweck der Umfrage explizit erforderlich ist.

Microsoft Graph Data Connect ist ein mächtiges Werkzeug, das es ermöglicht, große Mengen an Microsoft 365-Daten (wie E-Mails, Kalenderdaten oder Teams-Nachrichten) zur Analyse in die Azure-Umgebung deiner Organisation zu übertragen. Da hierbei potenziell sensible Unternehmens- und personenbezogene Daten in großen Mengen exportiert werden, ist dies einer der kritischsten Bereiche für den Datenschutz und die IT-Security.

Besonders wichtig: Die Aktivierung ist optional und erfordert eine bewusste Entscheidung. Wenn Data Connect aktiv ist, entfallen bestimmte M365-eigene Verschlüsselungsschutzmechanismen (wie die Kundenschlüsselverschlüsselung) während der Übertragung in den Azure-Datenspeicher. Die Verantwortung für den Schutz der Daten in der Azure-Umgebung liegt dann vollständig bei deiner Organisation.

• Microsoft Graph Data Connect aktivieren
  • Einstellung: Standardmäßig deaktivieren
  • Beschreibung: Aktiviere diesen Dienst nur, wenn ein konkreter, legitimierter Analyse-Anwendungsfall vorliegt. Der Datentransfer darf nur nach einer erfolgreich abgeschlossenen Datenschutz-Folgenabschätzung (DSFA) erfolgen.
• App-Autorisierung (Microsoft Graph Data Connect-Anwendungsportal)
  • Einstellung: Strikte Freigabeprozesse (App-Genehmigung)
  • Beschreibung: Über das Anwendungsportal musst du jede App einzeln genehmigen, die auf Daten zugreifen darf. Wende hier das Prinzip der strikten Autorisierung an: Welche App braucht genau welche Daten für welchen Zweck?
• Speichersicherheit in Azure
  • Einstellung: Azure-Richtlinien (Governance) implementieren
  • Beschreibung: Da M365-Schutzrichtlinien im Azure-Speicher nicht direkt weitergreifen, musst du dort eigene Sicherheitsmechanismen (wie Azure Key Vault zur Verschlüsselung, Rollenbasierte Zugriffskontrolle RBAC und Logging) zwingend einrichten.

Microsoft Loop ist eine moderne Plattform für kollaboratives Arbeiten, die Arbeitsbereiche und Komponenten nahtlos über M365-Anwendungen hinweg synchronisiert. Während Loop die Produktivität durch Flexibilität steigert, stellt es Administratoren vor Herausforderungen bei der Daten-Governance.

Da Loop-Inhalte (die sogenannten Komponenten) sehr leicht in Chats oder Dokumente eingebettet werden können, ist eine strikte Kontrolle erforderlich, damit keine vertraulichen Informationen in falschen Arbeitsbereichen oder für unbefugte Benutzergruppen landen.

• Zugriff auf Arbeitsbereiche in Microsoft Loop-App zulassen
  • Einstellung: Bedarfsgerecht (deaktivieren, falls keine organisatorische Freigabe für Loop vorliegt)
  • Beschreibung: Wenn Loop aktiviert wird, sollten Administratoren den Zugriff nicht pauschal für alle Benutzer freischalten. Nutze stattdessen das Gruppen-basierte Berechtigungsmanagement (via Cloud-Richtlinien), um Loop nur den Abteilungen zur Verfügung zu stellen, die einen geschäftlichen Nutzen nachweisen können.
• Steuerung durch Cloud-Richtlinien
  • Einstellung: Gezielte Zuweisung
  • Beschreibung: Da Loop eng mit Microsoft 365-Gruppen verknüpft ist, sollten Administratoren die "Cloudrichtlinie zum Erstellen und Konfigurieren von Microsoft 365-Gruppen" verwenden. Damit stellst du sicher, dass die Erstellung neuer Arbeitsbereiche denselben Governance-Regeln folgt wie die Erstellung von Teams oder SharePoint-Websites.

