The State of Microsoft 365 Security 2025 Microsoft 365 ist sicher – oder?

Anbieter zum Thema

Microsoft Deutschland GmbH

WatchGuard Technologies GmbH

Soft & Cloud GmbH

XOPERO SOFTWARE S.A.

Unternehmen sind beim Schutz ihrer Microsoft-365-Systeme mit zahlreichen Herausforderungen konfrontiert. Doch es bestehen gefährliche Fehleinschätzungen über scheinbar grundlegende Funktionalitäten. Dies hat gravierende Folgen für die Sicherheitslage.

Bei der Microsoft-365-Security besteht ein großer Nachholbedarf, ergab der „The State of Microsoft 365 Security 2025“-Report von Coreview. Denn: „Jeder zweite IT-Verantwortliche glaubt fälschlicherweise, dass seine Konfigurationen von Microsoft gesichert werden“, weiß Simon Azzopardi, CEO bei Coreview. Doch es werden keine automatischen Backups der M365-Tenant-Konfigurationen erstellt, was bei einem Sicherheitsvorfall katastrophale Auswirkungen für die Datenwiederherstellung haben kann.

Wahrgenommene Sicherheitsreife vs. tatsächliches Schutzniveau

Die Selbsteinschätzung der Organisationen steht im krassen Widerspruch zu den realen Vorfällen: 60 Prozent der Befragten bewerten ihre Microsoft-365-Sicherheit als „etabliert“ oder „fortgeschritten“. Allerdings haben ebenfalls 60 Prozent bereits Angriffe durch kompromittierte Konten erlebt. Dabei erleben, dem Bericht zufolge, Unternehmen, die ihre Sicherheit als „fortgeschritten“ einschätzen, nahezu identische Kompromittierungsraten wie Organisationen mit nur grundlegenden Implementierungen. Diese blinden Flecken können zu einer Unterinvestition in die Sicherheit führen. „Es ist von entscheidender Bedeutung, die Sicherheitsstrategie zu überdenken“, empfiehlt Azzopardi. „Dieser Bericht dient als Weckruf und unterstreicht die Notwendigkeit, in eine umfassende Cybersecurity zu investieren.“

Exploit-Analyse von Kaspersky

Die beliebtesten Windows- und Linux-Schwachstellen

Hauptgründe für die Diskrepanz

Der Bericht zeigt mehrere Lücken auf, die erklären, warum die wahrgenommene Sicherheit nicht der Realität entspricht. Dazu zählen:

• Falsche Annahmen über Microsofts Schutz: Viele Organisationen sind sich nicht bewusst, wie viel oder wenig Microsoft sie in Krisensituationen schützt.

• Mangelhafte Durchsetzung der Zero-Assurance-Prinzipien: Die Implementierung kritischer Sicherheitskontrollen ist oft unvollständig oder ineffektiv.

• Schwache Konfigurations-Governance: Die mangelnde Überwachung von Konfigurationsänderungen erzeugt unzählige blinde Flecken.

• Ausufernde Berechtigungen und fehlendes Governance-Tooling: Die Komplexität der Zugriffskontrolle führt zu einem überhöhten Risiko.

Organisatorische und technische Herausforderungen

Die größten Hindernisse für ein sicheres Microsoft 365 lassen sich in zwei Hauptbereiche unterteilen:

• 1. Organisatorische Mängel, dazu zählen Wahrnehmung, Prozesse und Ressourcen,

• 2. sowie technische und Governance-Lücken, wie Komplexität und die fehlende Durchsetzung kritischer Kontrollen.

Diese Herausforderungen sind eng miteinander verknüpft: Die organisatorische Entscheidung, manuelle Prozesse beizubehalten oder sich auf falsche Annahmen über den Microsoft-Schutz zu verlassen, kann direkt zur technischen Ineffektivität, etwa dem Fehlen einer automatisierten MFA-Durchsetzung oder einer formalen Konfigurations-Governance führen.

Security-Risiko KI

Die fünf größten Security-Risiken bei Microsoft Copilot

Sicherheitskontrollen zur Risikominderung in M365

Die größten und messbarsten Vorteile zur Risikominderung resultieren dem Coreview-Bericht zufolge aus der Automatisierung und Durchsetzung kritischer Kontrollen in den Bereichen Identität, Konfigurations-Governance und Privilegien-Management. So sei die konsequente und automatisierte Durchsetzung von Multi-Faktor-Authentifizierung (MFA) inklusive eines Durchsetzungsprozesses die wirksamste Einzelmaßnahme zur Verhinderung von Kontokompromittierungen. Auch die Kontrolle und Minimierung überhöhter Zugriffsrechte liefere erhebliche Vorteile bei der Reduzierung des Risikos des Missbrauchs von Administratorkonten und verbleibenden Zugriffsrechten.

Eine dritte Maßnahme ist die Implementierung formaler Prozesse zur Verwaltung der Tausenden von M365-Konfigurationselementen. Dies soll die Anfälligkeit für Angriffe durch Fehlkonfigurationen drastisch reduzieren. Schließlich soll die Integration der M365-Sicherheit in die übergeordneten Governance-Frameworks des Unternehmens für Konsistenz sorgen und das Risiko über alle Silos hinweg verringern.

Fazit und Maßnahmen

Die Kluft zwischen der gefühlten Reife und dem tatsächlichen Schutzlevel entsteht, weil operationelle Disziplin und strategische, technische Kontrollen fehlen. Organisationen verlassen sich auf die scheinbare Sicherheit, die durch die Implementierung von Tools vermittelt wird, aber versäumen es, die Kontrollen konsequent durchzusetzen, Governance-Prozesse zu etablieren und die Komplexität ihrer Multi-Tenant-Umgebungen und Anwendungsberechtigungen zu beherrschen.

Die Experten von Coreview raten IT-Führungskräften daher zu folgenden Maßnahmen:

• 1. Stärkung der Identitätssicherheit über die grundlegende MFA hinaus: Implementierung der automatisierten MFA-Erkennung und -Durchsetzung

• 2. Konfigurationsmanagement als Sicherheitskontrolle: Etablierung formaler Change-Control-Prozesse und Einsatz von Überwachungs-Tools zur Erkennung von Konfigurationsänderungen

• 3. Privilegienverwaltung: Einsatz von PAM-Lösungen und Reduzierung der Global Admin-Konten

• 4. Automatisierung des User-Lifecycle-Managements: Implementierung automatisierter Onboarding- und Offboarding-Workflows

(ID:50632042)