Ist Microsoft Teams sicher? Was du 2026 wissen musst

Dies ist ein unabhängiger Leitfaden. Nicht mit Microsoft Corporation verbunden oder von dieser unterstützt.

Dein IT-Leiter hat gerade eine Nachricht weitergeleitet mit der Frage, ob Microsoft Teams sicher genug für die nächste Vorstandssitzung ist. Der CISO will bis Freitag eine schriftliche Antwort. Und im Internet findest du alles — von 'Teams hat militärische Sicherheit" bis 'Teams wurde letztes Jahr gehackt" — ohne Mittelweg.

Die Realität sieht so aus: Ist Microsoft Teams sicher? Ja, für die meisten Organisationen bietet Teams solide Grundsicherheit. Aber 'sicher" ist keine Ja-oder-Nein-Frage. Es hängt von deinem Lizenz-Tier, deiner Admin-Konfiguration und den spezifischen Bedrohungen ab, gegen die du dich schützt.

Dieser Leitfaden zeigt genau, was Teams schützt, wo die Lücken sind und was dein Admin-Team konfigurieren sollte, bevor vertrauliche Informationen über die Plattform gesendet werden. Alle folgenden Aussagen basieren auf der offiziellen Microsoft-Dokumentation und unabhängigen Untersuchungen — Stand März 2026.

Wie Microsoft Teams deine Daten verschlüsselt

Teams verschlüsselt Daten auf zwei Ebenen: bei der Übertragung und im Ruhezustand. Beide zu verstehen ist wichtig, da sie vor unterschiedlichen Bedrohungen schützen.

Verschlüsselung bei der Übertragung schützt jede Nachricht, Datei und jeden Videoframe, der zwischen deinem Gerät und den Microsoft-Servern übertragen wird. Teams verwendet TLS 1.2 (oder höher) für den gesamten Client-Server-Verkehr und SRTP (Secure Real-Time Transport Protocol) für Audio- und Videoströme. Stand März 2026 gilt dies für jeden Teams-Client — Desktop, Mobil und Web.

Verschlüsselung im Ruhezustand schützt die auf den Microsoft-Servern gespeicherten Daten. Dateien in SharePoint und OneDrive (wo Teams freigegebene Dokumente speichert) verwenden AES-256-Verschlüsselung. Chat-Nachrichten und Kanalunterhaltungen in Exchange Online und Azure Cosmos DB werden standardmäßig mit von Microsoft verwalteten Schlüsseln verschlüsselt.

Ende-zu-Ende-Verschlüsselung (E2EE) ist ein differenzierteres Thema. Microsoft hat 2021 eine optionale E2EE für 1:1-Sprach- und Videoanrufe eingeführt. Wenn aktiviert, existieren die Verschlüsselungsschlüssel nur auf den beiden Endpunkten — Microsoft kann den Anruf nicht entschlüsseln. Aber E2EE in Teams hat Einschränkungen: Es funktioniert nur für ungeplante 1:1-Anrufe, deaktiviert Funktionen wie Aufzeichnung, Live-Untertitel und Anrufweiterleitung und ist Stand März 2026 nicht für Gruppenanrufe oder Chats verfügbar.

Ein Beispiel: Der CFO ruft den CEO an, um eine Übernahme zu besprechen. Mit aktiviertem E2EE auf beiden Konten ist dieser Anruf vor jedem geschützt — einschließlich Microsoft. Aber das wöchentliche Finanzteam-Meeting mit sechs Personen? Das läuft über Standard-SRTP-Verschlüsselung, bei der Microsoft die Schlüssel besitzt.

Für Organisationen, die mit geheimen oder hochsensiblen Daten arbeiten, ist das Fehlen von standardmäßigem E2EE bei Gruppenkommunikation die größte Sicherheitslücke in Teams heute.

Compliance-Zertifizierungen und regulatorische Unterstützung

Teams verfügt über eine umfangreiche Liste von Compliance-Zertifizierungen. Hier ist, was jede einzelne für deine Organisation tatsächlich bedeutet — Stand März 2026.

