270 Millionen Menschen nutzen täglich Microsoft Teams aktiv, doch die Wenigsten wissen, was hinter den Kulissen passiert, wenn ein Benutzer ein neues Team in Microsoft 365 erstellt und wo welche Dateien gespeichert werden. Bei allen Vorteilen, die das Kollaborationstool Unternehmen bietet, entsteht so ein gewaltiges Datenrisiko.
(Quelle: Sai - Adobe Stock)
Die Frage, wer Zugriff auf welche Dateien hat und welche sensitiven Daten mit Personen außerhalb des Teams oder gar außerhalb des Unternehmens geteilt wurden, können selbst Sicherheitsverantwortliche in den allermeisten Fällen nicht oder nur sehr schwer beantworten. Um zu verstehen, wie es zu diesen Blind Spots kommt, muss man wissen, wie das Kollaborationstool MS-Teams hinter den Kulissen arbeitet.
Wie die Zusammenarbeit im Kollaborationstool Teams funktioniert
Zunächst ist es entscheidend zu verstehen, dass Microsoft Teams kein Datenspeicher ist, sondern hierfür andere Microsoft 365-Tools verwendet. So werden Benutzer und Gruppen im Azure Active Directory angelegt und verwaltet, E-Mails in Exchange Online, persönliche Daten in OneDrive und die Daten für die Zusammenarbeit schließlich in SharePoint Online gespeichert.
Wenn ein Nutzer ein Team anlegt, passieren automatisch folgende Dinge im Hintergrund:
Eine Website wird in SharePoint online erstellt.
Lokale SharePoint-Gruppen werden angelegt und erhalten Berechtigungen für die Website.
Azure AD-Gruppen werden eingerichtet und innerhalb der lokalen SharePoint-Gruppen eingefügt.
Team-Eigentümer fügen Team-Mitglieder hinzu, die zu den Azure AD-Gruppen hinzugefügt werden. Zu den Team-Mitgliedern können dabei je nach Konfiguration der Website interne und externe Mitglieder gehören.
Ein verborgenes Postfach und ein verborgener Kalender werden in Exchange online erstellt.
Chaos per Default
All dies ist bereits jetzt recht unübersichtlich. Richtig kompliziert wird es, wenn die Mitglieder Teams aktiv verwenden. Stellen wir uns hierfür ein kleines Team vor. Dieses besteht aus einem Team-Owner und weiteren Mitgliedern der Abteilung. Allerdings müssen einige Dateien auch mit Personen aus anderen Bereichen, etwa der Personalabteilung, oder mit Externen geteilt werden. Dies kann auf unterschiedliche Weise geschehen. So ist es etwa möglich, Kanäle (Channels) einzurichten, zu denen Mitglieder eingeladen werden.
Darüber hinaus können Dateien auch über Links oder per Chat geteilt werden. Jeder dieser Wege birgt dabei Datenrisiken. Beim Teilen von Dokumenten in Kanälen besteht beispielsweise die Gefahr, dass auch Personen Zugang zu sensitiven Informationen erhalten, die diesen gar nicht für ihre Arbeit benötigen und auf diese Weise das Least-Privilege-Modell verletzt wird. Teilt ein Mitglied eine Datei per Link, so weiß niemand außer dieser Person von dieser Offenlegung. All dies führt zu einer großen internen und externen Datenexposition.
Mangelnde Transparenz
Gerade geteilte Links sind für Sicherheitsverantwortliche nur sehr schwer nachzuvollziehen. Wird eine Datei auf diese Weise einer externen Person zugänglich gemacht, ist dieser Zugang weder in Teams noch in Azure AD sichtbar. Ein manuelles Aufspüren ist zwar möglich, aber ausgesprochen aufwändig: So müssen Sicherheitsverantwortliche die Metadaten sämtlicher Dateien einzeln überprüfen, um festzustellen, wer auf welche Art Zugriff hat. Microsoft Teams verfügt über keine klare, zentralisierte Übersicht über Personen, mit denen Dateien geteilt wurden. Externe sind nur sehr mühsam in SharePoint Online zu identifizieren, die Team-Mitglieder wiederum befinden sich nicht in SharePoint Online, sondern nur in Teams und Azure AD.
