Risikoanwender in Microsoft 365 Warum Sicherheit eine Frage der Adoption ist

Risikoanwender in Microsoft 365: Warum Sicherheit eine Frage der Adoption ist

Modern Work · Microsoft 365 · Security & Compliance

88 Prozent aller Sicherheitsvorfälle in Unternehmen gehen vom Menschen aus, nicht von der Technik. Wer also nur in Firewalls und Richtlinien investiert, löst das eigentliche Problem nicht. Der Risikoanwender in Microsoft 365 und Copilot ist das unterschätzte Sicherheitsrisiko, das sich mit dem richtigen Ansatz zuverlässig adressieren lässt.

Das Sicherheitsrisiko sitzt nicht im System

Wenn in Unternehmen über IT-Sicherheit gesprochen wird, dreht sich das Gespräch fast immer um Technik: Welche Einstellungen gibt es im Admin Center? Wie werden Sensitivity Labels konfiguriert? Welche Richtlinien müssen greifen? Das ist wichtig und richtig. Aber es greift zu kurz.

88 Prozent der Sicherheitsvorfälle in Unternehmen gehen vom Menschen aus. Und 67 Prozent der befragten Organisationen geben an, dass ihren Mitarbeitenden grundlegende Sicherheitskenntnisse fehlen. Gleichzeitig hat fast jede zweite Person Angst, einen möglichen Fehler zu melden, weil sie Konsequenzen fürchtet.

In der Arbeit der 365 Akademie als zertifizierter Microsoft Partner begegnet dieses Muster regelmäßig: Die Technik ist sauber konfiguriert, aber das Verhalten der Anwender hebelt die Sicherheitsmaßnahmen im Alltag wieder aus. Nicht aus böser Absicht, sondern aus Unwissenheit und dem verständlichen Wunsch, schnell und produktiv zu arbeiten.

Die unbequeme Wahrheit: Wer nur die Technik absichert, aber den Anwender nicht mitnimmt, hat ein Sicherheitskonzept mit einem großen blinden Fleck.

Wie Sicherheitsrisiken im M365-Alltag entstehen

Die gefährlichsten Sicherheitslücken entstehen nicht durch Hacking-Angriffe von außen, sondern durch ganz alltägliche Handlungen, die niemand als riskant wahrnimmt. Hier sind typische Beispiele, die in der Praxis immer wieder auftauchen:

Freigabelinks ohne Ablaufdatum
Eine Datei wird schnell per "Jeder mit dem Link"-Freigabe geteilt. Monate später existiert der Link noch, obwohl längst niemand mehr Zugriff haben sollte.
Zu breite Berechtigungen in Planner
Wer jemandem eine Aufgabe in Planner zuweist, gibt dieser Person unbemerkt Zugriff auf die gesamte Gruppe inklusive der dahinterliegenden SharePoint-Site.
ChatGPT statt Copilot
Mitarbeitende laden Screenshots oder interne Daten in die kostenlose ChatGPT-Version hoch, ohne zu wissen, dass diese Daten gespeichert und weiterverwendet werden können.
Vergessene externe Zugänge
Kollegen, die die Abteilung gewechselt haben, behalten ihre Berechtigungen, weil niemand sie systematisch entzogen hat.
Falsche Speicherorte
Abteilungsdateien landen in der persönlichen OneDrive statt im SharePoint, wo Zugriffe und Berechtigungen kontrollierbar wären.
Copilot als Verstärker
Copilot nutzt alle Berechtigungen, die ein Nutzer hat. Bestehende Fehlkonfigurationen werden dadurch nicht größer, aber sichtbarer und schneller wirksam.

All diese Verhaltensweisen sind menschlich und nachvollziehbar. Mitarbeitende wollen produktiv sein, nicht Sicherheitsexperten. Genau deswegen ist der richtige Ansatz nicht Verbote und Richtlinien, sondern Begleitung und Kontext.

Warum Technik allein das Problem nicht löst

Technik ist die Grundlage jedes Sicherheitskonzepts in Microsoft 365. Berechtigungsstrukturen, Sensitivity Labels, MFA, Conditional Access, all das gehört zur Hygiene und muss stimmen. Aber Technik verhindert nur grobe Fehler und steuert kein Verhalten.

Ein Prinzip aus dem Lean Management hilft hier, das Denken zu schärfen: Poka-Yoke, also Fehlervermeidung durch Design. Die Idee dahinter ist, Prozesse so zu gestalten, dass Fehler gar nicht erst entstehen können. Eine SIM-Karte passt beispielsweise nur in einer Richtung ins Fach, weil das Design einen Fehler verhindert. Microsoft 365 funktioniert leider nicht so einfach. Es gibt dutzende Wege, um an ein Ziel zu kommen, und damit auch dutzende Möglichkeiten, unbeabsichtigt etwas falsch zu machen.

Das größte Sicherheitsrisiko ist nicht die fehlende Technik, sondern das fehlende Verständnis. Und das löst man nicht mit einer einmaligen Pflichtschulung.

Der richtige Ansatz: Nutzungsbegleitung statt Schulung

Wer Mitarbeitende wirklich für das Thema Sicherheit gewinnen will, muss beim Menschen ansetzen, nicht bei der Technik. Sicherheit nicht als eigenes abstraktes Thema behandeln, sondern als selbstverständlichen Bestandteil der alltäglichen Nutzung von Microsoft 365.

Statt "Hier ist die Sicherheitsrichtlinie, bitte lesen" funktioniert "So teilst du Dateien sicher, ohne langsamer zu werden" wesentlich besser. Denn Mitarbeitende interessieren sich nicht für Policies, sie interessieren sich für die Risiken, die sie persönlich betreffen könnten.

