Viele KMU gehen davon aus, mit dem Kauf von Microsoft 365 sei die Sicherheit erledigt. Tatsächlich liefert Microsoft die Werkzeuge – aktivieren und konfigurieren müssen Sie sie selbst. Diese Checkliste zeigt, was in Business Basic, Standard und Premium steckt – und was Sie sofort umsetzen sollten.
Ein KMU in Zürich, 15 Mitarbeitende, Microsoft 365 Business Standard seit drei Jahren im Einsatz. Dann ein Phishing-Angriff: Ein Mitarbeitender klickt auf einen täuschend echten Link, gibt seine Zugangsdaten ein – und innerhalb von Stunden werden von seinem Konto aus Spam-Mails an alle Kontakte verschickt, interne Dokumente abgerufen, eine externe Weiterleitung eingerichtet.
Das Unternehmen hatte Microsoft 365. Es hatte aber nicht konfiguriert, was Microsoft 365 an Schutz bietet. Kein MFA. Keine Sperrung der Legacy-Authentifizierung. Kein Monitoring der Mailbox-Aktivitäten. Die Werkzeuge wären dagewesen – sie wurden nur nie eingeschaltet.
Genau das ist das zentrale Problem: Microsoft liefert mit 365 eine leistungsfähige Sicherheitsplattform. Aber der Schutz ist nicht automatisch aktiv. Er muss konfiguriert werden – und das ist eine Aufgabe, die viele KMU unterschätzen oder schlicht nicht auf dem Radar haben.
Dieser Artikel – Teil 1 einer zweiteiligen Serie – zeigt, welche Sicherheitsfunktionen in welchem Lizenzplan stecken, was Sie sofort konfigurieren sollten und wann ein Wechsel auf Business Premium sinnvoll ist. Teil 2 wird sich mit der Konfiguration von Conditional Access, Intune und Defender for Business im Detail befassen.
Hinweis: Microsoft ändert Lizenzinhalte regelmässig. Die Angaben in diesem Artikel entsprechen dem Stand Juni 2026. Prüfen Sie aktuelle Lizenzdetails direkt bei Microsoft.
Was in jedem Plan steckt – die Basis
Unabhängig davon, ob Sie Microsoft 365 Business Basic, Standard, Premium oder Exchange Online Plan 1 nutzen: Einige Schutzfunktionen sind in allen Plänen enthalten. Das Problem ist nicht ihr Fehlen – sondern dass sie oft nicht aktiviert oder konfiguriert sind.
Exchange Online Protection (EOP): der Basisfilter
EOP ist in allen Microsoft 365 Plänen enthalten und filtert Spam, bekannte Malware und einfache Phishing-Versuche. Es ist die erste Verteidigungslinie für eingehende E-Mails. EOP ist automatisch aktiv – aber die Standardeinstellungen sind nicht immer optimal. Insbesondere Anti-Phishing-Richtlinien und Quarantäne-Einstellungen sollten überprüft und angepasst werden.
Multi-Faktor-Authentifizierung (MFA): die wichtigste Einzelmassnahme
MFA ist in allen Microsoft 365 Plänen verfügbar – und wird vom NCSC Schweiz als eine der wichtigsten Basisschutzmassnahmen für Unternehmen genannt. Trotzdem ist sie in vielen KMU-Tenants nicht erzwungen. Der einfachste Weg: Security Defaults aktivieren. Das erzwingt MFA für alle Nutzer, blockiert Legacy-Authentifizierung und schützt Admin-Konten – mit einem einzigen Schalter im Microsoft Entra Admin Center.
So aktivieren Sie Security Defaults: Microsoft Entra Admin Center → Identität → Übersicht → Eigenschaften → Sicherheitsstandards verwalten → Aktiviert. Nutzen Sie die Microsoft Authenticator App statt SMS-Codes – SMS ist anfällig für SIM-Swapping-Angriffe.
Der Lizenzvergleich: Was welcher Plan wirklich schützt
Die folgende Tabelle zeigt die wichtigsten Sicherheitsfunktionen nach Lizenzplan. Sie macht deutlich, wo die Grenzen von Basic und Standard liegen – und was Business Premium zusätzlich bietet. Besonders relevant für KMU: Viele der kritischen Schutzfunktionen sind nicht in den günstigeren Plänen enthalten – oder müssen erst manuell aktiviert werden.