Ohne zentrale Übersicht und Kontrolle ist man nicht in der Lage
zu visualisieren, wer Zugang zu welchen Ressourcen hat
zu erkennen, wo sich Konzentrationen sensitiver Daten befinden
Risiken zu priorisieren und Gegenmaßnahmen einzuleiten
abnormales Verhalten im Zusammenhang mit sensiblen Daten zu identifizieren
Die ohnehin durch exzessives Teilen vergrößerte Angriffsfläche nimmt auf diese Weise weiter zu. Während in der Prä-Cloud-Ära Freigaben und Sicherheitsgruppen (fast) ausschließlich von der IT-Abteilung erstellt wurden, ist die Datei-Freigabe durch die Nutzer ein wesentliches Element der Cloud-basierten Zusammenarbeit. Mit Teams können SharePoint-Sites, Team-Sites, Links zu Ordnern und zu Dateien freigegeben werden – ganz ohne Wissen und Kontrolle der IT-Abteilung. Dass von diesem Feature reichlich Gebrauch gemacht wird, zeigen die Zahlen, die im Rahmen von Risikobewertungen gewonnen wurden: So verfügt ein durchschnittliches Unternehmen über 26,3 TB lokal gespeicherte Dateien mit insgesamt 53 Millionen Berechtigungen, während die M365-Daten zwar nur 6,7 TB ausmachen, dabei allerdings 130 Millionen Berechtigungen aufweisen.
Stand: 16.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die WIN-Verlag GmbH & Co. KG, Chiemgaustraße 148, 81549 München einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://kontakt.vogel.de/de/win abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.
Kontrolle über das Kollaborationstool gewinnen
Sicherheitsverantwortliche haben auch mit Microsoft-Bordmitteln Möglichkeiten, das Teilen von Sites, Ordnern und Dateien im Kollaborationstool zu kontrollieren. Dabei befinden sie sich jedoch stets im Spannungsfeld zwischen der reibungslosen Zusammenarbeit und einer möglichst hohen Sicherheit. Reduzieren sie beispielsweise Freigabemöglichkeiten deutlich oder blockieren sie diese etwa komplett, hat dies nicht nur Auswirkungen auf die Produktivität der Mitarbeiter: Fühlen diese sich in ihrer Arbeit eingeschränkt, umgehen sie in aller Regel die Maßnahmen, was wiederum zu Schatten-IT mit ihren bekannten Risiken führt.
Wir haben gesehen, dass die Kontrolle der Nutzer bei Teams nur sehr schwer umsetzbar ist. Stattdessen sollte man deshalb die Dateien ins Zentrum der Sicherheitsstrategie setzen. Eine datenzentrierte Sicherheit blickt auf die wertvollsten Assets eines Unternehmens: seine sensitiven Daten. Überwacht man deren Nutzung, ist man in der Lage, zu weit gefasste Rechte zu reduzieren – ohne dass es dabei zu Produktivitätseinschränkungen kommt. Durch die intelligente Analyse des Nutzerverhaltens erkennen hochentwickelte Lösungen, wer welche Dateien für seine Arbeit benötigt und wer nicht. Allein auf diese Weise wird der Explosionsradius im Kollaborationstool erheblich reduziert. Gleichzeitig sind sie in der Lage, abnormales Nutzerverhalten zu erkennen, indem die Aktivitäten mit Metadaten wie Datenklassifizierungen oder Geodaten angereichert werden. Auffällige Aktionen können auf diese Weise früh und präzise erkannt und gestoppt werden – ganz gleich, ob sich es sich bei dem auffälligen Nutzerkonto um ein Team-Mitglied oder einen Gastnutzer handelt.
(Bild: Varonis)
Der Autor Michael Scheffler ist Country Manager DACH von Varonis Systems.