SOC 1 und SOC 2 Type II bestätigen, dass die operativen Kontrollen von Microsoft für die Datenverarbeitung unabhängig geprüft wurden. SOC 2 deckt speziell Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz ab. Diese Audits werden jährlich erneuert.

ISO 27001 zertifiziert, dass Microsoft ein Informationssicherheits-Managementsystem (ISMS) betreibt, das internationalen Standards entspricht. ISO 27018 ergänzt cloudspezifische Datenschutzkontrollen für personenbezogene Daten (PII).

DSGVO-Konformität bedeutet, dass Microsoft die vertraglichen Verpflichtungen, Datenverarbeitungsvereinbarungen und technischen Kontrollen bereitstellt, die von den EU-Vorschriften gefordert werden. Teams unterstützt die Datenspeicherung in der EU, und Microsoft handelt als Auftragsverarbeiter im Sinne der DSGVO. Organisationen können die Compliance-Tools im Microsoft-Purview-Portal nutzen, um Betroffenenanfragen zu bearbeiten.

HIPAA-Unterstützung erfordert ein Business Associate Agreement (BAA), das Microsoft für Organisationen mit geeigneten Plänen (Microsoft 365 E3/E5, Business Premium und andere) unterzeichnet. Das BAA deckt Teams-Chat, Kanäle, Meetings und Anrufe ab. Die HIPAA-Konformität erfolgt jedoch nicht automatisch: Deine Organisation muss Teams korrekt konfigurieren, Benutzer im Umgang mit PHI schulen und ein eigenes Compliance-Programm unterhalten.

FERPA-, FedRAMP- und CJIS-Zertifizierungen machen Teams für Bildung, US-Bundesbehörden und Strafverfolgung einsetzbar.

Ein Punkt, den Wettbewerber selten erwähnen: Die Zertifizierungen beziehen sich auf Microsofts Infrastruktur und Praktiken. Sie zertifizieren nicht die Nutzung von Teams durch deine Organisation. Wenn dein Team Patientenakten in einem öffentlichen Kanal mit aktiviertem Gastzugang teilt, ist das ein Compliance-Verstoß — unabhängig von Microsofts Zertifizierungen. Effektive Remote-Meetings durchzuführen erfordert weiterhin ein gutes Sicherheitsbewusstsein deines Teams.

Die wichtigsten Admin-Sicherheitseinstellungen

Der größte Faktor für die Sicherheit von Teams in deiner Organisation ist nicht Microsofts Verschlüsselung. Es ist die Admin-Konfiguration. Teams wird mit freizügigen Standardeinstellungen ausgeliefert — sie zu verschärfen liegt in deiner Verantwortung.

Richtlinien für bedingten Zugriff

Bedingter Zugriff (verfügbar ab Microsoft Entra ID P1) ermöglicht es Admins, Regeln festzulegen, wer unter welchen Bedingungen auf Teams zugreifen darf. Du kannst Multi-Faktor-Authentifizierung (MFA) für alle Teams-Anmeldungen verlangen, den Zugriff von nicht verwalteten Geräten blockieren, Anmeldungen auf bestimmte IP-Bereiche oder Länder beschränken und Geräte-Compliance-Prüfungen vor der Zugriffsgewährung erzwingen.

Das ist die wirksamste verfügbare Sicherheitskontrolle. Microsofts eigene Daten zeigen, dass MFA über 99 % der Kontoübernahme-Angriffe blockiert (Microsoft Digital Defense Report, 2024).

Gast- und externer Zugriff

Standardmäßig erlaubt Teams externen Benutzern, Chats und Meetings mit deiner Organisation anzufordern. Das ist nützlich für die Zusammenarbeit, schafft aber eine Angriffsfläche. Ende 2023 nutzte die Bedrohungsgruppe Storm-0324 die externe Teams-Nachrichtenfunktion, um Phishing-Payloads an Zielorganisationen zu liefern und dabei E-Mail-Sicherheitsfilter vollständig zu umgehen.

