Anti-Phishing in 15 Minuten: Firmenlogo auf der Microsoft 365 Anmeldeseite

Kurzfassung (TL;DR)

Eine Microsoft-365-Anmeldeseite ohne Firmenbranding ist eine offene Einladung fuer Phishing-Angriffe — Ihre Mitarbeiter koennen die echte Seite nicht von einer Faelschung unterscheiden. In 15 Minuten koennen Sie ueber Entra Admin Center → Unternehmensbranding Ihr Firmenlogo, ein Hintergrundbild und einen individuellen Anmeldetext hinzufuegen. Damit geben Sie Ihren Nutzern einen visuellen Ankerpunkt, um die Echtheit der Anmeldeseite zu ueberpruefen. In Kombination mit MFA und Conditional Access ist dies eine entscheidende Schicht Ihrer Anti-Phishing-Verteidigung.

Warum das wichtig ist: Das Phishing-Problem

Laut Microsofts Digital Defense Report beginnen ueber 90 % aller Cyberangriffe mit einer Phishing-E-Mail. Der haeufigste Angriffsvektor? Eine gefaelschte Microsoft-365-Anmeldeseite, die identisch mit der echten aussieht.

Das Problem: Wenn Ihre Organisation die standardmaessige, ungebrandete Microsoft-Anmeldeseite nutzt, haben Ihre Mitarbeiter keinerlei visuelle Hinweise, um die echte Seite von einem Klon zu unterscheiden. Ein Angreifer kann mit Phishing-Kits wie EvilGinx oder Modlishka in wenigen Minuten eine pixelgenaue Kopie erstellen.

Wenn Sie Firmenbranding hinzufuegen — Ihr Logo, einen individuellen Hintergrund, eine personalisierte Anmeldenachricht — faellt Ihren Mitarbeitern sofort auf, wenn etwas nicht stimmt. Es ist kein Allheilmittel (ein versierter Angreifer koennte das Branding ebenfalls nachbilden), aber es erhoeht die Huerden gegenueber standardmaessigen Phishing-Angriffen erheblich — und die machen die ueberwiegende Mehrheit der Vorfaelle aus.

Wovor Branding schuetzt

• Standard-Phishing-Kits — vorgefertigte Tools, die die generische Microsoft-Anmeldeseite klonen
• Massenphishing-Kampagnen — breit gestreute Phishing-Mails, die auf generische Anmeldeseiten setzen
• Unachtsamkeit der Mitarbeiter — Nutzer, die sich gedankenlos anmelden, ohne die URL zu pruefen

Wovor Branding NICHT schuetzt

• Gezieltes Spear-Phishing, bei dem der Angreifer Ihr Branding nachbildet (erfordert aber zusaetzlichen Aufwand)
• Adversary-in-the-Middle-Angriffe (AitM), die die echte Anmeldeseite in Echtzeit proxyen
• Token-Diebstahl oder Session-Hijacking nach der Authentifizierung

Deshalb ist Branding nur eine Schicht in einer Defense-in-Depth-Strategie. Die weiteren Schichten behandeln wir am Ende dieses Artikels.

Voraussetzungen

• Microsoft-365-Lizenz — Jeder M365 Business- oder Enterprise-Plan (Basic, Standard, Premium, E3, E5). Company Branding erfordert mindestens eine Entra ID P1-Lizenz (enthalten in M365 Business Premium und E3/E5). Mit Business Basic oder Standard steht nur der eingeschraenkte Standard-Branding-Tab zur Verfuegung.
• Administratorrolle — Sie benoetigen die Rolle Globaler Administrator oder Administrator fuer Organisationsbranding in Entra ID.
• Ihr Firmenlogo im Format PNG, JPG oder SVG
• Ein Hintergrundbild (optional, aber empfohlen) im Format JPG oder PNG
• 15 Minuten ungestoerte Zeit

Bereiten Sie Ihre Dateien vor dem Start vor

Sammeln Sie alle Dateien, bevor Sie das Admin Center oeffnen. So vermeiden Sie das Hin und Her bei der Dateisuche, waehrend das Portal eine Zeitueberschreitung meldet.

