Vertraue nicht blind auf Standardwerte. Nutze das Prinzip „Privacy by Design“, um deine Umgebung DSGVO-konform zu gestalten.

Durch datensparsame Voreinstellungen – wie die Pseudonymisierung von Nutzernamen in Berichten – und das Deaktivieren unnötiger „Verbundener Erfahrungen“ minimierst du aktiv Risiken.

Wer darf was sehen? Definiere granulare Zugriffsrechte, damit sensible Daten geschützt bleiben.

Aktiviere zudem die Überwachungsprotokolle (Audit Logs). Sie machen Zugriffe nachvollziehbar und sind im Ernstfall dein wichtigster Beweis für die Einhaltung der Compliance-Vorgaben gegenüber Prüfern.

Dein Organisationsprofil ist das rechtliche Impressum deines Mandanten. Halte Stammdaten und technische Kontakte (z. B. für Datenschutzanfragen) stets aktuell.

Das sichert nicht nur die Erreichbarkeit durch Microsoft bei Vorfällen, sondern ist Teil deiner Sorgfaltspflicht gemäß DSGVO.

Die Identität ist die neue Firewall. Entra ID steuert, wer überhaupt durch die Tür darf.

Zusammenarbeit zwischen Mandanten: Sichere B2B-Szenarien. Nutze Cross-Tenant Access Settings, um genau zu steuern, mit welchen externen Firmen ihr Daten tauscht.

Verzeichnissynchronisierung: Wenn du Hybrid fährst (Entra Connect), achte auf Datensparsamkeit. Synchronisiere nur die Attribute und User, die wirklich in die Cloud müssen.

Datenqualität: Veraltete Accounts sind ein Sicherheitsrisiko. Regelmäßige Access Reviews sind Pflicht.

Das Zentrum der Zusammenarbeit – und oft der größte Daten-Topf.

Team- & Kanalverwaltung: Verhindere Wildwuchs. Definiere klar, wer neue Teams erstellen darf (Lifecycle Management), damit du nicht tausende verwaiste Datengräber verwalten musst.

Gastzugang: Zusammenarbeit ja, aber kontrolliert. Stelle sicher, dass Gäste nur Zugriff auf das Nötigste haben und MFA nutzen müssen.

Mitarbeiterschulung: Technik ist nur die halbe Miete. Sensibilisiere deine Nutzer für den Umgang mit Chats, Dateifreigaben und Aufzeichnungen.

Hier liegen deine Dokumente. Die Verwaltung der Berechtigungen ist hier der Schlüssel.

Externe Freigabe: Das größte Risiko. Beschränke das "Teilen mit jedem" (Anonymous Links) und setze Ablaufdaten für externe Links.

Sicherheitsmaßnahmen: Nutze Data Loss Prevention (DLP), um das versehentliche Teilen von Kreditkartendaten oder Personalnummern zu blockieren.

Berechtigungs-Check: Prüfe regelmäßig vererbte Berechtigungen auf Bibliotheken. "Weniger ist mehr."

Die KI verstärkt alles – auch deine Sicherheitslücken. Copilot findet alles, worauf der Nutzer Zugriff hat (Oversharing-Problem).

Datenzugriff kontrollieren: Bevor du Copilot einschaltest, musst du deine Berechtigungen aufräumen (Just Enough Access). Copilot respektiert bestehende Rechte – sind diese zu weit gefasst, sieht die KI zu viel.

Sicherheitsmaßnahmen: Nutze Sensitivity Labels (Vertraulichkeitsbezeichnungen). Ein als "Streng Vertraulich" markiertes Dokument wird von Copilot nicht für Antworten genutzt.

Schutz: Verhindere Copy-Paste-Fehler durch DLP in den Copilot-Antworten.

Die Kommandozentrale für deine Compliance. Hier verlässt du die Ebene der einzelnen Apps und legst ein schützendes Netz über deine gesamten Daten.

Information Protection: Kenne deine Daten. Nutze Sensitivity Labels (Vertraulichkeitsbezeichnungen), um Dokumente zu klassifizieren und – wenn nötig – automatisch zu verschlüsseln, egal wo sie liegen.

Audit & eDiscovery: Wer hat was wann getan? Stelle sicher, dass Audit-Logs lange genug gespeichert werden, um im Fall einer Datenpanne oder eines Rechtsstreits beweis- und auskunftsfähig zu bleiben.

Totgesagte leben länger. Auch in Zeiten von Teams bleibt die E-Mail das Einfallstor Nummer 1 für Ransomware und Phishing-Angriffe.

Schutz vor Angriffen: Härte deine Verteidigung. Konfiguriere Anti-Phishing- und Anti-Malware-Richtlinien strikt, um Nutzer vor bösartigen Anhängen und gefälschten Chef-Mails zu schützen.

Authentifizierung (SPF/DKIM/DMARC): Kein Versand ohne Ausweis. Schütze deine Domain-Reputation vor Missbrauch (Spoofing) und sorge dafür, dass deine legitimen Mails nicht im Spam der Kunden landen.

Veraltete Protokolle: Schließe die Hintertüren. Deaktiviere Legacy Authentication (IMAP/POP) global, um Brute-Force-Attacken auf Passwörter ins Leere laufen zu lassen.