1. Ausgangslage: Business Premium nutzt sich nicht von selbst
Laut Microsoft Digital Defense Report 2025 sind 99,2 % aller Account-Kompromittierungen mit aktivierter MFA verhinderbar. Trotzdem läuft MFA in vielen Mittelstands-Tenants nur teilweise oder gar nicht. Die Standard-Einstellungen sind bewusst niedrig — Microsoft überlässt das Aktivieren den Administratoren.
Mit Microsoft 365 Business Premium stehen folgende Sicherheits-Komponenten bereit (Stand 2026):
- Entra ID P1 — Conditional Access, Self-Service Password Reset
- Defender for Office 365 Plan 1 — Safe Links, Safe Attachments, Anti-Phishing
- Defender for Business — EDR für Endpunkte
- Intune — Mobile Device & Application Management
- Purview Standard — Sensitivity Labels, DLP Basics
- Azure Information Protection — Verschlüsselung
2. Phase 1: Identity & Access (Tag 1–2)
Größter Hebel, niedrigster Aufwand — immer zuerst.
Multi-Faktor-Authentifizierung
- Security Defaults aktivieren (oder bei Conditional Access: MFA-Policy für alle User)
- Break-Glass-Accounts ausnehmen — und überwachen
- Phishing-resistente Methoden (Authenticator App, FIDO2 Keys) erzwingen
Conditional Access Baseline
- Block Legacy Authentication — älteste und größte Lücke
- Require MFA for Admins — sofort, ohne Ausnahmen
- Require MFA for All Users — mit definierten Ausnahmen für Service-Accounts
- Require Compliant Device für Zugriff auf SharePoint/OneDrive (sobald Intune steht)
- Block High-Risk Sign-ins mit Identity Protection
3. Phase 2: E-Mail-Sicherheit (Tag 2–3)
Defender for Office 365 Preset Policies
Microsoft liefert seit 2024 vorkonfigurierte Schutz-Policies. Aktivieren Sie:
- Strict Preset für Geschäftsführung, Buchhaltung, IT-Admins
- Standard Preset für alle übrigen Mitarbeitenden
Beide Policies aktivieren automatisch: Safe Attachments, Safe Links, Anti-Phishing mit Impersonation Protection, Spoof Intelligence.
DKIM, DMARC, SPF
- SPF-Record:
v=spf1 include:spf.protection.outlook.com -all - DKIM für alle Domains aktivieren (Defender → Email & Collaboration → Policies)
- DMARC startend mit
p=none, nach 4 Wochenp=quarantine, nach 8 Wochenp=reject
4. Phase 3: Endpoint & Mobile (Tag 3–4)
Intune-Onboarding
- Windows-Geräte über Autopilot oder hybride Anmeldung enrollen
- Compliance Policies: BitLocker, Firewall, Defender aktiv, OS-Mindestversion
- Configuration Profiles: Attack Surface Reduction Rules, Screen Lock, Bluetooth-Restriktionen
Mobile Device Management (BYOD)
- App Protection Policies für iOS/Android — ohne Full Enrollment
- Erzwungene PIN für Microsoft-Apps, Verschlüsselung, Block Copy/Paste in unverwaltete Apps
5. Phase 4: Datenschutz & DLP (Tag 4–5)
Purview Sensitivity Labels
- Drei-Stufen-Modell: Public — Internal — Confidential
- Auto-Labeling für klassische Patterns (IBAN, Sozialversicherungs-Nr., Personalnummern)
- Verschlüsselung bei "Confidential"
DLP-Policies
- Kreditkarten- und Bankdaten in E-Mails und SharePoint blockieren
- Externe Freigaben in SharePoint einschränken
- Tipp-Hinweise (Policy Tips) für Mitarbeitende statt Hard-Block
6. Phase 5: Monitoring & Validation (Tag 5)
- Microsoft Secure Score — Zielwert ≥ 70 % nach Hardening
- Defender Vulnerability Management — offene CVEs sichten
- Sign-In Risk Reports wöchentlich prüfen
- Audit-Log-Aktivierung validieren
7. Was darüber hinaus geht
Wenn Business Premium nicht ausreicht, lohnen sich gezielte Add-ons:
- Defender for Office 365 Plan 2 — Threat Investigation, Attack Simulation
- Entra ID P2 — Privileged Identity Management, Risk-Based Conditional Access
- Global Secure Access — Zero-Trust Network Access als Ersatz für VPN
Die meisten Mittelständler erreichen mit dem Business-Premium-Hardening bereits ein Sicherheits-Niveau, das im Vergleich zu klassischen On-Prem-Setups deutlich überlegen ist — ohne Mehrkosten.
8. Wie wir das in der Praxis umsetzen
Unser Security-Hardening-Festpreis deckt die fünf Phasen in fünf Werktagen ab. Wir liefern Conditional-Access-Policies, Defender-Konfiguration, Intune-Baseline und Purview-Setup — dokumentiert, rückrollbar und mit anschließender Übergabe an Ihre IT.