Die 10 größten Sicherheitslücken im Microsoft 365 Tenant

Unternehmen gehen oft davon aus, dass die IT-Sicherheit bei der Nutzung von Microsoft 365 automatisch gewährleistet ist. Im Arbeitsalltag zeigt sich jedoch ein anderes Bild: Die kritischste Schwachstelle ist nicht die Plattform selbst, sondern die Konfiguration im Microsoft 365 Tenant.

Ein fehlender Microsoft Tenant Check führt dazu, dass Sicherheitslücken über Jahre unentdeckt bleiben können. Genau hier setzt unser strukturiertes Microsoft Tenant Audit an. Wir zeigen Ihnen die 10 größten Sicherheitslücken in Microsoft 365 Tenants auf, inklusive konkreter Handlungsempfehlungen mit dem Microsoft Tenant Check.

Fehlende Multi-Faktor-Authentifizierung (MFA) ist eine der größten Schwachstellen in der Konfiguration von Microsoft 365. Wenn im M365 Tenant keine MFA aktiv ist, reicht ein kompromittiertes Passwort aus, um vollständigen Zugriff zu erhalten. Hacker nutzen genau diese Sicherheitslücke aus, um sich Zugriff auf User-Konten im Microsoft 365 Tenant zu verschaffen. Ein fehlender MFA-Schutz gehört daher zu den häufigsten Ursachen für Sicherheitsvorfälle.

Typische MFA-Fehler im Microsoft 365 Tenant:

• MFA nicht für alle User aktiviert und verpflichtend
• Ausnahmen bei der Nutzung von MFA vorhanden
• Legacy Authentication aktiv und umgeht MFA-Anforderungen

Microsoft Tenant Check zu fehlender Multi-Faktor-Authentifizierung:

Der Microsoft Tenant Check Basic prüft, ob die Multi-Faktor-Authentifizierung im Microsoft 365 Tenant grundsätzlich aktiviert ist und identifiziert User ohne MFA-Konfiguration. Vor allem auch die Admin-Konten werden auf MFA geprüft.

Mit dem Microsoft Tenant Check Premium wird die Multi-Faktor-Authentifizierung im Microsoft 365 Tenant im Detail analysiert. Der Premium Check erkennt Ausnahmen, prüft die Ergänzung von Sicherheitsschlüsseln und bewertet, ob Legacy Authentication die MFA im Microsoft 365 Tenant umgehen kann.

Die fehlende oder unzureichende Einrichtung dieser Funktionen ist eine weitere kritische Schwachstelle in der Microsoft-365-Sicherheit. Wenn im Tenant keine bedingten Zugriffsrechte eingerichtet sind, können sich User unabhängig von Standort, Gerät oder Sicherheitsrisiko anmelden. Diese Microsoft Entra ID Zero-Trust-Strategie behindert Hacker dabei, mit gestohlenen Zugangsdaten problemlos auf den Microsoft 365 Tenant zuzugreifen. Ohne diese Beschränkungen (bedingte Zugriffe) fehlt ein zentraler Schutzmechanismus für die Sicherheit einer M365-Konfiguration. Häufig werden diese Richtlinien lediglich auf „nur melden“ eingestellt, statt diese korrekt zu aktivieren.

Typische Zugriff-Fehler im Microsoft 365 Tenant:

• kein bedingter Zugriff im Microsoft 365 Tenant
• Conditional Access Policies nicht für alle M365 User aktiv
• Admin-Konten sind nicht vollständig geschützt
• keine Blockierung unsicherer Länder erfolgt
• keine Geräte-Zugriffsprüfung mit Einschränkungen

Microsoft Tenant Check zu bedingten Zugriffen:

Mit dem Microsoft Tenant Check Basic wird geprüft, ob Conditional Access Policies im Microsoft 365 Tenant vorhanden sind und ob grundlegende Regeln aktiv sind.

Ein Microsoft Tenant Check Premium prüft darüber hinaus die Conditional Access Policies im Tenant auf eine Absicherung von Admin-Konten. Die Blockierung unsicherer Länder wird bewertet und eine korrekte Umsetzung der Geräteprüfungen analysiert.

