Warum Sicherheit in der Cloud kein Selbstläufer ist

Viele Unternehmen gehen davon aus, dass die Verantwortung für die Sicherheit automatisch beim Cloud Anbieter liegt, das ist ein gefährlicher Irrtum. In der Public Cloud und damit auch bei Microsoft 365 gilt das Prinzip der Shared Responsibility: Die Verantwortung für Sicherheit ist zwischen Anbieter und Kunde aufgeteilt.

Das bedeutet konkret:

• Microsoft ist für den Schutz der Cloud Infrastruktur zuständig. Dazu zählen u. a. Server, Netzwerke, physische Sicherheit der Rechenzentren sowie die Trennung der Kundendaten.
• Unternehmen selbst sind hingegen verantwortlich für die Sicherheit der Daten, Benutzerkonten, Geräte und der gesamten Konfiguration ihrer Microsoft 365 Umgebung.

Obwohl Microsoft klare Sicherheitsstandards implementiert und regelmäßig weiterentwickelt, liegt es also beim Unternehmen, diese auch korrekt anzuwenden. Das schließt Maßnahmen wie Multi-Faktor-Authentifizierung, Zugriffsmanagement, Rollenvergabe und Geräteschutz mit ein.

Geteilte Verantwortung oft unterschätzt

In der Praxis zeigt sich, dass vielen IT-Verantwortlichen nicht bewusst ist, wie viele sicherheitsrelevante Entscheidungen sie selbst treffen müssen. Der Secure Score schafft hier Transparenz: Er macht sichtbar, in welchen Bereichen die eigenen Einstellungen noch unzureichend sind und bietet gleichzeitig Verbesserungsvorschläge auf Basis bewährter Microsoft Richtlinien. Wer strikt nach einer Richtlinie oder gesetzlichen Vorgaben arbeiten möchte, kann das Microsoft Compliance Center verwenden, hier werden bspw. Anforderungskataloge in Form von Assessments von GDPR, VDA-Katalog/Tisax oder ISO27001 genutzt. Wer der DORA unterstellt ist, findet in unserem Artikel DORA & Microsoft Cloud: Chancen für IT-Resilienz weitere Informationen.

Kurz gesagt: Der Bezug von Microsoft 365 aus der Cloud ersetzt keine aktive Sicherheitsstrategie. Unternehmen müssen selbst dafür sorgen, dass ihre Daten geschützt sind. Genau dabei hilft der Microsoft Secure Score.

Was genau ist der Microsoft Secure Score?

Der Microsoft Secure Score ist ein zentrales Analyse Tool innerhalb von Microsoft 365, das den Sicherheitsstatus einer Organisation messbar macht. Es bewertet Konfigurationen, Nutzerverhalten und eingesetzte Dienste anhand definierter Sicherheitsrichtlinien und übersetzt diese Bewertung in einen numerischen Wert.

Dieser Wert ist nicht nur ein reiner Indikator, sondern dient als Grundlage für gezielte Optimierungen. Unternehmen können nachvollziehen, welche Maßnahmen bereits umgesetzt wurden, wo Schwachstellen bestehen und wie sie ihre Sicherheit effektiv verbessern können.

Was wird analysiert?

Der Secure Score prüft Sicherheitsaspekte u. a. in folgenden Bereichen:

• Identitäten
• Daten
• Geräte(-management) und Software
• Anwendungen

Dabei werden nur Dienste berücksichtigt, für die das Unternehmen auch über gültige Lizenzen verfügt. Komponenten ohne Lizenz fallen aus der Bewertung heraus, um ein realistisches Bild zu erzeugen.

Wo finde ich den Secure Score?

Das zentrale Dashboard ist im Microsoft 365 Security Center unter folgender URL erreichbar:
https://security.microsoft.com/securescore

Hier erhalten berechtigte Nutzer:innen Zugriff auf eine detaillierte Übersicht aller sicherheitsrelevanten Einstellungen zzgl. konkreter Empfehlungen zur Verbesserung. Das Dashboard visualisiert nicht nur den aktuellen Wert, sondern zeigt auch den potenziell erreichbaren Score an, wenn alle empfohlenen Maßnahmen umgesetzt würden.

So wird der Secure Score zu einem aktiven Steuerungstool für die Cybersicherheit im Unternehmen.

Zugriffsrechte: Das Dashboard des Microsoft Secure Score

Nicht jeder Mitarbeitende kann uneingeschränkt auf den Microsoft Secure Score zugreifen, auch hier regelt ein differenziertes Rollenmodell, wer welche Berechtigungen hat (wie bei allen sicherheitsrelevanten Funktionen in Microsoft 365).