01
Kontext statt Regelwerk
Sicherheitsthemen immer mit dem konkreten Use Case verbinden. Was passiert, wenn ich diese Berechtigung setze? Was bedeutet dieses Label für meine Datei?
02
Stolpersteine benennen
Konkrete Sicherheitsfallen im Alltag zeigen, zum Beispiel die Top 10 Sicherheitsrisiken beim Teilen von Dateien. Anwender wollen nicht schuld sein, also hilft ihnen, Risiken zu erkennen.
03
Kontinuierlich begleiten
Sicherheit gehört in die laufende Adoption, nicht in ein einmaliges Training. Kurztipps, Lernpfade und Live Sessions halten das Thema präsent, ohne es schwer zu machen.

Wie Sicherheit und Produktivität zusammenpassen

Das verbreitete Missverständnis ist, dass Sicherheit und Produktivität im Widerspruch stehen. Wer MFA als lästige Pflicht erlebt oder Sensitivity Labels als Bremse wahrnimmt, wird diese Maßnahmen im Alltag unterlaufen, bewusst oder unbewusst.

Der entscheidende Wechsel ist der vom Sicherheits-Denken zum Nutzungs-Denken. Wenn ein Kurztipp zum Thema Dateien freigeben zeigt, wie man mit einem Ablaufdatum automatisch Kontrolle behält ohne später nachdenken zu müssen, dann ist das gleichzeitig eine Produktivitätshilfe und eine Sicherheitsmaßnahme. Beides zusammen zu vermitteln ist der Schlüssel.

In der Zusammenarbeit mit Kunden setzt die 365 Akademie, als Microsoft Partner mit MCT- und MVP-Expertise, genau auf diesen Ansatz: Sicherheitsthemen fließen natürlich in die alltägliche Nutzungsbegleitung ein, ohne als separates Compliance-Projekt behandelt zu werden. Das Ergebnis ist nicht nur weniger Risiko, sondern auch höhere Akzeptanz und echte Nutzung der Tools.

Häufige Fragen zum Thema Risikoanwender in Microsoft 365

Macht Copilot unsere Daten unsicherer?

Copilot schafft kein neues Risiko, aber es macht bestehende Risiken sichtbarer und schneller wirksam. Fehlkonfigurationen bei Berechtigungen, die vorher vielleicht nie aufgefallen sind, werden durch Copilot relevant. Die Antwort ist also nicht, Copilot zu vermeiden, sondern die Grundlagen vorher zu klären.

Reichen technische Maßnahmen wie Labels und Berechtigungen nicht aus?

Nein. Technik ist die notwendige Grundlage, aber sie verhindert nur grobe Fehler. Labels wirken nur, wenn sie korrekt gesetzt und verstanden werden. Richtlinien funktionieren nur, wenn sie im Alltag akzeptiert werden. 88 Prozent der Sicherheitsvorfälle gehen vom Menschen aus, und das lässt sich nicht allein mit Technik lösen.

Wie bringe ich Mitarbeitende dazu, Sicherheitsfehler zu melden?

Indem man eine Kultur schafft, in der Fehler keine Konsequenzen haben, sondern als Lernchance gesehen werden. 64 Prozent der Mitarbeitenden melden Sicherheitsfehler nicht, weil sie Konsequenzen fürchten. Wer das ändern will, muss das Thema Sicherheit explizit von Schuld und Fingerzeig trennen.

Wie teuer kann ein Sicherheitsvorfall wirklich werden?

Die Kosten setzen sich aus vielen Posten zusammen: Forensik, Rechtsberatung, DSGVO-Strafen, Schadensersatzforderungen, Vertrauensverlust bei Kunden. In der Summe kann das schnell in den sechsstelligen bis in den Millionenbereich gehen. Prävention ist im Vergleich dazu fast immer günstiger.

Wie integriere ich Sicherheitsthemen in unsere M365-Adoption?

Am wirkungsvollsten ist es, Sicherheit nicht als eigene Kampagne zu behandeln, sondern als festen Bestandteil der Nutzungsbegleitung. Wenn eine Live Session über Dateiteilen stattfindet, gehören die wichtigsten Sicherheitsfallen beim Teilen natürlich dazu. So entsteht Sicherheitsbewusstsein ohne separaten Aufwand.

Community · Aufzeichnung · Austausch

Möchtest du mehr dazu sehen?

Wir haben zu genau diesem Thema ein kostenloses Webinar mit unserem Microsoft MVP und MCT Thomas Maier durchgeführt, mit konkreten Praxisbeispielen aus der Kundenzusammenarbeit der 365 Akademie, einer klaren Einordnung, warum Technik allein nicht ausreicht, und einem Blick darauf, wie Sicherheitsthemen wirkungsvoll in die M365-Adoption integriert werden können. Die vollständige Aufzeichnung und die Präsentation findest du in unserer Modern Work 365 Manager Community direkt in Microsoft Teams.

Jetzt kostenlos beitreten

Kostenlos  ·  Direkt in Microsoft Teams  ·  Alle Webinar-Inhalte auf einen Blick

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Kostenlos & exklusiv

Modern Work 365 – Manager Community

  • Geschützter Austausch (strikte Beitrittsregelung)
  • Adoption Material, Cheatsheets & One Pager
  • Webinar-Folien & Aufzeichnungen zum Download
  • Monatliche Talks & Experten Round-Tables
  • Zugang zu allen Lernvideos der 365 Akademie
Ich will auch dabei sein →