Wenn ein Assessor oder Auditor fragt, wie Ihre Organisation abgesichert ist, steckt ein großer Teil der Antwort bereits in Microsoft 365. Die Kontrollen existieren, die Protokolle werden erfasst, und die Einstellungen werden durchgesetzt. Die Lücke liegt selten bei der Technologie. Sie liegt darin, genau auf die Einstellung zeigen zu können, die eine Kontrolle erfüllt, und dafür Nachweise zu erstellen, ohne eine Woche manueller Arbeit.

Dieser Leitfaden bildet gängige Microsoft 365-, Microsoft Entra- und Microsoft Intune-Einstellungen auf die Cyber-Essentials-Kontrollen und auf eine Handvoll ISO 27001:2022 Annex A-Kontrollen ab. Der Wortlaut der Kontrollen folgt den NCSC-Cyber-Essentials-Anforderungen und ISO/IEC 27001:2022. Betrachten Sie die Zuordnung als Orientierung für den Umfang Ihrer Nachweise, nicht als Ersatz für die Anforderungen Ihrer Zertifizierungsstelle, denn wie eine Kontrolle greift, hängt immer von Ihrem eigenen Geltungsbereich und Ihrer Konfiguration ab.

Warum Auditoren nach Microsoft 365-Nachweisen fragen

Sowohl Cyber Essentials als auch ISO 27001 sind nachweisgetrieben. Eine Kontrolle auf dem Papier zählt wenig, wenn Sie nicht zeigen können, dass sie angewendet wird und funktioniert. Für die meisten Organisationen, die Microsoft 365 nutzen, werden dort Identität, Geräte, E-Mail und Updates gesteuert, wodurch die Plattform zur reichhaltigsten Nachweisquelle im Assessment wird. Die praktische Frage ist, wie sich dieser Nachweis sauber, auf Abruf und in einer für den Assessor akzeptablen Form bereitstellen lässt.

Cyber Essentials: die fünf Kontrollen in Microsoft 365

Cyber Essentials definiert fünf technische Kontrollen. Jede lässt sich auf eine konkrete Microsoft 365-, Entra- oder Intune-Konfiguration abbilden, und jede liefert Nachweise, die Sie exportieren können.

Cyber-Essentials-KontrolleWo sie in Microsoft 365 verankert istExportierbare Nachweise
FirewallsMicrosoft Defender Firewall, verwaltet über Intune-Endpoint-Security-Firewallrichtlinien auf registrierten Geräten; die Servicegrenze für die Cloud-Plattform liegt bei MicrosoftFirewallrichtlinienkonfiguration und Gerätefirewall-Status aus dem Intune Admin Center
Sichere KonfigurationIntune-Konfigurationsprofile und Windows-Sicherheitsbaselines, Microsoft Secure Score sowie das Blockieren veralteter Authentifizierung in EntraBaseline-Zuweisungs- und Compliance-Berichte, Secure-Score-Verlauf, Anmeldebericht zu veralteter Authentifizierung
BenutzerzugriffskontrolleMicrosoft Entra-Konten, Conditional Access, Multi-Faktor-Authentifizierung, Rollen nach dem Prinzip der geringsten Rechte sowie Joiner-, Mover- und Leaver-ProzesseExport der Conditional-Access-Richtlinien, Anmeldeprotokolle, Rollenzuweisungslisten, Aufzeichnungen zu Kontoüberprüfungen
Malware-SchutzMicrosoft Defender Antivirus und Defender for Endpoint, verwaltet über Intune, sowie Defender for Office 365 Safe Attachments und Safe LinksAntivirus- und Defender-Richtlinienkonfiguration, Geräteschutzstatus und Einstellungen der E-Mail-Bedrohungsrichtlinie
Sicherheitsupdate-ManagementWindows Autopatch oder Windows Update for Business Update-Ringe, Intune-Qualitätsupdate-Richtlinien und der Update-Kanal für Microsoft 365 AppsUpdate-Ring-Konfiguration sowie Windows-Update- oder Autopatch-Compliance-Berichte mit Patch-Ständen

Zwei Punkte verdienen besondere Erwähnung. Erstens interessiert sich Cyber Essentials für die Endpunkt-Firewall und die sichere Konfiguration der von Ihnen verwalteten Geräte, nicht nur für den Cloud-Dienst, weshalb die Intune-Seite der Zuordnung den größten Teil des Gewichts trägt. Zweitens wurde Sicherheitsupdate-Management früher als Patch-Management bezeichnet; die Absicht ist dieselbe, und Windows Autopatch ist der sauberste Weg, sie nachzuweisen.

ISO 27001:2022 Annex A: ausgewählte Kontrollen und Nachweisquellen

ISO 27001 ist breiter angelegt als Cyber Essentials und deckt neben der Technologie auch Governance, Menschen und Prozesse ab. Die folgenden Kontrollen sind eine Teilmenge der technologischen und organisatorischen Annex-A-Kontrollen, bei denen Microsoft 365 eine primäre Nachweisquelle ist. Sie sind ein Ausgangspunkt für Ihre Statement of Applicability, nicht die vollständige Liste.

