Daten sicher in der Cloud speichern für Unternehmen 2026

Montagmorgen, 8 Uhr, die erste Mandantin ruft an und fragt nach einer Auswertung. Gleichzeitig meldet dein Team, dass eine Datei in Teams nicht mehr aufzufinden ist, ein Mitarbeiter sein Passwort vergessen hat und du irgendwo im Hinterkopf noch die Frage hast, ob die Mandantendaten in Microsoft 365 eigentlich wirklich DSGVO-sauber liegen.

Genau so sehen viele Gespräche bei Steuerkanzleien aus. Nicht die große Theorie ist das Problem, sondern der Alltag. Dateien landen in OneDrive, Belege kommen per Mail, Freigaben werden schnell gesetzt, und irgendwann weiß keiner mehr sauber, wer worauf zugreifen darf.

Wenn du daten sicher in der cloud speichern willst, reicht es nicht, einfach Microsoft 365 zu kaufen und auf das Standardsystem zu vertrauen. Die Plattform bringt viel mit. Aber sicher wird sie erst durch die richtige Auswahl, die passende Einrichtung und klare Regeln im Betrieb. Gerade bei Mandantendaten zählt nicht, was im Prospekt steht, sondern was bei dir konkret aktiviert, dokumentiert und getestet ist.

Das Fundament – Die richtige Cloud für dein Unternehmen

Bei einer Steuerkanzlei ist die Frage selten, ob Cloud oder nicht. Die eigentliche Frage lautet: Welche Cloud passt zu deinen Daten, deinen Abläufen und deiner DSGVO-Pflicht?

Viele werfen Public Cloud, Private Cloud und Hybrid Cloud in einen Topf. Im Alltag sind das aber sehr unterschiedliche Modelle.

Drei Modelle, drei Realitäten

Public Cloud heißt: Du nutzt Dienste wie Microsoft 365 aus einer großen, professionell betriebenen Umgebung. Das ist für viele Kanzleien die praktikabelste Lösung, weil sie flexibel ist, sauber skaliert und gute Sicherheitsfunktionen mitbringt.

Private Cloud heißt: Eine abgeschottete Umgebung nur für dein Unternehmen oder einen kleinen Mandantenkreis. Das kann sinnvoll sein, wenn sehr spezielle Anforderungen bestehen. Im Mittelstand ist es aber oft teurer und aufwendiger im Betrieb.

Hybrid Cloud ist die Mischung aus beidem. Ein Teil bleibt lokal oder in einer separaten Umgebung, der andere Teil läuft in der Cloud. Das passt, wenn Altanwendungen noch im Haus stehen oder bestimmte Daten bewusst getrennt bleiben sollen.

Zur Einordnung hilft diese Übersicht:

Modell	Wann es gut passt	Wo es oft hakt
Public Cloud	Microsoft 365, Zusammenarbeit, mobiles Arbeiten, kalkulierbare Abläufe	Falsch gesetzte Freigaben, unklare Datenhaltung, zu breite Rechte
Private Cloud	Sonderanforderungen, isolierte Umgebungen, individuelle Vorgaben	Höherer Betriebsaufwand, mehr Eigenverantwortung, meist höhere Kosten
Hybrid Cloud	Wenn bestehende Server bleiben müssen oder Anwendungen noch nicht cloudfähig sind	Komplexität, doppelte Prozesse, mehr Abstimmungsbedarf

Für die meisten Kanzleien ist Microsoft 365 sinnvoll. Aber nur mit sauberem Rahmen

In der Praxis sehen wir oft denselben Denkfehler: "Unsere Daten liegen bei Microsoft, also ist das Thema Sicherheit erledigt." So läuft es nicht.

Das Modell der geteilten Verantwortung ist der entscheidende Punkt. Der Anbieter schützt die Infrastruktur. Du musst festlegen, wie Zugriffe geregelt sind, wo Daten liegen, wie sie geteilt werden und wie du das dokumentierst.

Bei Mandantendaten ist nicht die Frage, ob die Cloud grundsätzlich sicher sein kann. Die Frage ist, ob deine konkrete Einrichtung sauber geführt wird.

