CIS Benchmark für Microsoft 365 leicht gemacht mit Tenant Manager

Microsoft 365 ist heute die Schaltzentrale jedes KMU. Mail, Teams, SharePoint, Identitäten und Geräte laufen im Tenant zusammen. Genau deshalb ist der Tenant auch das Hauptziel von Angreifern. Der CIS Benchmark für Microsoft 365 ist der etablierte Standard, um einen Tenant sauber abzusichern. Das Problem in der Praxis: hunderte Empfehlungen, verteilt über Admin Center, Defender, Entra ID, Purview und Exchange. Wer das manuell macht, verliert nach drei Monaten den Überblick. Tenant Manager ändert das.
Microsoft 365 Hardening ist kein Projekt, sondern ein Dauerzustand
Ein einmal gehärteter Tenant driftet innerhalb weniger Wochen ab. Neue Lizenzen, neue Features und Admins, die schnell eine Einstellung ändern. Ohne Drift Kontrolle sinkt der Sicherheitslevel kontinuierlich.
Was ist der CIS Benchmark für Microsoft 365?
Das Center for Internet Security (CIS) veröffentlicht herstellerunabhängige Sicherheitsstandards. Der CIS Microsoft 365 Foundations Benchmark ist die Referenz für die Absicherung eines Microsoft 365 Tenants. Er deckt alle relevanten Bereiche ab und ist in zwei Profile unterteilt.
Level 1: Basis Hardening
Sofort umsetzbar, keine Beeinträchtigung der Produktivität. Pflicht für jedes KMU.
Level 2: Defense in Depth
Höhere Schutzstufe, kann einzelne Workflows einschränken. Sinnvoll für regulierte Branchen.
Die wichtigsten Bereiche des CIS Benchmark
- Account und Authentication: MFA, Passwortrichtlinien, Break Glass Konten
- Application Permissions: OAuth Apps, App Registrierungen, Consent Richtlinien
- Data Management: DLP, Sensitivity Labels, externe Freigaben
- Email Security: SPF, DKIM, DMARC, Anti Phishing, Safe Attachments
- Auditing: Unified Audit Log, Mailbox Auditing, Alerts
- Storage: OneDrive und SharePoint Freigaben, Versionierung
- Mobile Device Management: Intune Richtlinien, Conditional Access
Warum die manuelle Umsetzung in der Praxis scheitert
Wir sehen es bei Audits regelmässig. Ein KMU hat den Benchmark vor 18 Monaten umgesetzt. Heute liegt der Erfüllungsgrad bei 60 Prozent. Die Gründe sind immer dieselben.
Zu viele Admin Center
Entra, Defender, Purview, Exchange, Intune. Jede Einstellung an einem anderen Ort.
Microsoft ändert Defaults
Neue Features kommen mit eigenen Standardwerten, die nicht immer CIS konform sind.
Schnelle Anpassungen
Ein Admin deaktiviert kurz eine Regel für einen Test und vergisst, sie wieder zu aktivieren.
Keine Dokumentation
Wer hat wann was geändert? Ohne Audit Trail nicht nachvollziehbar.
Tenant Manager: CIS Benchmark per Knopfdruck
Tenant Manager bringt den vollständigen CIS Microsoft 365 Foundations Benchmark als vordefinierte Baseline mit. Sie müssen keine PowerShell Skripte schreiben und keine Empfehlungen manuell übersetzen. Drei Schritte reichen aus.
Tenant anbinden
Read und Configuration Zugriff per OAuth, in unter 10 Minuten verbunden.
Baseline auswählen
CIS Level 1, Level 2 oder eine eigene Baseline. Die Plattform zeigt sofort den aktuellen Score.
Empfehlungen anwenden
Pro Empfehlung: Erklärung, Auswirkung und Risiko. Ein Klick auf "Anwenden" genügt. Alles dokumentiert.
Drift Erkennung: das Herzstück langfristiger Sicherheit
Ein Configuration Drift ist jede Abweichung vom definierten Soll Zustand. Genau hier scheitern fast alle KMU. Tenant Manager vergleicht den Tenant kontinuierlich gegen Ihre Baseline und meldet jede Veränderung. Inklusive Zeitstempel, verantwortlichem Konto und Vorher Nachher Wert.
Soll Ist Vergleich
Live Diff zwischen definierter Baseline und aktuellem Tenant Stand.
Automatische Alerts
Benachrichtigung per E Mail oder Teams bei kritischen Abweichungen.