Element	Format	Max. Groesse	Empfohlene Abmessungen
Bannerlogo (Kopfzeile)	PNG, JPG, SVG	36 KB	245 × 36 px (max. 245 × 36)
Quadratisches Logo (helles Design)	PNG, JPG, SVG	50 KB	240 × 240 px (erscheint im Anmeldefeld)
Quadratisches Logo (dunkles Design)	PNG, JPG, SVG	50 KB	240 × 240 px
Hintergrundbild	PNG, JPG	300 KB	1920 × 1080 px
Favicon	ICO, PNG	10 KB	32 × 32 px oder 48 × 48 px

Tipp: Verwenden Sie ein transparentes PNG fuer Logos. Das quadratische Logo erscheint innerhalb des weissen Anmeldefelds — ein transparenter Hintergrund wirkt am saubersten. Das Bannerlogo sollte horizontal ausgerichtet sein, da es oben links erscheint.

Schritt 1: Company Branding im Entra Admin Center aufrufen

1. Oeffnen Sie https://entra.microsoft.com in Ihrem Browser.
2. Melden Sie sich mit Ihrem Administratorkonto an.
3. Erweitern Sie in der linken Navigation den Punkt Identitaet.
4. Klicken Sie auf Benutzererfahrungen.
5. Klicken Sie auf Unternehmensbranding.

Alternativ navigieren Sie direkt zu:

https://entra.microsoft.com/#view/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/~/LoginTenantBranding

Sie sehen entweder eine leere Branding-Seite (wenn noch nie konfiguriert) oder die aktuellen Branding-Einstellungen mit Vorschau.

Schritt 2: Standard-Branding konfigurieren

Klicken Sie auf Konfigurieren (oder Bearbeiten, wenn bereits Branding vorhanden ist). Damit oeffnet sich der Branding-Editor mit mehreren Registerkarten.

Microsoft organisiert das Branding in eine Standard-Darstellung und optionale sprachspezifische Varianten. Konfigurieren Sie zuerst den Standard — er gilt fuer alle Nutzer unabhaengig von der Browsersprache. Sprachspezifische Varianten koennen Sie spaeter hinzufuegen.

Der Editor hat folgende Registerkarten:

• Grundlagen — Favicon, Hintergrundbild
• Layout — Vorlage, Kopf-/Fusszeilenansicht
• Kopfzeile — Bannerlogo
• Fusszeile — Datenschutz- und Nutzungsbedingungen-Links
• Anmeldeformular — Quadratisches Logo, Anmeldeseitentext
• Ueberpruefen — Vorschau und Speichern

Schritt 3: Logo hochladen

Bannerlogo (Kopfzeile)

1. Wechseln Sie zur Registerkarte Kopfzeile.
2. Klicken Sie auf den Upload-Bereich fuer das Bannerlogo.
3. Waehlen Sie Ihre horizontale Logo-Datei (245 × 36 px, max. 36 KB).
4. Die Vorschau aktualisiert sich sofort.

Quadratisches Logo (Anmeldefeld)

1. Wechseln Sie zur Registerkarte Anmeldeformular.
2. Laden Sie Ihr Quadratisches Logo (helles Design) hoch (240 × 240 px, max. 50 KB).
3. Laden Sie Ihr Quadratisches Logo (dunkles Design) hoch, falls Sie eine Variante fuer dunkle Hintergruende haben.

Das quadratische Logo erscheint prominent in der Mitte des Anmeldefelds. Es ist das sichtbarste Element — achten Sie darauf, dass es hochwertig ist und sofort als Ihr Unternehmen erkannt wird.

Logo-Best-Practices

• Verwenden Sie transparentes PNG fuer beide Logos
• Vermeiden Sie textlastige Logos — bei 240 px werden sie moeglicherweise unleserlich
• Testen Sie auf hellem und dunklem Hintergrund
• Wenn Ihr Logo nur in einem Farbschema vorliegt, laden Sie dieselbe Datei fuer beide Varianten hoch

Schritt 4: Hintergrundbild festlegen

1. Wechseln Sie zur Registerkarte Grundlagen.
2. Laden Sie Ihr Hintergrundbild hoch (1920 × 1080 px, max. 300 KB).
3. Pruefen Sie die Vorschau — das Bild erscheint auf dem Desktop hinter dem Anmeldefeld. Auf Mobilgeraeten kann es beschnitten oder ausgeblendet werden.