Wenn du dir noch einmal die Grundlagen ansehen willst, hilft dieser Einstieg zu einfach erklärten Cloud-Grundlagen.

Worauf du bei der Anbieterauswahl wirklich achten musst

Für deutsche KMU ist der Serverstandort keine Nebensache. Laut einer bei Proton zitierten Bitkom-Studie aus dem Jahr 2025 haben 68 % der deutschen KMU Bedenken hinsichtlich der DSGVO-Konformität in der Cloud, aber nur 42 % nutzen gezielt zertifizierte EU-Provider. Reine US-Clouds bergen aufgrund des CLOUD Acts ein um 15 % höheres Bußgeld-Risiko. Das macht die Wahl eines Anbieters mit Rechenzentren in Deutschland entscheidend, etwa in Frankfurt oder Berlin, wie im Beitrag zu Cloud-Sicherheitsrisiken und Datenstandorten beschrieben.

Im Klartext für deine Kanzlei:

• Datenresidenz prüfen. Achte darauf, dass der Speicherort deiner Daten bei Einrichtung passend gewählt wird.
• Vertragliche Unterlagen sauber ablegen. Auftragsverarbeitung, Datenschutzinfos und interne Zuständigkeiten gehören nicht in irgendeinen Ordner, sondern in eine nachvollziehbare Dokumentation.
• Keine Mischlandschaft aus Verlegenheit bauen. Wenn Mitarbeiter mal OneDrive, mal private Tools, mal USB-Sticks nutzen, verlierst du die Kontrolle.

Ein typischer Fehler aus dem Kanzleialltag

Eine Kanzlei richtet einen digitalen Posteingang ein. Eingehende Unterlagen landen erst im gemeinsamen Teams-Kanal, dann schiebt jemand sie in ein persönliches OneDrive, weil es "schneller geht". Später soll ein Kollege vertreten und findet die Unterlagen nicht. Gleichzeitig liegt der Zugriff an der falschen Stelle, nämlich personengebunden statt kanzleibezogen.

Das Problem ist dann nicht "die Cloud". Das Problem ist ein schlechter Aufbau.

Für sensible Mandantendaten funktioniert Public Cloud nur dann gut, wenn du vorher sauber festlegst:

• Wo Unterlagen abgelegt werden
• Wer fachlich Zugriff braucht
• Welche Daten die Kanzlei verlassen dürfen und welche nicht
• Wie du Löschung, Archivierung und Vertretung regelst

Wenn diese Punkte sauber stehen, ist Microsoft 365 für viele Steuerberater die vernünftigste Mischung aus Sicherheit, Flexibilität und Alltagstauglichkeit.

Die Technik im Griff – Konkrete Sicherheitseinstellungen in M365

Die meisten Sicherheitsprobleme in Microsoft 365 entstehen nicht, weil die Plattform zu wenig kann. Sie entstehen, weil Standardzustände laufen bleiben oder Einstellungen halb fertig sind.

Wenn du daten sicher in der cloud speichern willst, gibt es in M365 drei Stellen, die zuerst sitzen müssen. Nicht irgendwann. Zuerst.

Zugänge absichern mit MFA

Ein Passwort allein reicht nicht. In Kanzleien schon gar nicht. Mitarbeiter arbeiten im Büro, im Homeoffice, beim Mandanten oder unterwegs. Sobald Zugangsdaten abgegriffen werden, ist dein schönes Berechtigungskonzept wertlos.

MFA bedeutet Mehr-Faktor-Authentifizierung. Neben dem Passwort braucht der Nutzer noch einen zweiten Nachweis, meist über eine App auf dem Smartphone. Einfach gesagt: etwas, das man weiß, und etwas, das man hat.

In Microsoft 365 ist das einer der ersten Schalter, die ich aktiviere. Und zwar nicht nur für die Geschäftsführung, sondern für alle Konten. Besonders wichtig sind:

• Administratorkonten. Diese Konten dürfen nie nur per Passwort geschützt sein.
• Mitarbeiter mit Exchange, Teams und OneDrive. Also praktisch alle, die produktiv arbeiten.
• Externe Zugriffe. Wer von außen anmeldet, braucht klare Regeln.

