Baseline auswählen¶
Hier erfahren Sie, welche Security Baselines in TCM365 zur Verfügung stehen und wie Sie die richtige Baseline für Ihre Organisation auswählen.
Baseline-Kategorien im Ueberblick¶
CIS Benchmarks¶
Die Center for Internet Security (CIS) Benchmarks sind weltweit anerkannte Best Practices für die sichere Konfiguration von IT-Systemen.
| Template | Beschreibung | Für wen geeignet |
|---|---|---|
| CIS M365 Level 1 | Grundlegende Sicherheitseinstellungen, die in den meisten Organisationen umsetzbar sind | Alle Organisationen |
| CIS M365 L1-E5 | Level 1 mit zusätzlichen Prüfungen für Microsoft 365 E5-Lizenzen | Organisationen mit E5-Lizenz |
| CIS M365 Level 2 | Erweiterte Sicherheitseinstellungen, die den Komfort einschränken können | Organisationen mit hohen Sicherheitsanforderungen |
| CIS M365 L2-E5 | Level 2 mit zusätzlichen E5-Prüfungen | Organisationen mit E5-Lizenz und hohen Sicherheitsanforderungen |
SCUBA (Secure Cloud Business Applications)¶
SCUBA ist ein Projekt der US-amerikanischen CISA (Cybersecurity and Infrastructure Security Agency) mit spezifischen Baselines für jede M365-Workload.
| Template | Prüft |
|---|---|
| SCUBA AAD | Entra ID (Azure AD) Konfigurationen |
| SCUBA Defender | Microsoft Defender Einstellungen |
| SCUBA Exchange | Exchange Online Sicherheitskonfigurationen |
| SCUBA SharePoint | SharePoint Online Einstellungen |
| SCUBA Teams | Microsoft Teams Sicherheitskonfigurationen |
| SCUBA PowerBI | Power BI Sicherheitseinstellungen |
| SCUBA PowerPlatform | Power Platform Sicherheitskonfigurationen |
| SCUBA Full Bundle | Alle SCUBA-Prüfungen in einer Baseline |
Microsoft Zero Trust¶
Baselines, die an Microsofts Zero-Trust-Modell orientiert sind:
| Template | Beschreibung |
|---|---|
| Starting Point | Einstiegslevel für Zero Trust -- minimale Anforderungen |
| Enterprise | Mittleres Level für Unternehmensumgebungen |
| Specialized | Hoechstes Level für regulierte Branchen und hohe Sicherheitsanforderungen |
NIST und BSI¶
| Template | Beschreibung |
|---|---|
| NIST 800-207 Zero Trust | Basierend auf der NIST-Publikation zu Zero Trust Architecture |
| BSI Grundschutz M365 | Basierend auf den BSI-Empfehlungen für Microsoft 365 |
Tipp
Für deutsche Organisationen, insbesondere im öffentlichen Sektor oder bei KRITIS-Betreibern, ist die BSI Grundschutz M365 Baseline ein guter Startpunkt.
Maester¶
Maester ist ein Community-getriebenes Framework für Entra ID Security Tests:
| Template | Prüft |
|---|---|
| App Registration Security | Sicherheitskonfigurationen von App-Registrierungen |
| CA Policy Validation | Umfassende Prüfung von Conditional Access Policies (52 Tests) |
| Privileged Role Hygiene | Sicherheit privilegierter Rollen und Zuweisungen |
EIDSCA¶
| Template | Beschreibung |
|---|---|
| Entra ID Security Configuration Analyzer | Umfassende Prüfung aller sicherheitsrelevanten Entra ID-Einstellungen |
Allgemeine Security Baselines¶
Themenspezifische Baselines für einzelne Sicherheitsbereiche:
| Template | Prüft |
|---|---|
| Anti-Phishing | Anti-Phishing-Konfigurationen in Exchange und Defender |
| CA MFA Enforcement | Ob MFA über Conditional Access korrekt erzwungen wird |
| DKIM Signing | E-Mail-Authentifizierung mit DKIM |
| Entra Hardening | Härtung der Entra ID-Konfiguration |
| Exchange Security | Exchange Online Sicherheitseinstellungen |
| Intune Compliance | Intune Geräte-Compliance-Richtlinien |
| Legacy Auth Blocking | Blockierung veralteter Authentifizierungsprotokolle |
