Deutlicher Nachholbedarf (nicht nur) im Bereich der Microsoft-365-Security
IT-Verantwortliche sind sich der Gefahr nicht hinlänglich bewusst. Großzügig gewährte Privilegien, Fehlkonfigurationen und fehlende MFA erleichtern Angreifern die Arbeit und sorgen für maximalen Schaden. Und das betrifft nicht nur Microsoft – es ist ein generelles SaaS-Problem.
Laut einem CoreView-Report (The State of Microsoft 365 Security 2025) gehen 49 Prozent der IT-Verantwortlichen davon aus, dass Microsoft automatisch Backups ihrer M365-Tenant-Konfigurationen erstellt – ein gefährlicher Trugschluss.
Für die Studie wurden IT- und Security-Experten aus den USA, Kanada, Großbritannien, Australien, Frankreich und Deutschland befragt. 68 Prozent der Befragten sehen sich täglich Cyberangriffen ausgesetzt.
Und obwohl 99,9 Prozent der Angriffe auf Konten ohne Multi-Faktor-Authentifizierung (MFA) erfolgen, setzen es nur 41 Prozent der Unternehmen MFA ein. Mehr als die Hälfte der IT-Verantwortlichen (51%) gaben an, über 250 Entra-Anwendungen zu betreiben, bei denen Privilegien und Lese-/Schreibrechte zu weit gefasst sind.
Die Konsequenz ist nicht nur ein unverantwortlich hohes Sicherheitsrisiko. Aufgrund der Fahrlässigkeit erhöht sich auch der Blast Radius im Falle eines Vorfalls.
„In einer Welt, in der jeder zweite IT-Verantwortliche fälschlicherweise glaubt, dass seine Konfigurationen von Microsoft gesichert werden, und zwei Drittel der Unternehmen permanent Cyber-Bedrohungen ausgesetzt sind, ist es von entscheidender Bedeutung, die Sicherheitsstrategie zu überdenken“, sagt Simon Azzopardi, CEO von CoreView.
Die Ergebnisse des CoreView-Reports decken sich mit Erkenntnissen aus dem 2025 State of SaaS Resilience Report von HYCU. Es wird offensichtlich, dass falsche Vorstellungen über Datensicherung und ein mangelndes Selbstverständnis – Organisationen gehen zu oft davon aus, sie würden über effektive Backup-Lösungen verfügen – ein generelles Problem in Bezug auf SaaS- und Cloud-Dienste ist.
Die Crux mit der geteilten Verantwortung (Shared Responsibility)
SaaS- und Public-Cloud-Anbieter wenden das Modell der geteilten Verantwortung an. Der Provider sorgt für die Infrastruktur und kümmert sich um deren Sicherheit und Verfügbarkeit. Der Kunde ist für die Integrität, den Schutz und die Wiederherstellung seiner Daten verantwortlich.
Die genaue Aufteilung variiert je nach verwendetem Service-Modell:
- Bei IaaS (Infrastructure-as-a-Service) hat der Kunde die größte Verantwortung. Er ist für die Verwaltung – und Sicherheit – von Betriebssystemen, Anwendungen und Daten selbst verantwortlich.
- Bei PaaS (Platform-as-a-Service) ist der Anbieter für die Infrastruktur und die Plattform (z. B. Betriebssystem, Runtime) zuständig. Anwendungen und Daten liegen in der Verantwortung des Kunden.
- Bei SaaS (Software-as-a-Service) übernimmt der Anbieter die größte Verantwortung. Er verwaltet fast den gesamten Stack bis zur Anwendung. Für die Sicherheit und Integrität der Daten muss nach wie vor in der Kunde selbst sorgen.
Obwohl der CSP viel übernimmt, behält der Kunde in allen Modellen die Verantwortung für die Nutzung der Anwendung und seine Daten innerhalb der Anwendung. Er kümmert sich um die Klassifizierung und den Schutz der Daten und sorgt für eine funktionierende Datensicherung – falls sie manipuliert oder versehentlich gelöscht werden. Auch die Identitäts- und Zugriffsverwaltung (IAM/PAM) liegen in der Verantwortung des Kunden. Er muss regeln, wer auf die Anwendung zugreifen darf und für die korrekte und sichere Konfiguration der Anwendungseinstellungen und Sicherheitsrichtlinien sorgen. Außerdem muss er für den Schutz von Endgeräten (Laptops, Smartphones) der Nutzer, die auf den SaaS-Dienst zugreifen, sowie der Netzwerke, über die die Zugriffe erfolgen.
