Sicherer Dokumentenaustausch in Unternehmen: OneDrive, SharePoint und Rechte richtig setzen
-
Dr. Windows
- 11. Februar 2026
Warum „Datei teilen“ nicht automatisch sicher ist
Ein Klick auf „Teilen“ und die Datei ist draußen. Was danach passiert, ist oft erstaunlich schwer nachzuvollziehen: Wer hat Zugriff, wer hat den Link weitergeleitet und warum ist die Freigabe drei Monate später noch aktiv? Genau in diesem Moment entstehen Sicherheitslücken, weil Freigaben schnell gesetzt werden und später niemand mehr prüft, ob sie noch nötig sind. Microsoft 365 bietet mit OneDrive und SharePoint sehr gute Werkzeuge für den Dokumentenaustausch. Sicher wird das Ganze jedoch erst, wenn Ablageort, Berechtigungen und Freigabeeinstellungen zusammenpassen.
OneDrive oder SharePoint: Der Ablageort entscheidet über Kontrolle
Der erste Schritt ist die Entscheidung, ob eine Datei in OneDrive oder in SharePoint liegen sollte. OneDrive ist grundsätzlich die persönliche Arbeitsablage. Dort entstehen Entwürfe, dort liegen Dateien, die nur eine Person verantwortet und gelegentlich gezielt teilt. SharePoint ist dagegen die bessere Wahl, wenn mehrere Personen dauerhaft mit Dokumenten arbeiten, wenn Ordnerstrukturen einheitlich bleiben sollen oder wenn ein Bereich klare Regeln braucht. In der Praxis heißt das: Sobald eine Datei Teil eines Teamprozesses ist oder langfristig verfügbar sein muss, gehört sie in eine SharePoint-Bibliothek und nicht in eine private OneDrive-Struktur.
Freigabelinks verstehen: Wer den Link hat, hat noch lange nicht das Recht
Beim Teilen selbst entscheidet die Art des Links darüber, wie kontrolliert der Zugriff ist. In Microsoft 365 begegnet man typischerweise drei Varianten. Es gibt Links für bestimmte Personen, Links für Personen in der eigenen Organisation und Links, die grundsätzlich für alle funktionieren, die den Link besitzen. Letztere Variante wirkt bequem, ist aber in vielen Fällen die riskanteste, weil Weiterleitungen kaum noch kontrollierbar sind. Für Unternehmensdokumente, die nicht ausdrücklich für eine breite Zielgruppe gedacht sind, ist ein Link für bestimmte Personen meist die sauberste Lösung. Er ist nachvollziehbar und schränkt die Nutzung auf definierte Empfänger ein.
Berechtigungen sauber vergeben: Lesen reicht öfter als gedacht
Genauso wichtig ist die Frage, welche Berechtigungen beim Teilen vergeben werden. Häufig wird vorschnell Bearbeiten erlaubt, obwohl Lesen ausreichen würde. Dadurch entstehen unbeabsichtigte Änderungen, Versionen geraten durcheinander oder Inhalte werden überschrieben. Gerade bei Dokumenten, die inhaltlich abgeschlossen sind oder eine formale Funktion haben, sollte zunächst nur eine Leseansicht freigegeben werden. Bearbeitungsrechte sind sinnvoll, wenn wirklich gemeinsam geschrieben oder abgestimmt wird. Alles andere lässt sich häufig besser über Kommentare, Vorschläge oder eine getrennte Arbeitskopie lösen.
SharePoint-Rechte und Vererbung: So bleibt das System verständlich
In SharePoint kommt ein weiterer Punkt hinzu: die Vererbung von Berechtigungen. Standardmäßig übernimmt ein Ordner die Rechte des übergeordneten Bereichs. Das ist praktisch, solange die Bibliothek für ein Team gedacht ist, kann aber problematisch werden, sobald einzelne Ordner besonders geschützt werden müssen. Wenn Berechtigungen in vielen Unterordnern individuell gebrochen werden, entsteht schnell ein schwer durchschaubares Rechtegeflecht. Besser ist es, sensible Inhalte von Anfang an in klar getrennten Bibliotheken oder Sites zu organisieren, die ihre eigenen Zugriffskreise haben. Dann bleiben die Regeln nachvollziehbar und Änderungen lassen sich zentral steuern.
Externe Zusammenarbeit kontrollieren: Gastzugriff ist meist die bessere Wahl
Externe Zusammenarbeit ist in vielen Unternehmen notwendig, aber sie sollte kontrolliert passieren. In Microsoft 365 gibt es dafür zwei grundsätzliche Wege: Gastzugriff und anonyme Links. Gastzugriff bedeutet, dass externe Personen als Gäste im Verzeichnis geführt werden. Das ermöglicht eine präzisere Steuerung, etwa über Gruppen oder das Entfernen von Zugängen, und ist meist die bessere Wahl für wiederkehrende Zusammenarbeit. Anonyme Links sind eher für kurzfristige Fälle geeignet, in denen ein Gastkonto nicht sinnvoll ist. Selbst dann sollte man vermeiden, den Zugriff zu breit zu öffnen, und stattdessen auf Links für bestimmte Empfänger setzen.
