Microsoft Teams hat sich zur zentralen Kommunikationsplattform in Unternehmen weltweit entwickelt. Doch während die praktischen Kollaborationsfunktionen im Vordergrund stehen, übersehen viele Nutzer kritische Sicherheitsaspekte, die gerade bei sensiblen Unternehmensdaten den entscheidenden Unterschied machen. Die gute Nachricht: Mit gezielten Einstellungen lässt sich das Sicherheitsniveau deutlich erhöhen, ohne dass die Benutzerfreundlichkeit darunter leidet.
Ende-zu-Ende-Verschlüsselung für vertrauliche Gespräche nutzen
Microsoft hat die Ende-zu-Ende-Verschlüsselung für Teams eingeführt, doch standardmäßig bleibt diese Funktion deaktiviert. Der Unterschied zur normalen Verschlüsselung ist erheblich: Während bei der Standard-Verschlüsselung Microsoft theoretisch Zugriff auf die Gesprächsinhalte hat, sind bei Ende-zu-Ende-Verschlüsselung ausschließlich die Gesprächsteilnehmer in der Lage, die Inhalte zu entschlüsseln. Nach offiziellen Angaben von Microsoft sind nur die beiden Endpunktsysteme an der Verschlüsselung und Entschlüsselung beteiligt – keine andere Partei, einschließlich Microsoft selbst, hat Zugriff auf die entschlüsselte Unterhaltung.
Die Aktivierung erfolgt direkt im Meeting-Fenster über das Drei-Punkte-Menü unter Sicherheit. Dort findet sich die Option für Ende-zu-Ende-Verschlüsselung. Diese Funktion steht für ungeplante Einzelanrufe zur Verfügung. Besprechungsorganisatoren mit einer Teams Premium-Lizenz können darüber hinaus auch geplante Besprechungen mit dieser Verschlüsselung durchführen, einschließlich Kanalbesprechungen.
Bei aktivierter Ende-zu-Ende-Verschlüsselung werden allerdings einige Features deaktiviert. Breakout-Räume, Microsoft 365 Copilot in Teams-Besprechungen, Excel Live, Liveuntertitel und Transkription, Einwählen per Telefon, PowerPoint Live, Aufzeichnungen, das Anfordern der Steuerung freigegebener Inhalte sowie Zusammen-Modus funktionieren dann nicht mehr. Für hochsensible Gespräche, etwa bei Fusionsverhandlungen oder der Besprechung vertraulicher Personalangelegenheiten, ist dieser Trade-off jedoch meist akzeptabel.
Gruppenchats richtig absichern
Bei Gruppenchats gestaltet sich die Situation komplexer. Eine echte Ende-zu-Ende-Verschlüsselung steht hier derzeit nicht zur Verfügung, doch es gibt andere wirksame Schutzmaßnahmen. Über die Chat-Einstellungen können Administratoren festlegen, wer externe Teilnehmer hinzufügen darf und ob Chat-Historien für neue Mitglieder sichtbar sein sollen.
Besonders kritisch sind die Aufbewahrungsrichtlinien. In den Teams-Administratoreinstellungen unter Messaging-Richtlinien lässt sich definieren, wie lange Nachrichten gespeichert werden. Für sensible Projektteams empfiehlt sich eine deutlich kürzere Aufbewahrungsdauer als die Standardeinstellung. So minimiert man das Risiko, dass veraltete, aber möglicherweise kompromittierende Informationen länger als notwendig im System verbleiben.
Datenzugriff granular kontrollieren
Ein häufig unterschätztes Sicherheitsrisiko liegt in den Freigabeoptionen für Dateien. Standardmäßig werden in Teams geteilte Dateien in SharePoint gespeichert, wo sie potenziell breiter zugänglich sind als beabsichtigt. Über das Teams Admin Center können IT-Verantwortliche unter SharePoint-Einstellungen festlegen, ob externe Freigaben erlaubt sind und welche Authentifizierungsmethoden erforderlich sind. Diese Einstellung wirkt sich direkt auf die Sicherheit aller in Teams geteilten Dokumente aus und sollte regelmäßig überprüft werden.
Drittanbieter-Apps kritisch bewerten
Die Integrationsfähigkeit von Teams ist Fluch und Segen zugleich. Tausende Apps erweitern die Funktionalität der Plattform, doch jede Integration stellt ein potenzielles Einfallstor dar. Eine regelmäßige Überprüfung der installierten Apps sollte zur Routine werden. Der Weg führt über die Einstellungen zu Apps und dann zu Berechtigungen verwalten. Hier zeigt sich oft ein erschreckendes Bild: Apps mit Zugriff auf Kalender, E-Mails, Dateien und Chat-Verläufe, die seit Monaten nicht mehr genutzt wurden.
