Microsoft-Lizenzen im Mittelstand: Business Premium, E3, E5, F3

Ausgangslage: Lizenzkosten sind selten das eigentliche Problem

Microsoft-Lizenzen sind eine der größten wiederkehrenden IT-Ausgaben im Mittelstand — und gleichzeitig einer der am wenigsten verstandenen Posten. In Beratungsprojekten zeigt sich ein wiederkehrendes Muster: Viele Unternehmen zahlen entweder zu viel, weil sie Lizenzen einsetzen, deren Funktionen sie nicht nutzen, oder zu wenig, weil ihnen schlicht die Sicherheitsfunktionen fehlen, die sie für Compliance-Anforderungen wie NIS2 oder Cyber-Versicherungen bräuchten.

Der folgende Überblick fasst die für den Mittelstand relevanten Microsoft-365-Pläne sachlich zusammen — keine vollständige Preisliste, sondern eine Orientierung zur Entscheidungsfindung. Aktuelle Preise und Funktionsumfang verändern sich regelmäßig; verbindlich sind ausschließlich die Microsoft-eigenen Seiten (Microsoft 365 Business Plans, Microsoft 365 Enterprise Plans).

Business oder Enterprise — die wichtigste Weichenstellung

Microsoft 365 wird in zwei Produktlinien angeboten: Business-Pläne (Basic, Standard, Premium, Apps for Business) und Enterprise-Pläne (F1, F3, E3, E5, Apps for Enterprise). Die wichtigste Trennlinie ist nicht der Funktionsumfang, sondern eine harte Grenze:

Business-Pläne sind auf maximal 300 Nutzer pro Tenant begrenzt (Microsoft Learn: Business Premium FAQ).

Wer diese Grenze überschreitet — oder absehbar überschreiten wird — kann keine Business-Pläne mehr neu zukaufen und muss auf Enterprise-Pläne wechseln. Ein gemischter Tenant mit Business- und Enterprise-Lizenzen ist möglich, aber operativ aufwendig: Es entstehen unterschiedliche Funktionsumfänge, Update-Kanäle und teils Lizenzkonflikte bei Add-ons. Für Unternehmen, die nahe an der 300-User-Grenze liegen, lohnt sich die Frage, ob man direkt auf Enterprise wechselt, statt später eine Migration zu erzwingen.

Microsoft 365 Business Premium — der Standard für KMU

Für Unternehmen bis 300 Mitarbeitende ist Microsoft 365 Business Premium in den meisten Fällen die wirtschaftlich vernünftigste Wahl. Im Vergleich zu Business Standard enthält Premium zentrale Sicherheits- und Management-Komponenten, die andernfalls einzeln teurer wären (Microsoft Learn):

• Microsoft Defender for Business — EDR-fähige Endpoint-Sicherheit, vergleichbar mit Defender for Endpoint Plan 2 für KMU-Szenarien (Microsoft Learn: Defender for Business FAQ)
• Microsoft Intune Plan 1 — Geräteverwaltung für Windows, macOS, iOS, Android inklusive App Protection Policies
• Microsoft Entra ID P1 — ermöglicht Conditional Access, Self-Service-Password-Reset und Hybrid-Identitäten
• Microsoft Purview Information Protection P1 (vormals Azure Information Protection P1) — manuelle Sensitivitätslabels und Verschlüsselung
• Data Loss Prevention (DLP) für Exchange, SharePoint, OneDrive und Teams
• Exchange Online Archiving mit unbegrenztem Archivpostfach

Für viele mittelständische Unternehmen unter 300 Nutzern deckt Business Premium damit faktisch alles ab, was sich für die kommenden Jahre an Mindestanforderungen abzeichnet — inklusive MFA, Conditional Access, Endpoint Detection und Geräteverwaltung. Wer Business Standard im Einsatz hat, sollte den Aufpreis auf Premium gegen die Add-on-Kosten für Intune, Entra ID P1 und Defender vergleichen — die Premium-Lizenz ist in praktisch allen Fällen günstiger als die Einzelkomponenten.