| Teams Governance | Teams-Governance und Sicherheitseinstellungen |
| Zero Trust Foundation | Grundlegende Zero-Trust-Konfigurationen |
Zscaler Baselines¶
| Template | Prüft |
|---|---|
| ZIA Security Best Practices | 10 Regeln für sichere ZIA-Konfiguration |
| ZPA Zero Trust Access | 9 Regeln für ZPA nach Zero-Trust-Prinzipien |
| ZIA DLP | 8 Regeln für Data Loss Prevention in ZIA |
| Zscaler Hardening | 8 Regeln zur Härtung der Zscaler-Konfiguration |
Atlassian Baselines¶
| Template | Prüft |
|---|---|
| Atlassian Org Security | 10 Regeln für organisationsweite Sicherheitskonfigurationen (SSO, Authentifizierung, API-Token, Domain Verification) |
| Jira Security | 8 Regeln für Jira-spezifische Sicherheitseinstellungen (Berechtigungsschemata, Issue Security, Projekt-Standardwerte) |
| Confluence Security | 6 Regeln für Confluence-spezifische Sicherheitseinstellungen (Space-Berechtigungen, anonymer Zugriff, App-Sicherheit) |
Szenario-basierte Baselines¶
Baselines, die auf bestimmte Organisationstypen oder Situationen zugeschnitten sind:
| Template | Für wen/was |
|---|---|
| Copilot Readiness | Vorbereitung auf den Einsatz von Microsoft Copilot |
| Education | Bildungseinrichtungen (Schulen, Universitaeten) |
| New Tenant | Frisch eingerichtete Tenants (Grundkonfiguration) |
| Regulated Industry | Regulierte Branchen (Finanzen, Gesundheit, Energie) |
| Remote Workforce | Organisationen mit ueberwiegend remote arbeitenden Mitarbeitern |
| SMB Essential | Kleine und mittlere Unternehmen (Essentials) |
Eine Baseline anwenden¶
- Navigieren Sie zu Compliance > Baselines
- Klicken Sie auf Baseline anwenden
- Wählen Sie den Tenant aus, der geprüft werden soll
- Wählen Sie die gewünschte Baseline aus der Liste
- Wählen Sie den Snapshot, der als Datengrundlage dienen soll
- Klicken Sie auf Auswertung starten
Hinweis
Der Snapshot muss die Resource Types enthalten, die von der Baseline geprüft werden. Wenn z.B. die CIS M365 Level 1 Baseline Conditional Access Policies prüft, muss der Snapshot Entra ID-Daten enthalten.
Die richtige Baseline für Ihre Organisation¶
Einsteiger¶
Wenn Sie zum ersten Mal mit Compliance-Baselines arbeiten:
- Beginnen Sie mit CIS M365 Level 1 (für M365) oder ZIA Security Best Practices (für Zscaler)
- Diese Baselines sind praxistauglich und schraenken den Komfort kaum ein
Organisationen mit hohen Sicherheitsanforderungen¶
- Verwenden Sie CIS M365 Level 2 in Kombination mit SCUBA Full Bundle
- Ergänzen Sie mit Maester CA Policy Validation für eine tiefgehende Conditional-Access-Prüfung
KRITIS-Betreiber und regulierte Branchen¶
- Starten Sie mit BSI Grundschutz M365 und Regulated Industry
- Ergänzen Sie mit NIST 800-207 Zero Trust
- Nutzen Sie die Compliance-Frameworks für NIS2-Nachweise
Zscaler-Umgebungen¶
- ZIA Security Best Practices und ZPA Zero Trust Access als Grundlage
- ZIA DLP für Organisationen mit Datenschutzanforderungen
- Zscaler Hardening für maximale Sicherheit
Atlassian-Umgebungen¶
- Atlassian Org Security als Grundlage für alle Atlassian-Organisationen
- Jira Security für Organisationen, die Jira für sicherheitsrelevante Projekte nutzen
- Confluence Security für Organisationen mit sensiblen Inhalten in Confluence
Tipp
Sie können mehrere Baselines gleichzeitig auf denselben Snapshot anwenden. So erhalten Sie einen umfassenden Ueberblick über Ihren Compliance-Status aus verschiedenen Blickwinkeln.
Nächster Schritt¶
- Compliance-Auswertung lesen -- Ergebnisse verstehen und Maßnahmen ableiten