Ablaufdaten und zusätzliche Sicherungen: Links sollten nicht ewig gültig sein
Um Freigaben zusätzlich abzusichern, helfen Ablaufdaten und weitere Link-Optionen. Ein Link, der nach einer Woche oder nach Projektende ungültig wird, reduziert die Gefahr, dass Zugriffe jahrelang bestehen bleiben. In vielen Umgebungen lassen sich außerdem zusätzliche Schutzmechanismen wie Verifizierung oder Passcodes aktivieren. Wichtig ist, dass solche Optionen nicht nur bei besonders aufmerksamen Mitarbeitenden genutzt werden, sondern idealerweise als Standard für externe Links im Tenant vorgegeben sind. Je weniger Entscheidungen beim Teilen jedes Mal manuell getroffen werden müssen, desto geringer ist die Fehlerquote.
Sensible Inhalte absichern: Labels und DLP als zweite Schutzlinie
Für besonders schützenswerte Inhalte reicht reines Berechtigungsmanagement oft nicht aus. Hier kommen Sensitivity Labels und Data Loss Prevention ins Spiel. Labels helfen, Dokumente zu klassifizieren, etwa als intern, vertraulich oder streng vertraulich, und sie können automatisch Schutzfunktionen auslösen. Dazu gehören Einschränkungen beim Teilen oder Verschlüsselung, die nur autorisierten Personen das Öffnen erlaubt. DLP-Regeln gehen einen Schritt weiter und greifen ein, wenn bestimmte Inhalte das Unternehmen verlassen würden. Ein typisches Beispiel ist der Schutz von Personaldaten oder Vertragsunterlagen. So lässt sich verhindern, dass Dateien mit sensiblen Informationen aus Versehen extern freigegeben werden, auch wenn jemand die falsche Link-Option auswählt.
Praxisbeispiel HR: So teilen Sie Dokumente wie einen digitalen Arbeitsvertrag korrekt
Wie das in der Praxis aussieht, zeigt ein typischer HR-Anwendungsfall. Personaldokumente gehören nicht in einen allgemeinen Teamordner, auf den viele Mitarbeitende Zugriff haben. Sinnvoll ist ein eigener SharePoint-Bereich oder eine eigene Bibliothek, die nur für die HR-Gruppe freigegeben ist. Wenn einzelne Dokumente extern geteilt werden müssen, etwa an eine neue Mitarbeiterin oder an einen externen Dienstleister, sollte die Freigabe auf bestimmte Personen beschränkt bleiben und ein Ablaufdatum erhalten. Gerade bei sensiblen Unterlagen wie einem digitalen Arbeitsvertrag ist es wichtig, dass Zugriff und Verteilung jederzeit nachvollziehbar bleiben und nicht über einen beliebig weiterleitbaren Link passieren.
Zugriff prüfen und aufräumen: Sicherheit ist auch eine Routinefrage
Damit das Ganze im Alltag funktioniert, braucht es nicht nur gute Einstellungen, sondern auch Kontrolle. Microsoft 365 bietet Möglichkeiten, Zugriffe auf Dateien und Ordner einzusehen und Freigaben wieder zu entziehen. In OneDrive und SharePoint lassen sich geteilte Inhalte und Personen mit Zugriff anzeigen, oft direkt im Kontext der Datei. Für Unternehmen ist es sinnvoll, feste Routinen zu etablieren, etwa regelmäßige Prüfungen für externe Freigaben oder das Entfernen von Gästen, die nicht mehr benötigt werden. Je nach Lizenz und Konfiguration stehen zusätzlich Audit-Protokolle zur Verfügung, mit denen sich nachvollziehen lässt, wer wann auf Inhalte zugegriffen hat.
Fazit: Struktur plus Standards machen Teilen wirklich sicher
Wer den Dokumentenaustausch in Microsoft 365 sicher machen will, sollte systematisch vorgehen. Zuerst wird festgelegt, welche Inhalte in OneDrive entstehen dürfen und welche grundsätzlich in SharePoint gehören. Danach werden Freigabe-Standards definiert, die vor allem für externe Zusammenarbeit gelten, etwa Links nur für bestimmte Personen und grundsätzlich mit Ablaufdatum. Sensible Bereiche werden nicht über komplizierte Unterordnerrechte abgesichert, sondern durch klare Trennung in eigene Bibliotheken oder Sites. Labels und DLP übernehmen dort, wo Menschen typischerweise Fehler machen, die zweite Schutzlinie. So bleibt Zusammenarbeit möglich, ohne dass Daten unbemerkt in die falschen Hände geraten.
DrWindows News per WhatsApp: Abonniere unseren Kanal.Thema:
- Microsoft 365
