Microsoft 365 vs On-Premises-Sicherheit: Ein Entscheidungsrahmen

In unserer Umfrage unter 650 Microsoft-fokussierten IT-Profis sagten 66%, dass sie aus Sicherheitsgründen in die Cloud gewechselt sind, während 65% aus genau demselben Grund einige kritische Workloads vor Ort belassen.

Da SharePoint Server 2016/2019 im Juli 2026 das Support-Ende erreicht und Microsofts EU Data Boundary die meisten Microsoft 365-Kundendaten standardmäßig in der Region hält, verlagert sich die Sicherheitsdiskussion von pauschalen Richtlinien zu workloadspezifischen Entscheidungen.

Wir werden untersuchen, warum Teams Sicherheit unterschiedlich betrachten, und dann eine praktische Bewertungstabelle durchgehen, um zu entscheiden, was in die Cloud verlagert wird – und wie sich das Risiko minimieren lässt, wenn ein kleiner Teilbereich vorübergehend vor Ort bleiben muss.

Was „Sicherheit" in Microsoft-Umgebungen tatsächlich bedeutet

Bevor wir die Sicherheit von SharePoint Online vs. vor Ort vergleichen, hilft es, Sicherheit durch zwei Perspektiven zu betrachten:

1. Die Kontrollebene - Identität, Zugriff, Überwachung – Maßnahmen zum Schutz von Daten

2. Die Datenebene - Wo die Daten gespeichert sind, welche Gesetze gelten und wer rechtmäßig darauf zugreifen kann.

Und deshalb können intelligente Menschen uneins sein, ohne dass jemand falsch liegt.

„Sicherheit bedeutet für verschiedene Teams unterschiedliche Dinge. In der Cloud erhalten Sie Sicherheitsdienste wie bedingten Zugriff und Multi-Faktor-Authentifizierung, aber manche fühlen sich mehr in Kontrolle, wenn sie die Server berühren können. Ich verstehe, woher diese Leute kommen, besonders diejenigen, die sich Sorgen darüber machen, wo ihre Daten gespeichert werden." - Microsoft MVP Jasper Oosterveld in The state of Microsoft 365-Bericht

Die meiste Verwirrung entsteht durch das Verwechseln dieser Ebenen.

MEHR LESEN: Erfahren Sie, wie Ihre Kollegen an Microsoft 365-Sicherheit herangehen im The State of Microsoft 365-Bericht

Kontrollebenen-Sicherheit – wo die Cloud normalerweise gewinnt

Praktisch gesehen sind Microsoft 365-Sicherheits-Best-Practices in der Cloud einfacher zu implementieren und aktuell zu halten, da die Funktionen in der Plattform leben und kontinuierlich aktualisiert werden:

• Identität und Zugriff: Entra ID Conditional Access, MFA, risikobasierte Anmeldung und Privileged Identity Management (PIM) helfen Ihnen, Zero Trust ohne benutzerdefinierte Entwicklungen durchzusetzen.

• Bedrohungsschutz und Telemetrie: Native Defender-Integrationen und das einheitliche Auditprotokoll beschleunigen Untersuchungen und stärken Nachweise für Microsoft 365-Compliance.

• Governance im großen Maßstab: Microsoft Purview (Vertraulichkeitsbezeichnungen, DLP, Aufbewahrung) plus klare Bereitstellungsregeln machen die Berechtigungs-Governance in Microsoft 365 zu einem kontinuierlichen Prozess – nicht zu einer jährlichen Feuerwehrübung.

• Sichere Standards: Baseline-Richtlinien, kontinuierliche Patches und Plattform-Härtung reduzieren das „Server vergessen zu aktualisieren"-Problem. Sie erben standardmäßig viel gute Hygiene.

Die Schlussfolgerung: Wenn Ihre größten Risiken Identitätsangriffe, übermäßige Freigaben oder Lücken in Überwachung und Auditierbarkeit sind, gibt Ihnen Microsoft 365 mehr Kontrollebenen-Hebel mit weniger benutzerdefiniertem Engineering.

Datenebenen-Sicherheit – warum manche Daten vor Ort „sicherer" erscheinen

Die Datenebene betrifft die Verwahrung: wo sich Inhalte befinden, welche Rechtsordnung gilt und wer Zugriff verlangen kann. Dort kann vor Ort in bestimmten Szenarien noch attraktiv aussehen:

• Residenz & Souveränität: Die EU Data Boundary hilft vielen EU/EFTA-Kunden, Microsoft 365-Daten standardmäßig in der Region zu halten, aber manche Workloads rechtfertigen noch eine genauere Prüfung mit Rechts- und Compliance-Teams.

• Rechtmäßiger Zugriff & Verträge: Hochsensible Aufzeichnungen, die Sektorregeln unterliegen (z.B. öffentlicher Sektor, Verteidigung, bestimmte Gesundheitskontexte), können zusätzliche Genehmigungen, Schlüsselverwaltungsanforderungen oder vertragliche Beschränkungen auslösen, bevor sie in die Cloud verlagert werden.

