Microsoft 365 schützt eure E-Mails nicht. Wirklich nicht.
Microsoft 365 E-Mail-Sicherheit IT-Security KMU

Microsoft 365 schützt eure E-Mails nicht. Wirklich nicht.

EOP reicht für KMU nicht aus. Wir zeigen, wo die Lücken in Microsoft 365 E-Mail-Schutz sind — und was wirklich hilft.

01.04.2026

Ich sage das direkt, weil ich es regelmäßig in Kundenprojekten sehe.

Die meisten KMU nutzen Microsoft 365 — und viele gehen davon aus, dass damit auch die E-Mail-Sicherheit erledigt ist. Exchange Online Protection ist schließlich inklusive. Was soll da noch fehlen?

Einiges. Wie sich meistens herausstellt.

Was M365 mitliefert — und wo die Grenzen sind

Exchange Online Protection (EOP) ist der Standard-Schutz, der bei jeder M365-Lizenz dabei ist. Er filtert bekannte Spam-Absender, erkennt offensichtliche Malware-Anhänge und blockt einfache Phishing-Versuche.

Das klingt nach solider Basisabsicherung. Und für das, was EOP ist, macht es seinen Job auch gut.

Das Problem: Moderne Angriffe sehen anders aus als noch vor drei Jahren.

Ransomware kommt heute nicht mehr als „Rechnung_FINAL_v3.exe”. Sie kommt als PDF von einer scheinbar bekannten Absenderadresse. Sie kommt als Link zu einem kompromittierten SharePoint-Ordner. Oder als täuschend echter CEO-Fraud — eine E-Mail, die intern wirkt und euren Buchhalter bittet, schnell eine Überweisung freizugeben.

Microsoft selbst hat Anfang 2026 darauf hingewiesen: Angreifer nutzen aktiv Fehlkonfigurationen im E-Mail-Routing, um Phishing-Mails zu verschicken, die scheinbar aus eurer eigenen Domain kommen. EOP erkennt das nicht zuverlässig — weil die E-Mail technisch die richtigen Routing-Wege geht.

Was konkret fehlt, wenn ihr nur auf EOP setzt:

  • Kein KI-gestützter Schutz gegen Zero-Day-Phishing — neue Angriffsmuster, die noch nicht in Blacklists stehen, kommen durch
  • Kein E-Mail-Backup — wenn Microsoft eine Störung hat oder Postfächer versehentlich gelöscht werden, sind die Daten weg. Microsoft stellt keine Datensicherung bereit.
  • Kein Advanced Threat Protection in Basislizenzen — URL-Rewriting (Safe Links) und Sandbox-Analyse für Anhänge sind nicht in allen M365-Plänen enthalten
  • Keine Compliance-Archivierung nach GoBD / DSGVO out-of-the-box
  • Kein E-Mail-Continuity — wenn Microsoft eine Störung hat, könnt ihr keine E-Mails senden oder empfangen

Warum KMU besonders im Fokus stehen

Große Konzerne haben Security Operations Center und dedizierte CISO-Teams. Ein Mittelständler mit 60 bis 150 Mitarbeitern in der Regel nicht.

Gleichzeitig sind KMU interessante Ziele — als direktes Opfer oder als Einstiegspunkt in die Lieferkette größerer Unternehmen.

Die Zahlen sprechen für sich: Business Email Compromise (BEC) — also Angriffe über gefälschte oder kompromittierte Geschäftskorrespondenz — ist laut CISA eines der finanziell schädlichsten Cybercrime-Muster weltweit. BEC-Angriffe stiegen allein in den ersten drei Monaten 2025 um 13 Prozent. Wer glaubt, KMU seien zu klein, um interessant zu sein: Das ist genau das, worauf Angreifer setzen.

Was wirklich hilft: Sicherheit in Schichten

Der Ansatz, den wir unseren Kunden empfehlen, heißt Layered Security — und das ist kein Marketing-Begriff.

Microsoft selbst hat Ende 2025 eine Analyse veröffentlicht, die zeigt: Lösungen, die nach Microsoft Defender als zweite Schicht arbeiten, fangen noch signifikante Mengen schädlicher E-Mails ab, die Defender durchgelassen hat. Schutz funktioniert nicht als einzelnes Tool — er funktioniert als System.

Was diese zweite Schicht konkret leisten sollte:

KI-gestützte Phishing-Erkennung — nicht nur Blacklists, sondern Verhaltensanalyse. Unbekannte Angriffsmuster werden erkannt, bevor sie bekannt werden.

ATP: Links und Anhänge in Echtzeit prüfen — URLs in E-Mails werden beim Klick geprüft, Anhänge in einer Sandbox geöffnet. Euer Mitarbeiter bekommt das Ergebnis, nicht den Angriff.

E-Mail-Backup — automatisch, täglich — für Exchange Online, Teams, OneDrive und SharePoint. Wenn etwas schiefläuft, kommt ihr wieder dran. Ohne Datenverlust, ohne langen Anruf beim Support.

Compliance-Archivierung — revisionssichere E-Mail-Archivierung nach GoBD. Für viele Branchen nicht optional, sondern Pflicht.

E-Mail-Continuity — wenn Microsoft eine Störung hat, könnt ihr trotzdem E-Mails senden und empfangen. Das klingt kleiner als es ist — bis es einmal gebraucht wird.

Und das alles läuft direkt in eurer M365-Umgebung. Kein separater E-Mail-Gateway, keine komplizierte Infrastruktur.

Was das für euch bedeutet

Wenn ihr M365 nutzt und euch bisher auf EOP verlassen habt: Das ist eine nachvollziehbare Entscheidung — EOP ist kein schlechtes Produkt. Aber es reicht für ein Unternehmen, das ernsthaft angegriffen werden kann, nicht aus.

Die erste Frage ist nicht „welches Tool kaufen wir?”, sondern: Wann habt ihr zuletzt euren tatsächlichen Schutzstatus geprüft?

Wenn die Antwort „länger als 12 Monate her” ist — oder „nie” — dann ist das der erste Schritt.

Wir schauen uns das mit euch gemeinsam an. Keine Panik-Verkäufe, keine Buzzword-Bingo-Präsentation. Nur eine ehrliche Einschätzung, wo ihr steht — und was ihr braucht.

👉 Erstgespräch buchen (15 Minuten, kostenlos)

Oder direkt: info@walther-it-consulting.de

Hornetsecurity Bronze Partner Walther IT Consulting ist zertifizierter Hornetsecurity Bronze Partner.

Microsoft und Microsoft 365 sind eingetragene Marken der Microsoft Corporation.

Weiterführend: 👉 Microsoft 365 Backup: Warum OneDrive allein nicht reicht — Was Microsoft bei Backup und Retention wirklich leistet — und wo Hornetsecurity 365 Total Backup die Lücken schließt.

Teilen mit

LinkedIn Facebook Reddit X WhatsApp
← Zur Übersicht

Copilot & KI

Ist eure SharePoint-Basis Copilot-ready?

Bevor Copilot sinnvoll arbeiten kann, muss die Grundlage stimmen. Mit unserer kostenlosen Checkliste prüft ihr in 5 Minuten, ob ihr startklar seid — oder wo noch Hausaufgaben warten.

Kostenlose Checkliste herunterladen Copilot-Einführung besprechen