Annex-A-KontrolleWas sie fordertMicrosoft 365-Nachweisquelle
A.5.15 ZugangssteuerungRegeln zur Steuerung des physischen und logischen Zugriffs auf Basis geschäftlicher und sicherheitsrelevanter AnforderungenConditional-Access-Richtlinien, Entra-Rollenzuweisungen sowie Access-Package- oder Access-Review-Aufzeichnungen
A.8.2 Privilegierte ZugriffsrechteZuweisung und Nutzung privilegierter Zugriffe eingeschränkt und verwaltetMicrosoft Entra Privileged Identity Management: berechtigte Rollen, Aktivierungsgenehmigungen und herunterladbarer Prüfverlauf
A.8.7 Schutz vor MalwareSchutz vor Malware, unterstützt durch BenutzerbewusstseinRichtlinienkonfiguration von Defender for Endpoint und Defender for Office 365 sowie Vorfalls- und Erkennungsberichte
A.8.8 Management technischer SchwachstellenInformationen über technische Schwachstellen beschafft, Gefährdung bewertet und behobenExpositionsberichte aus Microsoft Defender Vulnerability Management sowie Patch-Compliance aus Autopatch oder Update-Ringen
A.8.13 Sicherung von InformationenSicherungskopien gemäß einer vereinbarten Richtlinie gepflegt und getestetKonfiguration der Microsoft Purview-Aufbewahrungsrichtlinie sowie eigene Aufzeichnungen zur Konfigurations- und Datensicherung

A.8.13 verdient besondere Sorgfalt. Microsoft 365 bietet Dienstredundanz und Aufbewahrungskontrollen wie Purview-Aufbewahrungsrichtlinien, ist aber kein Backup-Produkt, und das Modell der geteilten Verantwortung belässt den Schutz Ihrer Daten und Konfiguration bei Ihnen. Weisen Sie für eine ISO-27001-Backup-Kontrolle Ihre Aufbewahrungskonfiguration und Ihren eigenen, separaten Ansatz zur Sicherung von Daten und Mandantenkonfiguration nach, statt zu unterstellen, dass die Plattform sich selbst sichert.

Wie Sie Nachweise ohne Screenshot-Marathons sammeln

Screenshots sind langsam, veralten schnell, und ein Assessor kann sie nicht verifizieren. Jede Quelle in den obigen Tabellen lässt sich stattdessen exportieren.

  • Die Protokollsuche von Microsoft Purview Audit exportiert Aktivitäten im gesamten Mandanten als CSV, sodass Sie zeigen können, was wann über Exchange, SharePoint und Administratoraktionen hinweg passiert ist.
  • Microsoft Entra-Anmelde- und Überwachungsprotokolle lassen sich direkt als CSV oder JSON herunterladen und belegen Zugangssteuerung, MFA und Verzeichnisänderungen.
  • Berichtsexporte und Geräte-Compliance-Ansichten von Microsoft Intune belegen sichere Konfiguration, Firewall, Antivirus und Update-Status über verwaltete Geräte hinweg.
  • Microsoft Entra Privileged Identity Management stellt einen herunterladbaren Prüfverlauf für die Aktivierung und Genehmigung privilegierter Zugriffe bereit.
  • Exporte von Microsoft Secure Score verfolgen die Verbesserung der sicheren Konfiguration im Zeitverlauf.
  • Microsoft Purview Compliance Manager verwaltet Verbesserungsmaßnahmen und ermöglicht es, Nachweisdateien an Kontrollen anzuhängen, sodass Sie an einem Ort ein Evidence-Paket zusammenstellen können.

Für Nachweise verwalteter Geräte kann ein Intune-Reporting-Tool Compliance-, App-, Update- und Konfigurationssignale in wiederholbare Audit-Packs verwandeln.

Bevorzugen Sie bei allem, was Sie wiederholen, einen geplanten Export oder eine Microsoft Graph- oder PowerShell-Abfrage gegenüber manuellem Durchklicken. Wiederholbare Exporte halten Nachweise zwischen den Audit-Zyklen aktuell und ersparen die jährliche Hektik.

Wo EtherAssist und EtherInsights ansetzen

Zu wissen, welche Einstellung auf welche Kontrolle abgebildet wird, ist die halbe Arbeit. Die andere Hälfte ist, den Workflow zu organisieren, die Richtlinien und Verfahren zu entwerfen, die über den Einstellungen stehen, und ein Nachweispaket zusammenzustellen, das ein Assessor akzeptiert.

EtherAssist unterstützt diesen Compliance-Workflow. Es hilft Teams dabei, Kontrollen auf Microsoft 365-Nachweise abzubilden, Richtlinien und Verfahren zu entwerfen und zu pflegen, Assessments zu strukturieren und ein Nachweispaket für Rahmenwerke wie ISO 27001, ISO 9001, ISO 42001 und Cyber Essentials vorzubereiten. Es handelt sich um kontrollierte Compliance- und Nachweisvorbereitung mit einem Menschen in der Schleife; es organisiert und beschleunigt die Arbeit, ersetzt aber weder Ihre Zertifizierungsstelle noch garantiert es ein Zertifizierungsergebnis.

EtherInsights deckt die Sicherheitslage ab. Es gibt Ihnen einen Überblick über die Microsoft 365-Sicherheitskonfiguration, eine Baseline für den Mandanten und Drift-Erkennung, damit sich eine im Audit nachgewiesene Kontrolle danach nicht unbemerkt verändert. Konfigurationssicherung, Drift-Erkennung und Wiederherstellung halten die Umgebung zwischen den Assessments stabil, und genau das hält Nachweise auf Dauer vertrauenswürdig.

Einstellungen auf Kontrollen abzubilden ist der schnellste Weg, einen bereits betriebenen Microsoft 365-Mandanten in audit-fertige Nachweise zu verwandeln. Beginnen Sie mit den fünf Cyber-Essentials-Kontrollen, erweitern Sie auf die für Ihren Geltungsbereich relevanten Annex-A-Kontrollen, und ersetzen Sie Screenshots durch wiederholbare Exporte.

ISO-Compliance und Audit-Bereitschaft entdecken und erfahren Sie, wie ein kontrollierter Compliance-Workflow und Nachweisvorbereitung zusammenwirken.