Termin buchen

Checkliste · Microsoft 365 für KMU

Cloud-Daten-Checkliste: 10 Punkte für sicheres Microsoft 365

Aus realen M365-Projekten in deutschen Mittelstandsbetrieben. Jeder Punkt mit kurzem Hintergrund und konkretem Handlungsschritt.

Audit-Termin buchen

  1. OneDrive Known-Folder-Move aktivieren

    Warum: Anwender speichern lokal auf dem Desktop oder in "Dokumente". Bei einem Notebook-Defekt sind diese Daten weg.

    Konkret: Per Group Policy oder Intune Known-Folder-Move für Desktop, Dokumente und Bilder erzwingen. So landet alles automatisch in OneDrive.

  2. Multi-Faktor-Authentifizierung (MFA) für alle Konten

    Warum: Mehr als 99 Prozent der erfolgreichen Konto-Übernahmen werden durch MFA verhindert.

    Konkret: MFA per Conditional Access für alle Benutzer aktivieren. Dienste-Accounts ggf. mit App-Passwort. Ausnahmen sauber dokumentieren.

  3. Berechtigungen in SharePoint und Teams aufräumen

    Warum: Historisch gewachsene Sites haben oft "alle dürfen alles" oder externe Mitarbeiter mit immer noch aktivem Vollzugriff.

    Konkret: Pro SharePoint-Site und Teams-Channel klären: Wer ist Owner? Wer braucht Zugriff? Wer hat ihn aktuell? Differenz korrigieren und dokumentieren.

  4. Externe Freigaben kontrollieren

    Warum: Per Default können Mitarbeiter Dokumente an externe Adressen freigeben – manchmal versehentlich an Privat-Postfächer oder Wettbewerber.

    Konkret: Sharing-Policy auf "nur an verifizierte Domains" oder "nur intern" setzen. Wenn extern nötig, mit Ablaufdatum und Passwortschutz.

  5. Backup für Microsoft 365 einrichten – wirklich

    Warum: Microsoft macht kein Langzeit-Backup. Gelöschte E-Mails, OneDrive-Inhalte und SharePoint-Dateien sind nach 30 bis 93 Tagen unwiderruflich weg.

    Konkret: Drittanbieter-Backup (z. B. Veeam, Synology Active Backup, AvePoint) für Mail, OneDrive, SharePoint und Teams einrichten. Restore-Test mindestens halbjährlich.

  6. Geräte standardisieren und absichern

    Warum: Wenn jeder Arbeitsplatz anders eingerichtet ist, kostet jeder Geräte-Tausch Tage und jeder Support-Fall extra Zeit.

    Konkret: Ein Standard-Image (Intune oder Autopilot) mit BitLocker, MFA, OneDrive-Sync und Standard-Apps. Neue Mitarbeitende sind dann in unter einer Stunde startklar.

  7. Offboarding-Prozess sauber definieren

    Warum: Wenn Mitarbeitende gehen, bleiben Lizenzen, Mailboxen, OneDrive-Daten und SharePoint-Berechtigungen oft monatelang aktiv.

    Konkret: Checkliste pro ausscheidendem Konto: Daten sichern, Mailbox auf Vorgesetzte umleiten, OneDrive auf Nachfolger übertragen, Lizenz freigeben, Konto deaktivieren.

  8. Schatten-IT identifizieren

    Warum: Mitarbeiter weichen auf Dropbox, WeTransfer oder private E-Mail aus, wenn die offiziellen Wege zu umständlich sind.

    Konkret: M365-Audit-Logs prüfen oder kurze Mitarbeiter-Befragung. Hürden in der offiziellen Lösung beseitigen, statt nur die Nutzung der Schatten-IT zu verbieten.

  9. Datenresidenz und Auftragsverarbeitung dokumentieren

    Warum: DSGVO verlangt Klarheit, wo personenbezogene Daten gespeichert werden und mit welchen Anbietern Verträge bestehen.

    Konkret: Tenant-Region prüfen (Datenresidenz), Microsoft-AVV im Compliance-Center bestätigen, Liste aller eingesetzten Dienste mit AVV pflegen.

  10. Wiederkehrende Reviews einplanen

    Warum: Berechtigungen, externe Freigaben und Lizenzen veralten – ohne festen Review-Termin merkt es niemand.

    Konkret: Zwei Termine pro Jahr im Kalender: Berechtigungs-Review (intern + extern), Lizenz-Audit (wer braucht welche Lizenz, wo lassen sich Lizenzen einsparen).