Framework-Vergleich
Betreut von: Aether365 Team Zielgruppe: Sicherheitsadministratoren und Compliance-Beauftragte Umfang: Vergleich der vier von Aether365 unterstützten Sicherheits-Frameworks nebeneinander
Vergleich der vier von Aether365 unterstützten Sicherheits-Frameworks nebeneinander.
Überblick
| CIS | EIDSCA | CISA SCuBA | NIS2 | |
|---|---|---|---|---|
| Vollständiger Name | CIS Microsoft 365 Foundations Benchmark | Entra ID Security Config Analyzer | Secure Cloud Business Applications M365 Baseline | EU-Richtlinie über Netz- und Informationssicherheit 2 |
| Herausgegeben von | Center for Internet Security | Microsoft (Open Source) | CISA (US-Bundesbehörde) | Europäische Union |
| Primäre Zielgruppe | Kommerzielle Organisationen weltweit | Organisationen mit Entra ID | US-Bundesbehörden | Wesentliche/wichtige Einrichtungen in der EU |
| Schwerpunkt | Umfassende M365-Konfiguration | Entra ID-Identitätssicherheit | M365 produkt-basiert | Cybersicherheits-Risikomanagement |
| Anzahl der Prüfungen | ~100 | ~80 | ~150 | ~50 |
| Aktualisierungszyklus | Hauptversionen alle 12-18 Monate | Kontinuierlich (GitHub) | Hauptversionen jährlich | Legislaturzyklus |
| Lizenz | Kostenlos nutzbar | Open Source (MIT) | Public Domain | EU-Verordnung |
CIS Microsoft 365 Foundations Benchmark
Am besten geeignet für: Organisationen, die eine kommerziell anerkannte, prüferfreundliche Baseline benötigen.
CIS-Benchmarks sind der De-facto-Standard in kommerziellen Sicherheitsprogrammen. Der M365-Benchmark deckt folgende Bereiche ab:
- Konto und Authentifizierung - MFA, Legacy-Authentifizierung, Passwortrichtlinien
- Microsoft 365 Admin Center-Einstellungen - Gastzugriff, Freigabe, externe Zusammenarbeit
- Exchange Online - E-Mail-Authentifizierung (SPF, DKIM, DMARC), Nachrichtenflussregeln, Anti-Phishing
- SharePoint Online und OneDrive - Freigabeeinstellungen, externe Zugriffskontrollen
- Microsoft Teams - Besprechungsrichtlinien, Gastzugriff, externe Föderation
- Entra ID - Conditional Access, Rollenzuweisungen, Sicherheitsstandards
Profilstufen:
| Stufe | Beschreibung |
|---|---|
| L1 | Grundlegende Kontrollen. Zuerst implementieren. Geringes Risiko von Unterbrechungen. |
| L2 | Höhere Sicherheit. Erfordert möglicherweise Planung und Benutzerkommunikation. |
Aether365 enthält die Profilstufe in jedem Ergebnis, damit Sie L1 zuerst priorisieren können.
EIDSCA (Entra ID Security Config Analyzer)
Am besten geeignet für: Organisationen, die eine tiefgreifende Identitätssicherheitsabdeckung über CIS hinaus benötigen.
EIDSCA wurde gemeinsam mit Microsoft-Ingenieuren entwickelt und zielt speziell auf die Entra ID-Konfiguration ab. Es deckt Bereiche ab, die CIS entweder auslässt oder nur teilweise behandelt:
- Privileged Identity Management (PIM) - Just-in-Time-Zugriff, Rollenaktivierungseinstellungen
- Authentifizierungsmethoden - FIDO2, Authenticator-App-Einstellungen, Windows Hello
- Conditional-Access-Richtlinien - Gerätekonformität, Anmelderisiko, Benutzerrisiko
- Anwendungsgovernance - OAuth-App-Berechtigungen, Zustimmungsrichtlinien
- Sicherheitsstandards und Baseline - Microsofts eigene Baseline-Empfehlungen
- Identity Protection - Risikorichtlinien, Erkennung kompromittierter Zugangsdaten
EIDSCA-Prüfungen ordnen sich den Secure Score-Kategorien in Microsoft Entra zu und ergänzen CIS-Prüfungen mit feingranularer Entra ID-Abdeckung.
CISA SCuBA M365 Security Baseline
Am besten geeignet für: US-Bundesbehörden unter CISA-Richtlinien; Organisationen, die eine umfassende produktbezogene Abdeckung benötigen.
SCuBA (Secure Cloud Business Applications) ist nach M365-Produkt statt nach Sicherheitskategorie strukturiert:
| Produkt-Baseline | Abdeckung |
|---|---|
| AAD (Azure Active Directory) | Identität, MFA, Conditional Access |
| Exchange Online | E-Mail-Sicherheit, Anti-Phishing, Nachrichtenfluss |
| Teams | Besprechungssicherheit, Gastzugriff, Datenverlust |
| SharePoint & OneDrive | Freigabe, externer Zugriff, DLP |
| Power Platform | App-Erstellungsrichtlinien, Gastzugriff |
| Defender for Office 365 | ATP-Richtlinien, Safe Links, Safe Attachments |
Jeder Produktabschnitt enthält erforderliche und optionale Richtlinien. Aether365 kennzeichnet optionale Richtlinien deutlich in den Ergebnisdetails.
