Teams aktiviert Sicherheitsfeatures by default

von | Jan. 24, 2026 | CB-M365, Consulting Briefing | 0 Kommentare

Table of Contents
2
3

Consulting Briefing: Thema des Tages

Teams aktiviert Sicherheitsfeatures by default

Teams wird strenger – und das ist (meistens) gut so

Microsoft hat Microsoft Teams in den letzten Jahren vom „Chat nebenbei“ zum digitalen Hauptbahnhof für Dateien, Links und kurze „Kannst du mal eben…“-Momente gemacht. Blöd nur: Genau diese Mischung ist für Angreifer ein Festbuffet. Wer früher per E-Mail gefischt hat, fischt heute genauso gern in Chats, Kanälen und Meeting-Chats – inklusive Links, Anhängen und sozialer Manipulation.

Darum dreht Microsoft jetzt an einer Schraube, die viele Unternehmen lange liegen gelassen haben: wichtige Sicherheitsfunktionen werden in Teams standardmäßig aktiviert (für Mandanten, die bisher mit den Standard-Messaging-Einstellungen unterwegs waren). Konkret geht es um drei Defaults: Dateischutz, Link-Scanning und Falschmeldungs-Reporting.

Was steckt dahinter – und warum sollte Sie das freuen, auch wenn es anfangs ein bisschen „Huch, was ist das denn?“ auslöst?

1) Dateischutz: Wenn Teams gefährliche Dateitypen einfach blockt

Der erste Baustein heißt in Microsoft-Sprech Weaponizable File Protection – auf Deutsch meist waffenfähiger Dateischutz. Die Idee ist herrlich unromantisch: Bestimmte Dateitypen sind so oft Teil von Malware-Ketten (zum Beispiel ausführbare oder skriptbasierte Formate), dass man sie im Chat gar nicht erst durchwinken muss.

Was passiert für Nutzer?

  • Jemand versucht, so einen riskanten Dateityp in einem Chat oder Kanal zu senden.

  • Teams blockiert die Nachricht (statt „wird schon gutgehen“ zu spielen).

  • Der Absender bekommt einen Hinweis, dass der Dateityp nicht zugelassen ist.

Wichtig: Das ist kein „Wir scannen jede Datei bis ins letzte Bit“ im Sinne eines klassischen Virenscans, sondern ein Schutz über Dateityp-Logik: Was statistisch häufig Ärger macht, wird konsequent aus dem Chat-Verkehr ferngehalten. Für viele Unternehmen ist das die beste Art von Sicherheit: still, konsequent, schwer zu diskutieren.

Warum eingeführt?
Weil Angriffe über geteilte Dateien in Kollaborationstools zunehmen und Teams durch seine Allgegenwart ein attraktives Ziel ist. Die Abkürzung dahinter lautet wie so oft: Risiko runter, ohne dass Admins erst drei Wochen an Richtlinien basteln müssen.

2) Link-Scanning: Warnschilder direkt im Chat

Der zweite Baustein ist Malicious URL Protection (Linkschutz). Teams prüft Links, die in Chats, Kanälen und Meeting-Nachrichten auftauchen, gegen Microsofts Bedrohungsinformationen und kennzeichnet Verdächtiges mit Warnhinweisen.

Was sehen Nutzer?

  • Bei verdächtigen Links erscheinen Warnlabels im Gespräch.

  • Je nach Ausprägung werden Nutzer vor dem Öffnen gewarnt; in manchen Fällen kann auch der Absender einen Hinweis bekommen und die Nachricht bearbeiten oder löschen.

Das ist psychologisch ziemlich clever: Der entscheidende Moment ist nicht „irgendwann später im Security-Report“, sondern genau beim Klick. Und ja: Das passt auch zu Microsoft Defender-Mechaniken wie „Safe Links“, die Linkprüfung in Microsoft-365-Apps unterstützen – Teams ist da längst kein Sonderling mehr.

Warum eingeführt?
Weil Phishing heute oft über kurze, glaubwürdige Nachrichten läuft („Hier ist das Protokoll“, „Schnell freigeben“, „Du musst dich neu anmelden“) – und Links sind die Rampe. Je mehr KI-gestützte Social-Engineering-Kampagnen es gibt, desto mehr lohnt sich ein automatisches Stoppschild am Abgrundrand.

3) Falschmeldungs-Reporting: Wenn Nutzer die Sensoren mitkalibrieren

Der dritte Baustein klingt unscheinbar, ist aber Gold wert: „Report incorrect security detections“ – also ein Mechanismus, mit dem Nutzer Fehlalarme melden können. Außerdem wird das Melden verdächtiger Inhalte in Teams immer stärker in Defender-Prozesse eingebettet.

Was heißt das praktisch?

  • Wird etwas fälschlich als gefährlich markiert oder blockiert, kann der Nutzer das als Fehlalarm melden.