Richtlinien fuer das Hintergrundbild

• Halten Sie es schlicht — ein abstraktes Muster, ein dezenter Farbverlauf in Ihren Markenfarben oder ein unaufdringliches Buerofoto funktioniert am besten
• Vermeiden Sie ueberladene Bilder — sie konkurrieren mit dem Anmeldeformular
• Halten Sie die rechte Seite heller — das Anmeldefeld erscheint typischerweise rechts
• Komprimieren Sie gezielt — maximal 300 KB bedeutet, dass Sie optimieren muessen. Nutzen Sie TinyPNG oder aehnliche Tools
• Beachten Sie die Barrierefreiheit — stellen Sie ausreichenden Kontrast fuer das ueberlagerte Anmeldeformular sicher

Wenn Sie kein Hintergrundbild verwenden moechten, koennen Sie stattdessen eine Seitenhintergrundfarbe festlegen (Hex-Wert, z. B. #f0f2f5 fuer ein helles Grau). Diese Option finden Sie in der Registerkarte Grundlagen unter dem Hintergrundbild-Upload.

Schritt 5: Anmeldeseitentext konfigurieren

1. Wechseln Sie zur Registerkarte Anmeldeformular.
2. Suchen Sie das Feld Anmeldeseitentext.
3. Geben Sie eine kurze Nachricht ein, die Ihre Mitarbeiter wiedererkennen, zum Beispiel:

Willkommen bei Contoso GmbH. Wenn Sie diese Seite nicht erwartet haben, schliessen Sie sofort Ihren Browser und melden Sie die E-Mail an sicherheit@contoso.de.

Dieser Text erscheint unterhalb des Anmeldeformulars. Halten Sie ihn unter 1024 Zeichen (Microsofts Limit). Es wird nur reiner Text unterstuetzt — kein HTML, keine Links.

Was der Anmeldetext enthalten sollte

• Firmenname — bestaetigt dem Nutzer, dass er beim richtigen Mandanten ist
• Sicherheitshinweis — was tun, wenn die Seite verdaechtig aussieht
• IT-Support-Kontakt — wohin Phishing-Versuche gemeldet werden sollen

Was NICHT enthalten sein sollte

• Passwoerter oder Sicherheitscodes
• Links (sie sind in diesem Feld nicht klickbar)
• Ueberlange rechtliche Hinweise (die werden von niemandem gelesen)

Schritt 6: Erweiterte Optionen (Favicon, Farben)

Favicon

1. Laden Sie in der Registerkarte Grundlagen Ihr Favicon hoch (32 × 32 px oder 48 × 48 px, max. 10 KB).
2. Es erscheint im Browser-Tab, wenn Nutzer die Anmeldeseite besuchen. Ein kleines Detail, das aber die Markenwiedererkennung staerkt.

Fusszeilen-Links

1. Wechseln Sie zur Registerkarte Fusszeile.
2. Aktivieren Sie Fusszeile anzeigen.
3. Fuegen Sie Ihre Datenschutz- und Cookie-URL hinzu (z. B. https://www.contoso.de/datenschutz).
4. Fuegen Sie Ihre Nutzungsbedingungen-URL hinzu.

Layout-Optionen

1. Wechseln Sie zur Registerkarte Layout.
2. Waehlen Sie eine Vorlage — zur Auswahl stehen die Standardansicht (Anmeldefeld rechts) oder ein zentriertes Vollbild-Layout.
3. Konfigurieren Sie, ob Kopf- und Fusszeile angezeigt werden sollen.

Schritt 7: Speichern und testen

1. Klicken Sie auf Ueberpruefen, um eine vollstaendige Vorschau zu sehen.
2. Klicken Sie auf Speichern.
3. Warten Sie 5–15 Minuten — Branding-Aenderungen muessen sich ueber Microsofts CDN verbreiten. Es geht nicht sofort.
4. Testen Sie die gebrandete Anmeldeseite.

