Microsoft 365 Security · Entra ID · Bremen
Microsoft 365 richtig abgesichert – von der Migration bis zum sicheren Betrieb. Strukturierte Migration & Härtung Ihres Tenants.Copilot-Readiness, Entra ID & Data Loss Prevention.
Viele Mittelständler nutzen Microsoft 365 nur als teuren E-Mail-Ersatz – oft ohne funktionierendes Sicherheitskonzept. Ich migriere Ihre Daten verlustfrei in die Cloud und konfiguriere Microsoft 365 als hochsicheres Ökosystem: Mit Conditional Access (Zero-Trust), Schutz vor Datenabfluss (Purview DLP) und einer sauberen Berechtigungsstruktur, damit KI (Copilot) nicht plötzlich Vorstands-Mails für alle sichtbar macht.
Kostenfreies Erstgespräch (30 Minuten)
Wie verwundbar sind Ihre Cloud-Daten?
Vier geschäftskritische Fragen für Geschäftsführer und IT-Leiter. Wenn Sie hier zögern, ist Ihr Tenant ein offenes Tor für Datenabfluss und Account-Übernahmen.
Sind Sie sicher, dass nur Mitarbeiter auf Ihre Firmen-E-Mails zugreifen?
Ein simples Passwort reicht nicht mehr – und auch MFA allein nicht. Modernes Phishing (AiTM) nutzt Proxy-Seiten, die die MFA-Bestätigung in Echtzeit weiterleiten und dann das Session-Token abgreifen. Der Angreifer ist drin, bevor Ihr Netzwerk etwas merkt. Nur Conditional Access mit Device-Compliance blockiert das zuverlässig.
Wissen Sie, wer externen Zugriff auf vertrauliche SharePoint-Dokumente hat?
Das Teilen von Links ist einfach, das Entziehen wird oft vergessen. Ohne saubere SharePoint-Governance (Sharing-Einschränkungen, ablaufende Links, Access Reviews) und Content-Schutz (Purview Sensitivity Labels) verlieren Sie den Überblick, wer welche Daten lesen kann – und wann das aufhört.
Sind Sie bereit für M365 Copilot, oder liest die KI bald HR-Daten aus?
Copilot findet alles, worauf ein Nutzer theoretisch Zugriff hat. In historisch gewachsenen Tenants mit übermäßig gesetzten Berechtigungen kann die KI-Einführung dazu führen, dass vertrauliche Finanz- oder Personaldaten plötzlich für alle Mitarbeiter durchsuchbar werden.
Verlassen Sie sich darauf, dass Microsoft Ihre Cloud-Daten sichert?
Microsoft garantiert die Verfügbarkeit der Server (SLA), bietet aber nach Ablauf kurzer Papierkorb-Fristen keinen granularen Backup-Service (Shared Responsibility). Ein externes Cloud-Backup ist zwingend erforderlich.
Ein unkonfigurierter Tenant ist ein Haftungsrisiko
Die Standard-Einstellungen („Next, Next, Finish“) von Microsoft 365 sind auf maximale Benutzerfreundlichkeit ausgelegt – nicht auf Sicherheit. Die Konsequenzen spüren Sie erst im Schadensfall.
DSGVO-Verstöße & Datenabfluss
Wenn Mitarbeiter sensible Kundendaten unverschlüsselt auf private Geräte laden oder via Freigabe-Link verteilen, drohen empfindliche Bußgelder. Ohne technische Leitplanken (DLP) ist Datenschutz reine Glückssache.
Kompromittierung von Geschäftskonten (BEC)
Business Email Compromise ist die lukrativste Angriffsform. Kriminelle übernehmen das Postfach des Geschäftsführers, lesen monatelang mit und leiten dann Zahlungsströme gefälschter Rechnungen um.
Compliance & Cyberversicherung
Versicherer fordern als absolute Basis eine hart erzwungene Multi-Faktor-Authentifizierung (MFA) und den Nachweis von externen Cloud-Backups. Fehlen diese Maßnahmen, erlischt Ihr Versicherungsschutz.
Wie ich Microsoft 365 als Sicherheitsbollwerk aufbaue
Ich überführe M365 von einer reinen Software-Sammlung in ein streng kontrolliertes Zero-Trust-Ökosystem.