Admins sollten die Einstellungen für externen Zugriff vierteljährlich überprüfen. Du kannst den externen Zugriff auf bestimmte vertrauenswürdige Domains beschränken, anonyme Meeting-Teilnahme deaktivieren, Lobby-Genehmigung für alle externen Teilnehmer verlangen und den Gastzugang vollständig deaktivieren, wenn deine Organisation ihn nicht benötigt.

Sicherheitseinstellungen für Meetings

Teams-Meetings verfügen über mehrere Kontrollschichten. Admins können Warteräume für alle externen Teilnehmer erzwingen, anonyme Teilnahme global deaktivieren, einschränken, wer präsentieren oder den Bildschirm teilen darf, kontrollieren, ob und von wem Meetings aufgezeichnet werden können, und Wasserzeichen auf geteilte Inhalte und Videofeeds anwenden (verfügbar mit Teams Premium ab März 2026).

Sarah, IT-Administratorin bei einem 200-Personen-Fintech-Unternehmen, berichtete uns: 'Wir haben den Warteraum für alle außerhalb unserer Organisation aktiviert, anonyme Teilnahme deaktiviert und MFA verlangt. Die Konfiguration dauerte 45 Minuten. Zwei Monate später haben wir einen Social-Engineering-Versuch entdeckt, bei dem jemand mit einem gefälschten Anzeigenamen an unserer vierteljährlichen Vorstandssitzung teilnehmen wollte. Der Warteraum hat ihn gestoppt."

Datenspeicherort, DLP und Informationsschutz

Wo deine Daten gespeichert werden und wer sie teilen darf — zwei Fragen, die Compliance-Verantwortlichen den Schlaf rauben. Teams bietet Kontrollen für beides, aber die Tiefe hängt von deiner Lizenz ab.

Datenspeicherort

Microsoft speichert Teams-Daten in der geografischen Region, die deinem Microsoft-365-Tenant zugeordnet ist. Stand März 2026 bietet Microsoft Datenspeicherung in über 17 Regionen an, darunter EU, USA, UK, Australien, Japan, Kanada und Indien. Für Organisationen mit strengen Souveränitätsanforderungen ermöglicht Microsoft 365 Advanced Data Residency (ein Add-on) die Zuordnung bestimmter Workloads zu einem Land.

Chat-Nachrichten werden in Exchange-Online-Postfächern (für 1:1- und Gruppenchats) und in Azure Cosmos DB (für Kanalnachrichten) gespeichert. Dateien gehen an SharePoint Online. Meeting-Aufzeichnungen landen in OneDrive oder SharePoint. Genau zu wissen, wo jeder Datentyp gespeichert ist, ist wichtig, wenn die Rechtsabteilung bei einem Compliance-Review fragt: 'Wo werden unsere Daten gespeichert?"

Schutz vor Datenverlust (DLP)

DLP-Richtlinien verhindern, dass sensible Informationen deine Organisation über Teams verlassen. Du kannst Regeln erstellen, die das Teilen von Kreditkartennummern, Sozialversicherungsnummern, Gesundheitsdaten oder benutzerdefinierten Mustern (wie interne Projektcodes) in Teams-Chats und -Kanälen erkennen und blockieren.

DLP ist ab Microsoft 365 E3 verfügbar. E5 fügt fortgeschrittene Klassifizierungen hinzu, die maschinelles Lernen nutzen, um sensible Inhalte auch dann zu identifizieren, wenn sie keinen exakten Mustern entsprechen. Für Organisationen, die Finanzdaten verarbeiten, ist DLP unverzichtbar — betrachte es als Anforderung, nicht als Zusatzfunktion.

Vertraulichkeitsbezeichnungen und Informationsbarrieren

Vertraulichkeitsbezeichnungen (Teil von Microsoft Purview) ermöglichen die Klassifizierung von Teams, Kanälen und Meetings nach Vertraulichkeitsstufe. Eine Bezeichnung 'Streng vertraulich" kann automatisch Verschlüsselung erzwingen, den Gastzugang einschränken und das Teilen von Inhalten außerhalb des Teams verhindern.

