Security

Microsoft 365 Business Premium: Was du schon bezahlst, aber nicht nutzt

6 Min. Lesezeit

Die meisten kleinen Betriebe zahlen für Microsoft 365 Business Premium, nutzen aber nur Mail und Teams. Dabei steckt in der Lizenz eine Enterprise-Security-Suite, die vor 5 Jahren nur Konzerne hatten. Virenschutz, Geräteverwaltung, Multi-Faktor-Auth – alles schon drin.

Viele Betriebe in Freising, Pfaffenhofen und dem Ampertal haben Microsoft 365 Business Premium. Die Lizenz kostet etwa 20€ pro Nutzer im Monat. Genutzt wird: Outlook für E-Mail, vielleicht Teams, vielleicht OneDrive. Das war's.

Dabei steckt in der Lizenz eine komplette Security-Suite, für die Großunternehmen vor 5-10 Jahren fünfstellige Beträge pro Jahr bezahlt haben. Du zahlst schon dafür. Du nutzt es nur nicht.

Was in Business Premium drin ist (und keiner weiß)

Microsoft Defender for Business

Ein professioneller Virenschutz mit zentraler Verwaltung. Nicht der Consumer-Defender, der auf Windows vorinstalliert ist, sondern die Business-Version mit erweiterten Funktionen.

Was das kann:

  • Erkennt Ransomware, bevor sie Dateien verschlüsselt
  • Blockiert Phishing-Links automatisch
  • Überwacht verdächtige Prozesse (z.B. wenn Word plötzlich PowerShell startet)
  • Zentrale Verwaltung: Du siehst den Status aller Geräte in einer Übersicht

Der Defender läuft auf Windows, Mac, iOS und Android. Früher hat eine solche Lösung pro Gerät 30-50€/Jahr gekostet – zusätzlich. Bei Business Premium ist es inklusive.

Intune: Geräteverwaltung

Intune ist Microsofts System zur Geräteverwaltung. Damit kannst du alle Firmen-Geräte zentral steuern – egal ob Windows-PC, Mac, iPhone oder Android.

Praktische Anwendungen:

  • Verlorenes Handy aus der Ferne sperren oder löschen
  • Erzwingen, dass auf allen Geräten ein PIN gesetzt ist
  • Apps automatisch auf neue Geräte verteilen
  • Alte Geräte aus dem System entfernen

Für einen Handwerksbetrieb mit 8 Leuten und 15 Geräten (PCs, Tablets, Handys): Alle Geräte in einer Übersicht, alle mit den gleichen Sicherheitseinstellungen. Wenn ein Monteur sein Handy verliert, sperrst du es in 30 Sekunden.

Multi-Faktor-Authentifizierung (MFA)

MFA bedeutet: Neben dem Passwort braucht man noch einen zweiten Faktor – z.B. eine Bestätigung auf dem Handy. Selbst wenn jemand dein Passwort hat, kommt er ohne dein Handy nicht rein.

Wichtig für KMU: 99,9% aller Account-Übernahmen werden durch MFA verhindert (Microsoft-Statistik). Die meisten Betriebe haben MFA nicht aktiviert, obwohl es in der Lizenz drin ist und in 10 Minuten eingerichtet ist.

Conditional Access (CA)

Conditional Access sind Regeln, die festlegen, wer sich von wo und wie einloggen darf.

Beispiele:

  • Login nur von deutschen IP-Adressen erlauben (blockiert Angriffe aus dem Ausland)
  • Bei Login von unbekanntem Gerät zusätzliche Bestätigung verlangen
  • Zugriff auf kritische Daten nur von verwalteten Geräten erlauben

Für einen Betrieb in Pfaffenhofen mit 6 Büromitarbeitern: Login nur aus Deutschland + nur von bekannten Geräten = 95% aller Angriffe laufen ins Leere.

Attack Surface Reduction (ASR)

ASR-Regeln blockieren typische Angriffsmuster.

Konkret:

  • Office-Makros können keine Programme starten
  • Skripte (PowerShell, JavaScript) können nicht aus Downloads ausgeführt werden
  • Office-Programme können keine Child-Prozesse starten

Das stoppt die meisten Ransomware-Angriffe. Die kommen nämlich oft als Word- oder Excel-Datei mit Makro. Mit ASR läuft das Makro, kann aber keinen Schaden anrichten.

Security Baselines

Microsoft liefert vorgefertigte Sicherheitsrichtlinien – sogenannte Baselines. Die kannst du auf alle Geräte verteilen und bekommst damit automatisch eine gute Grundabsicherung.

Was die Baselines machen:

  • Windows Firewall konfigurieren
  • Unnötige Dienste deaktivieren
  • Passwortrichtlinien setzen
  • Verschlüsselung aktivieren (BitLocker)

Früher musste man das pro Gerät manuell einstellen oder eine teure Gruppenrichtlinien-Infrastruktur aufbauen. Mit Intune klickst du einmal "Baseline anwenden" und alle Geräte sind konfiguriert.