Für eine wirksame Absicherung im Tenant sollten Sie konkrete Conditional Access Policies umsetzen, wie eine verpflichtende Multi-Faktor-Authentifizierung für alle User, Schutz von Admin-Konten, Blockierung unsicherer Länder sowie die Einschränkung des Zugriffs auf nicht konforme Geräte. Der Microsoft Tenant Check Premium identifiziert nicht nur fehlende Conditional Access Policies, sondern unterstützt auch bei der Umsetzung dieser Richtlinien zur Verbesserung der Sicherheit Ihrer M365-Konfiguration.

Mit zu vielen globalen Admin-Konten gibt es zu viele uneingeschränkte Zugriffe auf den gesamten Microsoft 365 Tenant. Wenn zu viele globale Admins vorhanden sind, steigt das Risiko, einem kompromittierten Konto ungewollt Vollzugriff zu ermöglichen. Genau deshalb gehört die Anzahl der Admins zu den wichtigsten Prüfungen in jedem Microsoft Tenant Check und jedes Microsoft Tenant Audit.

Typische Admin-Fehler im Microsoft 365 Tenant:

• hohe Anzahl an User-Konten mit Administrationsrechten
• die globale Administration wird nicht regelmäßig überprüft
• ehemalige User haben weiterhin Admin-Rechte
• fehlende Trennung zwischen User-Konten und Admin-Zugriff

Microsoft Tenant Check zu globalen Admins:

Der Microsoft Tenant Check Basic prüft die Anzahl der globalen Admin-Konten im Microsoft 365 Tenant und identifiziert auffällige Abweichungen in der Konfiguration.

Ein Microsoft Tenant Check Premium analysiert zudem die Art der Nutzung dieser Konten, erkennt veraltete Konten und bewertet anhand dessen, ob die Anzahl im Microsoft 365 Tenant den Best Practices entspricht.

Neben der Reduzierung globaler Administratoren im Microsoft 365 Tenant sollten Sie gezielt kleinere Admin-Rollen vergeben. Zusätzlich sollte Privileged Identity Management (PIM) im Microsoft 365 Tenant eingesetzt werden.

Warum PIM in M365 nutzen? Admin-Rechte werden dadurch zeitlich begrenzt (bspw. auf 8 Stunden statt unbegrenzt) und der erweiterte Zugriff wird automatisch nach einem definierten Zeitraum wieder entzogen. Diese Maßnahme ist ebenfalls im Microsoft Tenant Check Premium enthalten.

Legacy Authentication ist eine weitgehend bekannte und dennoch häufige Schwachstelle in Microsoft 365. Wenn Legacy Authentication im Tenant aktiv ist, können sich Hacker über veraltete Protokolle anmelden und damit moderne Schutzmechanismen wie die Multi-Faktor-Authentifizierung (MFA) umgehen. Diese aktive Legacy Authentication im Microsoft 365 Tenant wird gezielt ausgenutzt, da viele Angriffe genau über diese alten Zugriffswege erfolgen. Ohne Deaktivierung von Legacy Authentication bleibt eine kritische Sicherheitslücke bestehen.

Typische Authentication-Fehler im Microsoft 365 Tenant:

• M365 Legacy Authentication nicht deaktiviert
• alte Protokolle im Einsatz (z. B. IMAP, POP, SMTP Auth)
• keine Regeln zur Blockierung von Legacy Authentication
• andere Anwendungen greifen auf Legacy Authentication zu

Microsoft Tenant Check zu Legacy Authentication:

Per Microsoft Tenant Check Basic klärt sich schnell, ob Legacy Authentication im Microsoft 365 Tenant deaktiviert ist. Aktive Verbindungen zu M365 werden identifiziert.

Der Microsoft Tenant Check Premium ergänzt die Findings aus dem Basic Check mit einer Liste betroffener User und Anwendungen. Der Premium Check bewertet, über welche Protokolle Legacy Authentication im Tenant weiterhin aktiv ist.

Einer der häufigsten Angriffswege in Microsoft 365 ist eine schwache E-Mail-Sicherheit. Wenn diese im Microsoft 365 Tenant nicht korrekt konfiguriert ist, gelangen Phishing Mails und weitere betrügerische Inhalte sowie Schadsoftware ungehindert in die Postfächer Ihrer Mitarbeitenden. Hacker nutzen dabei gezielt nicht geschlossene Schwachstellen im Microsoft 365 Tenant, um User zur Preisgabe von Zugangsdaten zu bringen oder Schadcode einzuschleusen. Ohne eine starke E-Mail-Sicherheit bleibt Ihre M365-Integration insgesamt angreifbar.