So testen Sie

1. Oeffnen Sie ein privates/Inkognito-Browserfenster (damit vermeiden Sie zwischengespeicherte Sitzungen).
2. Navigieren Sie zu https://login.microsoftonline.com.
3. Geben Sie eine gueltige E-Mail-Adresse aus Ihrem Mandanten ein (z. B. nutzer@contoso.de).
4. Nach Eingabe der E-Mail sollte die Anmeldeseite Ihr Branding anzeigen.

Wichtig: Das Branding erscheint erst nachdem der Nutzer seine E-Mail-Adresse eingegeben hat und das System den Mandanten identifiziert hat. Die initiale E-Mail-Eingabeseite bleibt die generische Microsoft-Seite. Das ist beabsichtigt — Microsoft kann mandantenspezifisches Branding erst anzeigen, wenn bekannt ist, zu welchem Mandanten der Nutzer gehoert.

Test-Checkliste

[ ] Logo erscheint korrekt im Anmeldefeld
[ ] Bannerlogo wird oben links in der Kopfzeile angezeigt
[ ] Hintergrundbild wird korrekt dargestellt (Desktop)
[ ] Anmeldetext ist unterhalb des Formulars sichtbar
[ ] Favicon erscheint im Browser-Tab
[ ] Fusszeilen-Links funktionieren (falls konfiguriert)
[ ] Test auf Mobilgeraet (Branding kann anders dargestellt werden)
[ ] Test im hellen und dunklen Modus (falls zutreffend)
[ ] Test mit einem Nicht-Admin-Benutzerkonto

Vorher-Nachher-Vergleich

Vorher: Standard-Microsoft-Anmeldeseite

• Generisches Microsoft-Logo
• Einfacher weisser/grauer Hintergrund
• Keine Firmenidentifikation
• Kein Anmeldetext
• Kein Favicon
• Ergebnis: Nicht von einer Phishing-Seite zu unterscheiden

Nachher: Gebrandete Anmeldeseite

• Ihr Firmenlogo prominent dargestellt
• Individuelles Hintergrundbild oder Farbe
• Firmenname und Sicherheitshinweis im Anmeldetext
• Eigenes Favicon im Browser-Tab
• Fusszeile mit Datenschutz-/Nutzungsbedingungen-Links
• Ergebnis: Mitarbeiter koennen die Echtheit sofort ueberpruefen. Jede Abweichung ist ein Warnsignal.

Schulen Sie Ihre Mitarbeiter darauf, auf diese visuellen Merkmale zu achten. Nehmen Sie Screenshots der gebrandeten Anmeldeseite in Ihre Security-Awareness-Schulungen auf. Sagen Sie ihnen: "Wenn Sie eine Microsoft-Anmeldeseite ohne unser Logo sehen, stoppen Sie und melden Sie es."

Fehlerbehebung

Branding wird nach dem Speichern nicht angezeigt

• Warten Sie mindestens 15 Minuten. Die CDN-Verbreitung braucht Zeit. In seltenen Faellen bis zu 24 Stunden.
• Leeren Sie Ihren Browser-Cache oder nutzen Sie ein Inkognito-Fenster.
• Stellen Sie sicher, dass Sie eine E-Mail-Adresse aus Ihrem Mandanten eingegeben haben. Branding erscheint erst nach der Mandantenidentifikation.

Logo sieht unscharf aus

• Laden Sie das Logo in den exakt empfohlenen Abmessungen hoch (240 × 240 fuer quadratisch, 245 × 36 fuer Banner).
• Verwenden Sie PNG-Format mit scharfen Kanten statt JPG (das fuehrt zu Kompressionsartefakten).
• Wenn Ihr Quell-Logo ein Vektor (SVG) ist, exportieren Sie es in doppelter Anzeige-Groesse fuer scharfe Darstellung auf Retina-Displays.

Hintergrundbild wird nicht angezeigt

• Pruefen Sie, ob die Datei unter 300 KB liegt.
• Stellen Sie sicher, dass die Aufloesung 1920 × 1080 px betraegt.
• Versuchen Sie ein anderes Bildformat (wechseln Sie zwischen PNG und JPG).
• Auf Mobilgeraeten wird das Hintergrundbild designbedingt moeglicherweise ausgeblendet — testen Sie zuerst auf dem Desktop.

