Zum Inhalt springen
Zurück zur Übersicht Microsoft Entra ID Dashboard mit Benutzerkonten und Zugriffsrichtlinien
Entra ID Microsoft 365 Identitaetssicherheit

Microsoft Entra ID sicher einsetzen im Mittelstand

5 Min. Lesezeit

Das Wichtigste in Kürze

  • Entra ID ist das bevorzugte Angriffsziel, weil eine kompromittierte Identität oft mehr Schaden anrichten kann als eine kompromittierte Maschine
  • MFA blockiert laut Studien über 99 % aller kennwortbasierten Angriffe — SMS-basierte Codes gelten als weniger sicher und sollten durch FIDO2-Schlüssel oder Microsoft Authenticator ersetzt werden
  • Access Reviews in Entra ID ermöglichen eine periodische Bereinigung akkumulierter Berechtigungen — besonders für Konten ausgeschiedener Mitarbeitender
  • Conditional-Access-Richtlinien sind eine der stärksten Verteidigungslinien, erfordern aber sorgfältige Planung: zu restriktiv stört den Betrieb, zu locker verfehlt den Zweck
  • Typische Assessment-Befunde: Gastkonten ohne Ablaufdatum, Dienstkonten mit interaktiven Anmelderechten, temporäre MFA-Ausnahmen, die dauerhaft wurden

Microsoft Entra ID — früher bekannt als Azure Active Directory — hat sich zur zentralen Schaltstelle für Identitäten und Zugriffsrechte in der modernen Unternehmens-IT entwickelt. Für mittelständische Unternehmen, die intensiv auf Microsoft 365 und Azure setzen, ist eine solide Entra-ID-Konfiguration keine optionale Maßnahme, sondern eine grundlegende Sicherheitsanforderung.

Warum Entra ID ein bevorzugtes Angriffsziel ist

Angreifer wissen, dass eine kompromittierte Identität oft mehr Schaden anrichten kann als eine kompromittierte Maschine. Wer sich als Benutzer — oder schlimmer als Administrator — in Ihrer Entra-ID-Umgebung anmelden kann, hat potenziell Zugriff auf Ihre E-Mails, Dokumente, Teams-Chats und angebundenen Anwendungen.

Typische Angriffsvektoren umfassen Phishing-Kampagnen, die auf die Zugangsdaten Ihrer Mitarbeitenden abzielen, sowie sogenannte Password-Spray-Angriffe, bei denen ein breites Netz an Benutzerkonten mit häufig verwendeten Kennwörtern getestet wird. Gerade im Mittelstand werden diese Angriffsmethoden häufig unterschätzt, weil Unternehmen davon ausgehen, kein lohnendes Ziel zu sein — ein Trugschluss, der sich in der Praxis immer wieder bestätigt.

Die wichtigsten Sicherheitsmaßnahmen im Überblick

1. Multi-Faktor-Authentifizierung konsequent durchsetzen

Die Einführung von MFA ist der wirkungsvollste Einzelschritt, den Sie für die Sicherheit Ihrer Entra-ID-Umgebung unternehmen können. Studien zeigen, dass MFA über 99 % der kennwortbasierten Angriffe blockiert. Dennoch findet man in der Praxis regelmäßig Umgebungen, in denen MFA nur für einen Teil der Benutzer — oder nur für bestimmte Anwendungen — aktiviert ist.

Empfehlenswert ist der Einsatz der Microsoft Authenticator App oder hardware-basierter FIDO2-Schlüssel für Konten mit erhöhten Berechtigungen. SMS-basierte Einmalcodes gelten inzwischen als weniger sicher und sollten wo möglich durch modernere Verfahren ersetzt werden.

2. Berechtigungsstrukturen regelmäßig prüfen

In gewachsenen IT-Umgebungen akkumulieren sich Berechtigungen über Zeit. Mitarbeitende wechseln Abteilungen, übernehmen neue Rollen oder verlassen das Unternehmen — ihre Zugriffsrechte bleiben jedoch häufig unverändert bestehen. Entra ID bietet mit den Access Reviews eine integrierte Möglichkeit, Berechtigungen periodisch zu überprüfen und gezielt zu bereinigen.

Besondere Aufmerksamkeit verdienen privilegierte Konten. Jede Person mit globalen Administratorrechten in Ihrem Tenant ist ein hochattraktives Ziel für Angreifer. Das Prinzip der minimalen Berechtigungen — also die Vergabe nur jener Rechte, die für eine Aufgabe tatsächlich notwendig sind — sollte konsequent umgesetzt werden.

