Compliance Frameworks
Betreut von: Aether365 Team Zielgruppe: Sicherheitsadministratoren und Compliance-Beauftragte Umfang: Beschreibungen der CIS-, EIDSCA-, CISA SCuBA- und NIS2-Frameworks
Aether365 bewertet Ihren Microsoft 365 Tenant anhand von vier etablierten Sicherheitsframeworks. Jedes Framework wird von einer anderen Stelle gepflegt und hat einen unterschiedlichen Schwerpunkt, Umfang und Adressatenkreis.
CIS Microsoft 365 Foundations Benchmark
Gepflegt von: Center for Internet Security (CIS) Version: v3.0 Zielgruppe: Alle Organisationen, die Microsoft 365 nutzen Umfang: Kontosicherheit, Entra ID, Exchange, Teams, SharePoint, Überwachungsprotokollierung
CIS ist der am weitesten verbreitete M365-Sicherheitsbenchmark. Er definiert einen klaren, umsetzbaren Satz von Kontrollen, jeweils mit detaillierten Implementierungshinweisen. Kontrollen werden als Level 1 oder Level 2 kategorisiert:
| Level | Beschreibung | Wann anzuwenden |
|---|---|---|
| L1 | Grundlegende Kontrollen mit minimaler betrieblicher Auswirkung | Alle Organisationen |
| L2 | Strengere Kontrollen, die die Nutzererfahrung beeinflussen können | Sicherheitssensible Umgebungen |
Prüfungs-ID-Format: CIS.M365.{Abschnitt}.{Unterabschnitt}.{Punkt} - zum Beispiel CIS.M365.1.1.1
CIS-Prüfungen decken die Abschnitte 1 bis 9 des Benchmarks ab, darunter:
- Abschnitt 1: Identitäts- und Zugriffsverwaltung
- Abschnitt 2: Microsoft Entra ID
- Abschnitt 3: Microsoft 365 Apps
- Abschnitt 4: Microsoft Teams
- Abschnitt 5: E-Mail-Sicherheit (Exchange Online)
- Abschnitt 6: SharePoint Online
- Abschnitt 7: OneDrive
- Abschnitt 8: Microsoft Defender
- Abschnitt 9: Überwachungsprotokollierung
EIDSCA (Entra ID Security Config Analyzer)
Gepflegt von: Microsoft und der Open-Source-Community Zielgruppe: Organisationen mit umfangreicher Entra ID-Nutzung Umfang: Tiefgehende Entra ID-Konfiguration
EIDSCA konzentriert sich speziell auf Entra ID (ehemals Azure Active Directory) und deckt Bereiche ab, die CIS nicht in gleicher Tiefe behandelt. Wichtige Bereiche:
- Registrierungsrichtlinien für Authentifizierungsmethoden und SSPR
- Lücken bei Richtlinien für bedingten Zugriff und grundlegende Richtlinienabdeckung
- Konfiguration von Privileged Identity Management (PIM)
- Token-Lebensdauer und Sitzungssteuerung
- Gastbenutzer- und B2B-Zusammenarbeitseinstellungen
- Vertrauenseinstellungen für externe Identitätsanbieter
EIDSCA ist besonders nützlich, wenn Ihre Organisation stark auf Entra ID-Funktionen wie Privileged Identity Management, externe Zusammenarbeit oder benutzerdefinierte Authentifizierungsabläufe setzt.