Enterprise: E3, E5 und F3

Microsoft 365 E3

E3 ist die typische Wahl für Unternehmen über 300 Mitarbeitende, die eine solide Basis-Ausstattung brauchen, aber nicht den vollen E5-Funktionsumfang benötigen. Funktional ähnelt E3 dem Business Premium, mit einigen Unterschieden:

• Enthält Windows 11 Enterprise (Business Premium dagegen nur Windows 11 Pro)
• Enthält Microsoft Intune Plan 1 und Entra ID P1
• Enthält Purview Information Protection P1 und Basis-DLP
• Enthält keinen Defender for Endpoint Plan 2 oder Defender for Business. Endpoint-Schutz muss separat lizenziert werden — entweder als Add-on (Defender for Endpoint Plan 2) oder durch Wechsel auf E5

Ein typischer Stolperstein: Viele Unternehmen kaufen E3 in der Erwartung, "alles inklusive" zu bekommen — und merken erst spät, dass Endpoint-Sicherheit fehlt.

Microsoft 365 E5

E5 enthält gegenüber E3 zusätzlich die vollen Defender-, Purview- und Analytics-Komponenten:

• Microsoft Defender for Endpoint Plan 2 (volle EDR/XDR-Funktionalität)
• Microsoft Defender for Office 365 Plan 2 (Anti-Phishing, Safe Links, Safe Attachments, Attack Simulator)
• Microsoft Defender for Identity (Schutz gegen identitätsbasierte Angriffe auf Active Directory)
• Microsoft Defender for Cloud Apps (CASB-Funktionalität)
• Microsoft Entra ID P2 (Privileged Identity Management, Identity Protection mit Risk-based Conditional Access)
• Microsoft Purview eDiscovery (Premium), Insider Risk Management, Communication Compliance
• Power BI Pro

E5 ist primär für Unternehmen mit besonderen Compliance-Anforderungen sinnvoll — etwa im Finanzsektor, Gesundheitswesen, bei Anwaltskanzleien oder bei Unternehmen mit hoher Geheimhaltungspflicht. Für den durchschnittlichen Mittelständler ist E5 als Vollausstattung selten wirtschaftlich. Häufig ist die Kombination "E3 + gezielte E5-Add-ons" günstiger.

Microsoft 365 F3 — für Frontline Worker

F3 ist eine reduzierte Lizenz für Mitarbeitende ohne festen Büroarbeitsplatz — typisch für Produktion, Lager, Außendienst, Verkauf, Schicht. F3 enthält keine vollwertigen Desktop-Versionen von Office, sondern nur die Web- und Mobile-Apps, ein Postfach mit 2 GB sowie Teams und Stream-Zugriff.

F3 ist die mit Abstand günstigste Microsoft-365-Lizenz — und genau dort, wo sie passt (echte Frontline-Szenarien), ist sie ein erheblicher Kostenhebel. In gemischten Tenant-Szenarien sollten allerdings ein paar Punkte beachtet werden: F3-Nutzer können nicht ohne Weiteres als Empfänger interner DLP-Policies fungieren, Conditional-Access-Anforderungen müssen sauber auf die F3-Lizenzbestandteile abgestimmt werden, und Add-ons wie Defender oder Intune müssen explizit für F3 lizenziert werden, falls sie benötigt werden.

Wichtige Add-ons im Überblick

Häufig ist es wirtschaftlich sinnvoller, einen niedrigeren Basisplan mit gezielten Add-ons zu kombinieren, als pauschal auf den höchsten Plan zu wechseln:

• Microsoft Defender for Endpoint Plan 2 als Add-on — sinnvoll für E3-Kunden, die EDR brauchen, aber keinen vollen E5-Stack
• Entra ID P2 als Add-on — für gezielte PIM-/Identity-Protection-Szenarien
• Teams Premium — für erweiterte Meeting-Features, Webinare, Watermarking
• Microsoft 365 Copilot — KI-Assistenz; setzt Business Standard/Premium oder E3/E5 voraus und wird pro Nutzer lizenziert
• Audio Conferencing — in vielen Plänen mittlerweile enthalten, sollte vor separatem Zukauf geprüft werden