Identitätsschutz & Zero-Trust
Entra ID · Conditional Access
Ich binde den Login an harte Bedingungen: Zugriff auf M365 gibt es nur, wenn das Risiko niedrig ist, MFA erbracht wurde und (optional) das Firmengerät als "Compliant" (Intune) markiert ist. Das blockiert Session-Diebstahl effektiv.
Erweiterter Schutz vor Phishing & Malware
Defender for Office 365 · Safe Links
Standard-Spamfilter genügen nicht. Ich implementiere Defender for Office 365: Safe Attachments analysiert Anhänge in einer isolierten Sandbox, bevor sie die Inbox erreichen – schädliche Anhänge werden blockiert, bevor ein Mitarbeiter sie öffnen kann. Safe Links prüft URLs beim Klick in Echtzeit auf aktuelle Bedrohungsdaten.
Informationsschutz & DLP
Microsoft Purview · Sensitivity Labels
Sensible Daten (z.B. "Streng Vertraulich") werden klassifiziert und verschlüsselt. So bleibt ein Dokument selbst dann unlesbar, wenn es versehentlich an den falschen Empfänger gemailt wird.
Copilot Readiness (Berechtigungs-Audit)
SharePoint Governance · Access Reviews
Bevor Sie KI aktivieren, räumen wir auf. Ich auditiere SharePoint-Berechtigungen und entferne verwaiste externe Links, damit Copilot nur exakt das findet, was für den jeweiligen Nutzer bestimmt ist.
Mobile Geräteverwaltung (MDM/MAM)
Intune · Bring Your Own Device (BYOD)
Das Endgerät ist heute das größte Einfallstor. Wir verwalten Windows-Clients und Smartphones zentral via Intune. Dank App Protection Policies (MAM) trennen wir Firmendaten in M365-Apps von privaten Apps – Datentransfer zwischen verwalteten und nicht verwalteten Apps wird blockiert, ohne das private Gerät vollständig zu kontrollieren.
Sichere Migration ohne Downtime
Exchange Online · Cutover/Hybrid
Ich migriere Ihren On-Premises-Exchange verlustfrei in die Cloud – inklusive E-Mails, Kalender und Kontakten. Ältere Mail-Systeme oder Google Workspace migriere ich mit passenden Werkzeugen, die alle Daten vollständig übertragen. Inklusive SPF/DKIM/DMARC und Fallback-Plänen.
Tiefes Engineering in der Microsoft Cloud
M365-Sicherheit klickt man nicht im Admin-Center zusammen. Ich konfiguriere Ihr System nach etablierten Enterprise-Sicherheits-Baselines (CIS / Microsoft Best Practices) und nutze fortgeschrittene Automatisierung.
Mein Microsoft 365 Stack
Entra ID Identity Protection
Wir nutzen risikobasierte Richtlinien. Wenn Entra ID "unmögliche Reisezeiten" erkennt (z.B. Login aus Bremen und 5 Minuten später aus Asien), wird die Session hart terminiert und ein Passwort-Reset erzwungen.
Data Loss Prevention (DLP)
Ich baue Purview DLP-Richtlinien, die den unverschlüsselten Versand von Kreditkartennummern, IBANs oder spezifischen Projekt-IDs auf Transport-Ebene blockieren.
Exchange Online Härtung
Strikte Durchsetzung von Modern Authentication und Blockierung riskanter Legacy-Protokolle via Conditional Access. Saubere Konfiguration von SPF, DKIM und DMARC (Strict-Modus), damit Ihre E-Mails garantiert zugestellt werden.
Automatisierung & Graph API
Richtlinien rolle ich nicht per Hand aus. Ich nutze standardisierte PowerShell-Skripte und die Microsoft Graph API, um reproduzierbare und dokumentierte Konfigurationsstände zu gewährleisten.
Ich bin kein Microsoft-Lizenzverkäufer. Ich verdiene nicht an CSP-Margen. Meine Aufgabe ist es, aus Ihren bestehenden Lizenzen (z.B. Business Premium oder E3/E5) das maximale Sicherheitsniveau herauszuholen.
Strukturiertes Deployment, kein Blindflug
Egal ob Neumigration oder Tenant-Härtung: Änderungen in der Cloud erfordern Präzision, da sie sofort alle Nutzer betreffen. Mein Prozess garantiert Planbarkeit.