Was in der Praxis nicht funktioniert: MFA nur "für später" zu planen oder Ausnahmen großzügig zu verteilen. Genau diese Ausnahmen bleiben dann jahrelang offen.

Verschlüsselung ist kein Extra, sondern Pflicht

Viele gehen davon aus, dass Verschlüsselung automatisch und vollständig erledigt ist. Das stimmt nur teilweise. Ja, professionelle Cloud-Anbieter schützen Daten bei der Übertragung und im Ruhezustand. Aber damit ist nicht automatisch geregelt, wie vertrauliche Dokumente intern geteilt, weitergeleitet oder exportiert werden.

Laut Varonis verschlüsseln weniger als 10 % der Unternehmen mehr als 80 % ihrer sensiblen Cloud-Daten. Gleichzeitig sind 82 % der Sicherheitsvorfälle in der Cloud auf Fehlkonfigurationen zurückzuführen. Genau deshalb sind korrekt eingerichtete Zugriffskontrollen und MFA so wichtig, wie im Beitrag zu Cloud Data Security Best Practices beschrieben.

Für eine Steuerkanzlei heißt das praktisch:

1. Transport absichern. Daten auf dem Weg zwischen Gerät und Cloud müssen geschützt sein.
2. Speicherung absichern. Dokumente in SharePoint, OneDrive und Exchange dürfen nicht offen herumliegen.
3. Freigaben begrenzen. Ein verschlüsseltes Dokument ist wertlos, wenn jeder den Link weitergeben kann.

Praxisregel: Verschlüsselung schützt Daten technisch. Rechteverwaltung schützt sie organisatorisch. Du brauchst beides.

Wenn du Microsoft 365 bereits nutzt, findest du hier einen guten Überblick zur Verwaltung von Office 365 im Alltag.

Rechte so klein wie möglich halten

Das klingt trocken, verhindert aber viele Schäden. Das Prinzip heißt Least Privilege. Jeder bekommt nur die Rechte, die er für seine Arbeit wirklich braucht.

In einer Kanzlei ist das meistens kein starres IT-Thema, sondern saubere Organisation. Die Lohnsachbearbeitung braucht nicht automatisch Zugriff auf alle Gesellschaftsverträge. Die Assistenz braucht nicht denselben Zugriff wie die Kanzleileitung. Ein externer Dienstleister braucht schon gar keinen dauerhaften Vollzugriff.

Ein einfaches Rollenkonzept kann so aussehen:

Rolle	Sinnvoller Zugriff
Kanzleileitung	Breiter Zugriff auf Organisationsdaten, aber kein Alltagskonto mit Adminrechten
Sachbearbeitung	Zugriff auf die zugewiesenen Mandate und Teambereiche
Assistenz	Zugriff auf definierte Arbeitsbereiche, keine pauschalen Vollrechte
Externe Partner	Zeitlich begrenzter Zugriff nur auf benötigte Inhalte

Das kleine Beispiel, das oft große Wirkung hat

Ein Mitarbeiter soll kurzfristig einen Kollegen vertreten. Statt sauber einen Teambereich zu nutzen, gibt ihm jemand "vorübergehend" Zugriff auf einen kompletten SharePoint-Bereich. Danach wird die Freigabe nicht zurückgenommen.

Monate später liegt dort mehr, als der Mitarbeiter jemals sehen sollte. Das fällt selten durch einen Hacker auf. Das fällt bei einer Prüfung oder bei einem internen Fehler auf.

Darum sollten diese drei Dinge fest eingeplant sein:

• Rechteprüfung bei Ein- und Austritt
• Regelmäßiger Blick auf Gastkonten und Freigaben
• Getrennte Admin- und Benutzerkonten für Verantwortliche

Das ist keine Raketenwissenschaft. Es ist sauberes Handwerk. Und genau das macht Microsoft 365 in einer Steuerkanzlei sicher oder unsicher.