• Latenz & Legacy-Verbindungen: Wenn eine SharePoint-Farm eine lokale Line-of-Business-App mit enger Latenz oder maßgeschneiderten Integrationen betreibt, könnte das Verlagern der Daten etwas Missionskritisches kaputt machen – zumindest bis Sie diese Abhängigkeit modernisieren.

• Zeitlich begrenzte Ausnahmen: SharePoint Server Subscription Edition (SPSE) kann die Verwahrung für eine Teilmenge von Daten aufrechterhalten, während Sie Residenz-, Vertrags- oder Integrations-Hindernisse lösen – mit Ausstiegskriterien und Überprüfungen, damit „vorübergehend" nicht zu „für immer" wird.

Die Schlussfolgerung: Wenn Ihre Hindernisse rechtlich, vertraglich oder an unbewegte Integrationen gebunden sind, ist die Debatte nicht „Cloud vs. vor Ort" im Allgemeinen – es geht darum, welche spezifischen Workloads eine kurzfristige Ausnahme benötigen und was sich ändern müsste, um sie zu verlagern.

Häufige Missverständnisse, die beseitigt werden sollten

Ein paar Mythen stehen im Weg. Lassen Sie uns diese beseitigen:

• „Vor Ort ist standardmäßig sicherer." Sicherheit hängt von Kontrollen ab, die Sie betreiben, nicht von dem Gebäude, in dem Ihre Server stehen. Viele Sicherheitsverletzungen beginnen mit der Identität – nicht mit dem Speicherort.

• „Cloud ist öffentlich, also weniger sicher." Mit Conditional Access, MFA, kontinuierlichen Patches, Copilot und Purview gibt Ihnen die Cloud oft mehr praktische Kontrolle – besonders im großen Maßstab.

• „Compliance ist automatisch in Microsoft 365." Plattform-Features helfen, aber Microsoft 365-Compliance erfordert immer noch Konfiguration, Dokumentation und laufende Überprüfungen.

• „Hybrid ist eine Sicherheitsstrategie." Hybrid ist ein Betriebszustand, kein Ergebnis. Eine Hybrid-Cloud-Sicherheitsstrategie benötigt immer noch definierte Kontrollen, Verantwortlichkeit des Eigentümers und einen Plan zur Beendigung von Ausnahmen, sobald Residenz- oder Integrationshürden beseitigt sind.

Behalten Sie diese Unterscheidungen im Kopf, während Sie die Sicherheit von SharePoint Online vs. vor Ort bewerten. Im nächsten Abschnitt verwenden wir sie, um jeden Workload zu bewerten – damit Sie entscheiden können, was jetzt verlagert wird, was (falls etwas) vorübergehend bleibt und warum.

Mit den klaren Begriffen lassen Sie uns dies in Timing- und Support-Realitäten verankern.

Lebenszyklus und Compliance: SharePoint 2016/2019 Support-Ende

Wir alle wissen, dass das SharePoint-On-Premises-EOS-Datum schnell näher rückt, doch von den 650 IT-Profis, die wir befragten, sagten 78%, dass sie immer noch SharePoint vor Ort nutzen, und ein Drittel dieser Personen hatte immer noch keinen Plan für Juli 2026.

Wenn das vertraut klingt, sind Sie nicht allein. Teams jonglieren mit Legacy-Integrationen, Residenz-Freigaben und Änderungsstopps – völlig berechtigte Gründe für eine Pause. Der Haken ist, dass der Kalender nicht langsamer wird.

Lassen Sie uns also die Diskussion in der Lebenszyklus-Realität verankern – was wird wann und wo unterstützt. Hier ist eine schnelle Momentaufnahme der Support-Modelle und was sie für das Risiko bedeuten:

Patches altern wie Milch, nicht wie Wein, also planen Sie entsprechend.

MEHR LESEN: Erhalten Sie alle Details zum SharePoint-Server-EOS und Ratschläge zu Ihren nächsten Schritten in unserem eBook, geschrieben von Microsoft MVP Richard Harbridge.

Cloud, Hybrid oder SPSE: Ein Microsoft 365-Sicherheits-Entscheidungsframework

Obwohl wir hier bei ShareGate große Fans eines Cloud-first-Ansatzes sind, wissen wir, dass es keine Einheitslösung gibt. Echte Organisationen haben echte Einschränkungen – regulatorische Eigenarten, Datenresidenz, Legacy-Integrationen, Timing.

Anstatt so zu tun, als gäbe es ein universelles Rezept, haben wir ein Entscheidungsframework entwickelt, um Ihnen zu helfen, den besten Weg für jeden Ihrer Workloads zu wählen.

Die meisten Teams vertrauen Microsoft 365 bereits bei Compliance (60% sehr zuversichtlich, 39% einigermaßen, nur 1% nicht zuversichtlich