110 Prüfpunkte. 5 Werktage. Ein priorisierter Report. So funktioniert der CIS-Benchmark-Check für M365 und Google Workspace.

Marcel Rieger

Managing Director, Cyber Risk

Sie überlegen, einen Cloud-Konfigurations-Check zu beauftragen — wollen aber vorher wissen, was genau passiert, wer was tut, und wie der Output aussieht. Hier ist der vollständige Ablauf.

Tag 1 — Onboarding und Read-Only-Zugang

Sie stellen einen Read-Only-Zugang bereit (Global Reader für M365, Super Admin Read-Only für GWS). Wir verwenden einen dedizierten Service Principal mit klar dokumentiertem Berechtigungs-Scope. Keine Daten verlassen Ihr Tenant — wir lesen nur Konfigurationsmetadaten.

Tag 2-3 — Automatisierte Prüfung

Unser Tooling läuft 110 CIS-Controls für M365 (oder 109 für GWS) automatisiert durch. Geprüft werden: Conditional Access, Defender, Exchange-Settings, SharePoint/Drive-Sharing, Entra ID, MDM, Audit-Logs, Backup-Konfiguration, Encryption-Settings.

Tag 4 — Manuelle Validierung

Marcel als Cyber-Risk-Lead validiert kritische Findings manuell. Falsch-Positive werden ausgefiltert, Tenant-spezifische Kontextfaktoren berücksichtigt. Bei unklaren Konfigurationen sprechen wir mit Ihrem IT-Team.

Tag 5 — Reporting und Übergabe

Sie erhalten: Executive Summary (2 Seiten), Finding-Report (vollständig), Priorisierter Maßnahmenplan (Top-20), NIS2/ISO-27001-Mapping. Plus ein 60-minütiges Übergabe-Meeting mit Diskussion der Top-Findings und Roadmap-Empfehlung.

Geprüfte Komponenten

• CIS M365 Benchmark v3.0 (Exchange, Teams, SharePoint, Entra ID, Defender)
• CIS Google Workspace Benchmark v2.0 (Gmail, Drive, Admin Console, MDM)
• Microsoft Defender for Endpoint Konfiguration
• Entra ID Conditional Access und PIM