Microsoft Planner dient der strukturierten Organisation von Teamwork und Aufgaben. Die zentrale Sicherheitsentscheidung in diesem Bereich betrifft die iCalendar-Veröffentlichung. Über iCalendar-Feeds können Plan-Daten in externe Kalender (wie Outlook, Google Calendar oder Apple Calendar) integriert werden.

Aus Datenschutzsicht ist dies kritisch: Sobald ein iCalendar-Feed für einen Plan erstellt wird, können externe Anwendungen auf die darin enthaltenen Informationen zugreifen – dazu zählen Aufgabennamen, Fälligkeitsdaten und teilweise Metadaten der Beteiligten. Wenn diese Feeds unkontrolliert nach außen gelangen, können Rückschlüsse auf interne Arbeitsabläufe, Projektfortschritte und Kapazitäten gezogen werden.

• iCalendar-Veröffentlichung (Zulassen, dass Planner-Benutzer Pläne in anderen Kalendern veröffentlichen können)
  • Einstellung: Deaktivieren (Empfohlen für hohe Sicherheitsanforderungen)
  • Beschreibung: Durch die Deaktivierung verhinderst du, dass Projektdaten die geschützte M365-Umgebung verlassen. Sollte die Ansicht in externen Kalendern notwendig sein, ist dies ein Sicherheitsrisiko. Wenn die Funktion dennoch aktiv bleibt, müssen die Benutzer explizit instruiert werden, nur Pläne ohne sensible Titel oder Projektinhalte zu veröffentlichen.

Microsoft Teams ist das zentrale Werkzeug für die moderne Zusammenarbeit. Aufgrund seiner Tiefe – von Echtzeit-Chats über Dateifreigaben bis hin zu Besprechungsaufzeichnungen – ist eine durchdachte Governance zwingend erforderlich, um DSGVO-Konformität zu gewährleisten und Datenabflüsse zu verhindern. Die Steuerung im M365 Admin Center ist nur der erste Schritt; die eigentliche Sicherheitskonfiguration erfolgt im dedizierten Teams Admin Center.

• Microsoft Teams für alle Benutzer aktivieren
  • Einstellung: Bewusst steuern (nicht pauschal für alle)
  • Beschreibung: Aktiviere Teams nur für Benutzergruppen, die es für ihre tägliche Arbeit benötigen. Dies reduziert die Angriffsfläche und erleichtert die Verwaltung von Lizenzgebühren und Sicherheitsrichtlinien.
• Gastzugriff in Teams ermöglichen
  • Einstellung: Restriktiv konfigurieren (bzw. auf notwendige Szenarien begrenzen)
  • Beschreibung: Gastzugriff ist ein großes Risiko, da Externe potenziell Zugriff auf sensible Chat-Verläufe und Dateien erhalten können. Wenn Gäste erlaubt sind, muss dies zwingend durch "Conditional Access Policies" (Bedingter Zugriff) abgesichert werden, um den Zugriff nur von verifizierten Geräten oder Standorten aus zu erlauben.

Microsoft To Do dient als persönlicher Aufgabenplaner, der eng mit Exchange Online synchronisiert ist. Aus administrativer Sicht ist die Steuerung vergleichsweise einfach, da der Zugriff über die Zuweisung von Lizenzen an Benutzer gesteuert wird.

Datenschutzrechtlich ist hierbei vor allem die Synchronisation mit Exchange Online relevant: Da alle Aufgaben im Postfach des Benutzers gespeichert werden, unterliegen sie den gleichen Compliance-Richtlinien wie E-Mails (z. B. Aufbewahrungsrichtlinien, eDiscovery).