Jede App sollte nach dem Prinzip der minimalen Berechtigungen überprüft werden. Benötigt die App wirklich Zugriff auf alle Chats, oder würde eine eingeschränktere Berechtigung ausreichen? Microsoft vergibt an geprüfte Apps ein Zertifikat, erkennbar am blauen Häkchen. Diese Apps haben einen Sicherheits- und Compliance-Check durchlaufen. Ungezertifizierte Apps sind nicht automatisch unsicher, erfordern aber eine gründlichere Prüfung. IT-Administratoren können im Admin Center unter Teams-Apps und Berechtigungsrichtlinien sogar festlegen, dass nur zertifizierte Apps installiert werden dürfen.
Meeting-Aufzeichnungen datenschutzkonform handhaben
Die automatische Speicherung von Meeting-Aufzeichnungen in OneDrive oder SharePoint ist praktisch, aber bei vertraulichen Besprechungen problematisch. Nicht nur wegen möglicher Datenlecks, sondern auch aus Compliance-Gründen: DSGVO-konforme Aufbewahrungsfristen werden oft nicht beachtet. Die Lösung liegt in den Meeting-Optionen, die vor jedem Meeting individuell angepasst werden können. Unter der Einstellung für Aufzeichnungen lässt sich festlegen, ob überhaupt Aufzeichnungen möglich sein sollen. Für besonders sensible Meetings empfiehlt sich die Einstellung, dass niemand aufzeichnen kann.
Zusätzlich sollte die Option zur automatischen Aufzeichnung deaktiviert werden, um versehentliche Aufzeichnungen zu vermeiden. Statt Videoaufzeichnungen können Teams auf Live-Protokollierung während des Meetings setzen. Die Funktion Notizen in Teams ermöglicht kollaboratives Mitschreiben in Echtzeit, ohne dass Audio- oder Videoinhalte gespeichert werden. Diese Protokolle lassen sich anschließend in verschlüsselten Bereichen ablegen und sind deutlich einfacher zu anonymisieren oder nach Ablauf von Aufbewahrungsfristen zu löschen.
Kontinuierliches Monitoring einrichten
Sicherheit ist kein einmaliges Setup, sondern ein kontinuierlicher Prozess. Microsoft bietet im Compliance Center umfangreiche Audit-Funktionen, die Einblick in Zugriffe, Freigaben und Änderungen an Sicherheitseinstellungen geben. Ein monatlicher Check dieser Logs hilft, verdächtige Aktivitäten frühzeitig zu erkennen. Besonders aufschlussreich ist der Bereich Überwachung im Microsoft 365 Defender Portal. Hier lassen sich Aktivitäten wie erteilte App-Berechtigungen, extern geteilte Dateien oder hinzugefügte Gäste nachverfolgen.
Zwei-Faktor-Authentifizierung als Grundpfeiler
So selbstverständlich es klingt: Erschreckend viele Teams-Zugänge sind nur mit Passwort geschützt. Die Aktivierung der Zwei-Faktor-Authentifizierung sollte für alle Nutzer verpflichtend sein, insbesondere für Accounts mit Zugriff auf sensible Bereiche. Die Einrichtung erfolgt über die Microsoft 365-Kontoeinstellungen unter Sicherheit und dauert weniger als fünf Minuten. Moderne Methoden wie biometrische Authentifizierung via Windows Hello oder FIDO2-Sicherheitsschlüssel bieten noch höhere Sicherheit als SMS-basierte Codes und sollten wo möglich bevorzugt werden.
Der initiale Aufwand zahlt sich spätestens dann aus, wenn der erste Phishing-Versuch ins Leere läuft, weil das erbeutete Passwort allein nicht ausreicht. Die beste technische Absicherung nützt allerdings wenig, wenn Mitarbeiter unsicher im Umgang mit sensiblen Daten sind. Regelmäßige Schulungen sollten nicht nur die Bedienung der Sicherheitsfunktionen abdecken, sondern auch ein Bewusstsein für Risiken schaffen. Themen wie Phishing über Teams-Chats, Social Engineering oder die Gefahren öffentlicher WLAN-Netze beim mobilen Arbeiten gehören unbedingt dazu.
Die Kombination dieser Maßnahmen verwandelt Teams von einem praktischen, aber potenziell unsicheren Kommunikationstool in eine robuste Plattform für vertrauliche Unternehmensdaten. Der Zeitaufwand für die Implementierung ist überschaubar, der Sicherheitsgewinn jedoch erheblich. Gerade in Zeiten zunehmender Cyberangriffe auf Unternehmen ist dieser Schutz keine Option mehr, sondern eine Notwendigkeit. Wer diese Einstellungen konsequent umsetzt und regelmäßig überprüft, schafft eine solide Basis für sichere digitale Zusammenarbeit.
Inhaltsverzeichnis