Typische E-Mail-Fehler im Microsoft 365 Tenant:

• Anti Phishing Policies im Microsoft 365 Tenant nicht aktiv
• Safe Links und Safe Attachments im Tenant nicht aktiviert
• SPF, DKIM und DMARC wurden nicht oder falsch konfiguriert
• keine oder unvollständige Einrichtung des Microsoft Defender (lizenzabhängig)

Microsoft Tenant Check gegen schwache E-Mail-Sicherheit:

Der Microsoft Tenant Check Basic prüft, ob Einstellungen für die E-Mail-Sicherheit im Microsoft 365 Tenant vorhanden sind, wie Anti Phishing Policies und Authentifizierungsverfahren.

Mit dem Microsoft Tenant Check Premium wird die E-Mail-Sicherheit im Microsoft 365 Tenant weitaus detaillierter betrachtet. Konfigurationen von Anti-Phishing-Policies, Safe Links und Safe Attachments werden analysiert. Weiter im Premium Check inbegriffen ist die korrekte Umsetzung von SPF, DKIM und DMARC im Tenant.

Wenn externes Sharing im Microsoft 365 Tenant nicht klar geregelt ist, können Daten unkontrolliert mit nicht autorisierten Personen geteilt werden. Dieses unkontrollierte externe Sharing im Tenant führt dazu, dass sensible Informationen außerhalb des Unternehmens zugänglich sein können. Ohne klare Regeln zum Sharing entsteht eine große Angriffsfläche.

Typische Sharing-Fehler im Microsoft 365 Tenant:

• anonymes externes Sharing im Tenant erlaubt
• keine Ablaufdaten für externes Sharing im Tenant
• externe User werden nicht regelmäßig überprüft
• externe User-Konten haben kein Ablaufdatum
• globale Aktivierung des Sharings ohne Einschränkungen

Microsoft Tenant Check zu unkontrolliertem externen Sharing:

Der Microsoft Tenant Check Basic prüft den Status der Erlaubnis für das externe Sharing im Microsoft 365 Tenant. Auch der Status des anonymen externen Sharings wird überprüft.

Mit dem Microsoft Tenant Check Premium wird das externe Sharing im Tenant im Detail analysiert. Geprüft werden Ablaufdaten, Nutzung durch externe User und Risiken durch unkontrolliertes externes Sharing im M365 Tenant.

Ein oft unterschätztes Risiko in der Microsoft 365 Sicherheit stellen verwaiste User-Konten dar. Wenn diese nicht mehr aktiv genutzt werden, aber noch vorhanden sind, bleiben unnötige Zugriffsmöglichkeiten bestehen. Diese Konten werden häufig nicht mehr überwacht und können von Hackern gezielt ausgenutzt werden.

Typische User-Konten-Fehler im Microsoft 365 Tenant:

• verwaiste User-Konten im Tenant nicht deaktiviert
• Gastkonten bleiben ohne Notwendigkeit vorhanden
• keine regelmäßige Kontenprüfung im M365 Tenant

Microsoft Tenant Check zu verwaisten User-Konten:

Mit dem Microsoft Tenant Check Basic werden alle User-Konten im Microsoft 365 Tenant geprüft und inaktive Accounts sowie veraltete Gastkonten identifiziert.

Der Microsoft Tenant Check Premium erkennt darüber hinaus besonders risikobehaftete Konten und zeigt den konkreten Handlungsbedarf auf im Umgang mit verwaisten User-Konten im Tenant.

Wenn im Microsoft 365 Tenant kein Monitoring aktiv ist, bleiben Angriffe und auffällige Aktivitäten unentdeckt. Ohne Logfiles gibt es keine Transparenz darüber, wer wann auf welche Daten zugreift. Fehlendes Monitoring und Logging führt schließlich dazu, dass Sicherheitsvorfälle zu spät erkannt werden und Sicherheit Ihrer M365-Instanzen massiv beeinträchtigt wird.

