M365 Security Score: Was er wirklich aussagt — und was er verschweigt

Edouard Jacques

Managing Director, Cyber Culture

„Wir liegen bei 78% Secure Score" - diese Aussage hören wir oft. Sie beruhigt. Sollte sie aber nicht! Der Microsoft Secure Score ist ein nützliches Tool, aber er ist Microsofts Selbstbewertung - basierend auf einer kuratierten Liste von Empfehlungen, die nicht deckungsgleich mit dem CIS-Benchmark ist.

Was der Secure Score gut macht

• Schnelle Übersicht über offensichtliche Sicherheitsprobleme.
• Konkrete, klickbare Empfehlungen mit One-Klick-Aktivierung.
• Vergleich mit ähnlich großen Organisationen (Benchmarking).
• Trend-Tracking über Zeit.

Was der Secure Score verschweigt

• Empfehlungen sind oft auf Microsoft-Premium-Lizenzen ausgelegt — was Sie ohne E5 nicht aktivieren können, zählt trotzdem.
• Tenant-spezifische Konfigurationen (z.B. Sharing-Defaults) werden zu wenig gewichtet.
• Das Scoring belohnt Aktivierung, nicht korrekte Konfiguration.
• Drittanbieter-Integrationen (z.B. Defender for Cloud Apps) werden nicht abgedeckt.

Warum CIS-Benchmark der bessere Maßstab ist

Der CIS-Benchmark ist herstellerunabhängig, prüft die tatsächliche Konfiguration deterministisch, und die Ergebnisse sind audit-tauglich für NIS2 und ISO 27001. Ein 78% Secure Score kann einem 41% CIS-Score gegenüberstehen — und der CIS-Wert ist beim Audit der relevante.

Unser Cloud Security Check liefert Ihnen beides: CIS-Status plus Vergleich zum Secure Score. Sie sehen, wo die Lücke ist.