Compliance Scans
Betreut von: Aether365 Team Zielgruppe: Sicherheitsadministratoren und Compliance-Beauftragte Umfang: Ausführung von Compliance Scans, abgedeckte Frameworks und Ergebnisstruktur
Compliance Scans bewerten Ihren Microsoft 365 Tenant anhand etablierter Sicherheitsbenchmarks. Jeder Benchmark wird von einer Sicherheitsbehörde gepflegt und definiert Kontrollen, die Organisationen implementieren sollten, um Risiken zu reduzieren.
Unterstützte Frameworks
Benchmark-Versionen
Aether365 berücksichtigt stets die aktuellste veröffentlichte Version jedes Benchmarks. Die Compliance-Engine wird automatisch aktualisiert, sobald Sicherheitsbehörden neue Revisionen veröffentlichen. So spiegeln Ihre Scans immer den aktuellen Standard wider, ohne dass Sie selbst etwas tun müssen. Die unten genannten Versionsnummern geben den zum Zeitpunkt der Erstellung gültigen Stand an.
CIS Microsoft 365 Foundations Benchmark (v5.0)
Gepflegt vom Center for Internet Security ist dieser Benchmark der am weitesten verbreitete M365-Sicherheitsstandard. Er deckt ab:
- Konto und Authentifizierung - MFA-Anforderungen, Kennwortrichtlinien, Legacy-Authentifizierung
- Azure Active Directory / Entra ID - Bedingter Zugriff, Rollenzuweisungen, privilegierter Zugriff
- E-Mail-Sicherheit - Anti-Phishing, Anti-Spam, DKIM, DMARC, SPF
- Microsoft Teams - Externer Zugriff, Gasteinstellungen, Besprechungsrichtlinien
- Microsoft 365 Apps - Makroeinstellungen, Add-In-Richtlinien
- Überwachungsprotokollierung - Postfachüberwachung, einheitliches Überwachungsprotokoll
CIS-Kontrollen sind als Level 1 (L1) oder Level 2 (L2) gekennzeichnet:
| Level | Bedeutung |
|---|---|
| L1 | Empfohlen für alle Organisationen. Minimale Auswirkung auf den Betrieb. |
| L2 | Höhere Sicherheit, kann die Benutzerfreundlichkeit beeinflussen. Empfohlen für sicherheitssensible Umgebungen. |
Prüfungs-IDs folgen dem Format CIS.M365.{Abschnitt}.{Unterabschnitt}.{Punkt} - zum Beispiel CIS.M365.1.1.1.
EIDSCA (Entra ID Security Config Analyzer)
EIDSCA konzentriert sich speziell auf die Entra ID (ehemals Azure Active Directory)-Konfiguration. Es deckt Bereiche ab, die CIS nicht vollständig behandelt, darunter:
- Authentifizierungsmethoden (SSPR, MFA-Registrierungsrichtlinien)
- Lücken bei Richtlinien für bedingten Zugriff
- Privileged Identity Management (PIM)-Einstellungen
- Token-Lebensdauer und Sitzungssteuerung
- Gast- und externe Identitätseinstellungen
CISA SCuBA M365 Sicherheitsbaseline
Veröffentlicht von der U.S. Cybersecurity and Infrastructure Security Agency definiert SCuBA (Secure Cloud Business Applications) die Sicherheitsbaseline der Bundesregierung für M365. Sie ist nach Produkt strukturiert:
- Microsoft Entra ID (AAD)
- Microsoft Defender for Office 365
- Exchange Online
- Microsoft Teams
- SharePoint Online und OneDrive
- Microsoft 365 Apps
SCuBA ist besonders relevant für Organisationen in regulierten Branchen oder solche, die mit US-Bundesbehörden zusammenarbeiten.
NIS2
NIS2 ist die EU-Netzwerk- und Informationssystemrichtlinie (2022/2502). Aether365 ordnet M365-Konfigurationskontrollen den relevanten technischen NIS2-Anforderungen zu und hilft Organisationen in der Europäischen Union, die Einhaltung nachzuweisen für:
- Zugriffskontrolle und Authentifizierung (Artikel 21)
- Vorfallbehandlung und Sicherheitsereignisprotokollierung
- Geschäftskontinuitätskontrollen
- Lieferkettensicherheitseinstellungen
Ergebniskategorien
Jede Prüfung liefert eines von drei Ergebnissen:
| Ergebnis | Bedeutung |
|---|---|
| Bestanden | Die Kontrolle ist korrekt konfiguriert |
| Fehlgeschlagen | Die Kontrolle ist nicht erfüllt - Behebung empfohlen |
| Übersprungen | Die Prüfung trifft auf die Konfiguration oder Lizenz Ihres Tenants nicht zu |
Schweregrad-Labels
Zusätzlich zu L1/L2 (CIS) hat jede Prüfung einen von Aether365 zugewiesenen Schweregrad:
| Schweregrad | Beschreibung |
|---|---|
| Kritisch | Direktes Ausnutzungsrisiko oder gängiger Angriffsvektor |
| Hoch | Erhebliches Risiko, sollte zeitnah behoben werden |
| Mittel | Risiko vorhanden, aber durch andere Kontrollen gemindert |
| Niedrig | Best Practice, geringeres unmittelbares Risiko |
Behebungsanleitungen
Jede fehlgeschlagene Prüfung enthält:
- Eine verständliche Erklärung, warum die Prüfung fehlgeschlagen ist
- Schritt-für-Schritt-Anweisungen zur Behebung im Microsoft 365 Admin Center oder Azure-Portal
- Einen Link zur offiziellen Microsoft-Dokumentation
Haftungsausschluss
Die Ergebnisse von Aether365 Compliance Scans dienen ausschließlich zu Informationszwecken und zur Verbesserung Ihrer Sicherheit. Es handelt sich um automatisierte Empfehlungen auf Basis Ihrer Microsoft 365 Konfiguration - sie stellen keine Zertifizierung, Bescheinigung oder rechtliche Garantie für die Einhaltung eines Frameworks, Standards oder einer Vorschrift dar (einschließlich CIS, EIDSCA, CISA SCuBA, NIS2 oder DSGVO).
- Aether365 liest ausschließlich Konfigurationsmetadaten. Zur Erstellung dieser Ergebnisse werden weder Ihre Geschäftsinhalte, E-Mails, Dateien noch personenbezogene Daten von Endbenutzern verarbeitet, gespeichert oder analysiert, und es werden niemals Kundendaten an AI- oder Machine-Learning-Dienste übermittelt.
- Ein bestandenes Ergebnis bedeutet, dass eine Kontrolle zum Zeitpunkt des Scans wie erwartet konfiguriert war. Es bescheinigt nicht, dass Ihre Organisation ein Gesetz oder eine Vorschrift einhält.
- Die Verantwortung für die regulatorische Compliance Ihrer Organisation, für die Auslegung und Umsetzung der Scan-Ergebnisse sowie für etwaige Bußgelder, Strafen oder Sanktionen aus Ihren regulatorischen Verpflichtungen liegt allein bei Ihnen.
Für eine formelle Zertifizierung oder eine rechtliche Bewertung Ihrer Compliance-Situation wenden Sie sich an einen qualifizierten Auditor oder Rechtsberater.