Die aktuelle Studie „State of Microsoft 365 Security 2025“ offenbart eine gefährliche Fehleinschätzung vieler Unternehmen. Mehr als 60 Prozent der befragten IT- und Security-Verantwortlichen stufen ihre Microsoft-365-Sicherheitsmaßnahmen als „fortgeschritten“ ein. Doch die Realität sieht anders aus: Über die Hälfte dieser Organisationen hat bereits Account-Compromise-Angriffe erlebt. Dieses Missverhältnis zwischen Selbstwahrnehmung und tatsächlichem Risiko ist alarmierend und zeigt, dass Sicherheit ein kontinuierlicher Prozess ist.
Was bedeuten diese falschen Annahmen für die Unternehmen? Selbstüberschätzung ist ein großes Risiko. Sicherheit muss regelmäßig überprüft und angepasst werden. Wir erklären wo laut Studie die größten Risiken liegen und wie man diese auflösen kann.
Die Studie zeigt, dass über 70 % der Sicherheitsvorfälle in Microsoft 365 auf Fehlkonfigurationen zurückzuführen sind. Häufige Probleme sind nicht aktivierte Multi-Faktor-Authentifizierung (MFA) für alle Benutzer, unkontrollierte Admin-Rechte und fehlende Richtlinien für externe Freigaben. Besonders kritisch: Viele Unternehmen führen zwar einmalige Sicherheits-Checks durch, aber keine kontinuierliche Überwachung. Warum ist das gefährlich? Angreifer nutzen genau diese Lücken, um sich Zugriff zu verschaffen. Oft bleibt das Eindringen über Wochen unbemerkt.
Der Microsoft Digital Defense Report 2025 bestätigt diese Erkenntnis: Demnach gelingt Angreifern der Einstieg zu 80% über Anmelde- und Zugriffsdaten – 97% der 80% sind über Password Sprays und Brute Force Angriffe. Diese ließen sich zu über eine stringente Multi-Faktor-Authentifizierung (MFA) verhindern.
Die Studie zeigt auch, dass nur 38 % der Unternehmen einen vollständigen Zero-Trust-Ansatz implementiert haben. Das bedeutet: Die Mehrheit vertraut noch immer auf veraltete Sicherheitsmodelle, die auf „Perimeter-Schutz“ setzen. Doch in einer Cloud-Welt mit mobilen Arbeitsplätzen und hybriden Umgebungen ist das nicht mehr ausreichend.
Warum ist Zero Trust entscheidend? Angriffe erfolgen heute oft über kompromittierte Identitäten. Ohne strikte Zugriffskontrollen und kontinuierliche Überprüfung können Angreifer sich lateral bewegen und große Schäden anrichten.
Weil wir diese Problematiken kennen, helfen wir unseren Kunden Schritt für Schritt ihre IT in Richtung Zero Trust zu transformieren – mit MFA für alle, Least-Privilege-Prinzipien, automatisierten Richtlinien und kontinuierlichem Monitoring. So minimieren wir die Angriffsfläche und erhöhen die Sicherheit der gesamten M365-Umgebung.
Die Studie weist auch noch auf eine andere Sicherheitslücke hin: Microsoft 365 bietet keine nativen, automatischen Backups. Gelöschte oder kompromittierte Daten können oft nicht wiederhergestellt werden. Das birgt ein Risiko, das viele Unternehmen unterschätzen und das durch die NIS2-Richtline an zusätzlicher Bedeutung bekommt. Laut Studie haben über 40 % der befragten Unternehmen bereits Datenverluste erlitten, weil sie sich auf die Standardfunktionen verlassen haben.
Was bedeutet das? Ohne Backup sind Unternehmen im Ernstfall aufwendigen manuellen Prozessen oder sogar Datenverlust ausgesetzt. Ein beachtliches Sicherheitsrisiko, dem man aktiv gegenarbeiten muss und für das jedes Unternehmen, das M365 inutzt, eine Lösung habenmuss.
Wir haben für unsere Kunden deshalb gemeinsam mit Acronis einen M365 Backup & Recovery Service entwickelt, der alle relevanten Daten aus Exchange, SharePoint, Teams und OneDrive revisionssicher und DSGVO-konform sichert. So ist ein Datenverlustnahezu ausgeschlossen und die Wiederherstellung ist im Ernstfall in kürzester Zeit möglich.
Diese reale Risiken passieren täglich! Wer sich allein auf die Standardfunktionen von Microsoft 365 verlässt, geht ein hohes Wagnis ein. Vor allem, da sich diese ständig weiterentwickeln:
Mit über 1000 Changes pro Jahr verändert Microsoft seine Dienste ununterbrochen. Dadurch entstehen viele Mehrwerte und Chancen, aber auch Risiken, die erkannt und proaktiv verhindert werden müssen. Die Masse an Updates kann für die interne IT also schnell zur Last werden, wenn Potenziale ungenutzt und Gefahren unerkannt bleiben. Mit unserem M365 Evergreen Service lösen wir dieses Spannungsfeld auf: Kunden erhalten gefiltert, übersetzt und zusammengefasst genau die Changes, die für ihr Unternehmen relevant sind. Außerdemnehmen wir eine vierdimensionale Bewertung vor, auf dessen Basis wir konkrete Handlungsempfehlungen in Richtung Technologie, User, Security und Compliance geben – immer individuell auf die speziellen Anforderungen des Kunden abgestimmt.
Ob in dieser oder anderer Form: ein Evergreen Ansatz kann helfen, proaktiv Risiken zu erkennen und aufzulösen, sodass keine neuen Sicherheitslücken entstehen.
Die Studie macht deutlich: Unternehmen müssen ihre Sicherheitsstrategie neu denken. Denn Cybercrime ist ein Milliardengeschäft. Kriminelle handeln längst wie Unternehmen mit klaren KPIs, Spezialisierung, Supply Chains und vor allem wirtschaftlicher Logik. Je einfacher ein Angriff ist, desto höher ist der ROI für den Angreifer. Wer sich nicht umfangreich vor solchen Attacken schützt, wird wahrscheinlicher zum Ziel. Evergreen, Backup und Zero Trust sind keine optionalen Extras mehr, sondern die Grundlage für eine sichere und zukunftsfähige M365-Umgebung.
Jetzt handeln: Vereinbaren Sie einen M365 Security Check und erfahren Sie, wie sicher Ihre Microsoft 365-Umgebung wirklich ist.
Quellen:
Wir sind für Sie da.
Bei welchem Projekt oder welcher Herausforderung dürfen wir Sie unterstützen?
Wir sind gerne für Sie da.
HEIKO WESSELS
Wollen Sie immer up2date sein? Dann melden Sie sich jetzt zu unserem Newsletter an
Bleiben Sie auf dem Laufenden. Wir informieren Sie regelmäßig über aktuelle Trends und technologische Neuerungen sowie geplante Webinare und Events. Sie erhalten Einblick in interessante Kundenprojekte und werfen einen Blick hinter die Kulissen. Melden Sie sich jetzt an.
