Skip to content

Compliance-Frameworks

Hier erfahren Sie, welche Compliance-Frameworks TCM365 unterstützt und wie die Compliance-Prüfungen Ihnen bei der Einhaltung regulatorischer Anforderungen helfen.

Unterstützte Frameworks

TCM365 kann Compliance-Auswertungen gegen folgende Frameworks durchführen:

NIS2

Die Network and Information Security Directive 2 ist eine EU-Richtlinie, die Cybersicherheitsanforderungen für wesentliche und wichtige Einrichtungen definiert.

Was TCM365 prüft:

  • Sicherheitskonfigurationen, die NIS2-Anforderungen an technische Maßnahmen adressieren
  • Zugangskontrollen und Identitaetsmanagement (Multi-Faktor-Authentifizierung, Conditional Access)
  • Incident-Response-Bereitschaft (über das KRITIS-Modul)
  • Verschluesselungs- und Datenschutzeinstellungen

Relevant für: KRITIS-Betreiber, Betreiber wesentlicher Dienste, wichtige Einrichtungen nach NIS2

Hinweis

TCM365 unterstützt Sie bei den technischen Maßnahmen der NIS2-Compliance. Organisatorische Maßnahmen (Risikomanagement, Lieferkettenmanagement) müssen ergaenzend adressiert werden.

ISO 27001 / ISO 27002

ISO 27001 definiert Anforderungen an ein Informationssicherheits-Managementsystem (ISMS). ISO 27002 liefert die dazugehoerigen Umsetzungsempfehlungen.

Was TCM365 prüft:

  • Annex-A-Kontrollen, die sich auf Cloud-Konfigurationen beziehen
  • Zugangskontrolle (A.9) -- Benutzer, Rollen, privilegierte Zugriffe
  • Kryptografie (A.10) -- Verschluesselungseinstellungen
  • Kommunikationssicherheit (A.13) -- Netzwerkkonfigurationen, Firewall-Regeln
  • Betriebssicherheit (A.12) -- Konfigurationsmanagement, Aenderungskontrolle

Relevant für: Alle Organisationen, die ein ISMS nach ISO 27001 betreiben oder anstreben

GDPR / DSGVO

Die Datenschutz-Grundverordnung stellt Anforderungen an den Schutz personenbezogener Daten.

Was TCM365 prüft:

  • Data Loss Prevention (DLP) Konfigurationen
  • Verschluesselungseinstellungen für Daten im Ruhezustand und in der Übertragung
  • Zugriffskontrollen auf Datenquellen
  • Audit-Log-Konfigurationen (Nachvollziehbarkeit)

Relevant für: Alle Organisationen, die personenbezogene Daten von EU-Buergern verarbeiten

CIS (Center for Internet Security)

Die CIS Benchmarks sind konsensbasierte Best-Practice-Konfigurationsempfehlungen.

Was TCM365 prüft:

  • CIS Microsoft 365 Foundations Benchmark (Level 1 und Level 2)
  • Kontokonfigurationen und Authentifizierung
  • Datenverwaltung und -schutz
  • E-Mail-Sicherheit
  • Audit und Protokollierung

Relevant für: Alle Organisationen als solide Basis für Konfigurationssicherheit

NIST (National Institute of Standards and Technology)

NIST 800-207 definiert die Zero Trust Architecture.

Was TCM365 prüft:

  • Identitaetsbasierte Zugriffskontrolle
  • Microsegmentierung und Least-Privilege-Prinzip
  • Geraetevertrauenswuerdigkeit (Intune Compliance)
  • Netzwerkzugriffskontrolle
  • Kontinuierliche Überwachung

Relevant für: Organisationen, die Zero Trust implementieren oder US-Compliance-Anforderungen erfüllen müssen

BSI Grundschutz

Der BSI IT-Grundschutz bietet eine umfassende Methodik für Informationssicherheit, basierend auf den Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik.

Was TCM365 prüft:

  • Cloud-spezifische Bausteine aus dem BSI-Kompendium
  • Microsoft 365 Konfigurationsempfehlungen des BSI
  • Identitäts- und Zugriffsmanagement
  • Datensicherheit und Verschlüsselung

Relevant für: Deutsche Organisationen, oeffentliche Einrichtungen, KRITIS-Betreiber

Maester

Maester ist ein Open-Source-Framework speziell für Entra ID Security Testing.

Was TCM365 prüft:

  • Sicherheit von App-Registrierungen (Service Principals, Secrets, Permissions)
  • Conditional Access Policy Validierung (52 Tests)
  • Privileged Role Hygiene (Global Admin, Privileged Role Admin, etc.)

Relevant für: Organisationen mit komplexen Entra ID-Umgebungen und vielen App-Registrierungen

EIDSCA

Der Entra ID Security Configuration Analyzer prüft die gesamte Entra ID-Konfiguration.

Was TCM365 prüft:

  • Alle sicherheitsrelevanten Entra ID-Einstellungen
  • Authentifizierungsmethoden und -richtlinien
  • Self-Service-Konfigurationen
  • Externe Zusammenarbeit (B2B, B2C)

Relevant für: Alle Organisationen, die Entra ID (Azure AD) nutzen

Framework-uebergreifende Zuordnung

TCM365 bietet eine Cross-Mapping-Funktion: Viele Baseline-Regeln sind mehreren Frameworks gleichzeitig zugeordnet. So können Sie mit einer einzigen Auswertung Nachweise für verschiedene Compliance-Anforderungen erzeugen.

Beispiel: Eine Regel zur MFA-Erzwingung kann gleichzeitig relevant sein für:

  • CIS M365 Level 1 (Kontrolle 1.1.1)
  • NIS2 (Artikel 21 - Zugangskontrolle)
  • ISO 27001 (A.9.4.2 - Sichere Anmeldeverfahren)
  • NIST 800-207 (Zero Trust - Identity Verification)

Tipp

Nutzen Sie die Framework-Zuordnung in den Compliance-Berichten, um Auditoren zu zeigen, welche Kontrollen Sie mit welchen Maßnahmen abdecken.

Nächster Schritt