Anmeldetext erscheint nicht

• Pruefen Sie, ob der Text unter 1024 Zeichen lang ist.
• Verwenden Sie keine HTML-Tags — nur reiner Text wird unterstuetzt.
• Der Text wird moeglicherweise nicht bei allen Anmelde-Flows angezeigt (z. B. ueberspringen einige app-spezifische Anmeldedialoge den Text).

Fehlermeldung "Sie haben keine Berechtigung"

• Sie benoetigen die Rolle Globaler Administrator oder Administrator fuer Organisationsbranding.
• Wenn Sie die richtige Rolle haben, aber den Fehler trotzdem sehen, pruefen Sie, ob eine Conditional-Access-Richtlinie den Administratorzugriff von Ihrem aktuellen Standort/Geraet blockiert.
• Versuchen Sie einen anderen Browser oder deaktivieren Sie Browser-Erweiterungen, die Entra ID stoeren koennten.

Branding wird bei manchen Nutzern angezeigt, bei anderen nicht

• Die CDN-Verbreitung kann ungleichmaessig sein — warten Sie 24 Stunden, bevor Sie weiter nachforschen.
• Nutzer mit zwischengespeicherten Sitzungen sehen moeglicherweise das alte Branding. Sie muessen Cookies loeschen oder den Inkognito-Modus verwenden.
• Wenn Sie sprachspezifisches Branding konfiguriert haben, sehen Nutzer, deren Browsersprache nicht uebereinstimmt, moeglicherweise das Standard-Branding (oder keines, wenn der Standard nicht konfiguriert ist).

Jenseits von Branding: Umfassende Anti-Phishing-Strategie

Unternehmensbranding ist eine visuelle Abschreckung. Es ist notwendig, aber nicht ausreichend. Hier sind die zusaetzlichen Schichten, die Sie implementieren sollten:

1. Multi-Faktor-Authentifizierung (MFA)

MFA ist die wirksamste Einzelmassnahme gegen Credential-Phishing. Selbst wenn ein Angreifer das Passwort abfaengt, kann er die Authentifizierung ohne den zweiten Faktor nicht abschliessen.

# MFA-Status aller Nutzer per Microsoft Graph PowerShell pruefen
Connect-MgGraph -Scopes "Reports.Read.All"
Get-MgReportAuthenticationMethodUserRegistrationDetail | 
  Select-Object UserPrincipalName, IsMfaRegistered, DefaultMfaMethod | 
  Export-Csv -Path "mfa-status.csv" -NoTypeInformation

Empfehlung: Erzwingen Sie MFA fuer alle Nutzer per Conditional-Access-Richtlinie (nicht per Benutzer-MFA, das ist veraltet). Bevorzugen Sie phishing-resistente MFA-Methoden:

• FIDO2-Sicherheitsschluessel (YubiKey etc.) — bester Schutz
• Windows Hello for Business — passwortlos
• Microsoft Authenticator mit Nummernabgleich — gut, schuetzt gegen MFA-Fatigue-Angriffe
• Vermeiden Sie SMS-basierte MFA — anfaellig fuer SIM-Swapping

2. Conditional-Access-Richtlinien

Conditional Access ermoeglicht es Ihnen, Sicherheitsanforderungen kontextbasiert durchzusetzen (Standort, Geraet, Risikostufe). Wichtige Richtlinien fuer den Phishing-Schutz:

# Essenzielle Conditional-Access-Richtlinien:

1. MFA fuer alle Nutzer und alle Cloud-Apps erfordern
   - Benutzer: Alle Benutzer (Notfallkonten ausschliessen)
   - Cloud-Apps: Alle Cloud-Apps
   - Gewaehren: MFA erforderlich

2. Legacyauthentifizierung blockieren
   - Benutzer: Alle Benutzer
   - Cloud-Apps: Alle Cloud-Apps
   - Bedingungen: Client-Apps = Exchange ActiveSync, andere Clients
   - Gewaehren: Zugriff blockieren

3. Konforme/hybrid eingebundene Geraete fuer sensible Apps erfordern
   - Benutzer: Alle Benutzer
   - Cloud-Apps: Office 365, Azure-Verwaltung
   - Gewaehren: Konformes Geraet ODER hybrid eingebundenes Geraet