Der Plan B – Sichere Backups statt böser Überraschungen

Freitagabend läuft noch alles. Montagmorgen sind plötzlich Dateien verschlüsselt, Ordner umbenannt oder versehentlich gelöscht. Dann zeigt sich sehr schnell, ob du eine Synchronisierung hattest oder ein echtes Backup.

Gerade bei Microsoft 365 höre ich oft den Satz: "Die Daten sind doch in OneDrive, also sind sie gesichert." Das ist so nicht richtig. OneDrive und SharePoint synchronisieren. Sie sind für Zusammenarbeit gebaut. Ein Backup ist etwas anderes.

Synchronisierung ist nicht gleich Sicherung

Wenn eine schädliche Änderung synchronisiert wird, wandert sie mit. Wenn jemand einen Ordner löscht und der Löschvorgang durchläuft, ist das kein Schutzmechanismus. Deshalb braucht eine Kanzlei zusätzlich eine versionierte Backup-Strategie für Exchange, OneDrive, SharePoint und Teams-Daten.

Der wichtige Begriff dabei ist Immutability. Das heißt: Ein Backup kann für einen festgelegten Zeitraum nicht verändert oder gelöscht werden. Selbst wenn ein Angreifer Zugang bekommt, kommt er an diese Sicherung nicht ohne Weiteres ran.

Laut Statista funktioniert nur jeder zweite lokale Backup- oder Wiederherstellungsvorgang in deutschen Unternehmen zuverlässig. Cloud-Backups bieten durch Unveränderlichkeit und redundante Speicherung an verschiedenen Standorten einen deutlich besseren Schutz vor Datenverlust durch Ransomware, wie die Statista-Infografik zur Datensicherheit im Internet beschreibt.

Ein realistischer Fall aus dem Alltag

Ein Mitarbeiter öffnet einen Mail-Anhang, der harmlos aussieht. Kurz darauf werden lokal synchronisierte Ordner verändert. Die Änderung läuft in die Cloud mit durch. Wer jetzt nur auf OneDrive vertraut, merkt schnell, dass Zusammenarbeit und Wiederherstellung zwei verschiedene Dinge sind.

Mit einem echten Microsoft-365-Backup läuft es anders:

• Ältere Versionen bleiben erhalten
• Gesicherte Daten sind getrennt von der Produktivumgebung
• Wiederherstellung geht gezielt auf Postfach-, Datei- oder Ordner-Ebene

Hier findest du eine praktische Einordnung, warum ein Backup für Microsoft 365 separat gedacht werden muss.

Ein Backup, das nie getestet wurde, ist erstmal nur ein gutes Gefühl. Noch kein Sicherheitsnetz.

Was in der Kanzlei wirklich funktioniert

Bei sensiblen Daten brauchst du keine theoretisch perfekte Strategie. Du brauchst eine, die im Ernstfall schnell nutzbar ist.

Darauf achte ich in der Praxis:

• Klare Sicherungsumfänge. Nicht nur Dateien, sondern auch Mails, Teams-Daten und SharePoint-Inhalte.
• Feste Aufbewahrungszeiträume. Damit du nicht erst im Schadensfall merkst, dass die alte Version längst überschrieben ist.
• Wiederherstellung testen. Nicht irgendwann, sondern regelmäßig und dokumentiert.

Viele Ausfälle werden nicht durch den Angriff selbst teuer, sondern durch chaotische Wiederanläufe. Wer erst im Notfall herausfindet, dass wichtige Ordner nie im Backup waren, verliert Zeit, Nerven und Vertrauen bei Mandanten.

Der Faktor Mensch – Mitarbeiter zu Sicherheitsexperten machen

Die meisten Kanzleien haben kein Technikproblem, sondern ein Alltagsproblem. Eine Mail sieht plausibel aus, ein Link wird geöffnet, eine Datei wird schnell über den privaten Weg geschickt, und schon ist die schön eingerichtete Umgebung ausgehebelt.

