Wenn ein Assessor oder Auditor fragt, wie Ihre Organisation abgesichert ist, steckt ein großer Teil der Antwort bereits in Microsoft 365. Die Kontrollen existieren, die Protokolle werden erfasst, und die Einstellungen werden durchgesetzt. Die Lücke liegt selten bei der Technologie. Sie liegt darin, genau auf die Einstellung zeigen zu können, die eine Kontrolle erfüllt, und dafür Nachweise zu erstellen, ohne eine Woche manueller Arbeit.
Dieser Leitfaden bildet gängige Microsoft 365-, Microsoft Entra- und Microsoft Intune-Einstellungen auf die Cyber-Essentials-Kontrollen und auf eine Handvoll ISO 27001:2022 Annex A-Kontrollen ab. Der Wortlaut der Kontrollen folgt den NCSC-Cyber-Essentials-Anforderungen und ISO/IEC 27001:2022. Betrachten Sie die Zuordnung als Orientierung für den Umfang Ihrer Nachweise, nicht als Ersatz für die Anforderungen Ihrer Zertifizierungsstelle, denn wie eine Kontrolle greift, hängt immer von Ihrem eigenen Geltungsbereich und Ihrer Konfiguration ab.
Warum Auditoren nach Microsoft 365-Nachweisen fragen
Sowohl Cyber Essentials als auch ISO 27001 sind nachweisgetrieben. Eine Kontrolle auf dem Papier zählt wenig, wenn Sie nicht zeigen können, dass sie angewendet wird und funktioniert. Für die meisten Organisationen, die Microsoft 365 nutzen, werden dort Identität, Geräte, E-Mail und Updates gesteuert, wodurch die Plattform zur reichhaltigsten Nachweisquelle im Assessment wird. Die praktische Frage ist, wie sich dieser Nachweis sauber, auf Abruf und in einer für den Assessor akzeptablen Form bereitstellen lässt.
Cyber Essentials: die fünf Kontrollen in Microsoft 365
Cyber Essentials definiert fünf technische Kontrollen. Jede lässt sich auf eine konkrete Microsoft 365-, Entra- oder Intune-Konfiguration abbilden, und jede liefert Nachweise, die Sie exportieren können.
| Cyber-Essentials-Kontrolle | Wo sie in Microsoft 365 verankert ist | Exportierbare Nachweise |
|---|---|---|
| Firewalls | Microsoft Defender Firewall, verwaltet über Intune-Endpoint-Security-Firewallrichtlinien auf registrierten Geräten; die Servicegrenze für die Cloud-Plattform liegt bei Microsoft | Firewallrichtlinienkonfiguration und Gerätefirewall-Status aus dem Intune Admin Center |
| Sichere Konfiguration | Intune-Konfigurationsprofile und Windows-Sicherheitsbaselines, Microsoft Secure Score sowie das Blockieren veralteter Authentifizierung in Entra | Baseline-Zuweisungs- und Compliance-Berichte, Secure-Score-Verlauf, Anmeldebericht zu veralteter Authentifizierung |
| Benutzerzugriffskontrolle | Microsoft Entra-Konten, Conditional Access, Multi-Faktor-Authentifizierung, Rollen nach dem Prinzip der geringsten Rechte sowie Joiner-, Mover- und Leaver-Prozesse | Export der Conditional-Access-Richtlinien, Anmeldeprotokolle, Rollenzuweisungslisten, Aufzeichnungen zu Kontoüberprüfungen |
| Malware-Schutz | Microsoft Defender Antivirus und Defender for Endpoint, verwaltet über Intune, sowie Defender for Office 365 Safe Attachments und Safe Links | Antivirus- und Defender-Richtlinienkonfiguration, Geräteschutzstatus und Einstellungen der E-Mail-Bedrohungsrichtlinie |
| Sicherheitsupdate-Management | Windows Autopatch oder Windows Update for Business Update-Ringe, Intune-Qualitätsupdate-Richtlinien und der Update-Kanal für Microsoft 365 Apps | Update-Ring-Konfiguration sowie Windows-Update- oder Autopatch-Compliance-Berichte mit Patch-Ständen |
Zwei Punkte verdienen besondere Erwähnung. Erstens interessiert sich Cyber Essentials für die Endpunkt-Firewall und die sichere Konfiguration der von Ihnen verwalteten Geräte, nicht nur für den Cloud-Dienst, weshalb die Intune-Seite der Zuordnung den größten Teil des Gewichts trägt. Zweitens wurde Sicherheitsupdate-Management früher als Patch-Management bezeichnet; die Absicht ist dieselbe, und Windows Autopatch ist der sauberste Weg, sie nachzuweisen.
ISO 27001:2022 Annex A: ausgewählte Kontrollen und Nachweisquellen
ISO 27001 ist breiter angelegt als Cyber Essentials und deckt neben der Technologie auch Governance, Menschen und Prozesse ab. Die folgenden Kontrollen sind eine Teilmenge der technologischen und organisatorischen Annex-A-Kontrollen, bei denen Microsoft 365 eine primäre Nachweisquelle ist. Sie sind ein Ausgangspunkt für Ihre Statement of Applicability, nicht die vollständige Liste.
