Sicherheit und Datenschutz

Die Funktion zur Namensaussprache ist ein wertvolles Instrument für eine inklusive Unternehmenskultur. Sie ermöglicht es Benutzern, ihre Namen in den Profilinformationen aufzuzeichnen und anderen innerhalb von Microsoft 365 zugänglich zu machen. Dies minimiert Missverständnisse bei der Ansprache und fördert die gegenseitige Wertschätzung.

Aus Datenschutzsicht ist besonders relevant, dass die Funktion nicht nur die Aufnahme steuert, sondern auch klare Löschzyklen vorgibt. Wird die Funktion deaktiviert, verbleiben die Daten noch 30 Tage im System, bevor sie endgültig gelöscht werden. Eine erneute Aktivierung innerhalb dieses Zeitfensters stellt die Daten automatisch wieder her. Administratoren sollten diesen Zeitraum bei der Planung von Bereinigungskonzepten berücksichtigen.

• Namensaussprache zulassen
  • Aktiviert (Empfohlen für inklusive Unternehmenskultur)
  • Die Aufnahme ist freiwillig und unterstützt die korrekte, respektvolle Ansprache innerhalb des globalen Adressbuchs und in Teams-Profilen.
• Namensaussprache deaktivieren
  • Deaktiviert (Empfohlen bei strikten Datenschutzvorgaben ohne Nutzenbedarf)
  • Deaktivierung löst nach einer 30-tägigen Karenzzeit die unwiderrufliche Löschung aller gespeicherten Audiodateien im Tenant aus.

Der Baselinesicherheits-Modus ist eine essenzielle Schutzmaßnahme in Microsoft 365. Er reduziert die Angriffsfläche, indem er veraltete, unsichere Protokolle und Dateiformate blockiert, die häufig als Einfallstore für Malware und Ransomware dienen. Administratoren können zwischen sofort anwendbaren Standardrichtlinien und weiteren, detaillierter prüfbaren Richtlinien wählen.

Besonders wichtig: Die Aktivierung von Auswirkungsberichten ist für eine fundierte Entscheidung notwendig, bringt jedoch einen erweiterten Datenzugriff auf personenbezogene Informationen (EUII) und Audit-Protokolle mit sich. Datenschutzbeauftragte sollten diesen Zugriff vorab freigeben, um die Auswirkungen auf Endbenutzer-Workflows analysieren zu können, bevor restriktive Maßnahmen produktiv geschaltet werden.

• Standardrichtlinien (5 sofortige Schutzmaßnahmen)
  • Aktivieren (Empfohlen für alle Organisationen)
  • Diese Richtlinien blockieren FPRPC, entfernen den SharePoint-Store-Zugriff und härten den Umgang mit Legacy-Dateiformaten sowie OLE-Objekten.
• Verbleibende Richtlinien (6 erweiterte Maßnahmen)
  • Evaluieren und Aktivieren (Empfohlen nach Prüfung der Auswirkungsberichte)
  • Fokus auf das Blockieren von unsicheren Legacy-Protokollen (IDCRL), DDE-Servern in Excel, ActiveX-Steuerelementen und Microsoft Publisher.
• Auswirkungsberichte
  • Zustimmen und Analysieren (Empfohlen für IT-Administratoren)
  • Ermöglicht die Identifizierung von Benutzern, die von den restriktiveren Sicherheitsrichtlinien negativ betroffen sein könnten, um Supportaufwände zu minimieren.

Das Datenschutzprofil ist das formale Bindeglied zwischen der Microsoft 365-Umgebung und der externen Kommunikation zur Einhaltung der DSGVO. Indem eine zentrale URL für die Datenschutzbestimmungen hinterlegt wird, erhalten Mitarbeitende bei Bedarf direkten Zugriff auf die rechtlichen Rahmenbedingungen der Datenverarbeitung im Unternehmen.

Ebenso ermöglicht die Hinterlegung eines dedizierten Datenschutzkontakts eine schnelle Klärung von Rückfragen durch Benutzer oder interne Auditoren. Diese Konfiguration ist eine grundlegende administrative Maßnahme, um die Transparenzpflichten zu erfüllen und sicherzustellen, dass datenschutzrelevante Informationen für alle Beteiligten jederzeit leicht auffindbar sind.