:quality(80)/p7i.vogel.de/wcms/2e/f8/2ef80842527ea5a0b1aca92065bd2579/ki-2rogan-adobestock-717342439-mitki-932x524v1.jpeg "(Bild: © 2rogan/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/62/05/6205e09d28d23ddce06a6d82a405cdb1/agrartechnik-chusnul-adobestock-1135744669-neu-1197x673v1.jpeg "(Bild: © chusnul/stock.adobe.com - generiert mit KI)")
:quality(80)/p7i.vogel.de/wcms/5c/78/5c78ef73c2ed3b548c3e1f51999b4e31/ki-nirusmee-adobestock-845057742-neu-1200x675v1.jpeg "(Bild: © Nirusmee/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c0/cb/c0cbd08188621a0674f58ac6a99bd8a5/ai-20agent-looker-studio-adobestock-1490521906-neu-1200x674v1.jpeg "(Bild: © Looker_Studio/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/da/0eda8fd92270cb63107a44b58bddbea2/genua-genugate-20virtual-r11-16-9-3000x1687v1.jpeg "Als erste virtualisierte Firewall erfüllt genugate und genugate Virtual die hohen Sicherheitsstandards für die BSI-Zertifizierung nach EAL 4+ und AVA_VAN.5. (Bild: genua GmbH)")
:quality(80)/p7i.vogel.de/wcms/e9/4d/e94d46aa750d5b4b9eff39ac86f3021e/quantencomputer-graphicview35-adobestock-1620461863-mitki-1165x655v1.jpeg "(Bild: © graphicview35/stock.adobe.com - generiert mit KI)")
:quality(80)/p7i.vogel.de/wcms/c2/27/c22799e3e31caec20a4baf454e896532/kritis-leowolfert-adobestock-227539102-neu-878x494v1.jpeg "(Bild: © leowolfert/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/12/4e/124efd89ed632480f2c5d39646be06c7/cybersecurity-thanaporn-adobestock-1026202492-mitki-1197x673v1.jpeg "(Bild: © Thanaporn/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e6/b9/e6b9b78b1fead9da473529f6f18bedb9/ki-20scecurity-werckmeister-adobestock-856209725-mitki-996x560v1.jpeg "(Bild: © Werckmeister/stock.adobe.com - generiert mit KI)")
:quality(80)/p7i.vogel.de/wcms/93/4e/934e1815d6f36963ba3950aa2a99fdb0/freepik-bild16-9-1200x674v1.jpeg "(Bild: freepik.com/rawpixel.com)")
:quality(80)/p7i.vogel.de/wcms/7e/42/7e42c11ab9d4b23c668b5af3436d76ab/onlyoffice-201-1556x876v1.png "(Bild: Ascensio System SIA)")
:quality(80)/p7i.vogel.de/wcms/9c/eb/9ceb03e64fc021162fe8d6795c590305/ki-imaginethatstudios-adobestock-855455220-mitki-1197x673v1.jpeg "(Bild: © ImagineThatStudios/stock.adobe.com - generiert mit KI)")
:quality(80)/p7i.vogel.de/wcms/6a/e5/6ae58781b7fef346df14ad8780634d2a/adobestock-1887518112-andrey-popov-frauen-empowerment-937x527v1.jpeg "(Bild: © Andrey Popov/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d0/c9/d0c9db33dd29e147f8bfb10108d298c3/adobestock-1331550778-iman00-post-quantum-kryptografie-999x562v1.jpeg "(Bild: © Iman00/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/eb/29eb4c9076f5e31b20cc698b6629cd49/fortinet-20os-grafik-16-9-1559x876v1.jpeg "FortiOS ist ein Quantum-Safe-Betriebssystem, das als grundlegende Engine der Security-Fabric-Plattform von Fortinet dient. (Bild: Fortinet)")
:quality(80)/p7i.vogel.de/wcms/d5/67/d56702345eb3fed311a76f9679e44d6d/quantencomputer-paolo-adobestock-754407110-mitki-1067x600v1.jpeg "(Bild: © Paolo/stock.adobe.com - generiert mit KI)")
