Empfehlungen fürs sichere Microsoft 365
Die Securityvorgaben der CISA für die Microsoft-Cloud sind fertig. Wir zeigen, was hinter den Empfehlungen steckt, und vergleichen sie mit den Empfehlungen von Microsoft und dem Center for Internet Security.
Kurz vor Weihnachten hat die US-amerikanische Cybersecurity & Infrastructure Security Agency (CISA) ihre Arbeiten an den Sicherheitsvorgaben für diverse Microsoft-365-Cloud-Dienste fertiggestellt. Die neue Security Baseline wurde als Teil der Bemühungen der CISA veröffentlicht, eine sichere Nutzung von Cloud-Diensten für US-Behörden zu ermöglichen. Sie sind im Projekt Secure Cloud Business Applications (SCuBA) zusammengefasst und stehen natürlich nicht nur den US-Behörden zur Verfügung. Damit gibt es eine umfangreiche Alternative zu den Microsoft 365 Foundation Benchmarks vom Center for Internet Security (CIS) als Orientierungshilfe zur Absicherung des eigenen Tenants – wobei: So alternativ sind beide Empfehlungen gar nicht.
Sicherheit im Vergleich
Die Sicherheitsvorgaben der CISA sind in vielen Gebieten sehr detailliert und bieten im Vergleich zur Standardkonfiguration der Hersteller oft ein deutliches Plus an Sicherheit. An den CISA-Vorgaben für M365 wurde nun über ein Jahr lang gearbeitet und das Ergebnis kann sich sehen lassen: Mehr als 125 einzelne Vorgaben und Prüfpunkte für die Microsoft-Cloud-Dienste Entra ID, M365 Defender, Exchange Online, SharePoint und OneDrive sowie Teams bieten gute Ansatzpunkte, um die Sicherheit der Datenverarbeitung in den Microsoft-Diensten zu erhöhen. Einige der Anforderungen sind bekannt aus den zugehörigen Benchmarks des CIS, die teilweise auch im Microsoft Security Center als Empfehlungen zu finden sind. Der aktuelle CIS-Benchmark kommt auf 114 Empfehlungen (Level 1 und Level 2), ist damit also in einer ähnlichen Größenordnung.