Microsofts Top 10 Sicherheitstipps im Überblick

Microsoft bietet eine Vielzahl von Best Practices, um IT-Infrastrukturen abzusichern, insbesondere in Cloud-basierten Umgebungen wie Microsoft 365 oder Microsoft Azure. Einige Empfehlungen wurden in den letzten Jahren angepasst oder durch neue Funktionen ergänzt. Die folgenden zehn Tipps basieren auf aktuellen Microsoft Security Guidelines (Stand 2025) und eignen sich sowohl für KMUs als auch für große Organisationen.

1. Multi-Faktor-Authentifizierung (MFA) aktivieren

Die MFA ist heute unverzichtbar. Sie stellt sicher, dass beim Login nicht nur Benutzername und Passwort, sondern mindestens ein weiterer Faktor benötigt wird. Das kann ein biometrisches Merkmal (z. B. Fingerabdruck), ein temporärer Code per App (z. B. Microsoft Authenticator) oder ein Hardware-Token sein.

Aktualisierung in 2025:
Microsoft hat den standardmäßigen Rollout von MFA für alle Microsoft Entra ID (ehem. Azure AD) Tenants weiter forciert. Neu hinzugekommen ist die MFA Nummer-Abfrage. Statt nur “Genehmigen/Blockieren” muss der Benutzer eine Zahl am Endgerät eingeben, die am Login-Bildschirm angezeigt wird. Dies erschwert MFA-Bombing-Angriffe deutlich.

Empfehlung: MFA für alle Benutzer aktivieren, vor allem für privilegierte Konten wie Administratoren, Entwickler oder Support-Accounts.

2. Veraltete Authentifizierungsprotokolle deaktivieren

Viele Angriffe erfolgen über sogenannte Legacy Authentication. Darunter fallen Protokolle wie IMAP, POP3 oder SMTP AUTH, die keine MFA unterstützen. Besonders ältere Office Versionen (z. B. Office 2010/2013) setzen noch auf diese Methoden.

Aktualisierung in 2025:
Microsoft hat die Abschaltung von Basic Authentication in Exchange Online vollständig abgeschlossen. Dennoch existieren viele Altgeräte und Drittanbieter-Tools, die noch diese Protokolle nutzen.

Empfehlung: Legacy Protokolle sollten vollständig blockiert und es sollten nur moderne Authentifizierungs-APIs verwendet werden. Eine zentrale Steuerung ist über Conditional Access in Entra ID möglich.

3. Starke Passwörter ohne erzwungenen Ablauf

Früher war es üblich, Passwörter alle 30 bis 90 Tage zu ändern. Heute gilt: Regelmäßiger Zwangswechsel fördert unsichere Passwörter (Frühling2024! wird zu Sommer2024! geändert).

Microsoft empfiehlt stattdessen:

• Keine Ablaufzyklen
• Einsatz von Kennwortfiltern, um schwache Passwörter zu blockieren
• Nutzung von Passwörtern plus MFA
• Optional: Umstieg auf passwortlose Anmeldung (z. B. via Windows Hello, FIDO2, Authenticator-App)

4. Self-Service Passwort-Reset (SSPR) aktivieren

Mitarbeitende sollen in der Lage sein, ihr Passwort eigenständig zurückzusetzen ohne IT-Ticket. Das geht über Self-Service Password Reset in Microsoft Entra ID.

Vorteile:

• Entlastung des Helpdesks/IT-Abteilung
• Geringere Ausfallzeiten bei Passwortproblemen
• Kombination mit Kennwort-Sperren und Smart Lockout möglich

Tipp: Die SSPR-Funktion lässt sich mit der MFA-Konfiguration kombinieren, so erfolgt die Identitätsprüfung sicher und automatisiert.

5. Bedingten Zugriff mit Risikoanalyse kombinieren

Mit Conditional Access in Microsoft Entra lassen sich Zugriffe dynamisch steuern, je nach Standort, Gerät, Uhrzeit oder Benutzerverhalten.

Aktualisierung in 2025:
Die Integration von Microsoft Defender for Cloud Apps ermöglicht jetzt noch genauere Risikoeinschätzungen und schützt vor kompromittierten Sessions.

Empfehlung: User Risk Policy aktivieren: Wenn das Verhalten eines Kontos verdächtig ist (wie z. B. ein Anmeldeversuch aus dem Ausland/ außerhalb der EU), kann eine MFA-Anforderung oder Zugriffssperre ausgelöst werden.

6. Externe Apps und Drittanbieter-Zugriffe kontrollieren

Viele Angriffe erfolgen über eingebundene, aber nicht verwaltete Drittanbieter-Apps, die auf Microsoft 365 Daten zugreifen dürfen.

Best Practice:

• Zulassungsrichtlinien für Apps definieren
• Nur geprüfte Anbieter freigeben
• API-Zugriffe regelmäßig prüfen

Tipp: Microsoft Entra bietet ein zentrales App Governance Dashboard, ideal zur Überwachung und Steuerung von OAuth-Zugriffen.

7. Kunden-Lockbox für Microsoft Azure aktivieren

Die Customer Lockbox erlaubt es Unternehmen, Zugriffsanfragen von Microsoft-Supportteams manuell zu genehmigen. So behalten Sie auch im Supportfall die volle Kontrolle über Ihre Daten.

Einsatzszenarien:

• Support bei schwerwiegenden Vorfällen
• DSGVO-sensible Daten
• Zertifizierungsrelevante Umgebungen

8. Mehrere globale Administratoren festlegen

Globale Admins haben vollen Zugriff, wenn nur eine Person diese Rechte besitzt und z. B. krank ist oder kompromittiert wird, ist das Risiko hoch.

Empfehlung von Microsoft:

• Mindestens zwei, max. vier globale Admins
• Gegenseitige Kontrolle über Audit Logs
• Einsatz von Privileged Identity Management (PIM) zur rollenbasierten Verwaltung mit Ablaufzeiten

9. Eingeschränkte Administratorrollen nutzen

Nicht jeder Admin braucht vollen Zugriff. Microsoft bietet zahlreiche feingranulare Rollen, z. B. für E-Mail, Teams, Benutzerverwaltung oder Support.

Vorteile:

• Minimierung des Risikos bei Account Kompromittierung
• Prinzip der geringsten Rechte (“Least Privilege”)

Beispiele: Exchange Administrator, Helpdesk Administrator, Gerätemanager

10. Veraltete Verschlüsselungen deaktivieren

Sichere Kommunikation basiert auf modernen Protokollen. TLS 1.0/1.1 und 3DES gelten heute als unsicher und sollten deaktiviert werden.

Stand 2025:

• TLS 1.2 ist weiterhin Standard
• TLS 1.3 wird zunehmend unterstützt und empfohlen
• Alte Protokolle sollten auf Servern und Clients deaktiviert sein

Tipp: Microsoft bietet PowerShell Skripte zur Prüfung von Protokollen und Cipher Suites, besonders bei lokalen Exchange Servern oder Hybrid-Setups.