• Push-Benachrichtigungen
  • Einstellung: Bedarfsgerecht (deaktivieren, wenn Sicherheitsrichtlinien dies erfordern)
  • Beschreibung: Push-Benachrichtigungen informieren Benutzer über Fälligkeiten auf ihren Endgeräten. In hochsensiblen Umgebungen, in denen keine Daten (auch keine Aufgabentitel) auf mobilen Geräten oder in Benachrichtigungszentralen erscheinen sollen, kann dies deaktiviert werden. In der Regel ist die Standardeinstellung für die Produktivität jedoch unbedenklich.
• Zugriffssteuerung
  • Einstellung: Lizenzbasierte Verwaltung
  • Beschreibung: To Do ist an die Exchange-Lizenz gekoppelt. Wenn du To Do nicht für alle Benutzer erlauben willst, stelle sicher, dass keine pauschalen M365-Lizenzen vergeben werden, die To Do automatisch mit enthalten, oder schränke den Zugriff über entsprechende Exchange-Konfigurationen ein.

Microsoft Viva Insights analysiert Arbeitsmuster, Besprechungszeiten und Kommunikationsgewohnheiten, um Empfehlungen für eine gesündere Arbeitsweise zu geben. Da diese Analysen jedoch tief in die Privatsphäre der Mitarbeiter eingreifen können, ist bei der Konfiguration höchste Sensibilität geboten. Das größte Risiko besteht darin, dass Mitarbeiter das Gefühl haben, überwacht zu werden (Performance-Profiling), was rechtliche und ethische Konsequenzen nach sich zieht.

Microsoft begegnet dem durch Datenschutz-by-Design-Prinzipien (wie Aggregation und Anonymisierung bei Manager-Insights), dennoch sollten Administratoren die Standardeinstellungen kritisch prüfen.

• Zugriff auf Viva Insights-Elemente
  • Einstellung: Bewusst steuern (Nutze das "Opt-In"-Prinzip)
  • Empfehlung: Aktiviere nur die Elemente, die einen klaren Mehrwert für das Wohlbefinden bieten (z. B. "Sendevorschläge planen"), und vermeide eine ungefragte Aktivierung von "Organisationserkenntnissen" für Manager, wenn kein Betriebsrat-konformes Konzept vorliegt.
  • E-Mail-Zusammenfassung: Sollte nur dann aktiviert sein, wenn Mitarbeiter aktiv Unterstützung bei der Priorisierung suchen.
• Sendevorschläge planen
  • Einstellung: Aktivieren
  • Beschreibung: Diese Funktion fördert die "Work-Life-Balance", indem sie E-Mails automatisch auf den Beginn der Arbeitszeit des Empfängers verschiebt. Dies ist ein hervorragendes Instrument zur Reduzierung von Stress außerhalb der Arbeitszeiten.

Microsoft informiert Benutzer regelmäßig über Produktneuheiten, Tipps und Schulungen, basierend auf den zugewiesenen M365-Lizenzen. Aus Sicht der IT-Governance und des Datenschutzes ist es wichtig zu entscheiden, ob diese Kommunikation als nützliche Hilfe oder als unerwünschte Ablenkung wahrgenommen wird.

• Kommunikation von Microsoft erlauben
  • Einstellung: Bedarfsgerecht (Empfehlung: Deaktivieren für eine kontrollierte IT-Umgebung)
  • Beschreibung: Wenn du die Option deaktivierst, erhalten Benutzer keine direkten Marketing- oder Produktinformations-E-Mails von Microsoft. Dies ist sinnvoll, um ein einheitliches Bild der IT-Kommunikation zu wahren und sicherzustellen, dass wichtige Informationen nur über interne Kanäle fließen.
• Stärkere Kontrolle durch Benutzerschulungsinhalte
  • Einstellung: Aktiv nutzen
  • Beschreibung: Statt auf die generische Microsoft-Kommunikation zu setzen, empfiehlt es sich, die Option "Benutzerschulungsinhalte an bestimmte Personen senden" zu wählen. Dies erlaubt dir, Informationen gezielt auf die Bedürfnisse deiner Organisation zuzuschneiden und sicherzustellen, dass nur relevante, geprüfte Inhalte bei den Anwendern ankommen.