Mitwirkungspflicht für Kunden
Zwar bieten mittlerweile viele Plattformbetreiber entsprechende Sicherheitsmaßnahmen an. Man muss jedoch aktiv davon Gebrauch machen und sollte zudem wissen, was man tut. Die folgenden Best Practices bieten einen strukturierten Leitfaden für die Implementierung zentraler SaaS-Sicherheitsrichtlinien:
Zero Trust und Multi-Faktor-Authentifizierung (MFA/2FA) in Verbindung mit starken Kennwortrichtlinien sind für alle Benutzerkonten, insbesondere für Administratoren, obligatorisch. Eine Verbindung der SaaS-Plattform mit dem zentralen Identitätsdienst des Unternehmens, wie etwa Azure AD oder Okta, erleichtert die Verwaltung und Deaktivierung von Konten. Jedem Benutzer werden nur die Berechtigungen zugewiesen, die zur Erfüllung seiner Aufgaben unbedingt notwendig sind (Prinzip der minimalen Rechtevergabe, auch als Need-to-Know-Prinzip bekannt).
Die Freigabeeinstellungen für Dokumente sollten restriktiv sein: Standardeinstellungen für Zugriffe wie „Jeder mit dem Link“ sollten auf „intern“ oder „spezifische Benutzer“ geändert werden. Gastkonten und externe Freigaben müssen regelmäßig auf ihre Notwendigkeit geprüft und ggf. widerrufen werden.
Sensible Daten und personenbezogene Informationen (PII) müssen identifiziert und entsprechend klassifiziert werden. Für diese Daten sollten zusätzliche Schutzmaßnahmen wie Verschlüsselung angewendet werden. Diese Informationen sollten auch bevorzugt in Rechenzentren gespeichert werden, die den gesetzlichen Anforderungen, beispielsweise der DSGVO, entsprechen.
Die Sicherheitseinstellungen der SaaS-Anwendungen sollten regelmäßig überprüft und angepasst werden. Unnötige Funktionen und Services sind zu deaktivieren.
Alle Benutzeraktivitäten, Administratoränderungen und Zugriffsversuche sollten überwacht, protokolliert und kontinuierlich auf verdächtige Muster überprüft werden. Für komplexe Umgebungen empfiehlt sich der Einsatz von Cloud Security Posture Management (CSPM).
Oft hat die IT-Abteilung keine Kontrolle über SaaS-Anwendungen oder Cloud-Dienste. Die Folge ist eine drastische Zunahme der Angriffsfläche durch Fragmentierung und Blind Spots. SaaS, Cloud-Dienste, Schnittstellen (API) oder KI-Agenten gehören ins Sicherheitskonzept.
Die Mitarbeiter müssen regelmäßig im sicheren Umgang mit Unternehmensdaten in SaaS-Umgebungen geschult werden. Klare Richtlinien für die Nutzung von SaaS-Anwendungen und das Speichern von Daten helfen den Anwendern. Das Melden von Sicherheitsvorfällen sollte in der Unternehmenskultur verankert sein.
Besonders wichtig ist es, regelmäßig Datensicherungen mit einem für SaaS-Backups geeigneten Tool zu erstellen. Kritisch sind regelmäßige Tests der Backup- und Wiederherstellungsfunktionen sowie der Notfallpläne. Werden alle relevanten Daten gesichert? Sind die Daten wiederherstellbar? Wie schnell sind sie wiederherstellbar? Weiß jeder, was im Notfall zu tun ist und wer wofür zuständig ist?
Fazit
Unternehmen, die Technik, Organisation und Mitarbeitende gleichermaßen berücksichtigen, schaffen eine Grundlage für sichere SaaS-Umgebungen und stärken ihre Widerstandsfähigkeit nachhaltig.