:quality(80)/p7i.vogel.de/wcms/71/e3/71e3ddd33e4dec1b40f9cefbf04e0817/telekom-noxtua-16-9-1008x567v1.jpeg "Noxtua wird neuer Kunde der KI-Fabrik der Deuschen Telekom in München. (Bild: Deutsche Telekom/ iStock/amgun; Montage: Evelyn Ebert Meneses)")
:quality(80)/p7i.vogel.de/wcms/ed/ca/edca4b162f9e6fcb70e2ce992f0fc191/schwarz-20digits-charite-1779x1000v1.jpeg "(Bild: )")
:quality(80)/p7i.vogel.de/wcms/e8/c9/e8c9711d8bf9b10b3627a09df683277e/rechenzentrum-nurionstudio-adobestock-990833600-mitki-1056x594v1.jpeg "(Bild: © nurionstudio/stock.adobe.com - generiert mit KI)")
:quality(80)/p7i.vogel.de/wcms/fe/b6/feb618dcd9a420558c33b63cd8d0d3d6/eu-atmospheric-20stock-adobestock-1120624805-neu-1197x673v1.jpeg "(Bild: © Atmospheric stock/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/09/03/0903ce87036011b833ac01227be46f45/robotik-anastasiia-adobestock-831949885-mitki-1067x600v1.jpeg "(Bild: © Anastasiia/stock.adobe.com - generiert mit KI)")
:quality(80)/p7i.vogel.de/wcms/bc/91/bc9141b985b19a0664b7770d5f63587c/adobestock-1425063409-mutshino-artwork-digital-health-996x560v1.jpeg "(Bild: © Mutshino_Artwork/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/31/9b/319b8fe5d2c59cc300886409a20250d3/deutsche-20telekom-ti-connect-16-9-1149x646v1.jpeg "Der TI-Connect soll Arztpraxen, Pflegeeinrichtungen und Krankenhäusern die Arbeit spürbar erleichtern. (Bild: Deutsche Telekom)")
:quality(80)/p7i.vogel.de/wcms/01/dd/01dd47904948c7e4bde7592a5975591a/deutscher-nachhaltigkeitspreis-preisstatuette-fotocredit-frank-fendler-1000x563v1.jpeg "(Bild: Frank Fendler)")
:quality(80)/p7i.vogel.de/wcms/18/57/1857a82b6e8a7046aaf37a4049d6647e/uhv-leitstelle-foto-20state-20grid-20corp-16-9-1200x675v1.jpeg "Die State Grid Corporation of China betreibt ein Netz von Leitstellen und Kontrollzentren, um die Stromversorgung für über 1,1 Milliarden Menschen in China zu sichern. (Bild: State Grid Corp.)")
:quality(80)/p7i.vogel.de/wcms/c2/82/c2822da028bb7639022b0c4e9cc68a04/osapiens-omnibus-teaser-1116x627v1.jpeg "(Bild: Osapiens)")
:quality(80)/p7i.vogel.de/wcms/9a/59/9a59f9ffabe7c603729033611a18f232/nachhaltigkeit-supatman-adobestock-896256258-neu-1200x675v1.jpeg "(Bild: © Supatman/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/77/0177df0b26d49b9f660a7cc02709f1a4/adobestock-1739868363-khfd-digitale-souveraenitaet-969x545v1.jpeg "(Bild: © Khfd/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/39/98392ce450241eaf288c55d9e5ea2309/adobestock-1832958607-andrey-datenbroker-1000x562v1.jpeg "(Bild: © Andrey/stock.adobe.com)")
:fill(fff,0)/p7i.vogel.de/companies/62/7e/627e1ceac041f/fis-logo.png "fis-logo (FIS)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/66/27/66276a182029e/dvelop-logo-grey.jpeg "dvelop-logo-grey (d.velop AG)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/65/b9/65b9165fa3dff/logo-kendox.jpeg "logo-kendox (Kendox AG)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/93/4e/934e1815d6f36963ba3950aa2a99fdb0/freepik-bild16-9-1200x674v1.jpeg "freepik-bild16-9-1200x674v1 (Bild: freepik.com/rawpixel.com)")
:quality(80)/p7i.vogel.de/wcms/1c/92/1c92e142f939ad5da9c655359332fd6a/veeam-20software-veeamon-202025-neu-900x506v1.jpeg "veeam-20software-veeamon-202025-neu-900x506v1 (Bild: Veeam Software)")