Das Wichtigste in Kürze
In den Ferien lässt die Aufmerksamkeit gerne nach. So kurz vor der Abreise tut eine erneute Sicherheitsschulung gut, ganz besonders, wenn Notebook und Geschäftshandy ebenfalls im Koffer landen. Wer jetzt konzentriert seine Sicherheit überprüft, kann beruhigt am Strand liegen. Mit wenig Aufwand ist eine Grundsicherheit möglich, die viele Angriffe verhindert oder im schlimmsten Fall für einen glimpflichen Ausfall sorgt.
Sicherheitstipps für Admins
Zugriffe sind sicher zu regeln: Multifaktor-Authentifizierung (MFA) und Conditional Access sind für alle Rollen zwingend. Ausnahmslos - so finden Angreifer keine Lücken. Ausserdem ist jetzt die richtige Zeit, auf Passkeys umzusteigen. Das Microsoft-Ökosystem unterstützt diese passwortlose Technologie, die Phishing ins Leere laufen lässt.
Conditional Access ist das Mittel der Wahl, wenn Mitarbeitende oft unterwegs sind. So lässt sich genau bestimmen, von wo aus der Zugriff zu Unternehmensservices erlaubt ist. Aus den Ferienländern eben nicht. Der risikobasierte Zugriff blockiert Anfragen, wenn sie mit der festgelegten Policy nicht übereinstimmen.
Generell durchforsten Administratoren bei dieser Gelegenheit die Nutzerkonten und schränken die Rechte ein. Weniger ist sicherer. Solche Access Reviews sollten Sie alle paar Monate durchführen. Sogenannte «Break-Glass»-Konten sind nur für Notfälle gedacht. Sie sind stark geschützt und überwacht. Privileged Identity Management sorgt für zeitlich limitierte Zugriffe entsprechend der Rollen und deren Sicherheitsfreigabe - und zieht zu vielen Global Admin Accounts den imaginären Stecker.
Ziehen Sie die Spezialisten von Baggenstos zu Rate, um die M365-Sicherheitseinstellung an Ihre Organisation anzupassen.
«Sicherheit ist auch eine Frage der Geschäftsprozesse und der Produktivität», sagt Sven Heeb von Baggenstos. «Es braucht eine optimale Balance: Wir kennen die nötigen Einstellungen aus der KMU-Praxis.»
Sicherheitstipps für Nutzende
Es wird immer schwieriger, Phishing-Mails zu erkennen. Sie werden meist von KIs täuschend echt erstellt und wellenartig orchestriert. Technisch sind Mitarbeitende mit einer gut eingestellten M365-Umgebung gut geschützt. Menschlich ist es, E-Mails nur flüchtig zu lesen und auf Reizworte zu reagieren: «Sofort handeln», «Rückzahlung» oder «Strafanzeige». Nach wie vor gilt die Regel: Lesen, Denken, Klicken. Baut das E-Mail Druck auf, appelliert es an Gefühle oder enthält es Drohungen, ist es mit Sicherheit ein Phishing-Mail. Anfragen, die nicht von einem selbst ausgelöst worden sind, sollte man ignorieren bzw. den Vorgesetzten melden. Und natürlich: Öffnen Sie keine unbekannten Anhänge und Links in E-Mails.
Unternehmen, die ihren Datenschutz mit Microsoft Purview betreiben, sind gut gegen den versehentlichen Abfluss wichtiger Daten geschützt. Dazu gehört auch, Daten nur nach strikten Regeln zu teilen - lieber nicht als offenen Link und ohne zur Bearbeitung einzuladen.
Im Ferienmodus - in fremden Netzwerken - gilt es erst recht, die Risiken auf einem Minimum zu halten. Bearbeiten Sie in WLAN keine sensiblen Daten, nutzen Sie die VPN-Software der Firma. Wenn Sie schon arbeiten müssen: Kappen Sie die mobile Datenverbindung und öffnen Sie diese nur unter sicheren Bedingungen. Wird das Gerät gestohlen oder geht es verloren, ist der Verlust unbedingt zuerst der IT-Abteilung zu melden. Sie wird das Gerät aus der Ferne löschen und alle Konten sperren. Wenn Sie danach an Ihren Arbeitsplatz zurückkehren, haben Sie dann die wichtigste Sicherheitsregel für die Ferien überhaupt verinnerlicht: Alle digitalen Geräte abschalten und entspannen.
KMU-Koffer für Sicherheit
- MFA und Passkeys für alle Konten als Standard einführen
- Globale Admin-Konten vermeiden: Break-Glass-Konten einrichten und scharf absichern
- Conditional Access aktiv nutzen und Risiken minimieren: Legacy Auth sperren, Risiko-Sign-ins blockieren
- Phishing-Standard im Betrieb: «Lesen, Denken, Klicken»; verdächtige Mails konsequent melden, keine MFA-Pushes bestätigen, die nicht selbst ausgelöst worden sind
- Daten sauber klassifizieren und teilen: OneDrive/SharePoint-Links nur an definierte Personen, Ablaufdatum setzen, Bearbeitung nur wenn nötig
- Notfallroutine vor den Ferien: Geräteverlust-Prozess klar (Kontakt, Sperren, Remote-Wipe), Test einmal pro Jahr