Informationsbarrieren gehen noch weiter und verhindern, dass ganze Benutzergruppen miteinander kommunizieren. Investmentbanken nutzen sie, um Deal-Teams von Analysten zu trennen. Schulen verwenden sie, um die Kommunikation von Personal und Schülern zu trennen. Diese Funktionen erfordern Microsoft 365 E5 oder das Compliance-Add-on.

Wenn du Microsoft-Teams-Alternativen in Betracht ziehst, weil dein aktueller Plan diese Kontrollen nicht enthält — vergleiche sorgfältig. Viele Alternativen bieten einfachere Berechtigungsmodelle, verfügen aber nicht über die granularen DLP- und Klassifizierungstools, die Microsoft bereitstellt.

Bekannte Schwachstellen und reale Angriffe

Keine Plattform ist immun gegen Sicherheitsvorfälle, und Transparenz über vergangene Probleme ist nützlicher als so zu tun, als gäbe es sie nicht.

Storm-0324 und Midnight Blizzard (2023)

Zwei verschiedene Bedrohungsgruppen nutzten die externe Teams-Nachrichtenfunktion für Phishing-Angriffe aus. Storm-0324 versendete bösartige Links über Teams-Chats an externe Organisationen. Midnight Blizzard (mit russischer staatlicher Aktivität in Verbindung gebracht) zielte auf Regierungs- und Technologieorganisationen ab und nutzte kompromittierte Microsoft-365-Tenants zum Versenden von Teams-Nachrichten. Microsoft reagierte mit neuen Einschränkungen für externe Nachrichten und verbesserter Bedrohungserkennung in Defender for Office 365.

Cross-Site-Scripting-Schwachstellen (XSS)

Forscher identifizierten XSS-Schwachstellen in Teams, darunter CVE-2023-4863 (eine libwebp-Schwachstelle, die den Desktop-Client betraf) sowie frühere Probleme mit der Injection von Anzeigenamen. Microsoft hat diese Schwachstellen gepatcht, aber sie verdeutlichen ein wiederkehrendes Muster: Der Teams-Desktop-Client (auf Electron aufgebaut) hat eine größere Angriffsfläche als eine reine Webanwendung.

GIFShell-Angriff (2022)

Der Sicherheitsforscher Bobby Rauch demonstrierte eine Technik namens GIFShell, die das GIF-Rendering von Teams nutzte, um Befehle auszuführen und Daten über Microsofts eigene Infrastruktur zu exfiltrieren. Microsoft stufte dies als niedrig eingestuft und patchte es nicht sofort, was Kritik aus der Sicherheits-Community hervorrief.

Was das für dich bedeutet

Diese Vorfälle teilen ein Muster: Sie nutzten Funktionen (externe Nachrichten, Medien-Rendering, Föderation) aus, anstatt die Verschlüsselung zu brechen. Die Verschlüsselung selbst hat sich bewährt. Die Angriffsfläche bilden die Kollaborationsfunktionen, die Teams nützlich machen.

Dein IT-Team sollte das Microsoft 365 Message Center für Sicherheitshinweise abonnieren und vierteljährlich das Microsoft Security Response Center (MSRC) auf Teams-bezogene CVEs prüfen.

Ist Microsoft Teams sicher für vertrauliche Informationen?

Das ist die Frage, die die meisten Leute tatsächlich stellen, wenn sie 'Ist Microsoft Teams sicher" suchen. Kurze Antwort: Ja, mit der richtigen Konfiguration und dem richtigen Lizenz-Tier.

Für alltägliche Geschäftskommunikation (Meeting-Notizen, Projekt-Updates, Teamdiskussionen) bietet Teams auf jedem kostenpflichtigen Plan mehr als ausreichende Sicherheit. TLS-Verschlüsselung, Verschlüsselung im Ruhezustand und Microsofts Infrastruktursicherheit decken die Grundlagen ab.

