Ihr M365 Security Score zeigt 78%. Ihr CIS-Benchmark-Ergebnis zeigt 41%. Warum der Unterschied — und welcher zählt beim Audit?

Marcel Rieger

Managing Director, Cyber Risk

'Wir liegen bei 78% Secure Score' — diese Zahl beruhigt viele IT-Leiter. Sie sollte es nicht. Der Microsoft Secure Score und der CIS-Benchmark messen mit unterschiedlichen Methodiken. In unseren Reviews sehen wir regelmäßig: Tenants mit 75-85% Secure Score liegen beim CIS-Benchmark zwischen 40 und 55%.

Wie kommt diese Lücke zustande?

• Secure Score belohnt Aktivierung — CIS prüft korrekte Konfiguration.
• Secure Score gewichtet einfache, klickbare Maßnahmen hoch — CIS gewichtet nach tatsächlicher Risikoreduktion.
• Secure Score ist ein bewegliches Ziel — Microsoft ändert die Maximal-Punktzahl regelmäßig.
• CIS hat klare Profile (L1/L2) und versionierte Standards (v3.0, v3.1).

Welcher Score zählt beim Audit?

Microsoft Secure Score wird von externen Auditoren in der Regel nicht akzeptiert — er gilt als 'vendor-controlled metric'. CIS-Benchmark-Reports sind hingegen herstellerunabhängig und werden von ISO-27001-Auditoren, NIS2-Aufsichtsbehörden und SOC-2-Prüfern als Konfigurationsnachweis anerkannt.

Was Sie tun sollten

Beide Scores im Blick behalten — aber wissen, was sie bedeuten. Secure Score für das tägliche Operations-Reporting, CIS-Benchmark für Audits und strategische Sicherheits-Reviews.

Unser Cloud Security Check liefert Ihnen den vollständigen CIS-Status plus eine Differenzanalyse zum aktuellen Secure Score. Sie sehen, wo die Lücke real ist — und welche Maßnahmen den größten Hebel haben.