Deshalb bringt es wenig, nur Technik einzukaufen. Mitarbeiter müssen verstehen, was sie da eigentlich absichern. Nicht als IT-Ausbildung. Eher als klare Spielregeln für den Alltag.

Phishing passiert nicht nur den Unvorsichtigen

Phishing-Mails sind heute oft gut gemacht. Der Absender wirkt bekannt, die Anfrage klingt dringend, und jemand im Team will einfach schnell helfen. Gerade in Kanzleien mit viel E-Mail-Verkehr ist das ein echtes Thema.

Was funktioniert, sind kurze, wiederkehrende Schulungen. Keine drei Stunden Theorie. Besser sind kompakte Einheiten mit echten Beispielen aus dem Arbeitsalltag.

Zum Beispiel für einen Handwerksbetrieb mit Außendienst oder eine Kanzlei mit Homeoffice-Anteil:

• Links nicht blind öffnen. Erst prüfen, was genau angefordert wird.
• Keine Zugangsdaten per Mail weitergeben. Auch nicht an scheinbar interne Stellen.
• Ungewöhnliche Zahlungs- oder Dokumentenanfragen kurz gegenprüfen. Ein Anruf spart oft viel Ärger.

Auch Copilot und KI brauchen Regeln

Viele nutzen inzwischen KI-Tools oder denken darüber nach. Das kann sinnvoll sein. Aber ohne Leitplanken wird daraus schnell ein neues Leck.

Laut Security-Insider erhöhen neue KI-Tools die Angriffsfläche eines Unternehmens um schätzungsweise 35 %. Das BSI warnt außerdem vor Prompt-Injection-Angriffen, die in 29 % der deutschen Vorfälle im Jahr 2025 zu Datenlecks führten. Im selben Zusammenhang wird auf Schulungen zu sicheren Prompts und auf Lösungen wie Purview for Copilot in M365 hingewiesen, nachzulesen im Beitrag über Cloud-Sicherheit und den Schutz von Daten in der Cloud.

Das heißt im Alltag nicht, dass du Copilot pauschal verbieten musst. Es heißt:

• Mitarbeiter müssen wissen, welche Daten sie nie in Prompts eingeben dürfen
• Berechtigungen in Microsoft 365 müssen vor KI-Nutzung aufgeräumt sein
• Vertrauliche Inhalte brauchen Klassifizierung und klare Freigaberegeln

Wenn Copilot auf zu viele Daten zugreifen darf, arbeitet er nicht "intelligent". Dann zeigt er einfach zu viel an.

Einfache Regeln schlagen dicke Richtlinien

Die besten Sicherheitsrichtlinien sind nicht die längsten, sondern die, an die sich wirklich jemand hält. Für viele Betriebe reichen klare Grundregeln auf einer Seite, solange sie gelebt werden.

Ein guter Einstieg für dein Team:

1. Arbeite nur mit freigegebenen Tools. Keine privaten Ablagen für Mandantendaten.
2. Frage lieber einmal mehr nach. Besonders bei Mails mit Zeitdruck.
3. Melde Auffälligkeiten sofort. Nicht erst, wenn der halbe Tag vorbei ist.
4. Nutze KI nur innerhalb der freigegebenen Umgebung. Keine sensiblen Inhalte in öffentliche Tools kopieren.

Ich sehe in der Praxis oft denselben Effekt. Sobald Mitarbeiter verstehen, warum eine Regel existiert, sinkt der Widerstand deutlich. Dann wird aus "IT-Vorgabe" ein nachvollziehbarer Arbeitsablauf.

Aus der Theorie in die Praxis – Ein Sicherheitskonzept etablieren

Ein stabiles Sicherheitskonzept besteht nicht aus Einzelmaßnahmen. Es besteht aus Routinen. Genau daran scheitert es oft. MFA ist eingerichtet, aber Ausnahmen bleiben offen. Backups sind da, aber nie getestet. Rechte wurden einmal vergeben und dann vergessen.