Die Umstellung auf Moderne Authentifizierung (OAuth 2.0) ist ein essenzieller Sicherheitsmeilenstein.

Die veraltete "Basisauthentifizierung" sendet Benutzername und Passwort bei jeder Anfrage, was sie extrem anfällig für Phishing und Brute-Force-Angriffe macht.

Moderne Authentifizierung hingegen erlaubt den Einsatz von Multi-Faktor-Authentifizierung (MFA) und bedingtem Zugriff (Conditional Access), um den Identitätsschutz auf ein modernes Niveau zu heben.

• Moderne Authentifizierung für Outlook 2013 für Windows und höher
  • Einstellung: Zwingend aktivieren (Standardeinstellung in modernen Umgebungen)
  • Beschreibung: Durch das Aktivieren dieser Option wird MFA für Outlook-Clients erzwungen. Dies ist der effektivste Schutz vor Identitätsdiebstahl.
• Authentifiziertes SMTP
  • Einstellung: Nur aktivieren, wenn zwingend erforderlich
  • Beschreibung: Viele ältere Anwendungen oder Multifunktionsgeräte benötigen authentifiziertes SMTP für den Versand von E-Mails. Wenn möglich, solltest du den Versand über "Direct Send" oder dedizierte SMTP-Relay-Dienste lösen. Sollte die Aktivierung unvermeidbar sein, schütze das entsprechende Postfach durch ein sehr komplexes Passwort und schränke die IP-Bereiche für den Versand ein.
• Abschalten der Basisauthentifizierung (Wichtig!)
  • Einstellung: Sicherheitsstandardwerte in Entra ID (Azure Portal) aktivieren
  • Beschreibung: Bevor du die Basisauthentifizierung pauschal deaktivierst, analysiere zwingend deine Azure AD Anmeldeberichte. Identifiziere Geräte oder Anwendungen, die noch Basisauthentifizierung nutzen, und migriere diese auf moderne Alternativen.

Die Konfiguration der Nachrichten-Feeds auf der Bing-Homepage oder der neuen Microsoft Edge-Registerkartenseite hat primär Auswirkungen auf das Nutzererlebnis und die Unternehmenskultur. Aus datenschutzrechtlicher Sicht ist dieses Feature eher unkritisch, da es sich um eine bereichsbasierte Personalisierung handelt. Dennoch sollten Administratoren steuern, welche Inhalte Mitarbeitern im geschäftlichen Kontext präsentiert werden.

• Inhalt ausschließen (Blacklist)
  • Einstellung: Gezielte Stichworte nutzen
  • Beschreibung: Wenn du in einer hochsensiblen Branche tätig bist, kannst du hier Begriffe oder Themen blockieren, die nicht im Einklang mit euren Unternehmenswerten stehen oder die von Mitarbeitern als ablenkend oder unpassend empfunden werden.
• Personalisierung durch Benutzer
  • Einstellung: Bedarfsgerecht (deaktivieren für einheitliches Corporate Branding)
  • Beschreibung: Wenn du die Option "Benutzern das Anpassen der Themen erlauben" deaktivierst, behält die IT die volle Kontrolle über den Content-Feed. Dies kann sinnvoll sein, um ein professionelles Umfeld auf Arbeitsgeräten sicherzustellen, schränkt aber die individuelle Nutzerfreiheit ein.
• Microsoft Feed (Branchennachrichten)
  • Einstellung: Bewusst wählen
  • Beschreibung: Überlege genau, ob der Empfang täglicher E-Mails zu Branchenneuigkeiten einen Mehrwert für deine Mitarbeiter bietet. In einer Informationsflut-lastigen Arbeitswelt ist es oft ratsam, diese Option zu deaktivieren, um den Fokus auf die eigentliche Arbeit zu lenken.

Dieser Bereich ist finanziell und datenschutzrechtlich sehr anspruchsvoll. Diese Dienste (wie OCR, Dokumentenverarbeitung oder KI-basierte Textextraktion) verarbeiten Daten oft mittels KI-Modellen in der Cloud.