SCuBA richtet sich technisch an US-Bundesbehörden (FISMA-abgedeckte Systeme), aber die Richtlinien sind allgemein auf jede Organisation anwendbar.
NIS2 (EU-Richtlinie über Netz- und Informationssicherheit 2)
Am besten geeignet für: EU-basierte Organisationen, die wesentliche oder wichtige Dienste betreiben und NIS2-Konformität nachweisen müssen.
NIS2 ist ein regulatorisches Framework, kein technischer Benchmark. Es legt Kategorien von Kontrollen fest, die Organisationen umsetzen müssen - es schreibt keine exakten Konfigurationswerte vor. Die NIS2-Prüfungen von Aether365 ordnen M365-Konfiguration den NIS2-Artikelanforderungen zu:
| NIS2-Artikel | Kontrollkategorie | Beispiel-M365-Prüfungen |
|---|---|---|
| Art. 21(2)(a) | Risikomanagement | Sicherheitsrichtlinien, Audit-Protokollierung |
| Art. 21(2)(b) | Vorfallbehandlung | Warnrichtlinien, Audit-Log-Aufbewahrung |
| Art. 21(2)(c) | Geschäftskontinuität | Backup, Einstellungen zur Datenaufbewahrung |
| Art. 21(2)(d) | Lieferkettensicherheit | Berechtigungen für Drittanbieter-Apps |
| Art. 21(2)(e) | Beschaffungssicherheit | Anwendungs-Zustimmungsrichtlinien |
| Art. 21(2)(f) | Zugriffskontrolle | MFA, privilegierter Zugriff, PIM |
| Art. 21(2)(g) | Kryptografie | Verschlüsselungseinstellungen, TLS-Richtlinie |
| Art. 21(2)(h) | Personalsicherheit | Offboarding, Überprüfung von Gastkonten |
| Art. 21(2)(i) | Authentifizierung | MFA, Passwortrichtlinien, Legacy-Authentifizierung |
Wichtig: Das Bestehen der NIS2-Prüfungen in Aether365 zertifiziert keine NIS2-Konformität. NIS2-Konformität erfordert organisatorische Prozesse, rechtliche Bewertungen und Meldepflichten jenseits der technischen Konfiguration. Die NIS2-Prüfungen von Aether365 geben Ihnen die Gewissheit, dass Ihre M365-Konfiguration den NIS2-Anforderungen nicht widerspricht.
Welches Framework sollte ich verwenden?
Sie müssen sich nicht für eines entscheiden. Aether365 führt alle Frameworks aus und präsentiert die Ergebnisse zusammen. Es gibt erhebliche Überschneidungen zwischen Frameworks - eine einzelne Konfigurationseinstellung kann von CIS, EIDSCA und CISA geprüft werden. Aether365 dedupliziert überlappende Prüfungen und zeigt jeden Befund einmal mit Querverweisen zu jedem Framework, das ihn abdeckt.
Empfehlungen zum Einstieg:
| Situation | Beginnen Sie mit |
|---|---|
| Keine Vorerfahrung mit Frameworks | CIS L1 - grundlegend und weithin anerkannt |
| Fokus auf Identitätssicherheit | EIDSCA - tiefste Entra ID-Abdeckung |
| US-Bundesbehörde oder regierungsnah | CISA SCuBA |
| EU-regulatorische Anforderung | NIS2, dann Lücken mit CIS füllen |
| Sicherheitsaudit bestehen müssen | CIS - von externen Prüfern am meisten anerkannt |
| Umfassende Abdeckung gewünscht | Alle vier Frameworks gleichzeitig ausführen |
Anzahl der Prüfungen pro Framework
Die Prüfungszahlen variieren, da Frameworks aktualisiert werden. Aktuelle ungefähre Zahlen in Aether365:
| Framework | Prüfungen gesamt | Typische Bestehensquote (KMU) | Typische Bestehensquote (Enterprise) |
|---|---|---|---|
| CIS (L1) | ~60 | 55-70% | 70-85% |
| CIS (L1+L2) | ~100 | 45-65% | 65-80% |
| EIDSCA | ~80 | 50-65% | 65-80% |
| CISA SCuBA | ~150 | 40-60% | 60-75% |
| NIS2 | ~50 | 55-70% | 70-85% |
Die Bestehensquoten sind illustrative Schätzungen. Ihre Quote hängt stark von Ihrer bestehenden Konfiguration, Ihren Lizenzen und davon ab, ob Sie Conditional-Access-Richtlinien eingesetzt haben.