Rollen mit vollem Zugriff (Lese- und Schreibrechte)

Folgende Rollen erhalten Vollzugriff auf das Dashboard und können Maßnahmen direkt bewerten, anpassen oder delegieren:

• Globaler Administrator
• Sicherheitsadministrator
• Exchange-Administrator
• SharePoint-Administrator
• Kontoadministrator

Hinweis zur Governance

Unternehmen sollten frühzeitig definieren, wer intern für das Monitoring und die Umsetzung von Verbesserungen im Secure Score verantwortlich ist. Idealerweise übernimmt diese Rolle eine zentrale Person oder ein kleines IT-Security-Team, das regelmäßig prüft, priorisiert und die Umsetzung koordiniert.

So funktioniert der Microsoft Secure Score

Der Microsoft Secure Score arbeitet nach einem klar strukturierten Bewertungsmodell: Er analysiert die Sicherheitskonfigurationen in Microsoft 365 und gleicht sie mit den empfohlenen Best Practices von Microsoft ab. Das Ergebnis ist ein numerischer Score, der die Sicherheit der Umgebung auf einen Blick abbildet.

Bewertung nach Kategorien

Die Bewertung erfolgt über mehrere Sicherheitsbereiche hinweg, die jeweils einen Maximalwert haben:

• Identitäten (z. B. Benutzerkonten, Authentifizierung)
• Daten (z. B. Zugriffsschutz, Data Loss Prevention)
• Geräte (z. B. Gerätemanagement, Updates)
• Apps (z. B. Exchange Online, SharePoint, Teams)

Jede korrekt konfigurierte Einstellung oder Maßnahme bringt Punkte. Je mehr Empfehlungen umgesetzt sind, desto höher fällt der Score aus.

Empfehlungen zur Verbesserung

Neben dem aktuellen Status zeigt das Dashboard detailliert auf, mit welchen konkreten Schritten der Score weiter verbessert werden kann. Zu jedem Punkt gibt es eine Einschätzung der Auswirkung sowie eine Schritt-für-Schritt-Anleitung zur Umsetzung.

Beispielhafte Empfehlungen:

• Aktivierung von Multi-Faktor-Authentifizierung (MFA) für alle Benutzer:innen
• Einschränkung des Admin-Zugriffs
• Konfiguration von Passwort-Richtlinien
• Verschlüsselung sensibler Daten
• Aktivierung von Audit-Logs

Benchmarking mit anderen Unternehmen

Ein zusätzliches Feature ist der Vergleich mit ähnlichen Organisationen nach Branche, Unternehmensgröße oder Region. So können Unternehmen einschätzen, wo sie im Sicherheitsvergleich stehen und ob Handlungsbedarf besteht.

Durch diese Kombination aus Transparenz, Handlungsempfehlung und Benchmarking wird der Secure Score zu einem operativen Steuerungsinstrument für IT-Sicherheit in Microsoft 365.

Weitere Tipps im Blog von netunite

Wer tiefer einsteigen möchte, findet in unserem Fachbeitrag hilfreiche Praxisbeispiele und Checklisten:

Microsoft Security Settings: 10 aktuelle IT-Sicherheitstipps

Dort erläutern wir unter anderem, welche Maßnahmen besonders schnell umsetzbar sind und wie Unternehmen auch mit begrenzten Ressourcen ihren Secure Score gezielt verbessern können.

Fazit: Ein Wert, der Verantwortung sichtbar macht

Der Microsoft Secure Score ist weit mehr als nur eine Zahl. Er ist ein zuverlässiger Indikator, basierend auf Systemkonfigurationen, Nutzerverhalten und implementierten Schutzmaßnahmen, für den tatsächlichen Sicherheitsstatus in Microsoft 365. Durch seine klare Struktur und die direkten Handlungsempfehlungen unterstützt er IT-Abteilungen dabei, Schwachstellen schnell zu erkennen und gezielt zu beheben.

Doch wie bei jedem Tool gilt: Sein Wert entfaltet sich erst durch die kontinuierliche Nutzung. Unternehmen sollten den Score nicht als einmalige Momentaufnahme betrachten, sondern als Bestandteil eines laufenden Verbesserungsprozesses.

Empfehlung aus der Praxis:

• Verantwortlichkeit klären: Definieren Sie intern eine zuständige Person oder ein dediziertes Team für das Monitoring des Secure Score.
• Regelmäßige Kontrolle: Prüfen Sie den Score wöchentlich, vor allem jedoch bei Änderungen an Richtlinien, Lizenzen oder Benutzergruppen.
• Maßnahmen priorisieren: Setzen Sie gezielt um, was einen hohen Sicherheitsgewinn bei geringem Aufwand bringt.
• Bewusstsein schaffen: Kommunizieren Sie intern, dass Cloud Sicherheit kein Selbstläufer ist und dass der Secure Score dabei ein wichtiges Kontrollinstrument darstellt.

So wird aus einem abstrakten Messwert ein strategisches Werkzeug für Ihre Cloud Security.