Welche Lizenz für welches Szenario

Eine grobe Orientierung — ersetzt keine individuelle Analyse, aber zeigt typische Muster:

• Unter 300 Nutzer, normales Sicherheitsniveau: Business Premium für alle Vollzeitkräfte, ggf. Business Basic für reine Mail-/Teams-Nutzer.
• Unter 300 Nutzer, mit Frontline-Anteil: Business Premium für Knowledge Worker — aber Achtung: F-Pläne sind formal Enterprise-Pläne und können in einem Business-Tenant zu Mischsituationen führen. Häufig pragmatischer: für Frontline reduzierte Business-Basic-Lizenzen.
• Über 300 Nutzer, Standard-Sicherheit: E3 + Defender for Endpoint Plan 2 als Add-on für alle, die EDR brauchen; F3 für echte Frontline-Rollen.
• Über 300 Nutzer, hohe Compliance-Anforderungen: E5 für Knowledge Worker mit Zugriff auf sensible Daten, E3 oder F3 für den Rest.
• Regulierte Branchen (Finance, Healthcare, Legal): E5 ist häufig wegen Insider Risk Management, Communication Compliance und Premium eDiscovery direkt gerechtfertigt.

Vier praxisnahe Optimierungshebel

1. Inaktive Lizenzen identifizieren

In jedem Tenant finden sich Lizenzen, die zugewiesen, aber nicht mehr genutzt werden — typischerweise nach Personalabgängen, Rollenwechseln oder Pilotprojekten. Eine quartalsweise Auswertung der zugewiesenen vs. tatsächlich genutzten Lizenzen ist eine der einfachsten Quick Wins.

2. Lizenz-Stufe an Rolle anpassen

Nicht jeder Mitarbeiter braucht die gleiche Lizenz. Eine kurze Rollen-Inventur — Knowledge Worker, Frontline, Service-Account, externer Dienstleister — zeigt häufig, dass mehrere Nutzer auf eine günstigere Stufe wechseln könnten, ohne Funktionalität zu verlieren.

3. NCE-Verträge mit Monats- vs. Jahreslaufzeit abwägen

Microsoft hat mit dem New Commerce Experience (NCE) die Vertragsmodelle vereinheitlicht. Jahreslaufzeit ist günstiger, aber unflexibel — Reduzierungen sind nur zum Vertragsende möglich. Monatslaufzeit kostet einen Aufschlag, erlaubt aber kurzfristige Anpassungen. Eine sinnvolle Praxis: stabiler Stammbedarf auf Jahresverträge, fluktuierender Bedarf (Projektmitarbeiter, Saisonkräfte) auf Monatsverträge.

4. Add-ons vor neuem Basisplan prüfen

Bevor von E3 auf E5 gewechselt wird, lohnt sich die Frage: Welche der E5-Mehrwerte brauchen wir konkret — und für wen? Wenn nur 30 % der Nutzer EDR brauchen, ist E3 + Defender Add-on für diese Gruppe günstiger als ein flächendeckender E5-Wechsel.

Fazit

Eine saubere Lizenzstrategie spart in den meisten Mittelstandsprojekten zweistellige Prozentpunkte — entweder direkt durch Reduzierung überflüssiger Lizenzen oder indirekt, indem Sicherheitslücken geschlossen werden, die später teurer würden. Die wichtigsten Fragen sind nicht "Welcher Plan ist der beste?", sondern: Wie viele Nutzer hat der Tenant aktuell und in 24 Monaten? Welche Rollen gibt es? Welche Compliance-Anforderungen kommen auf das Unternehmen zu? Erst aus diesen Antworten ergibt sich die richtige Lizenz.

Weiterführend: Conditional Access Best Practices und M365 Security Hardening für den Mittelstand.