Rollback in einem Klick
Drift erkannt? Vorherigen Soll Zustand mit einem Klick wiederherstellen.
Audit Trail
Jede Änderung wird protokolliert. Perfekt für ISO 27001 oder DSG Audits.
Konfigurations Backup: den Tenant Zustand sichern
Tenant Manager erstellt regelmässige Snapshots aller Konfigurationen Ihres Microsoft 365 Tenants. Dazu zählen Conditional Access Policies, Defender Richtlinien, Exchange Transportregeln, Sharing Settings, Intune Profile und Sicherheits Baselines. Wird etwas versehentlich gelöscht oder durch ein Microsoft Update überschrieben, stellen Sie den letzten bekannten guten Zustand sofort wieder her.
Wichtig zur Abgrenzung
Tenant Manager sichert Konfigurationen, nicht Inhalte. Für ein Backup von Postfächern, OneDrive, SharePoint, Teams oder Entra ID Objekten (User, Gruppen, Rollen) benötigen Sie eine dedizierte Backup Lösung. Wir empfehlen AvePoint Backup als Ergänzung zu Tenant Manager.
Kontrolle über den Tenant zurückgewinnen
Neben Hardening und Drift bietet Tenant Manager eine zentrale Sicht auf alles, was im Tenant passiert. Das ersetzt das ständige Springen zwischen Admin Centern und gibt der IT die Kontrolle zurück.
Zentrales Dashboard
Security Score, Lizenzen, Risiken und offene Empfehlungen auf einer Oberfläche.
Policy as Code
Baselines werden versioniert verwaltet. Wie Code, mit Historie und Vergleich.
Multi Tenant Sicht
Für Gruppen oder Holdings: alle Tenants nebeneinander, ein einheitlicher Standard.
CIS Einführung mit Tenant Manager: typischer Ablauf
Ist Aufnahme (1 Tag)
Tenant verbinden, aktuellen CIS Score messen, Risiken priorisieren.
Quick Wins umsetzen (1 bis 2 Tage)
Alle Level 1 Empfehlungen ohne Geschäftsauswirkung sofort anwenden.
Kritische Punkte abstimmen (1 Woche)
MFA Erzwingung, externe Freigaben und OAuth Consent gemeinsam mit dem Business klären.
Baseline einfrieren
Soll Zustand als versionierte Baseline speichern und Drift Monitoring aktivieren.
Quartalsweise Review
Neue CIS Versionen einspielen, Score Entwicklung dokumentieren, Reporting an die Geschäftsleitung.
Welche Vorteile ergeben sich konkret?
Messbare Sicherheit
Klarer Score statt Bauchgefühl. Verbesserungen werden sichtbar.
Weniger Aufwand
Stundenweise statt tageweise Aufwand für Hardening und Reviews.
Audit Ready
Lückenlose Dokumentation für Cyber Versicherungen, ISO und DSG.
Schutz vor Microsoft Drift
Neue Features ändern Defaults. Sie werden sofort informiert.
Schnellere Onboardings
Neue Mandanten oder Standorte erhalten in Stunden eine geprüfte Baseline.
Bessere Cyber Versicherung
Versicherer fordern dokumentiertes Hardening. Tenant Manager liefert es.
Für wen lohnt sich Tenant Manager besonders?
Jedes KMU mit mehr als 25 Microsoft 365 Nutzern profitiert von einer formalisierten Baseline. Besonders relevant ist Tenant Manager für regulierte Branchen wie Treuhand, Finance und Gesundheitswesen, wo Audit Nachweise und nachvollziehbare Konfigurationen Pflicht sind.
CIS Benchmark in Ihrem Tenant einführen?
Wir messen Ihren aktuellen CIS Score und zeigen in 30 Minuten, wo Sie stehen. Kostenlose Erstanalyse für Schweizer KMU.
Fazit
Der CIS Benchmark für Microsoft 365 ist der richtige Standard. Aber nur, wenn Sie ihn dauerhaft halten können. Manuell scheitert das in fast jedem KMU. Tenant Manager macht aus einem einmaligen Projekt einen kontrollierten Dauerbetrieb. Baseline definieren, Drift erkennen, Rollback auf Knopfdruck und ein sauberer Audit Trail. Genau die Kontrolle über den Tenant, die heute oft fehlt.
Square IT begleitet Sie bei der Einführung. Von der ersten Messung bis zum laufenden Betrieb. Sprechen Sie uns an, wenn Sie wissen wollen, wo Ihr Tenant heute steht.