Zurück zum Blog
    Security & Compliance

    CIS Benchmark für Microsoft 365 leicht gemacht mit Tenant Manager

    18. Mai 2026
    14 min Lesezeit
    Square IT AG
    CIS Benchmark Microsoft 365 mit Tenant Manager – Hardening, Drift und Kontrolle

    Microsoft 365 ist heute die Schaltzentrale jedes KMU. Mail, Teams, SharePoint, Identitäten und Geräte laufen im Tenant zusammen. Genau deshalb ist der Tenant auch das Hauptziel von Angreifern. Der CIS Benchmark für Microsoft 365 ist der etablierte Standard, um einen Tenant sauber abzusichern. Das Problem in der Praxis: hunderte Empfehlungen, verteilt über Admin Center, Defender, Entra ID, Purview und Exchange. Wer das manuell macht, verliert nach drei Monaten den Überblick. Tenant Manager ändert das.

    Microsoft 365 Hardening ist kein Projekt, sondern ein Dauerzustand

    Ein einmal gehärteter Tenant driftet innerhalb weniger Wochen ab. Neue Lizenzen, neue Features und Admins, die schnell eine Einstellung ändern. Ohne Drift Kontrolle sinkt der Sicherheitslevel kontinuierlich.

    Was ist der CIS Benchmark für Microsoft 365?

    Das Center for Internet Security (CIS) veröffentlicht herstellerunabhängige Sicherheitsstandards. Der CIS Microsoft 365 Foundations Benchmark ist die Referenz für die Absicherung eines Microsoft 365 Tenants. Er deckt alle relevanten Bereiche ab und ist in zwei Profile unterteilt.

    Level 1: Basis Hardening

    Sofort umsetzbar, keine Beeinträchtigung der Produktivität. Pflicht für jedes KMU.

    Level 2: Defense in Depth

    Höhere Schutzstufe, kann einzelne Workflows einschränken. Sinnvoll für regulierte Branchen.

    Die wichtigsten Bereiche des CIS Benchmark

    • Account und Authentication: MFA, Passwortrichtlinien, Break Glass Konten
    • Application Permissions: OAuth Apps, App Registrierungen, Consent Richtlinien
    • Data Management: DLP, Sensitivity Labels, externe Freigaben
    • Email Security: SPF, DKIM, DMARC, Anti Phishing, Safe Attachments
    • Auditing: Unified Audit Log, Mailbox Auditing, Alerts
    • Storage: OneDrive und SharePoint Freigaben, Versionierung
    • Mobile Device Management: Intune Richtlinien, Conditional Access

    Warum die manuelle Umsetzung in der Praxis scheitert

    Wir sehen es bei Audits regelmässig. Ein KMU hat den Benchmark vor 18 Monaten umgesetzt. Heute liegt der Erfüllungsgrad bei 60 Prozent. Die Gründe sind immer dieselben.

    Zu viele Admin Center

    Entra, Defender, Purview, Exchange, Intune. Jede Einstellung an einem anderen Ort.

    Microsoft ändert Defaults

    Neue Features kommen mit eigenen Standardwerten, die nicht immer CIS konform sind.

    Schnelle Anpassungen

    Ein Admin deaktiviert kurz eine Regel für einen Test und vergisst, sie wieder zu aktivieren.

    Keine Dokumentation

    Wer hat wann was geändert? Ohne Audit Trail nicht nachvollziehbar.

    Tenant Manager: CIS Benchmark per Knopfdruck

    Tenant Manager bringt den vollständigen CIS Microsoft 365 Foundations Benchmark als vordefinierte Baseline mit. Sie müssen keine PowerShell Skripte schreiben und keine Empfehlungen manuell übersetzen. Drei Schritte reichen aus.

    1

    Tenant anbinden

    Read und Configuration Zugriff per OAuth, in unter 10 Minuten verbunden.

    2

    Baseline auswählen

    CIS Level 1, Level 2 oder eine eigene Baseline. Die Plattform zeigt sofort den aktuellen Score.

    3

    Empfehlungen anwenden

    Pro Empfehlung: Erklärung, Auswirkung und Risiko. Ein Klick auf "Anwenden" genügt. Alles dokumentiert.

    Drift Erkennung: das Herzstück langfristiger Sicherheit

    Ein Configuration Drift ist jede Abweichung vom definierten Soll Zustand. Genau hier scheitern fast alle KMU. Tenant Manager vergleicht den Tenant kontinuierlich gegen Ihre Baseline und meldet jede Veränderung. Inklusive Zeitstempel, verantwortlichem Konto und Vorher Nachher Wert.

    Soll Ist Vergleich

    Live Diff zwischen definierter Baseline und aktuellem Tenant Stand.

    Automatische Alerts

    Benachrichtigung per E Mail oder Teams bei kritischen Abweichungen.

    Rollback in einem Klick

    Drift erkannt? Vorherigen Soll Zustand mit einem Klick wiederherstellen.