Typische Monitoring-Fehler im Microsoft 365 Tenant:

• M365 Monitoring und Logging nicht aktiviert
• Audit Logging im Tenant nicht eingeschaltet
• Auswertungen von Logfiles nicht möglich
• keine Alerts für auffällige Aktivitäten eingerichtet

Microsoft Tenant Check zu fehlendem Monitoring und Logging:

Ein Microsoft Tenant Check Basic prüft den Microsoft 365 Tenant auf die grundsätzliche Aktivierung des Audit Loggings.

Der Microsoft Tenant Check Premium hingegen analysiert die Nutzung der Logs, prüft Alerts und erkennt, ob Monitoring und Logging im Tenant aktiv zur Erkennung von Sicherheitsvorfällen eingesetzt wird.

Der Microsoft Secure Score bleibt häufig ungenutzt, obwohl er ein zentraler Bestandteil der Microsoft 365 Sicherheit ist. Wenn der Score im Tenant nicht regelmäßig geprüft wird, bleiben Sicherheitslücken unentdeckt. Ohne die Nutzung vom Microsoft Secure Score fehlt im M365 Tenant eine klare Bewertung der aktuellen Sicherheitslage. Dadurch wird die Sicherheit nicht aktiv verbessert und bestehende Risiken bleiben bestehen.

Typische Secure-Score-Fehler im Microsoft 365 Tenant:

• Microsoft Secure Score wird nicht regelmäßig geprüft
• Maßnahmen aus dem Secure Score werden nicht umgesetzt
• der Score wird nicht als hilfreiche Leistungskennzahl angesehen
• keine Priorisierung von Maßnahmen aus dem Microsoft Secure Score

Microsoft Tenant Check zum nicht genutzten Secure Score:

Der Microsoft Tenant Check Basic prüft lediglich, ob der Microsoft Secure Score im Tenant vorhanden ist und ob grundlegende Maßnahmen berücksichtigt werden.

Hinzu kommt beim Microsoft Tenant Check Premium die Bewertung des Microsoft Secure Scores sowie die Umsetzung der Maßnahmen. Der Premium Check zeigt zudem, welche Verbesserungen im Microsoft Secure Score möglich sind.

Eine grundlegende Schwachstelle im Microsoft 365 Tenant ist eine fehlende Governance. Ohne klare Regeln für User, Berechtigungen, Daten und Nutzung verlieren Sie die notwendige Kontrolle. Fehlende Governance im Tenant führt dazu, dass sich Strukturen unkontrolliert entwickeln und Sicherheitslücken entstehen.

Typische Governance-Fehler im Microsoft 365 Tenant:

• keine definierte Governance im Microsoft 365 Tenant
• keine, veraltete oder nur unklare Richtlinien vorhanden
• fehlende technische Umsetzung definierter Richtlinien
• keine regelmäßige Überprüfung der Governance im Tenant

Microsoft Tenant Check zu fehlender Governance:

Die grundsätzliche Einrichtung entsprechender Regeln und Strukturen ist Bestandteil vom Microsoft Tenant Check Basic. Es wird prüft, ob grundlegende Governance im Microsoft 365 Tenant vorhanden ist und ob Richtlinien definiert sind.

Eine detaillierte Bewertung erhalten Sie hingegen nur mit dem Microsoft Tenant Check Premium. Dieser analysiert die Governance im Tenant auf die Umsetzung der Richtlinien und erkennt Schwachstellen.

Die meisten Sicherheitslücken im Microsoft 365 Tenant entstehen nicht durch fehlende Funktionen, sondern durch fehlende Konfiguration und fehlende Kontrolle. Genau hier setzt ein strukturierter Microsoft Tenant Check an: Er macht Sicherheitslücken sichtbar und zeigt konkrete Risiken auf.

Ein regelmäßiges Microsoft Tenant Audit stellt sicher, dass die Sicherheit im Tenant nicht nur einmalig geprüft, sondern auch dauerhaft auf einem hohen Niveau gehalten wird. Unternehmen, die ihre Microsoft 365 Sicherheit nachhaltig verbessern wollen, sollten daher auf einen kontinuierlichen Microsoft Tenant Check setzen. Wir beraten Sie gern!