Tenant-Security-Audit & Secure Score
Analyse des Ist-Zustands: Wir prüfen den Microsoft Secure Score, identifizieren veraltete Protokolle, offene Freigaben und unnötige Lizenzen. Sie erhalten einen priorisierten Bericht: Was ist kritisch, was kann warten, was lässt sich sofort aus bestehenden Lizenzen aktivieren.
Design der Security Baseline
Entwurf des Conditional-Access-Regelwerks und der Device-Compliance-Vorgaben. Wichtig: Wir definieren ein "Break-Glass"-Konzept (Notfall-Admin), damit Sie sich niemals selbst aus dem Tenant aussperren.
Staged Rollout & Migration
Security-Features und Migrationen werden phasenweise auf Pilot-User angewendet. Richtlinien laufen zunächst im "Report-Only"-Modus, um die Auswirkungen auf die Nutzererfahrung zu validieren.
Dokumentation & Übergabe
Sie erhalten die vollständige Tenant-Dokumentation. Ich richte ein Cloud-to-Cloud Backup bei einem Drittanbieter Ihrer Wahl ein – externes Backup ist eine der Grundvoraussetzungen für Cyberversicherung und Compliance.
Unabhängige Cloud-Architektur für den Mittelstand
Ich bringe praxiserprobte Konzern-Sicherheitsstandards in Ihr Unternehmen – transparent, auf Augenhöhe und ohne die Lizenzverkaufs-Ziele eines Systemhauses.
Erfahrung aus kritischen Umgebungen
Hauptberuflich administriere ich IT-Infrastrukturen in der europäischen Luft- und Raumfahrt unter höchsten Datenschutzanforderungen. Diesen Anspruch an Sicherheit und Präzision bringe ich in Ihren M365-Tenant.
Lizenzoptimierung & Right-Sizing
Oft zahlen KMUs für Features, die sie nie aktivieren. Ich analysiere Ihre Anforderungen und empfehle genau den Lizenz-Tier (z.B. Business Premium vs. E3), der das beste Kosten-Nutzen-Verhältnis bietet.
Sicherheit als Basis, nicht als Add-on
MFA, Defender und Conditional Access sind bei mir keine optionalen Leistungen. Sie sind das zwingende Fundament jedes Migrations- oder Härtungs-Projekts.
Lückenlose Dokumentation
Jede eingerichtete Richtlinie wird dokumentiert. Kein Vendor-Lock-in, kein "Wissen im Kopf". Ihr internes IT-Team kann den Tenant sofort übernehmen und betreiben.
Direkter Draht zum Engineer
Sie sprechen direkt mit mir – dem Engineer, der die Migration plant, Entra ID konfiguriert und im Zweifel PowerShell schreibt. Kein Projektmanager-Overhead.
Bremen & Remote
Vor Ort in Bremen und Norddeutschland für Workshops und Analysen, remote für das Konfigurations-Engineering und die nächtlichen Migrations-Cutovers.
Der Vorher-Nachher-Vergleich
Aus einem unkontrollierten E-Mail-Tenant wird eine compliance-konforme, sichere und KI-bereite Datenplattform.
Ein gestohlenes Kennwort reicht für den vollständigen Zugriff auf alle Firmendaten.
Zugriff nur mit MFA und idealerweise nur von per Intune verwalteten Firmengeräten.
Externe Dienstleister haben dauerhaft Zugriff auf veraltete SharePoint-Links.
Automatisiertes Gast-Lifecycle-Management und Bereinigung verwaister externer Freigaben.
E-Mails landen oft im Spam-Ordner der Empfänger (fehlende Authentifizierung).
Saubere Reputation: SPF, DKIM und DMARC korrekt konfiguriert – DMARC auf Ablehnung (p=reject) gesetzt.
Gefahr, dass M365 Copilot sensible Vorstands-Daten für alle Mitarbeiter aufdeckt.
Copilot-Ready: Berechtigungen sind auditiert, Purview Sensitivity Labels schützen Dokumente.
Versehentlich gelöschte Dateien sind ohne externes Backup irgendwann unwiederbringlich weg – Microsofts eigener Papierkorb ist kein Backup-Ersatz.
Externes Cloud-Backup ermöglicht die Wiederherstellung auch nach Ransomware, Sabotage oder versehentlicher Massenlöschung – unabhängig von Microsofts eigenem Retention-Fenster.