• Datenschutzbestimmungen der Organisation
  • Korrekte URL zur Datenschutzerklärung hinterlegen (Zwingend erforderlich)
  • Diese Verlinkung dient als zentrale Anlaufstelle für Transparenzinformationen gemäß Art. 13/14 DSGVO.
• Datenschutzkontakt der Organisation
  • Funktionale E-Mail-Adresse des Datenschutzbeauftragten oder Privacy-Teams (Empfohlen)
  • Die Nutzung einer Gruppen-Mailadresse (z. B. datenschutz@domain.de) stellt sicher, dass Anfragen auch bei Abwesenheit einzelner Personen zeitnah bearbeitet werden.

Die Kennwortablaufrichtlinie ist ein zentraler Bestandteil der Identitätssicherheit in Microsoft 365. Historisch bedingt setzten viele Organisationen auf regelmäßige Kennwortwechsel, um Sicherheit zu gewährleisten. Aktuelle Sicherheitsstandards von Microsoft und NIST belegen jedoch, dass häufige Kennwortwechsel oft zu schwächeren Passwörtern oder unsicherem Verhalten (z.B. Notieren von Passwörtern) führen.

Die empfohlene Strategie besteht darin, Passwörter nicht mehr pauschal ablaufen zu lassen, sondern den Schutz durch starke Multi-Faktor-Authentifizierung (MFA) und den Einsatz von „Modern Authentication“ zu gewährleisten. Dies reduziert den administrativen Aufwand und erhöht gleichzeitig das Sicherheitsniveau signifikant.

• Kennwörter so festlegen, dass sie nie ablaufen
  • Aktiviert (Empfohlen im Einklang mit aktuellen Sicherheitsrichtlinien)
  • Durch den Verzicht auf erzwungene Ablaufdaten werden Benutzer motiviert, längere und komplexere Passphrasen zu erstellen, anstatt einfache Muster zu wählen, die sie sich leicht merken können.

Das Leerlaufsitzungstimeout ist eine wirksame Sicherheitsmaßnahme, um den unbefugten Zugriff auf M365-Webanwendungen an ungeschützten oder gemeinsam genutzten Arbeitsplätzen zu verhindern. Durch die automatische Abmeldung inaktiver Sitzungen wird das Risiko minimiert, dass sensible Daten bei kurzzeitig verlassenen Arbeitsplätzen von Dritten eingesehen oder bearbeitet werden können.

Aus der Perspektive der IT-Sicherheit ist dies besonders in Umgebungen mit hoher Fluktuation oder mobilen Arbeitsplätzen sinnvoll. Administratoren müssen hierbei eine sorgfältige Abwägung zwischen dem Sicherheitsgewinn durch die Erzwingung erneuter Anmeldungen und der Benutzerfreundlichkeit (Usability) treffen, um unnötige Anmeldeunterbrechungen während aktiver Arbeitsphasen zu vermeiden.

• Leerlaufsitzungstimeout aktivieren
  • Aktivieren (Empfohlen für erhöhte Sicherheitsanforderungen)
  • Schützt aktiv vor Session-Hijacking und Datenzugriff bei unbeaufsichtigten Endgeräten in unsicheren Umgebungen.
• Dauer der Inaktivität (in Minuten)
  • Individuell festlegen (z. B. 60–300 Minuten, je nach Risikoprofil)
  • Ein kürzerer Zeitrahmen erhöht die Sicherheit, während ein längerer Zeitrahmen die Produktivität durch weniger häufige Anmeldeaufforderungen steigert.

Microsoft Graph Data Connect ermöglicht die Extraktion großer Datenmengen für Analysen und App-Entwicklung. Aufgrund des potenziell weitreichenden Zugriffs auf sensible Unternehmensdaten ist eine strikte administrative Kontrolle zwingend erforderlich. Nur globale Administratoren können Anwendungen innerhalb des Microsoft 365 Admin Centers autorisieren, ablehnen oder verwalten.