Sicherheitsfunktionen nach Lizenzplan (Stand 2026)
| Feature | Exchange Online P1 | Business Basic | Business Standard | Business Premium |
|---|---|---|---|---|
| EOP Spam/Malware-Filter | ✓ | ✓ | ✓ | ✓ |
| MFA / Security Defaults | ✓ | ✓ | ✓ | ✓ |
| TLS-Verschlüsselung | ✓ | ✓ | ✓ | ✓ |
| Mailbox-Auditing | eingeschränkt | eingeschränkt | eingeschränkt | erweitert |
| Defender for Office 365 (Safe Links/Attachments, Anti-Phishing) | – | – | – | ✓ |
| Conditional Access | – | – | – | ✓ |
| Intune / Geräteverwaltung | – | – | – | ✓ |
| Defender for Business (Endpoint / EDR) | – | – | – | ✓ |
| Erweiterte Audit-Logs (180 Tage+) | – | – | – | ✓ |
Defender for Office 365 Plan 1 ist auch als Add-on für Business Basic und Standard erhältlich – ohne Wechsel auf Premium. Das lohnt sich besonders, wenn Phishing die grösste Bedrohung ist, aber kein Intune-Bedarf besteht.
MFA in Microsoft 365: Security Defaults vs. Conditional Access
MFA ist die wichtigste Einzelmassnahme – aber nicht alle MFA-Implementierungen sind gleich. Der Unterschied zwischen Security Defaults und Conditional Access ist für KMU entscheidend, wenn es darum geht, welcher Lizenzplan wirklich benötigt wird.
Security Defaults vs. Conditional Access im Vergleich
| Fähigkeit | Basic / Standard / Exchange Online | Business Premium |
|---|---|---|
| MFA aktivierbar | ✓ (via Security Defaults) | ✓ |
| Granulare Steuerung | – nur ‘alles oder nichts’ | ✓ Conditional Access |
| Standortbasierte Regeln | – | ✓ |
| Geräte-/App-Bedingungen | – | ✓ |
| MFA-Methoden gezielt erzwingen | eingeschränkt | ✓ |
| Risikoadaptive Richtlinien (Entra ID P2) | – | optional (Add-on) |
Für die meisten KMU bis 50 Mitarbeitende ohne BYOD-Anforderungen sind Security Defaults ein ausreichender und einfach zu aktivierender Startpunkt. Sobald jedoch mobile Mitarbeitende, externe Geräte oder standortbasierte Zugriffsregeln benötigt werden, ist Conditional Access – und damit Business Premium – die richtige Wahl.
Die Sicherheits-Checkliste: Was Sie sofort umsetzen sollten
Der grösste Teil der Microsoft-365-Härtung kostet kein Geld – nur Konfiguration. Die folgende Checkliste ist in Business Basic, Standard und Exchange Online vollständig umsetzbar. Business Premium ergänzt diese Basis mit zusätzlichen Kontrollmöglichkeiten.
Schnell-Checkliste: Sofort umsetzbar in jedem Plan
- Security Defaults aktiviert (oder MFA anderweitig erzwungen) – Microsoft Entra Admin Center → Identität → Eigenschaften → Sicherheitsstandards verwalten
- Legacy-Authentifizierung blockiert (POP3, IMAP, SMTP-Basic-Auth umgehen MFA komplett)
- Admin-Konten getrennt – separate Konten für Administration, keine Alltagsnutzung mit Admin-Rechten
- Anzahl Global Admins reduziert – maximal 2–3 Personen, alle mit MFA
- Authenticator-App statt SMS – SMS ist anfällig für SIM-Swapping-Angriffe
- Automatische externe Weiterleitung gesperrt – Exchange Admin Center → Anti-Spam → Ausgehende Richtlinie
- Mailbox-Auditing aktiv und überprüft
- Externe Freigaben eingeschränkt – SharePoint Admin Center → Richtlinien → Freigabe
- Conditional Access konfiguriert – standort- und gerätebasierte Zugriffsregeln
- Defender for Office 365 (Safe Links / Safe Attachments) aktiv
- Geräte über Intune verwaltet und Compliance-Richtlinien definiert
- Defender for Business (EDR) auf allen Endgeräten aktiv
- Erweiterte Audit-Logs konfiguriert (180 Tage Aufbewahrung)
Warum Legacy-Authentifizierung so gefährlich ist
Alte Protokolle wie POP3, IMAP und SMTP-Basic-Auth unterstützen keine MFA. Das bedeutet: Selbst wenn MFA aktiviert ist, können Angreifer mit gestohlenen Zugangsdaten über diese Protokolle auf Postfächer zugreifen – ohne den zweiten Faktor. Security Defaults blockiert diese Protokolle automatisch. Ohne Security Defaults müssen sie manuell über Authentifizierungsrichtlinien im Entra Admin Center gesperrt werden. Laut Microsoft werden über 99% der Kontokompromitiierungen durch MFA verhindert – aber nur, wenn Legacy-Authentifizierung ebenfalls blockiert ist.