Angst, bei einem NIS2-Audit oder Cyberversicherungs-Check durchzufallen.
Dokumentierter "Stand der Technik" nach CIS-Baselines – audit- und versicherungsfähig.
Was Sie sich vermutlich fragen
Klare Antworten auf die wichtigsten Fragen rund um M365 Migrationen und Cloud-Security.
Ja, absolut. Viele Unternehmen wurden von Dienstleistern in die Cloud migriert, ohne dass Features wie Entra ID Conditional Access, Defender oder Intune jemals konfiguriert wurden. Ein Audit zeigt sofort, welche Lücken Sie haben und wie wir Ihre bestehenden Lizenzen für mehr Sicherheit voll ausreizen können.
Nein. Ich bin bewusst kein Microsoft CSP (Cloud Solution Provider). Das bedeutet: Ich erhalte keine Margen für den Lizenzverkauf. Sie beziehen Ihre Lizenzen weiterhin über Ihr gewohntes Systemhaus oder direkt bei Microsoft. Das garantiert Ihnen eine 100% unabhängige Beratung beim "Right-Sizing" (z.B. Downgrade auf günstigere Pläne, wenn Features nicht gebraucht werden).
Das ist das größte Risiko aktuell. Copilot respektiert Ihre M365-Berechtigungen. Wenn in der Vergangenheit Berechtigungen großzügig vergeben wurden ("Jeder darf alles lesen"), kann nun jeder Mitarbeiter via KI-Prompt blitzschnell Gehälter oder Strategiepapiere zusammenfassen lassen. Eine Berechtigungs-Bereinigung vor dem Copilot-Rollout ist essenziell.
Nein, wenn die Migration sauber geplant ist. Ich führe Mailbox-Migrationen im Parallelbetrieb durch: Während der Migration laufen E-Mails in beide Richtungen weiter. Der eigentliche Cutover (Umschalten der DNS/MX-Records) erfolgt in einem Wartungsfenster am Wochenende oder nachts.
Ein Systemhaus richtet oft einfach Postfächer ein. Mein Fokus ist Cloud Security Architecture. Ich konfiguriere das "Darunter": Intune für Device Management, Purview für Data Loss Prevention und tiefe Entra ID Sicherheitsrichtlinien, die Ransomware und Phishing-Versuche auf Architekturebene stoppen.
Nein. Microsoft sichert die Verfügbarkeit der Rechenzentren (SLA), aber nicht Ihre Daten (Shared Responsibility). Wer sich auf den internen Papierkorb verlässt, hat bei Ransomware, Mitarbeiter-Sabotage oder versehentlicher Massenlöschung kein belastbares Sicherheitsnetz. Ein externes Drittanbieter-Backup ist zwingende Pflicht für jedes Unternehmen.
Das variiert stark je nach Ausgangssituation und Unternehmensgröße. Eine Exchange-Migration für eine kleinere Firma (bis ~50 Postfächer) ist typisch in 6–10 Wochen abgeschlossen. Bei 100+ Postfächern, hybriden Setups oder wenn gleichzeitig Entra ID, Defender und Intune aufgebaut werden, rechnen wir mit 10–16 Wochen. Da ich das nebenberuflich nach Feierabend umsetze, sind Abstimmungen und kleinere Änderungsschleifen bereits eingeplant – dafür gibt es keine Hektik und keine Überraschungen.
Ihr Microsoft 365 wurde damals schnell hochgezogen, Hauptsache es läuft. Standard-Einstellungen wurden belassen, Lizenzen großzügig verteilt. Seitdem hat sich niemand mehr systematisch angeschaut, wer eigentlich worauf zugreift – und ob das überhaupt noch vertretbar ist.
Wer hat Admin-Rechte in Ihrem Tenant?
Wie viele globale Administratoren hat Ihr Unternehmen aktuell? Und wie viele davon haben diese Rechte nur, weil irgendwann niemand die Zeit hatte, sie wieder zu entziehen?
Über welchen Pfad verlässt Ihr Cloud-Traffic Ihr Haus?
Microsoft 365 kommuniziert pausenlos nach außen. Aber wer definiert eigentlich, über welche Wege diese Daten Ihr Haus verlassen – und wer kontrolliert, was in diesem Datenstrom wirklich passiert?