Warum Microsofts End-to-End-Verschlüsselung in Teams nicht ausreicht

Ende-zu-Ende-Verschlüsselung (E2EE) gilt heute als Goldstandard für digitale Kommunikationssicherheit – vor allem im Zeitalter wachsender Bedrohungen, regulatorischer Vorgaben wie der NIS2-Richtlinie und steigender Compliance-Anforderungen. Auch Tech-Giganten wie Microsoft greifen dieses Thema auf und werben mit E2EE-Funktionen in Tools wie Microsoft Teams.

Doch wie funktioniert Microsofts E2EE wirklich? Und noch wichtiger: Reicht dieser eingeschränkte Ansatz für Unternehmen in kritischen Infrastrukturen oder regulierten Sektoren aus?

E2EE in Microsoft Teams – mit großen Einschränkungen

Laut Microsofts eigener Dokumentation steht E2EE in Teams lediglich für 1:1-VoIP-Anrufe zur Verfügung – nicht jedoch für Gruppenanrufe, Meetings, Chats oder Dateiübertragungen. Zusätzlich ist die E2EE-Funktion nicht standardmäßig eingeschaltet. IT-Administratoren müssen die Verschlüsselung manuell aktivieren und konfigurieren.

Ist E2EE aktiviert, geht das jedoch mit funktionalen Einschränkungen einher:

• Keine Anrufaufzeichnung
• Kein Live-Transkript oder Untertitel
• Keine Weiterleitung oder Parken von Anrufen
• Keine unterstützenden Geräte

Für viele Unternehmen bedeutet das: Sie müssen zwischen Sicherheit und Zusammenarbeit wählen. Noch kritischer: Nutzer können oft nicht erkennen, ob ein Anruf tatsächlich verschlüsselt ist – was das Vertrauen in die Plattform untergräbt.

Optional verschlüsselt – aus Compliance-Sicht problematisch

Microsofts optionaler E2EE-Ansatz erscheint flexibel, wirft aus Sicht von Datenschutz, Risikomanagement und Aufsichtsbehörden jedoch erhebliche Fragen auf:

• E2EE ist nicht standardmäßig aktiviert – ohne konsequente Richtlinien oder Kontrolle überlassen Unternehmen das Risiko dem Zufall.
• Mangelndes Nutzerbewusstsein – Anwender wissen selten, wann ein Gespräch verschlüsselt ist.
• Metadaten bleiben zugänglich – selbst bei aktivierter E2EE sind Gesprächsdaten (wer, wann, mit wem) nicht geschützt.
• Veraltete Technologie: Microsoft verwendet DTLS, ein veraltetes Protokoll, das keine Forward Secrecy oder Nach-Kompromittierungssicherheit bietet – im Gegensatz zu modernen Standards wie MLS (Message Layer Security).

Besonders für Organisationen, die unter die NIS2-Richtlinie oder ähnliche Vorschriften fallen, sind diese Defizite kritisch. Dort ist vollständige, durchgängige Absicherung keine Option – sondern regulatorische Pflicht.

💡 Möchten Sie wissen, wie Microsofts E2EE-Strategie mit NIS2-Vorgaben übereinstimmt? Hier geht's zum vollständigen NIS2-Compliance Whitepaper.

Nicht geeignet für sicherheitskritische Sektoren

Ob Energie, Gesundheitswesen, Finanzwirtschaft, Behörden oder Telekommunikation – in kritischen Infrastrukturen gelten höhere Anforderungen an Verschlüsselungslösungen. Darunter fallen:

• Standardmäßig aktive E2EE: Sicherheit darf kein Konfigurationsfehler sein.
• Vollständige Kommunikationsabdeckung: Sprache, Video, Chat und Dateiübertragungen müssen gleichermaßen geschützt sein.
• Manipulationssichere Protokollierung: Für forensische Analysen und Compliance-Dokumentation unbedingt erforderlich.
• Ausfallsichere Kommunikationskanäle: Geschäftskritische Abläufe müssen auch bei Cyberangriffen sichergestellt bleiben.
• Zero-Trust-Ansatz: Jede Verbindung muss standardmäßig als potenziell kompromittiert behandelt werden.

Microsoft Teams erfüllt einige dieser Bedingungen – aber nicht alle. Besonders der eingeschränkte und optionale E2EE-Schutz macht es ungeeignet für hochregulierte Umgebungen oder Organisationen unter besonderer Beobachtung.

Echte Ende-zu-Ende-Verschlüsselung: Was zählt wirklich?

Echte E2EE muss mehr sein als ein technisches Schlagwort:

• Universell aktiv – nicht optional oder auf bestimmte Anrufe beschränkt
• Robust und zukunftssicher – auf aktuellen Standards wie MLS basierend
• Benutzerfreundlich – verständlich, sichtbar und automatisch wirksam
• Funktionserhaltend – keine Kompromisse bei Features, Usability oder Skalierbarkeit

Fazit: Microsofts E2EE kann ein guter Anfang sein – für Unternehmen mit geringen Sicherheitsanforderungen. Für Organisationen, die auf strukturierte Sicherheit, regulatorische Konformität und operative Resilienz angewiesen sind, reicht sie jedoch nicht aus.

👉 Tipp: Wenn Ihre IT-Sicherheitsstrategie auf lückenlose Verschlüsselung angewiesen ist, sollte die Konversation bei einem anderen Werkzeug beginnen – nicht bei einem optionalen Häkchen in den Admin-Einstellungen.