SmartScreen und Inhaltsfilter für Edge

Microsoft Edge (der Browser) hat in Business Premium erweiterte Schutzfunktionen.

SmartScreen: Warnt vor bekannten Phishing-Seiten und Malware-Downloads. Funktioniert in Echtzeit mit Microsoft-Cloud-Datenbank.

Inhaltsfilter: Blockiert bestimmte Website-Kategorien (z.B. Glücksspiel, Filesharing, Malware-Quellen). Du kannst das zentral für alle Mitarbeiter einstellen.

Application Control (Whitelisting)

Mit Intune kannst du festlegen, welche Programme auf Firmengeräten laufen dürfen. Alles andere wird blockiert.

Szenario: Du erlaubst nur Office, Browser, Buchhaltungssoftware und ein paar Standard-Tools. Wenn jemand versehentlich Schadsoftware runterlädt, kann sie nicht starten. Punkt.

Das ist extrem effektiv, funktioniert aber nur, wenn dein Software-Portfolio überschaubar ist. Für kleine Betriebe mit 5-10 Standardprogrammen perfekt.

Warum das früher nur Konzerne hatten

Vor 5-10 Jahren brauchte man für solche Features:

  • Einen Windows Server im Büro
  • Active Directory Domain Controller
  • Group Policy Management
  • Antivirus-Server (z.B. Symantec Endpoint Protection)
  • Mobile Device Management (z.B. AirWatch, MobileIron)
  • VPN-Infrastruktur für Remote-Zugriff

Kosten damals: Leicht 10.000-20.000€ Erstinvestition + 3.000-5.000€ jährlich für Lizenzen und Wartung. Plus: IT-Personal, das das alles konfiguriert und betreut.

Heute: Microsoft 365 Business Premium, 20€/Nutzer/Monat, komplett in der Cloud, keine Server nötig. Die Features sind die gleichen, teilweise sogar besser.

Was du damit aufbauen kannst

Mit den enthaltenen Tools kriegst du ein Security-Setup, das vor Kurzem noch Enterprise-Niveau war:

  1. MFA auf allen Accounts – verhindert 99,9% der Account-Übernahmen
  2. Conditional Access – nur bekannte Geräte aus Deutschland dürfen zugreifen
  3. Alle Geräte in Intune – zentrale Verwaltung, automatische Sicherheitsrichtlinien
  4. Defender auf allen Geräten – erkennt Ransomware und Phishing
  5. ASR-Regeln aktiv – blockiert typische Angriffsmuster
  6. Security Baselines verteilt – alle Geräte haben die gleiche sichere Konfiguration
  7. Application Whitelisting (optional) – nur erlaubte Software läuft

Das ist eine Festung. Cyberkriminelle haben gegen so ein Setup extrem schlechte Karten. Die meisten probieren es 2-3 Mal und suchen sich dann ein leichteres Ziel.

Das Problem: Keiner richtet es ein

Die meisten Betriebe haben Business Premium, aber nur Outlook und Teams aktiviert. MFA: aus. Conditional Access: nicht konfiguriert. Intune: leer. Defender: läuft mit Standardeinstellungen ohne zentrale Verwaltung.

Der Grund: Die Features sind nicht automatisch aktiv. Du musst sie einrichten. Und das macht niemand, weil keiner weiß, dass es da ist.

Was ich anbiete

Ich richte dir die vorhandenen Security-Features ein – mit den Lizenzen, die du schon hast. Kein Upselling, keine zusätzlichen Kosten.

Konkret:

  1. Check: Welche Lizenzen hast du (Business Premium, Business Standard, E3/E5)?
  2. Setup: MFA, Conditional Access, Intune, Defender, ASR-Regeln
  3. Rollout: Security Baselines auf alle Geräte
  4. Schulung: 30 Minuten für dich oder deine Leute, damit ihr die Verwaltung versteht

Die Erstberatung ist kostenlos. Ich schaue mir an, was du hast und was sinnvoll ist. In Freising, Pfaffenhofen und dem Ampertal komme ich vorbei.

Kontakt: Hier Termin vereinbaren – ich melde mich innerhalb von 24 Stunden.

Über den Autor

Manuel Hilgert ist IT-Administrator und unterstützt kleine Unternehmen in Freising, Pfaffenhofen und dem Ampertal bei Cloud-Migration, IT-Security und Infrastruktur-Modernisierung.

Kontakt aufnehmen →
Zurück zur Blog-Übersicht

Bereit für Enterprise-Security?

Lass uns deine IT-Infrastruktur auf das nächste Level bringen. Kostenlose Erstberatung ohne Verpflichtung.

Jetzt Beratung buchen