Microsoft 365 & Azure Hardening
Cloud Security – die Grundeinstellungen von Microsoft 365 reichen nicht
Microsoft 365 und Azure bringen im Standard sinnvolle Defaults mit. Sie reichen für einen Einzelanwender. Für ein Unternehmen mit Kundendaten, Intellectual Property oder Compliance-Pflichten sind sie es nicht. Über 70 % der Ransomware- und Business-Email-Compromise-Fälle, die wir 2025 untersucht haben, wären durch fünf bis zehn konkrete Konfigurationsänderungen verhindert worden – alle innerhalb der M365-/Azure-Administrator-Konsolen, ohne Zusatzprodukte. MineData führt die Bewertung durch, implementiert das Hardening und überwacht anschliessend, dass die Konfiguration so bleibt.
Warum Cloud Security ein eigenes Thema ist
Cloud unterscheidet sich fundamental von klassischer On-Premise-IT. In Azure oder Microsoft 365 gibt es keine Firewall, hinter der sich Fehler verstecken; jede Fehlkonfiguration ist unmittelbar aus dem Internet erreichbar. Eine falsch geteilte SharePoint-Bibliothek, ein öffentlicher Blob-Container, eine zu weit vergebene API-Rolle sind nicht Risiken – sie sind aktive Einfallstore.
Gleichzeitig hat Microsoft die Sicherheitsfeatures in den letzten Jahren massiv ausgebaut: Conditional Access, Defender for Cloud Apps, Secure Score, Privileged Identity Management, Entra ID Protection. Die meisten KMU nutzen weniger als 20 % dieser Features – weil niemand die Zeit hatte, sich einzuarbeiten.
Leistungsumfang
Wir decken den gesamten Lebenszyklus ab – vom Assessment über das Hardening bis zum Dauerbetrieb. Typische Engagements beginnen mit einem zwei- bis vierwöchigen Assessment und gehen in einen fortlaufenden Überwachungs-Service über.
- Microsoft 365 Security Assessment: Secure-Score-Analyse, Tenant-Konfigurations-Audit, Conditional-Access-Review, Sharing- und Gastzugriffsprüfung
- Azure Security Assessment: Subscription-Struktur, IAM/RBAC-Analyse, Network-Security-Groups, Storage-Exposition, Key-Vault-Nutzung, Defender-for-Cloud-Empfehlungen
- CIS-Benchmark-Abgleich: Wir prüfen gegen die offiziellen CIS-Benchmarks für Microsoft 365 und Azure und dokumentieren pro Check das Ergebnis und die Begründung
- Hardening-Umsetzung: Conditional Access, MFA-Enforcement, Legacy-Auth-Abschaltung, Data Loss Prevention, Sensitivity-Labels, Privileged Identity Management, Just-in-Time-Admin-Zugriffe
- Zero-Trust-Architektur: Abkehr von impliziten Netzwerkgrenzen hin zu identitäts- und kontextbasierten Entscheidungen pro Request
- Continuous Configuration Monitoring: tägliche automatisierte Prüfung gegen den Soll-Zustand; Alert bei Abweichung
- Integration mit SOC: Cloud-Events werden an unser SOC angebunden, verdächtige Aktivitäten im Tenant lösen dieselben Incident-Response-Prozesse aus wie On-Premise-Ereignisse
Typische Findings
In fast jedem Assessment der letzten zwei Jahre fanden wir mindestens die Hälfte der folgenden Punkte. Keine davon ist exotisch; alle sind mit bordeigenen Mitteln behebbar.
- MFA nicht für alle Benutzer erzwungen (nur Admins oder nur "auf Anfrage")
- Legacy-Authentisierung weiterhin aktiv (IMAP, POP, SMTP Auth, MAPI/RPC) – umgeht MFA komplett
- Conditional-Access-Policies existieren, schliessen aber Dienstkonten oder Break-Glass-Accounts zu weit aus
- Anonyme SharePoint-/OneDrive-Freigaben ohne Ablaufdatum
- Externe Gastbenutzer mit weitreichenden Berechtigungen und ohne Review
- Azure Storage-Konten mit öffentlichem Blob-Zugriff (kein Auth)
- Globale Administratoren ohne Privileged Identity Management (permanent statt Just-in-Time)
- Keine Audit-Log-Aufbewahrung über die Microsoft-Standard-Retention hinaus
Für wen ist das relevant?