| Annex-A-Kontrolle | Was sie fordert | Microsoft 365-Nachweisquelle |
|---|---|---|
| A.5.15 Zugangssteuerung | Regeln zur Steuerung des physischen und logischen Zugriffs auf Basis geschäftlicher und sicherheitsrelevanter Anforderungen | Conditional-Access-Richtlinien, Entra-Rollenzuweisungen sowie Access-Package- oder Access-Review-Aufzeichnungen |
| A.8.2 Privilegierte Zugriffsrechte | Zuweisung und Nutzung privilegierter Zugriffe eingeschränkt und verwaltet | Microsoft Entra Privileged Identity Management: berechtigte Rollen, Aktivierungsgenehmigungen und herunterladbarer Prüfverlauf |
| A.8.7 Schutz vor Malware | Schutz vor Malware, unterstützt durch Benutzerbewusstsein | Richtlinienkonfiguration von Defender for Endpoint und Defender for Office 365 sowie Vorfalls- und Erkennungsberichte |
| A.8.8 Management technischer Schwachstellen | Informationen über technische Schwachstellen beschafft, Gefährdung bewertet und behoben | Expositionsberichte aus Microsoft Defender Vulnerability Management sowie Patch-Compliance aus Autopatch oder Update-Ringen |
| A.8.13 Sicherung von Informationen | Sicherungskopien gemäß einer vereinbarten Richtlinie gepflegt und getestet | Konfiguration der Microsoft Purview-Aufbewahrungsrichtlinie sowie eigene Aufzeichnungen zur Konfigurations- und Datensicherung |
A.8.13 verdient besondere Sorgfalt. Microsoft 365 bietet Dienstredundanz und Aufbewahrungskontrollen wie Purview-Aufbewahrungsrichtlinien, ist aber kein Backup-Produkt, und das Modell der geteilten Verantwortung belässt den Schutz Ihrer Daten und Konfiguration bei Ihnen. Weisen Sie für eine ISO-27001-Backup-Kontrolle Ihre Aufbewahrungskonfiguration und Ihren eigenen, separaten Ansatz zur Sicherung von Daten und Mandantenkonfiguration nach, statt zu unterstellen, dass die Plattform sich selbst sichert.
Wie Sie Nachweise ohne Screenshot-Marathons sammeln
Screenshots sind langsam, veralten schnell, und ein Assessor kann sie nicht verifizieren. Jede Quelle in den obigen Tabellen lässt sich stattdessen exportieren.
- Die Protokollsuche von Microsoft Purview Audit exportiert Aktivitäten im gesamten Mandanten als CSV, sodass Sie zeigen können, was wann über Exchange, SharePoint und Administratoraktionen hinweg passiert ist.
- Microsoft Entra-Anmelde- und Überwachungsprotokolle lassen sich direkt als CSV oder JSON herunterladen und belegen Zugangssteuerung, MFA und Verzeichnisänderungen.
- Berichtsexporte und Geräte-Compliance-Ansichten von Microsoft Intune belegen sichere Konfiguration, Firewall, Antivirus und Update-Status über verwaltete Geräte hinweg.
- Microsoft Entra Privileged Identity Management stellt einen herunterladbaren Prüfverlauf für die Aktivierung und Genehmigung privilegierter Zugriffe bereit.
- Exporte von Microsoft Secure Score verfolgen die Verbesserung der sicheren Konfiguration im Zeitverlauf.
- Microsoft Purview Compliance Manager verwaltet Verbesserungsmaßnahmen und ermöglicht es, Nachweisdateien an Kontrollen anzuhängen, sodass Sie an einem Ort ein Evidence-Paket zusammenstellen können.
Für Nachweise verwalteter Geräte kann ein Intune-Reporting-Tool Compliance-, App-, Update- und Konfigurationssignale in wiederholbare Audit-Packs verwandeln.
Bevorzugen Sie bei allem, was Sie wiederholen, einen geplanten Export oder eine Microsoft Graph- oder PowerShell-Abfrage gegenüber manuellem Durchklicken. Wiederholbare Exporte halten Nachweise zwischen den Audit-Zyklen aktuell und ersparen die jährliche Hektik.
Wo EtherAssist und EtherInsights ansetzen
Zu wissen, welche Einstellung auf welche Kontrolle abgebildet wird, ist die halbe Arbeit. Die andere Hälfte ist, den Workflow zu organisieren, die Richtlinien und Verfahren zu entwerfen, die über den Einstellungen stehen, und ein Nachweispaket zusammenzustellen, das ein Assessor akzeptiert.
EtherAssist unterstützt diesen Compliance-Workflow. Es hilft Teams dabei, Kontrollen auf Microsoft 365-Nachweise abzubilden, Richtlinien und Verfahren zu entwerfen und zu pflegen, Assessments zu strukturieren und ein Nachweispaket für Rahmenwerke wie ISO 27001, ISO 9001, ISO 42001 und Cyber Essentials vorzubereiten. Es handelt sich um kontrollierte Compliance- und Nachweisvorbereitung mit einem Menschen in der Schleife; es organisiert und beschleunigt die Arbeit, ersetzt aber weder Ihre Zertifizierungsstelle noch garantiert es ein Zertifizierungsergebnis.
EtherInsights deckt die Sicherheitslage ab. Es gibt Ihnen einen Überblick über die Microsoft 365-Sicherheitskonfiguration, eine Baseline für den Mandanten und Drift-Erkennung, damit sich eine im Audit nachgewiesene Kontrolle danach nicht unbemerkt verändert. Konfigurationssicherung, Drift-Erkennung und Wiederherstellung halten die Umgebung zwischen den Assessments stabil, und genau das hält Nachweise auf Dauer vertrauenswürdig.
Einstellungen auf Kontrollen abzubilden ist der schnellste Weg, einen bereits betriebenen Microsoft 365-Mandanten in audit-fertige Nachweise zu verwandeln. Beginnen Sie mit den fünf Cyber-Essentials-Kontrollen, erweitern Sie auf die für Ihren Geltungsbereich relevanten Annex-A-Kontrollen, und ersetzen Sie Screenshots durch wiederholbare Exporte.
ISO-Compliance und Audit-Bereitschaft entdecken und erfahren Sie, wie ein kontrollierter Compliance-Workflow und Nachweisvorbereitung zusammenwirken.