Für vertrauliche Geschäftsinformationen (Finanzberichte, M&A-Gespräche, Rechtsangelegenheiten) brauchst du E3 oder höher. Aktiviere Vertraulichkeitsbezeichnungen, konfiguriere DLP-Richtlinien, beschränke die externe Freigabe und nutze E2EE für sensible 1:1-Anrufe. Überprüfe deine Gastzugriffs-Einstellungen und kontrolliere, wer Besitzerberechtigungen in jedem Team hat.

Für regulierte Daten (Patientenakten, Schülerdaten, als Verschlusssache eingestufte Regierungsinformationen) brauchst du E5 plus spezifische Compliance-Konfigurationen. Lass das BAA für HIPAA unterzeichnen. Konfiguriere Informationsbarrieren, falls erforderlich. Arbeite mit deinem Compliance-Team zusammen, um die Teams-Konfiguration und -Kontrollen zu dokumentieren. Erwäge Microsoft 365 Advanced Data Residency, wenn Datensouveränität wichtig ist.

Für Passwörter und Zugangsdaten ist der Teams-Chat unabhängig vom Verschlüsselungsniveau nicht das richtige Werkzeug. Nutze einen dedizierten Passwort-Manager wie 1Password, Bitwarden oder den bestehenden Tresor deiner Organisation. Das gilt für jede Kollaborationsplattform, nicht nur für Teams.

Eine praktische Faustregel: Wenn du das Thema in einem Besprechungsraum mit Glaswänden im Büro diskutieren würdest, reicht Teams mit den richtigen Sicherheitseinstellungen aus. Wenn du es nur in einem verschlossenen Raum ohne Telefone besprechen würdest, brauchst du mindestens E2EE und solltest prüfen, ob eine Cloud-Plattform überhaupt deinen Anforderungen entspricht.

Für virtuelle Büros, in denen Teams den ganzen Tag zusammenarbeiten, bieten die privaten Räume von Flat.social schalldichte Wände, die physische Trennung schaffen. Es ist ein anderes Modell als Chat-Kanäle — und für manche Teams macht der räumliche Ansatz klarer, wer welche Gespräche hören kann.

Best Practices für die Microsoft-Teams-Sicherheit für Admins

Hier ist eine umsetzbare Checkliste, basierend auf Microsofts offiziellen Empfehlungen und realen Vorfällen. Diese Einstellungen gelten für Microsoft-365-E3/E5-Tenants — Stand März 2026.

Authentifizierung und Zugriff:

• Aktiviere MFA für alle Benutzer über bedingten Zugriff (nicht per-User-MFA, das Microsoft einstellt)
• Blockiere veraltete Authentifizierungsprotokolle
• Erstelle eine Richtlinie für bedingten Zugriff, die konforme Geräte für den Teams-Zugriff erfordert
• Richte benannte Standorte ein und blockiere Anmeldungen aus Ländern, in denen du nicht tätig bist

Externer und Gastzugriff:

• Beschränke den externen Zugriff auf eine Zulassungsliste vertrauenswürdiger Domains statt 'offen für alle"
• Verlange MFA für Gastbenutzer
• Setze eine Ablaufzeit für den Gastzugang (90 Tage ist ein üblicher Ausgangswert)
• Überprüfe und entferne inaktive Gastkonten vierteljährlich

Meeting- und Anrufsicherheit:

• Setze den Warteraum auf 'Alle" für Benutzer außerhalb deiner Organisation
• Deaktiviere anonyme Meeting-Teilnahme, sofern nicht ausdrücklich benötigt
• Aktiviere Meeting-Wasserzeichen für sensible Präsentationen (Teams Premium)
• Beschränke die Meeting-Aufzeichnung auf Organisatoren und Co-Organisatoren

Datenschutz:

