Tiefenanalyse der M365-Tenant-Konfiguration
Microsoft 365 Security Check
Microsoft 365 ist in den meisten Unternehmen das produktive Herzstück – und der häufigste Eintrittspunkt für Identitäts- und Datenkompromittierung. Wir prüfen die Tenant-Konfiguration entlang aller relevanten Säulen und liefern einen priorisierten Bericht mit konkreten Konfigurationsempfehlungen.
Warum sich der Check lohnt
Die Standardkonfiguration eines M365-Tenants ist auf Funktionalität optimiert, nicht auf Sicherheit. Selbst in reifen Umgebungen entsteht Drift, die im Alltag selten auffällt.
- Conditional-Access-Policies, deren effektive Wirkung niemand mehr im Detail überblickt
- Service-Konten ohne MFA
- OAuth-Apps mit über Jahre angewachsenen Berechtigungen
- Defender-Policies, die nicht mit der aktuellen Funktionspalette mitgewachsen sind
Was wir prüfen
Entra ID & Authentifizierung — MFA-Coverage, privilegierte Rollen, PIM-Konfiguration, Authentifizierungsmethoden.
Conditional Access — Pfade, Lücken, Reihenfolge, Token-Lifetime, Wirksamkeit pro Anwendungsfall.
Defender for Office — Safe Attachments/Links, Anti-Phishing-Policies, Quarantänestrategie.
Exchange Online — Mailflow-Rules, External-Sender-Banner, Auditing-Setup.
Purview — DLP-Regeln, Information Protection, Insider Risk.
OAuth-Consent-Modell — Inventur und Bewertung der Consent-Berechtigungen für Drittanbieter-Apps.
Methodik & Werkzeuge
Datenerhebung — automatisierte Erhebung über Microsoft Graph, ausschließlich read-only. Skripte stellen wir bereit. Vorbereitungsaufwand bei Ihnen: einige read-only Rollen.
Bewertungsbasis — Microsoft Secure Score, CIS Microsoft 365 Benchmark und unsere Erfahrungsbasis aus regulierten Umgebungen.
Kontextualisierung — wir bewerten Befunde im Kontext Ihrer tatsächlichen Nutzungspfade, nicht im Vakuum. Risiko ist relativ zur Umgebung.
Was Sie nach dem Check in der Hand haben
Der Bericht ist so geschrieben, dass das Security-Team handlungsfähig wird und die Geschäftsführung die Lage versteht.
- Schriftlicher Bericht (PDF) mit Executive Summary und vollständiger Befundliste
- Risiko-Priorisierung pro Befund
- Konkrete Konfigurationsempfehlungen
- 30-/60-/90-Tage-Vorschlag für die Umsetzung
- Walkthrough-Workshop zur gemeinsamen Diskussion
Vorgehensmodell
Scoping
Tenant-Übersicht, Read-only-Berechtigungen, Zeitfenster
Datenerhebung
Skript-gestützte Erhebung via Graph, manuelle Sichtung
Analyse
Bewertung gegen Benchmarks, Kontextualisierung
Bericht & Walkthrough
Übergabe + Workshop
Bericht typischerweise innerhalb von 10 Arbeitstagen nach vollständiger Datenerhebung.
Pricing
Tier-Auswahl nach Tenant-Komplexität.
Compact
Single-Tenant, kompaktes Setup
ab 3.900 €
Standard
Komplexe Tenant-Konfig, ggf. Hybrid AD
ab 8.900 €
Enterprise
Mehrtenant-Strukturen, regulierte Branche
ab 14.500 €
Richtwerte; finaler Festpreis nach Scoping-Call.
Häufige Fragen
Wir haben E3 (kein E5). Lohnt sich der Check trotzdem?
Ja. Der Check bewertet, was mit Ihrer aktuellen Lizenz tatsächlich aktiviert ist und ob die E3-Schutzmechanismen wirksam konfiguriert sind. Ein typisches Ergebnis ist ein begründeter E5-Upgrade-Vorschlag – oder die Bestätigung, dass E3 für Ihren Risikokontext genügt.
Welche Berechtigungen brauchen Sie in unserem Tenant?
Read-only-Rollen wie Global Reader, Security Reader und Exchange Recipient Administrator. Schreibrechte sind nicht erforderlich. Die genauen Rollen liefern wir im Scoping-Dokument.
Stören Sie unseren Betrieb?
Nein. Der Check ist vollständig read-only. Skripte holen Konfigurationsdaten über Microsoft Graph, ohne Policies oder User-Sessions zu beeinflussen.
Greifen Sie auf unsere E-Mails zu?
Nein. Wir greifen nicht auf Mailbox-Inhalte zu. Bewertet werden Konfigurationen, Policies und Auditing-Setup.
Wie passt der Check zu NIS2?
Direkt. M365 ist in vielen betroffenen Unternehmen das primäre Identitäts- und Kollaborationssystem. Die Befunde zahlen auf die technischen und organisatorischen Maßnahmen aus Art. 21 (2) NIS2 ein.
Bekommen wir eine Liste an Microsoft eskalierbarer Schwachstellen?
Der Check identifiziert Fehlkonfigurationen in Ihrem Tenant, keine Plattform-Schwachstellen bei Microsoft. Falls etwas eine Herstellerklärung erfordert, dokumentieren wir es im Bericht.
Kontakt aufnehmen
Passt der Check zu Ihrer M365-Umgebung?
Ein kurzer Scoping-Call genügt, um Tier und Zeitfenster zu klären. Kein Vorab-Commitment.