  • Umgekehrt können Nutzer auch verdächtige Nachrichten melden, selbst wenn Teams sie nicht markiert hat – je nach Lizenz- und Defender-Setup.

Warum ist das wichtig? Weil kein automatisches System perfekte Trefferquoten hat. Das Reporting ist die Rückkopplungsschleife, die hilft, Erkennungen zu verbessern und Security-Teams schneller auf echte Vorfälle zu stoßen – ohne dass jeder Fehlalarm ein Ticket mit zehn Screenshots wird.

Was war mit bestehenden Sicherheits-Konfigurationen?

Hier liegt der typische Admin-Krimi: „Was ist Default, was ist bewusst gesetzt, und was passiert beim Update?“

Microsofts Ansatz ist (relativ) schonend: Betroffen sind vor allem Mandanten, die bisher die Standard-Messaging-Einstellungen genutzt haben. Wer bereits individuell konfiguriert hat, soll diese Konfiguration grundsätzlich behalten – aber Admins mussten vor dem Stichtag prüfen, ob sie wirklich in „Standard“ hängen oder ob sie bewusst abweichen wollen.

Übersetzt in Admin-Alltag:

  • Prüfen im Teams Admin Center unter den Messaging-Einstellungen (Messaging-Sicherheitseinstellungen), ob die Schalter aktiv sind bzw. wie sie gesetzt sind.

  • Wenn Ihr Unternehmen bisher „locker“ unterwegs war, kommt jetzt eher ein „festgezurrt“.

  • Wenn Sie schon strenger waren (zum Beispiel über eigene Policies/Prozesse), müssen Sie vor allem testen, ob neue Defaults irgendwo Reibung erzeugen (Dateitypen, Workflows, Ausnahmen, Helpdesk-Last).

Was bedeuten die neuen Defaults für Teams-Nutzer?

Kurzfassung: mehr Warnhinweise, weniger gefährliche Anhänge, etwas mehr „Warum geht das nicht?“ – und langfristig deutlich weniger „Warum ist plötzlich unser Tenant verschlüsselt?“.

Typische Effekte:

  • Bestimmte Anhänge lassen sich nicht mehr direkt im Chat verteilen.

  • Links bekommen Warnlabels, und Nutzer müssen bewusster klicken.

  • Bei Fehlalarmen gibt es einen Weg, das sauber zurückzumelden, statt per Screenshot-Pingpong.

Das große Muster dahinter: Secure by Default + Zero Trust

Microsoft folgt hier einem Trend, der in der IT-Sicherheit längst erwachsen geworden ist: Secure by Default. Nicht „Sie könnten das absichern“, sondern „Es ist abgesichert, und wenn Sie es lockern wollen, müssen Sie das bewusst tun“.

Das passt perfekt zu Zero Trust: Vertrauen wird nicht pauschal vergeben („ist ja intern“), sondern kontextabhängig geprüft – und Links/Dateien sind nun mal häufig der Einstiegspunkt. Sicherheitsvoreinstellungen sind dabei die Basis: Je weniger man von „hoffentlich richtig eingestellt“ abhängt, desto stabiler wird das Gesamtsystem.

Praxistipps: So schulen Sie Mitarbeiter ohne PowerPoint-Schmerz

  1. Zeigen statt predigen: Ein kurzes internes Video (90 Sekunden) „So sehen Linkwarnungen aus, so reagierst du“.

  2. Drei Regeln als Merksatz:

    • Warnlabel? Erst nachdenken, dann klicken.

    • Blockierter Anhang? Nicht „Workaround basteln“, sondern sicheren Weg nutzen (SharePoint/OneDrive, freigegebene Ablage).

    • Fehlalarm? Melden statt fluchen.

  3. Mini-FAQ im Intranet: „Warum ist Datei X blockiert? Welche Alternativen gibt es?“

  4. Helpdesk-Playbook: Support braucht Standardantworten und ein Eskalationsschema („Fehlalarm melden“, „Sicherheitsprüfung“, „Freigabeprozess“).

  5. Phishing-Drills modernisieren: Nicht nur Mail-Simulationen – auch Teams-Nachrichten als Übungsszenario, weil genau dort die neuen Signale auftauchen.

Unterm Strich: Diese Defaults sind wie Sicherheitsgurte, die vorher im Handschuhfach lagen. Jetzt sind sie angelegt. Anfangs knarzt es vielleicht an der Schulter – aber bei der ersten Vollbremsung sind alle sehr, sehr froh.

Anmelden zum Consulting Briefing per Mail

Wenn Sie kostenlos das tägliche Consulting Briefing von Ulrich Boddenberg per Mail erhalten möchten, melden Sie sich auf dieser Seite an.

Die zehn letzten Consulting Briefings