Prüfungs-ID-Format: EIDSCA.{Kategorie}{Nummer} - zum Beispiel EIDSCA.PR01
CISA SCuBA M365 Sicherheitsbaseline
Gepflegt von: U.S. Cybersecurity and Infrastructure Security Agency (CISA) Version: Aktuelle veröffentlichte Baseline Zielgruppe: US-Bundesbehörden und Organisationen, die mit ihnen zusammenarbeiten; regulierte Branchen Umfang: Vollständige M365-Produktpalette
SCuBA (Secure Cloud Business Applications) ist die Sicherheitsbaseline der US-Bundesregierung für Cloud-Produktivitätsplattformen. Sie ist nach M365-Produkt statt nach Kontrollkategorie strukturiert:
| Produkt | Prüfungen decken ab |
|---|---|
| Microsoft Entra ID | Identitäts- und Zugriffsverwaltung |
| Microsoft Defender for Office 365 | Bedrohungsschutzrichtlinien |
| Exchange Online | E-Mail-Transport, Anti-Phishing, Verschlüsselung |
| Microsoft Teams | Externer Zugriff, Besprechungsrichtlinien |
| SharePoint Online und OneDrive | Freigabe, Zugriffskontrolle |
| Microsoft 365 Apps | Makrorichtlinien, Add-In-Verwaltung |
| Power Platform | Konnektorrichtlinien (nur Enterprise) |
SCuBA ist über US-Bundesumgebungen hinaus relevant. Seine klaren Richtlinienaussagen und das automatisierte Testformat machen es zu einer nützlichen Baseline für jede Organisation, die strenge, unabhängig gepflegte Leitlinien sucht.
Prüfungs-ID-Format: MS.{PRODUKT}.{Nummer}.{Unternummer} - zum Beispiel MS.AAD.1.1
NIS2
Gepflegt von: Europäische Union Richtlinie: EU 2022/2502 (NIS2) Zielgruppe: Organisationen, die in der EU tätig sind, insbesondere Betreiber wesentlicher und wichtiger Einrichtungen Umfang: Technische und organisatorische Maßnahmen gemäß Artikel 21
NIS2 ist kein technischer Benchmark - es ist eine regulatorische Richtlinie. Aether365 ordnet M365-Konfigurationskontrollen den technischen Anforderungen zu, die NIS2 gemäß Artikel 21 vorschreibt, der von Organisationen verlangt, angemessene Maßnahmen zur Bewältigung von Cybersicherheitsrisiken zu ergreifen.
NIS2-Prüfungen in Aether365 konzentrieren sich auf:
| NIS2-Bereich | M365-Kontrollen |
|---|---|
| Zugriffskontrolle und Authentifizierung | MFA, privilegierter Zugriff, bedingter Zugriff |
| Vorfallbehandlung | Überwachungsprotokollierung, Warnungsrichtlinien, Sicherheitsereignisse |
| Geschäftskontinuität | Sicherungs- und Wiederherstellungseinstellungen, Datenresidenz |
| Lieferkettensicherheit | App-Einwilligungsrichtlinien, externe Konnektoreinstellungen |
| Grundlegende Cyberhygiene | Legacy-Authentifizierung, Patch-relevante Einstellungen |
Umfang der NIS2-Compliance
Aether365 deckt die M365-spezifischen technischen Kontrollen ab, die für NIS2 relevant sind. Vollständige NIS2-Compliance erfordert ein breiteres Programm technischer und organisatorischer Maßnahmen über Ihre M365-Konfiguration hinaus. Aether365-Ergebnisse stellen keine NIS2-Compliance-Zertifizierung dar.
Framework-Vergleich
| Dimension | CIS | EIDSCA | CISA SCuBA | NIS2 |
|---|---|---|---|---|
| Autorität | CIS | Open Source / Microsoft | US CISA | EU-Regulierung |
| Schwerpunkt | Breites M365 | Entra ID-Tiefe | Produkt für Produkt | Risikobasiert regulatorisch |
| Detailgrad | Hoch | Sehr hoch | Hoch | Moderat |
| Geeignet für EU-Organisationen | Ja | Ja | Ja | Erforderlich |
| Geeignet für US-Bundesbehörden | Ja | Ja | Erforderlich | Nicht zutreffend |
| Geeignet für alle Organisationen | Ja | Ja | Ja | Wenn EU-reguliert |
| Prüfungsanzahl in Aether365 | ~60 | ~40 | ~50 | ~30 |
Alle Frameworks laufen als Teil eines Compliance Scans. Sie können keine einzelnen Frameworks pro Scan auswählen - alle zutreffenden Prüfungen laufen gemeinsam und Ergebnisse werden zur Filterung nach Framework gekennzeichnet.