• Setze DLP-Richtlinien für Kreditkartennummern, Sozialversicherungsnummern und andere PII-Muster in Teams-Chats ein
• Aktiviere Vertraulichkeitsbezeichnungen und lege eine Standardbezeichnung für neue Teams fest
• Aktiviere die Überwachungsprotokollierung in Microsoft Purview
• Konfiguriere Aufbewahrungsrichtlinien, damit Daten nicht länger als nötig gespeichert werden

Überwachung:

• Aktiviere sichere Anhänge und sichere Links von Microsoft Defender for Office 365 für Teams
• Überprüfe die Sicherheitsberichte im Teams Admin Center monatlich
• Abonniere die Benachrichtigungen von Microsoft 365 Service Health und Message Center
• Führe vierteljährlich Angriffssimulationstrainings durch, um das Sicherheitsbewusstsein der Benutzer zu testen

Für Teams, die nach Alternativen zu herkömmlichen Videokonferenzen suchen, gehen räumliche Plattformen wie Flat.social anders an die Sicherheit heran. Statt Kanalberechtigungen und DLP-Regeln ist das Sicherheitsmodell räumlich: Private Räume blockieren den Schall, und du siehst genau, wer nah genug ist, um dein Gespräch zu hören. Einfacher, aber für einen anderen Anwendungsfall als Enterprise-Compliance gedacht.

Microsoft Teams, Microsoft 365, Microsoft Entra ID, Microsoft Purview und Microsoft Defender sind Marken der Microsoft Corporation. Alle anderen Marken sind Eigentum der jeweiligen Inhaber.

Das Fazit: Ist Microsoft Teams sicher genug?

Microsoft Teams ist eine wirklich sichere Plattform, wenn sie richtig konfiguriert ist. Die Verschlüsselung ist solide, die Compliance-Zertifizierungen sind echt und die Admin-Tools sind umfassend.

Aber 'sicher" hat Bedingungen. Deine Organisation braucht das richtige Lizenz-Tier (E3 mindestens für echte Sicherheitskontrollen, E5 für erweiterte Compliance). Du brauchst einen Admin, der tatsächlich bedingten Zugriff, DLP und Gastzugangsbeschränkungen konfiguriert. Und du brauchst Benutzer, die verstehen, dass das Teilen von Passwörtern im Teams-Chat auf keiner Plattform sicher ist.

Was du diese Woche tun solltest:

1. Überprüfe deine Einstellungen für externen und Gastzugriff. Die meisten Organisationen haben zu freizügige Standardeinstellungen, die sie nie überprüft haben.
2. Aktiviere MFA über bedingten Zugriff, falls noch nicht geschehen. Diese eine Änderung blockiert die überwiegende Mehrheit der Kontoübernahmen.
3. Überprüfe deine DLP-Richtlinien. Falls du keine hast, beginne mit den integrierten Vorlagen für Kreditkartennummern und Sozialversicherungsnummern.
4. Prüfe dein Teams-Lizenz-Tier. Wenn du E1 oder Business Basic hast, fehlen dir wichtige Sicherheitsfunktionen.
5. Abonniere die Microsoft-365-Sicherheitshinweise, damit du vor deinen Benutzern von Schwachstellen erfährst.

Teams-Sicherheit ist keine einmalige Einrichtung. Es ist eine fortlaufende Aufgabe. Aber mit der richtigen Konfiguration ist es eine Plattform, der du die Kommunikation deiner Organisation anvertrauen kannst.

Für Teams, die einen einfacheren Ansatz für Online-Meetings suchen, ohne eine Admin-Konsole mit 50 Einstellungen zu verwalten, bieten räumliche Plattformen wie Flat.social ein anderes Modell. Du siehst, wer in der Nähe ist, gehst in einen privaten Raum, wenn du Vertraulichkeit brauchst, und übergehst komplexe Berechtigungsebenen. Es wird Teams nicht in einem 10.000-Personen-Unternehmen ersetzen. Aber für Teams von 5 bis 200 Personen, die sichere, natürliche Gespräche wollen, lohnt sich ein Blick.