3. Conditional Access als strategisches Instrument nutzen

Conditional Access ermöglicht es, Zugriffsregeln auf Basis von Kontext zu definieren: Wer meldet sich von wo mit welchem Gerät an? Ein Mitarbeitender, der sich aus einem unbekannten Land anmeldet oder ein nicht verwaltetes Gerät nutzt, sollte nicht ohne weitere Prüfung auf Unternehmensdaten zugreifen können.

Gut konfigurierte Conditional-Access-Richtlinien sind eine der stärksten Verteidigungslinien, die Entra ID bietet. Sie erfordern jedoch sorgfältige Planung: Zu restriktive Richtlinien behindern den produktiven Betrieb, zu lockere Richtlinien verfehlen ihren Zweck.

4. Anmeldeprotokolle aktiv auswerten

Entra ID protokolliert sämtliche Anmelde- und Überwachungsereignisse. Viele Unternehmen haben diese Daten zur Verfügung, nutzen sie aber nicht systematisch. Dabei lassen sich Anomalien — wie wiederholte Anmeldeversuche aus verschiedenen geografischen Regionen oder ungewöhnliche Zeitmuster — frühzeitig erkennen.

Microsoft Entra ID Protection analysiert diese Signale automatisiert und kann Risiko-basierte Richtlinien auslösen. Für Unternehmen ohne ein dediziertes Security-Operations-Team ist das ein wertvolles Werkzeug.

Was ein Assessment zeigt

In unserer Praxis begegnen uns bei Entra-ID-Assessments wiederkehrende Muster: Gastkonten ohne klares Ablaufdatum, Dienstkonten mit interaktiven Anmelderechten, deaktivierte MFA-Ausnahmen, die ursprünglich als temporär gedacht waren, sowie fehlende Notfallkonten mit sicher verwahrten Zugangsdaten.

Diese Schwachstellen sind selten auf mangelndes Sicherheitsbewusstsein zurückzuführen — sie entstehen organisch in der täglichen Betriebsrealität. Ein strukturiertes Assessment schafft Klarheit über die tatsächliche Sicherheitslage und zeigt auf, wo dringender Handlungsbedarf besteht.

Der nächste Schritt

Wenn Sie wissen möchten, wie Ihre Entra-ID-Konfiguration im Vergleich zu aktuellen Best Practices dasteht, bieten wir ein fokussiertes Sicherheits-Assessment an. In einem strukturierten Prozess analysieren wir Ihre Berechtigungsstrukturen, Conditional-Access-Richtlinien und Protokollierungseinstellungen — und liefern Ihnen einen klaren Bericht mit priorisierten Handlungsempfehlungen.

Sprechen Sie uns an — das Erstgespräch ist kostenlos und unverbindlich.

Haeufig gestellte Fragen

Wie viele globale Administratoren sollte ein mittelständisches Unternehmen in Entra ID haben?

Die Empfehlung ist: so wenige wie möglich, mindestens aber zwei (für den Notfall). In der Praxis finden wir häufig fünf bis fünfzehn globale Administratoren in mittelständischen Tenants. Jedes dieser Konten ist ein hochattraktives Angriffsziel. Privileged Identity Management (PIM) erlaubt es, Administratorrechte nur bei Bedarf und zeitlich begrenzt zu aktivieren.

Was sind Notfallkonten in Entra ID und warum sind sie wichtig?

Notfallkonten (Break-Glass-Accounts) sind dedizierte Administratorkonten, die unabhängig von MFA und Conditional Access funktionieren und für den Fall gedacht sind, dass der normale Zugang nicht mehr funktioniert. Sie müssen existieren, sicher verwahrt sein (physisch oder in einem Passwort-Manager), und ihre Nutzung muss überwacht werden. Das Fehlen dieser Konten ist ein häufiger Assessment-Befund.

Welche Anmeldeereignisse sollte ich in Entra ID aktiv überwachen?

Besonders relevant sind: Anmeldungen aus ungewöhnlichen Ländern oder zu ungewöhnlichen Zeiten, wiederholte fehlgeschlagene Anmeldeversuche (möglicher Password-Spray), Anmeldungen von nicht verwalteten Geräten sowie Änderungen an privilegierten Rollen und Conditional-Access-Richtlinien. Entra ID Protection automatisiert einen Großteil dieser Erkennung.

Können wir Conditional Access einführen, ohne den laufenden Betrieb zu stören?

Ja, mit dem richtigen Vorgehen. Der empfohlene Ansatz ist: Richtlinien zunächst im Report-Only-Modus betreiben, der zeigt, welche Anmeldungen betroffen wären, ohne sie zu blockieren. Erst nach Analyse und Anpassung werden die Richtlinien aktiviert. So lassen sich ungewollte Sperren vermeiden.

Zurück zur Übersicht