Detail & Best Practices

• • Kostenkontrolle: Da es sich um eine nutzungsbasierte Zahlung handelt ("Pay-as-you-go"), besteht das Risiko von "Cost Sprawl". Überwache die Abrechnung im Azure Cost Management monatlich.
  • Datenschutz-Folgenabschätzung (DSFA): Da Dienste wie "Dokumentenverarbeitung", "OCR" oder "eSignature" Unternehmensdaten analysieren, müssen diese Funktionen vor der Freigabe für Benutzer einer DSFA unterzogen werden. Prüfe, ob die Verarbeitung innerhalb der EU-Region (Datenresidenz) stattfindet.
  • Funktions-Governance: Schalte nur die Module frei, die dein Team wirklich benötigt. Nicht genutzte Dienste wie "Inhaltsassembly" oder "Videoübersetzung" sollten deaktiviert bleiben, um die Angriffsfläche und Komplexität gering zu halten.

Die "Self-Service-Testversionen und -Käufe" sind ein zweischneidiges Schwert. Während sie Benutzern erlauben, ohne Umwege über die IT-Abteilung produktiv zu werden, erzeugen sie ein signifikantes Risiko für Schatten-IT und unkontrollierte Kosten ("Cost Sprawl"). Noch kritischer ist der Aspekt des Datenschutzes: Wenn Mitarbeiter eigenständig Cloud-Dienste (wie Power Apps oder Dynamics-Module) abonnieren, verarbeiten diese Dienste oft unternehmensrelevante Daten in Umgebungen, die von der IT weder auditiert noch abgesichert wurden.

In deiner aktuellen Ansicht sind für fast alle Produkte (Copilot, Power Automate, Dynamics etc.) die Einstellungen auf "Zulassen" gesetzt. Das bedeutet, jeder Benutzer kann eigenständig Daten in diese Dienste einspeisen, ohne dass eine zentrale Prüfung hinsichtlich DSGVO-Konformität oder Datensicherheit stattgefunden hat.

• Zentralisierung statt Wildwuchs:
  • Empfehlung: Ändere die Einstellungen für geschäftskritische oder datenintensive Dienste (insbesondere Microsoft 365 Copilot, Power Apps, Power Automate, Dynamics 365) auf "Nicht zulassen".
  • Grund: Diese Dienste erfordern eine individuelle Datenschutz-Folgenabschätzung (DSFA) und eine zentrale Governance. Die automatische Freigabe ist hier ein erhebliches Compliance-Risiko.
• Schatten-IT-Prozess etablieren:
  • Wenn Benutzer eine neue App benötigen, sollte ein standardisierter interner Antragsprozess den direkten Kauf ersetzen. So behält die IT die Kontrolle über die Datenhoheit.
• Spezielle Dienste prüfen:
  • Microsoft Purview Discovery: Dass dies auf "Zulassen" steht, ist besonders kritisch. Purview-Dienste sind Compliance-Werkzeuge und sollten unter keinen Umständen durch Benutzer selbst aktiviert werden können.

SharePoint ist der zentrale Speicherort für Unternehmensdokumente. Die Einstellung zur externen Freigabe ist eine der kritischsten Sicherheitsentscheidungen in Microsoft 365, da sie direkt bestimmt, wie einfach sensible Daten die geschützte Umgebung verlassen können.

Die Wahl der richtigen Option hängt von deinem Sicherheitsbedürfnis ab. Eine zu offene Konfiguration erhöht das Risiko von Datenabflüssen drastisch, während eine zu restriktive Einstellung die notwendige Zusammenarbeit behindern kann.