Die Autorisierung erfolgt nach dem „Alles-oder-nichts“-Prinzip: Wird eine Anwendung genehmigt, erhält sie Zugriff auf alle spezifizierten Datensätze, Spalten und Bereiche. Besonders bei Multi-Tenant-Apps (ISV-Szenarien) ist höchste Vorsicht geboten, da hier Daten den Mandanten verlassen können. Alle administrativen Entscheidungen werden revisionssicher in den Microsoft 365-Audit-Logs protokolliert.

• Microsoft Graph Data Connect
  • Deaktiviert (Empfohlene Standardeinstellung „Privacy by Default“)
  • Sollte nur nach expliziter Prüfung des Bedarfs und der Datenschutzanforderungen durch einen Administrator aktiviert werden.
• Autorisierung von Anwendungen
  • Restriktiv (Nur für verifizierte Anwendungen)
  • Jede App-Anfrage muss detailliert geprüft werden. Genehmigungen gelten für maximal 180 Tage und müssen danach erneuert werden.
• Audit-Logs für MGDC
  • Überwachung (Regelmäßige Prüfung)
  • Administratoren sollten sicherstellen, dass Consent-Änderungen über die Workload-Kategorie „MicrosoftGraphDataConnect“ in den Audit-Logs überwacht werden, um unbefugte Datenabflüsse frühzeitig zu erkennen.

Die Anzeige von Pronomen in Benutzerprofilen unterstützt eine inklusive Unternehmenskultur, indem sie eine respektvolle und korrekte Ansprache innerhalb der Organisation fördert. Durch die Integration in Microsoft 365 können Mitarbeitende ihre bevorzugten Pronomen in ihren Profilinformationen hinterlegen, was insbesondere in einer diversen Arbeitsumgebung die Kommunikation erleichtert.

Wie bei anderen personenbezogenen Daten auch, hat Microsoft hier klare Mechanismen zur Datenminimierung implementiert. Wird die Funktion deaktiviert, werden gespeicherte Pronomen nach einer Karenzzeit von 30 Tagen systemseitig gelöscht. Dies gewährleistet die Einhaltung datenschutzrechtlicher Prinzipien, falls die Organisation diese Informationen nicht mehr vorhalten möchte. Administratoren sollten beachten, dass Änderungen an dieser Einstellung eine Verzögerung von bis zu 7 Stunden aufweisen können, bevor sie für alle Benutzer wirksam werden.

• Pronomen hinzufügen gestatten
  • Aktiviert (Empfohlen für inklusive Unternehmenskultur)
  • Ermöglicht es Benutzern, ihre Pronomen freiwillig im Profil zu hinterlegen, was die korrekte Adressierung durch Kollegen im gesamten M365-Ökosystem sicherstellt.
• Pronomen-Funktion deaktivieren
  • Deaktiviert (Empfohlen, falls keine geschäftliche Relevanz besteht)
  • Führt nach 30 Tagen zur automatischen und unwiderruflichen Löschung aller bisher hinterlegten Pronomen aus dem Tenant.

Diese Einstellung betrifft die Erhebung von Telemetriedaten, die direkt aus den Suchanfragen Ihrer Administratoren in den Microsoft 365 Admin Centern resultieren. Microsoft nutzt diese Daten, um die Relevanz der Hilfe-Artikel und Support-Vorschläge kontinuierlich zu optimieren.

Aus Datenschutzsicht ist bei dieser Option das Prinzip der Datenminimierung zu beachten. Obwohl die Daten zur Produktverbesserung dienen, werden unter Umständen inhaltliche Details Ihrer Suchanfragen an Microsoft übertragen. Organisationen mit sehr restriktiven Datenschutzrichtlinien sollten prüfen, ob die Verbesserung der Support-Ergebnisse das potenzielle Risiko einer Übermittlung von kontextbezogenen Suchdaten (die Rückschlüsse auf interne Probleme oder Konfigurationen zulassen könnten) rechtfertigt. In vielen Fällen ist eine Deaktivierung dieser Option für eine „Privacy by Default“-Strategie vorzuziehen.

