Bei den inkludierten Schutzlösungen im Programmpaket Microsoft 365 können gravierende Sicherheitslücken klaffen. Etwa gehen 49% der IT-Verantwortlichen fälschlicherweise davon aus, dass Microsoft automatisch Backups der M365-Konfigurationen erstellt. Der Konzern sichert allerdings nur die Benutzerdaten, erklärt der IT-Anbieter Coreview in seinem Report "The State of Microsoft 365 Security". Er enthält Auskünfte von 269 IT- und Security-Experten aus Australien, Deutschland, Frankreich, Grossbritannien, Kanada und den USA.
Die Befragten zeichnen mit ihren Antworten ein typisches Bild gewachsener IT-Landschaften in ihren Unternehmen, die aufgrund der Zusatzfunktionen von M365 teils redundante und teils unkontrollierte Features aufweisen. Etwa betreiben die meisten Unternehmen mehrere M365-Tenants aufgrund der vielfältigen Anforderungen an Compliance und Datensicherheit. Die Mehrheit der IT-Verantwortlichen (71%) beklagen eine hohe Komplexität im Management der Instanzen, die mit einer grösseren Angriffsfläche für Cyberattacken verbunden sei.
Besonders bequem wird es für Angreifer, wenn sie ein Benutzerkonto mit extensiven Rechten übernehmen können. Der Umfrage zufolge betreiben 51% der IT-Verantwortlichen über 250 Entra-Anwendungen mit zu weit gefassten Privilegien sowie Lese-/Schreibrechten. Mit der steigenden Zahl an Anwendungen würden auch die verbundenen Sicherheitsrisiken zunehmen, was eine strengere Kontrolle der Berechtigungen erforderlich mache. Dafür fehle es vielenorts an Personal und Ressourcen.
Die Multi-Faktor-Authentifizierung gehört bei M365 zum Standardlieferumfang. Jedoch haben nur 41% der Unternehmen die MFA im Einsatz. Dies sei besonders fahrlässig, so Coreview, da 99,9% der Kompromittierungen auf Konten ohne MFA erfolgen würden .