• Benutzer können teilen mit:
  • Option 1 (Nur Personen in Ihrer Organisation): Höchste Sicherheit, unterbindet externes Teilen komplett.
  • Option 2 (Nur vorhandene Gäste): Empfohlener Standard. Erlaubt Zusammenarbeit nur mit Personen, die bereits in deinem Verzeichnis (Entra ID) bekannt sind. Dies ermöglicht eine kontrollierte Kollaboration mit festen Partnern.
  • Option 3 (Neue und vorhandene Gäste): Erfordert Vorsicht, da Benutzer selbst neue Gäste einladen können. Sollte nur genutzt werden, wenn klare Gastzugriffsrichtlinien etabliert sind.
  • Option 4 (Jeder / "Anonymous Links"): Nicht empfohlen. Diese Einstellung erlaubt das Teilen von Inhalten ohne jegliche Authentifizierung – ein massives Sicherheitsrisiko.
• Erweiterte Optionen für externes Teilen
  • Einstellung: Zentral steuern im SharePoint Admin Center
  • Beschreibung: Nutze hier Domänen-Einschränkungen (nur erlaubte Partner-Domains) und beschränke die Freigabe auf spezifische Sicherheitsgruppen, um den Kreis der Personen, die externe Daten teilen dürfen, aktiv zu steuern.

Die "Search & Intelligence"-Schnittstelle im Microsoft 365 Admin Center bietet dir tiefgehende Einblicke in das Suchverhalten deiner Organisation. Während diese Daten zur Optimierung der Auffindbarkeit von Informationen (Search Adoption) gedacht sind, bergen sie aus Datenschutzsicht ein sensibles Potenzial: Die Suchabfragen deiner Mitarbeiter spiegeln indirekt die Arbeitsabläufe, aktuelle Projekte und potenzielle Wissenslücken wider.

• Datenminimierung & Zweckbindung:
  • Die Nutzungsanalysen helfen dir zu verstehen, ob Mitarbeiter Informationen finden. Aber: Achte darauf, dass diese Berichte nur für autorisierte Administratoren zugänglich sind. Die Granularität der Daten darf nicht dazu führen, dass Rückschlüsse auf das Suchverhalten einzelner Mitarbeiter gezogen werden ("Überwachung am Arbeitsplatz").
• Such-Governance (Answers & Data Sources):
  • Du kannst in diesem Portal festlegen, welche Quellen (SharePoint, OneDrive, etc.) durchsuchbar sind.
  • Best Practice: Stelle sicher, dass bei der Einbindung externer Datenquellen (durch Connectors) die Berechtigungen (ACLs) strikt beachtet werden. Ein Mitarbeiter sollte über die Suche niemals Informationen finden, auf die er an seinem regulären Arbeitsplatz keinen Zugriff hätte ("Security Trimming").

• New Usage Analytics (Aktivierung):
  • Einstellung: Aktiv lassen für Transparenz (falls für das IT-Monitoring erforderlich).
  • Empfehlung: Wenn du die Analyse nicht aktiv zur Verbesserung der Suchinfrastruktur nutzt, deaktiviere sie, um die Datenerhebung auf ein notwendiges Maß zu reduzieren.
• Verwaltung der "Answers":
  • Hier kannst du Bookmarks für wichtige Intranet-Seiten setzen. Das ist eine sichere Methode, um Mitarbeiter zu autorisierten Quellen zu leiten und sie vor Phishing-ähnlichen Suchergebnissen zu schützen.

Microsoft Sway ist ein Tool zum Erstellen interaktiver Präsentationen und Newsletter. Da Sways häufig extern geteilt werden (z. B. als Link für Kunden oder Partner), ist das Hauptrisiko nicht der interne Zugriff, sondern die unbeabsichtigte Veröffentlichung sensibler Inhalte.

Sways wirken oft informell und weniger wie "offizielle Dokumente", was dazu führen kann, dass Mitarbeiter vertrauliche Informationen in Sways einbetten, ohne sich der Tragweite der Freigabe bewusst zu sein.