Wer wofür verantwortlich ist

Das Modell der geteilten Verantwortung musst du sauber verstanden haben. Der Cloud-Provider kümmert sich um die physische Sicherheit der Rechenzentren. Du musst nachweisen können, wo personenbezogene Daten gespeichert sind und wie du Zugriffe, Aufbewahrung und Schutz intern regelst. Genau darauf weist der Beitrag zu sensiblen Daten in der Cloud und DSGVO-Anforderungen hin.

Für eine Steuerkanzlei heißt das ganz schlicht:

Bereich	Verantwortung
Rechenzentrum und Infrastruktur	Cloud-Anbieter
Benutzerkonten und Rechte	Deine Organisation
Freigaben, Datenablage, Prozesse	Deine Organisation
Dokumentation und Nachweis	Deine Organisation

Die Kontrollen, die im Alltag wirklich helfen

Es braucht keinen riesigen ISO-Prozess, damit Sicherheit besser läuft. Es braucht feste Prüfungen, die jemand wirklich macht.

Sinnvoll sind aus meiner Sicht diese Routinen:

• Monatlich Zugriffsrechte prüfen. Wer braucht was noch wirklich?
• Gastzugänge kontrollieren. Externe Freigaben altern schlecht.
• Anmeldeauffälligkeiten beobachten. Ungewöhnliche Zugriffe gehören geprüft.
• Einfaches Notfallblatt bereithalten. Wer wird informiert, wer sperrt Konten, wer entscheidet?

Eine gute Cloud-Umgebung erkennst du nicht daran, dass nie etwas passiert. Sondern daran, dass ihr im Fall der Fälle nicht improvisieren müsst.

Ein kleines Notfallkonzept reicht für den Anfang

Wenn ein Verdacht auf Phishing, Datenabfluss oder unberechtigten Zugriff besteht, muss jeder wissen, was zuerst passiert. Nicht perfekt. Aber klar.

Zum Beispiel:

1. Betroffenes Konto sofort absichern.
2. Auffällige Sitzungen und Freigaben prüfen.
3. Verantwortliche Person intern informieren.
4. Relevante Schritte dokumentieren.
5. Falls nötig, externe Unterstützung dazuholen.

Genau an dieser Stelle kann ein regionaler IT-Partner wie Hainke Computer sinnvoll sein, etwa für die laufende Betreuung von Microsoft 365, Backup, Firewall, Reporting und Mitarbeiterschulungen. Nicht als Ersatz für deine Verantwortung, sondern als ausführende Unterstützung im Betrieb.

Dein nächster Schritt zur sicheren Cloud

Wenn du als Steuerberater daten sicher in der cloud speichern willst, musst du nicht zuerst ein Großprojekt starten. Fang bei den Dingen an, die im Alltag den größten Unterschied machen.

Prüf zuerst, wo deine Daten tatsächlich liegen und ob das zu deinen DSGVO-Anforderungen passt. Danach schaust du auf die Zugänge. MFA für alle Benutzer ist meistens der schnellste Sicherheitsgewinn. Dann kommt die Rechtevergabe. Nicht jeder braucht alles.

Als Nächstes nimmst du dir das Backup vor. Wenn du nur synchronisierst, hast du noch kein belastbares Sicherheitsnetz. Ein echtes, versioniertes Backup mit Wiederherstellungstest ist für Mandantendaten Pflichtprogramm.

Und dann kommt der Punkt, den viele zu spät angehen: dein Team. Wenn Mitarbeiter verdächtige Mails erkennen, Freigaben bewusst setzen und KI-Tools nicht unbedacht füttern, sinkt das Risiko spürbar. Nicht theoretisch, sondern im echten Kanzleialltag.

Du musst das auch nicht alles auf einmal lösen. Sauber ist besser als schnell. Aber anfangen solltest du jetzt, nicht erst nach dem ersten Vorfall.

---

Wenn du wissen möchtest, wie so ein Sicherheitskonzept für deine Kanzlei konkret in Microsoft 365 aussehen kann, melde dich gern bei Hainke Computer. Dann schauen wir gemeinsam, welche Einstellungen, Backups und Abläufe bei dir wirklich Sinn ergeben.