• Microsoft das Sammeln von Supportanfragen gestatten
  • Deaktiviert (Empfohlen aus Datenschutzsicht zur Datenminimierung)
  • Verhindert die Übertragung interner Suchanfragen an Microsoft, was die Offenlegung administrativer Tätigkeiten und spezifischer Problemstellungen innerhalb des Tenants unterbindet.
• Microsoft das Sammeln von Supportanfragen gestatten
  • Aktiviert (Optional für Unterstützung bei der Fehlersuche)
  • Kann sinnvoll sein, wenn die internen IT-Teams stark von den integrierten KI-gestützten Such- und Hilfe-Funktionen von Microsoft abhängen und eine kontinuierliche Verbesserung dieser Ergebnisse wünschen.

Die Self-Service-Kennwortzurücksetzung (SSPR) ist ein zentraler Baustein moderner Identitätsverwaltung. Sie ermöglicht es Benutzern, ihre Passwörter eigenständig zurückzusetzen, was nicht nur den administrativen Support-Aufwand massiv reduziert, sondern auch die Produktivität der Mitarbeitenden bei vergessenen Zugangsdaten sicherstellt.

Aus Sicht der Sicherheit ist die SSPR ein kritischer Bereich. Die Registrierung erfordert die Hinterlegung von Kontaktinformationen (z. B. Mobiltelefonnummer oder alternative E-Mail-Adresse), die als zweiter Faktor für die Identitätsbestätigung dienen. Administratoren müssen sicherstellen, dass die SSPR zwingend mit einer Multi-Faktor-Authentifizierung (MFA) gekoppelt ist, um Identitätsdiebstahl durch Angreifer zu verhindern, die versuchen könnten, die Rücksetzungsfunktion zu missbrauchen.

• Self-Service-Kennwortzurücksetzung (SSPR)
  • Aktivieren (Empfohlen zur Effizienzsteigerung)
  • Ermöglicht Benutzern eine sichere Selbsthilfe bei Anmelde-Problemen und reduziert das Ticketvolumen im IT-Service-Desk.
• Registrierung der Kontaktinformationen
  • Erzwingen (Empfohlen bei nächster Anmeldung)
  • Sicherer Prozess, der alle Benutzer dazu anhält, die notwendigen Sicherheitsinformationen für eine Identitätsüberprüfung aktiv zu hinterlegen.
• Multi-Faktor-Authentifizierung (MFA) für SSPR
  • Aktiviert (Zwingend erforderlich)
  • Verhindert unberechtigte Passwort-Resets durch Angreifer, da eine bloße E-Mail oder SMS als Sicherheitsfaktor ohne zusätzliche MFA-Validierung nicht ausreicht.

Die Verwaltung externer Gäste ist ein kritischer Aspekt der IT-Governance in Microsoft 365. Die Standardeinstellung, die es jedem Benutzer ermöglicht, beliebige externe Personen als Gäste zur Organisation hinzuzufügen, birgt das erhebliche Risiko eines „Schatten-Gästeverzeichnisses“. Ohne zentrale Kontrolle verlieren Administratoren schnell den Überblick darüber, wer Zugriff auf interne Daten hat, was den Grundsätzen des Datenschutzes und der Informationssicherheit (Least Privilege) widerspricht.

Ein restriktiver Ansatz, bei dem nur Administratoren Gäste einladen dürfen, stellt sicher, dass jeder externe Zugriff vorab geprüft, dokumentiert und gegebenenfalls mit notwendigen Sicherheitsrichtlinien (wie Conditional Access Policies) versehen wird. Dies minimiert die Angriffsfläche massiv und unterstützt die Einhaltung interner Compliance-Richtlinien.

• Benutzer dürfen neue Gäste zur Organisation hinzufügen
  • Deaktiviert (Empfohlen für hohe Sicherheitsanforderungen)
  • Zentrale Kontrolle durch die IT verhindert unkontrolliertes Wachstum externer Identitäten im Verzeichnis und schützt vor unerwünschtem Datenaustausch mit unbefugten Dritten.
• Gastzugriff durch Administratoren
  • Aktiviert (Erforderlich für kontrollierte Zusammenarbeit)
  • Gäste werden nur bei Bedarf durch autorisiertes Personal angelegt, wodurch der gesamte Prozess auditierbar und sicher bleibt.