• Sway für Benutzer aktivieren
  • Einstellung: Lizenzbasierte Steuerung
  • Beschreibung: Aktiviere Sway nur für Benutzergruppen, die regelmäßig professionelle Inhalte erstellen müssen. Durch die gezielte Lizenzzuweisung verhinderst du, dass das Tool unkontrolliert als "Spielwiese" für Schatten-IT genutzt wird.
• Inhaltsquellen steuern
  • Einstellung: Wikipedia-Integration prüfen
  • Beschreibung: Die Option "Mit einem Thema beginnen" (basierend auf Wikipedia) ist nützlich für Einsteiger, kann aber zu einer Vermischung von externen, ungeprüften Inhalten mit internen Dokumenten führen. Wenn du eine strikte Trennung von Unternehmensdaten und externen Quellen wünscht, deaktiviere die Wikipedia-Integration.

Die Funktion „Vertrieb“ ermöglicht den Austausch von Microsoft 365-Daten mit externen CRM-Systemen (Customer Relationship Management). Aus Sicherheits- und Datenschutzsicht ist dies eine der kritischsten Schnittstellen, da hier systematisch Unternehmensdaten (wie E-Mails, Kontakte oder Kalenderdaten) in Systeme von Drittanbietern exportiert werden.

Da diese Drittanbieter nicht direkt unter der Microsoft-365-Compliance-Hoheit stehen, musst du sicherstellen, dass für die jeweilige CRM-Lösung ein valider Auftragsverarbeitungsvertrag (AVV) vorliegt und die Datenübertragung den internen Compliance-Vorgaben entspricht.

• Freigabe an CRM-Dienste von Drittanbietern
  • Einstellung: Zentral steuern (IT-Administration)
  • Risikoprüfung: Bevor du die Verbindung aktivierst, muss geprüft werden: Welche Daten fließen ab? Wo werden sie gespeichert? Ist der Drittanbieter DSGVO-konform?
• Compliance & Haftung
  • Einstellung: Vertragliche Absicherung
  • Beschreibung: Wie der Hinweis im Admin Center unterstreicht, unterliegen die Daten den Bedingungen des Drittanbieters. Stelle sicher, dass deine interne Rechts- oder Compliance-Abteilung die Nutzungsbedingungen der Drittanbieter-Integrationen explizit freigegeben hat.

Die Verzeichnissynchronisierung mittels Microsoft Entra Connect (ehemals Azure AD Connect) ist das Bindeglied zwischen deiner lokalen IT-Infrastruktur (Active Directory Domain Services) und Microsoft 365 (Microsoft Entra ID). Sie ermöglicht es, Benutzerkonten und Gruppen zentral vor Ort zu verwalten und ihre Identitäten automatisch in die Cloud zu spiegeln.

Dies ist eine kritische Infrastrukturkomponente: Ein Fehler in der Synchronisierung kann den Zugriff aller Benutzer auf M365-Dienste blockieren oder – im schlimmsten Fall – Sicherheitslücken schaffen, wenn beispielsweise inaktive Konten oder privilegierte Gruppen aus dem lokalen AD unkontrolliert in die Cloud übertragen werden.

• Active Directory-Synchronisierung
  • Einstellung: Sorgfältige Filterung der zu synchronisierenden Objekte
  • Beschreibung: Synchronisiere nur die Benutzer und Gruppen, die tatsächlich Microsoft 365-Dienste benötigen. Vermeide den Import von "toten" Konten, Test-Accounts oder hochprivilegierten Service-Accounts, die in der Cloud nichts zu suchen haben. Dies minimiert die Angriffsfläche (Attack Surface) massiv.
• Sicherheit des Entra Connect-Servers
  • Einstellung: Server-Härtung
  • Beschreibung: Der Server, auf dem Entra Connect läuft, ist ein "Tier 0"-Asset, da er über das Passwort-Hash-Sync-Verfahren oder andere Mechanismen eine Brücke zur Cloud schlägt. Dieser Server muss so streng wie ein Domain-Controller gesichert und überwacht werden.
• Identitäts-Governance
  • Einstellung: Konsistente Datenpflege im lokalen AD
  • Beschreibung: Da das lokale Active Directory die "Source of Truth" bleibt, müssen Prozesse für das Offboarding (Löschen oder Deaktivieren von Benutzern) strikt eingehalten werden. Sobald ein Account lokal deaktiviert wird, spiegelt dies Entra Connect in die Cloud wider – ein essenzieller Baustein für die Einhaltung der Zugriffskontrolle.