4. Anmeldungen aus Hochrisikostandorten blockieren
   - Benutzer: Alle Benutzer
   - Bedingungen: Standorte = Alle AUSSER vertrauenswuerdige
   - Gewaehren: Blockieren (oder MFA + konformes Geraet erfordern)

3. Microsoft Defender fuer Office 365

Wenn Ihr Plan Microsoft Defender fuer Office 365 umfasst (M365 Business Premium, E5 oder als Add-on), aktivieren Sie diese Funktionen:

• Safe Links — schreibt URLs in E-Mails um und prueft sie zum Klick-Zeitpunkt
• Safe Attachments — fuehrt Anhaenge vor der Zustellung in einer Sandbox aus
• Anti-Phishing-Richtlinien — Identitaetsschutz fuer Schluesselbenutzer und Domaenen
• Angriffssimulationstraining — sendet simulierte Phishing-Mails zum Training der Mitarbeiter

4. Sicherheitsstandards (ohne Conditional Access)

Wenn Sie kein Entra ID P1 fuer Conditional Access haben, aktivieren Sie mindestens die Sicherheitsstandards:

Entra Admin Center → Identitaet → Uebersicht → Eigenschaften → Sicherheitsstandards verwalten → Aktiviert

Damit wird die MFA-Registrierung fuer alle Nutzer erzwungen, Legacyauthentifizierung blockiert und MFA fuer Administratorrollen vorausgesetzt.

5. Mitarbeiterschulung

Technik allein reicht nicht. Schulen Sie Ihre Mitarbeiter darin:

• URL pruefen vor der Passworteingabe — sie muss login.microsoftonline.com lauten
• Auf das Firmenbranding achten, das Sie gerade konfiguriert haben
• Niemals Zugangsdaten ueber einen E-Mail-Link eingeben — stattdessen das Portal direkt aufrufen
• Verdaechtige E-Mails melden ueber den "Melden"-Button in Outlook oder Weiterleitung an das IT-Sicherheitsteam
• Misstrauisch bei Dringlichkeit sein — Phishing-Mails erzeugen immer ein Gefuehl der Dringlichkeit

Anti-Phishing-Verteidigungsuebersicht

Schicht	Schuetzt gegen	Aufwand
Unternehmensbranding	Generische Phishing-Seiten	15 Minuten
MFA (Authenticator)	Gestohlene Passwoerter	30 Minuten
Phishing-resistente MFA (FIDO2)	AitM-Angriffe, MFA-Fatigue	1–2 Stunden
Conditional Access	Riskante Anmeldungen, Legacy-Auth	1–2 Stunden
Defender fuer O365	Schaedliche E-Mails, Links, Anhaenge	1 Stunde
Mitarbeiterschulung	Social Engineering	Fortlaufend

Zusammenfassung

Das Hinzufuegen von Firmenbranding auf Ihrer Microsoft-365-Anmeldeseite ist eine der schnellsten und einfachsten Sicherheitsverbesserungen, die Sie vornehmen koennen. Es dauert 15 Minuten, kostet nichts ueber Ihre bestehende Lizenz hinaus und gibt jedem Mitarbeiter Ihrer Organisation einen visuellen Ankerpunkt, um die Echtheit der Anmeldeseite zu ueberpruefen.

Aber hoeren Sie nicht beim Branding auf. Der eigentliche Schutz entsteht durch die Kombination aus Branding + MFA + Conditional Access + Defender + Schulung. Jede Schicht macht dem Angreifer die Arbeit schwerer. Branding allein wird einen entschlossenen Angreifer nicht aufhalten, aber es stoppt die grosse Mehrheit der standardmaessigen Phishing-Angriffe, denen Ihre Organisation taeglich ausgesetzt ist.

Sofort-Massnahmen fuer heute:

1. Unternehmensbranding konfigurieren (dieser Artikel) — 15 Minuten
2. MFA mit Nummernabgleich aktivieren — 30 Minuten
3. Legacyauthentifizierung blockieren per Conditional Access — 15 Minuten
4. Firmenweite E-Mail senden mit einem Screenshot der neuen gebrandeten Anmeldeseite und der Anweisung, alles zu melden, was anders aussieht