Externe Weiterleitung: das stille Angriffsmuster
Nach einer Kontoübernahme ist die erste Aktion vieler Angreifer: eine unauffällige automatische Weiterleitung aller eingehenden Mails an eine externe Adresse einrichten. So lesen sie Monate lang mit – unbemerkt, weil die Mails trotzdem ankommen. Unterbinden Sie das systemweit über die Anti-Spam-Richtlinie für ausgehenden Spam im Exchange Admin Center: Automatische Weiterleitung auf ‘Aus’ setzen. Zusätzlich: Regelmässig prüfen, ob in einzelnen Postfächern Weiterleitungsregeln existieren.
Wann lohnt sich der Wechsel auf Business Premium?
Business Premium kostet mehr als Basic oder Standard – aber die enthaltenen Sicherheitsfunktionen rechtfertigen den Aufpreis in vielen Fällen schnell.
- 1
Mitarbeitende mobil oder im Homeoffice arbeiten (Conditional Access)
- 2
Eigene Geräte (BYOD) im Unternehmen zugelassen sind (Intune)
- 3
Sensible Kundendaten verarbeitet werden (DSG-Konformität, erweiterte Logs)
- 4
Phishing und gezielte Angriffe eine reale Bedrohung sind (Defender for Office 365)
- 5
Die Folgekosten eines Sicherheitsvorfalls den Preisunterschied übersteigen würden
Zwischenlösung: Defender for Office 365 Plan 1 als Add-on kaufen. Das gibt Ihnen Safe Links, Safe Attachments und erweiterten Phishing-Schutz – ohne vollständigen Wechsel auf Premium. Sinnvoll, wenn Phishing die grösste Bedrohung ist, aber kein Intune-Bedarf besteht.
Das eigentliche Problem: Konfiguration, nicht Lizenz
Die häufigste Ursache für Sicherheitsvorfälle in Microsoft-365-Umgebungen ist nicht eine fehlende Lizenz – sondern eine fehlende oder falsche Konfiguration. MFA ist nicht aktiviert. Security Defaults wurden nie eingeschaltet. Externe Weiterleitungen sind erlaubt. Admin-Konten werden für den Alltag genutzt. Das ist keine Kritik an den Unternehmen: Microsoft 365 ist komplex, und die sicherheitsrelevanten Einstellungen sind über mehrere Admin-Center verteilt. Ohne jemanden, der sich regelmässig darum kümmert, bleibt vieles auf dem Standardzustand – und der ist nicht immer sicher. Genau hier setzt Managed Microsoft 365 an: nicht nur Lizenzen verwalten, sondern die Konfiguration laufend überwachen, anpassen und dokumentieren – damit der Schutz, der in der Lizenz steckt, auch tatsächlich wirkt.
KPX AG setzt diese Checkliste für Sie automatisch um: Im Rahmen von Managed Microsoft 365 konfigurieren wir Security Defaults, MFA, Anti-Spam-Richtlinien und externe Weiterleitungssperren bei der Einrichtung – und überwachen den Sicherheitsstatus Ihres Tenants laufend. Sie müssen kein einziges Admin-Center selbst öffnen.
Managed Microsoft 365
Checkliste automatisch umgesetzt: MFA, Security Defaults, Anti-Spam, Weiterleitungssperren – eingerichtet und laufend überwacht von KPX AG.
Managed Security / SOC-Monitoring
24/7-Überwachung Ihres Microsoft-365-Tenants: Anmelde-Anomalien, verdächtige Aktivitäten und Sicherheitsvorfälle werden sofort erkannt und gemeldet.
IT-Sicherheit für KMU
Endpoint-Schutz, Firewall, MFA und Sicherheitsrichtlinien – mehrschichtiger Schutz für Ihr Unternehmen.
Unsicher, ob Ihr Microsoft 365 richtig abgesichert ist? Im Rahmen von Managed Microsoft 365 übernehmen wir die korrekte Konfiguration, das laufende Monitoring und – wo nötig – die Erweiterung um Defender und Conditional Access.
Jetzt Ihre individuelle ErstanalyseThemen