Microsoft Viva Learning integriert Lerninhalte direkt in Microsoft Teams. Aus Sicht der IT-Governance ist es weniger ein direktes Sicherheitsrisiko, sondern vielmehr eine Herausforderung bei der Inhalts-Governance und Compliance.

Wie im Admin Center hervorgehoben: Inhalte, die du selbst in Viva Learning einbindest (z. B. aus internen SharePoint-Bibliotheken), unterliegen nicht den Microsoft-Produktbedingungen. Du bist hier selbst für die Einhaltung von Datenschutz- und Urheberrechtsbestimmungen verantwortlich.

• Datenschutz (Diagnosedaten)
  • Einstellung: "Erforderliche Diagnosedaten" aktivieren; "Optionale Diagnosedaten" prüfen
  • Beschreibung: "Erforderliche Diagnosedaten" sind notwendig für die Stabilität und Sicherheit der App. Bei "Optionalen Diagnosedaten" (Telemetrie zur Produktverbesserung) solltest du abwägen: In stark regulierten Branchen ist es oft Standard, diese zu deaktivieren, um die Datenmenge bei Microsoft zu minimieren.
• Inhalts-Governance
  • Einstellung: Zentraler "Viva Learning Admin"-Bereich
  • Beschreibung: Der Zugriff auf "Viva Learning Admin" sollte streng auf eine kleine Gruppe von L&D-Managern (Learning & Development) beschränkt sein. Da interne SharePoint-Inhalte eingebunden werden, stelle sicher, dass diese SharePoint-Seiten selbst keine sensiblen oder vertraulichen Informationen enthalten, da sie nun über den Lern-Hub breiter zugänglich sind.

Microsoft Whiteboard ist ein leistungsstarkes Tool für hybride Meetings und Brainstormings. Da Whiteboards zunehmend als persistente Arbeitsflächen genutzt werden (und mittlerweile in OneDrive for Business gespeichert werden), ist eine klare Governance entscheidend, um den unkontrollierten Wildwuchs von Boards und den Abfluss sensibler Ideen zu verhindern.

• OneDrive-Speicher
  • Einstellung: Automatisch aktiv (Zentraler Bestandteil der Modernisierung)
  • Beschreibung: Durch die Speicherung in OneDrive unterliegen Whiteboards nun denselben Governance-Richtlinien wie normale Office-Dokumente (z. B. Data Loss Prevention, Aufbewahrungsrichtlinien, eDiscovery). Administratoren sollten sicherstellen, dass die OneDrive-Richtlinien der Organisation auf Whiteboards abgestimmt sind.
• Board-Freigabe (Surface Hub)
  • Einstellung: Restriktiv (Sitzungsende erzwingen)
  • Beschreibung: Die Möglichkeit, von einem Surface Hub ohne Anmeldung zu teilen, ist zwar komfortabel, birgt aber das Risiko, dass Boards nach dem Meeting für Dritte sichtbar bleiben. Die Einstellung, dass nach Sitzungsende kein Zugriff mehr möglich ist, sollte zwingend aktiv bleiben.
• Diagnosedaten
  • Einstellung: "Erforderliche" Diagnosedaten (Standard)
  • Beschreibung: In hochsensiblen Umgebungen sollten "Optionale" Diagnosedaten deaktiviert werden, um die Datenmenge bei Microsoft zu minimieren. Die "erforderlichen" Daten sind jedoch notwendig, um Stabilität und Sicherheit der Whiteboard-Clients zu gewährleisten.