Pflicht wird Cloud Security sobald ihr ISO-27001-zertifiziert seid, FINMA-beaufsichtigt, NIS2-pflichtig oder eine Cyberversicherung mit technischen Anforderungen unterhaltet. Faktisch notwendig ist es für jede Organisation mit mindestens 20 Benutzern in Microsoft 365 – weil ab dieser Grösse die Oberfläche zu breit wird, um ohne strukturiertes Management zu überblicken.
Besonders lohnt sich das Assessment unmittelbar vor einer Cloud-Migration, bei Einführung von Copilot, nach einer Akquisition (M&A bringt häufig zwei unzureichend harmonisierte Tenants zusammen) oder als Vorbereitung eines SOC-Rollouts.
Häufige Fragen
Was kostet ein Cloud-Security-Assessment?
Ein M365-Assessment für einen Tenant mittlerer Grösse (50–250 Nutzer) bewegt sich zwischen CHF 6'000 und CHF 14'000 als Fixpreis. Ein kombiniertes Azure-Assessment (abhängig von Anzahl Subscriptions und Workloads) kommt mit CHF 8'000–25'000 dazu. Die spätere Hardening-Umsetzung wird pro umgesetztem Finding abgerechnet und liegt typischerweise bei 40–60 % der Assessment-Kosten.
Ist das nicht Aufgabe von Microsoft?
Nein, klar nicht. Microsoft betreibt die Plattform – die Shared-Responsibility-Matrix ist öffentlich dokumentiert. Identity, Zugriffskontrolle, Datenklassifizierung, Endpoint-Hardening und Konfigurationsmanagement liegen ausdrücklich beim Kunden. Das ist auch vertraglich fixiert: Microsoft garantiert keine Sicherheit dessen, was ihr in eurem Tenant konfiguriert.
Werden wir während des Assessments gestört?
Nein. Das Assessment ist vollständig Read-Only, wir greifen ausschliesslich lesend auf Konfiguration und Audit-Logs zu. Produktivnutzer spüren nichts. Erst die anschliessende Hardening-Phase bringt Änderungen – und die planen wir gemeinsam, mit Ankündigung an betroffene Nutzer.
Müssen wir zusätzliche Lizenzen kaufen?
Oft nicht. Viele der wichtigsten Kontrollen (Conditional Access Basis, MFA, Legacy-Auth-Sperre, Audit-Logs) sind in M365 Business Premium und Microsoft 365 E3 bereits enthalten. Wir prüfen im Assessment, ob eure aktuelle Lizenzstufe ausreicht oder ob sich ein Upgrade (z.B. auf E5 für Defender XDR) wirtschaftlich rechtfertigt.
Wie lange dauert das Hardening?
Typisch vier bis acht Wochen, abhängig von Anzahl identifizierter Findings und interner Change-Management-Geschwindigkeit. Wir arbeiten in Wellen: zuerst die Findings mit grösstem Risiko und geringster Benutzer-Auswirkung (MFA, Legacy-Auth, Admin-Hardening), dann die Massnahmen mit höherem Change-Aufwand (Sensitivity Labels, DLP, Zero Trust).
Verwandte Leistungen
Cybersecurity
SOC as a Service
Managed Security Operations Center für Schweizer und deutsche KMU. 24/7-Überwachung, Echtzeit-Incident Response und forensische Analyse. Von MineData in Baar und Konstanz.
Cybersecurity
Penetration Testing
Ethische Hacking-Services für Schweizer und deutsche KMU. Externe und interne Pentests, Web-Applikations-Tests, Social Engineering und Red-Team-Simulationen. MineData Baar & Konstanz.
Bereit, ein Gespräch zu führen?
Wir prüfen mit Ihnen in einem 30-minütigen, unverbindlichen Gespräch, ob und wie Cloud Security für Ihr Unternehmen sinnvoll ist. Standorte in Baar (Schweiz) und Konstanz (Deutschland).