    Audit Trail

    Jede Änderung wird protokolliert. Perfekt für ISO 27001 oder DSG Audits.

    Konfigurations Backup: den Tenant Zustand sichern

    Tenant Manager erstellt regelmässige Snapshots aller Konfigurationen Ihres Microsoft 365 Tenants. Dazu zählen Conditional Access Policies, Defender Richtlinien, Exchange Transportregeln, Sharing Settings, Intune Profile und Sicherheits Baselines. Wird etwas versehentlich gelöscht oder durch ein Microsoft Update überschrieben, stellen Sie den letzten bekannten guten Zustand sofort wieder her.

    Wichtig zur Abgrenzung

    Tenant Manager sichert Konfigurationen, nicht Inhalte. Für ein Backup von Postfächern, OneDrive, SharePoint, Teams oder Entra ID Objekten (User, Gruppen, Rollen) benötigen Sie eine dedizierte Backup Lösung. Wir empfehlen AvePoint Backup als Ergänzung zu Tenant Manager.

    Kontrolle über den Tenant zurückgewinnen

    Neben Hardening und Drift bietet Tenant Manager eine zentrale Sicht auf alles, was im Tenant passiert. Das ersetzt das ständige Springen zwischen Admin Centern und gibt der IT die Kontrolle zurück.

    Zentrales Dashboard

    Security Score, Lizenzen, Risiken und offene Empfehlungen auf einer Oberfläche.

    Policy as Code

    Baselines werden versioniert verwaltet. Wie Code, mit Historie und Vergleich.

    Multi Tenant Sicht

    Für Gruppen oder Holdings: alle Tenants nebeneinander, ein einheitlicher Standard.

    CIS Einführung mit Tenant Manager: typischer Ablauf

    1

    Ist Aufnahme (1 Tag)

    Tenant verbinden, aktuellen CIS Score messen, Risiken priorisieren.

    2

    Quick Wins umsetzen (1 bis 2 Tage)

    Alle Level 1 Empfehlungen ohne Geschäftsauswirkung sofort anwenden.

    3

    Kritische Punkte abstimmen (1 Woche)

    MFA Erzwingung, externe Freigaben und OAuth Consent gemeinsam mit dem Business klären.

    4

    Baseline einfrieren

    Soll Zustand als versionierte Baseline speichern und Drift Monitoring aktivieren.

    5

    Quartalsweise Review

    Neue CIS Versionen einspielen, Score Entwicklung dokumentieren, Reporting an die Geschäftsleitung.

    Welche Vorteile ergeben sich konkret?

    Messbare Sicherheit

    Klarer Score statt Bauchgefühl. Verbesserungen werden sichtbar.

    Weniger Aufwand

    Stundenweise statt tageweise Aufwand für Hardening und Reviews.

    Audit Ready

    Lückenlose Dokumentation für Cyber Versicherungen, ISO und DSG.

    Schutz vor Microsoft Drift

    Neue Features ändern Defaults. Sie werden sofort informiert.

    Schnellere Onboardings

    Neue Mandanten oder Standorte erhalten in Stunden eine geprüfte Baseline.

    Bessere Cyber Versicherung

    Versicherer fordern dokumentiertes Hardening. Tenant Manager liefert es.

    Für wen lohnt sich Tenant Manager besonders?

    Jedes KMU mit mehr als 25 Microsoft 365 Nutzern profitiert von einer formalisierten Baseline. Besonders relevant ist Tenant Manager für regulierte Branchen wie Treuhand, Finance und Gesundheitswesen, wo Audit Nachweise und nachvollziehbare Konfigurationen Pflicht sind.

    CIS Benchmark in Ihrem Tenant einführen?

    Wir messen Ihren aktuellen CIS Score und zeigen in 30 Minuten, wo Sie stehen. Kostenlose Erstanalyse für Schweizer KMU.

    Erstanalyse anfragen

    Fazit

    Der CIS Benchmark für Microsoft 365 ist der richtige Standard. Aber nur, wenn Sie ihn dauerhaft halten können. Manuell scheitert das in fast jedem KMU. Tenant Manager macht aus einem einmaligen Projekt einen kontrollierten Dauerbetrieb. Baseline definieren, Drift erkennen, Rollback auf Knopfdruck und ein sauberer Audit Trail. Genau die Kontrolle über den Tenant, die heute oft fehlt.

    Square IT begleitet Sie bei der Einführung. Von der ersten Messung bis zum laufenden Betrieb. Sprechen Sie uns an, wenn Sie wissen wollen, wo Ihr Tenant heute steht.

    CIS Benchmark
    Microsoft 365 Security
    Tenant Manager
    Configuration Drift
    M365 Hardening
    Compliance
    KMU

    Wir verwenden Cookies

    Wir verwenden Cookies und ähnliche Technologien, um Ihnen das bestmögliche Erlebnis auf unserer Website zu bieten. Einige Cookies sind notwendig für die Funktionalität der Website, andere helfen uns bei der Analyse und Verbesserung.