Microsoft 365: Secure Score – aussagekräftig oder Schönmalerei?

Prominent in den Admin-Oberflächen platziert macht er regelmäßig auf sich aufmerksam – der Microsoft Secure Score. Der Wert gibt an, wie es um die Sicherheit Ihrer Microsoft 365-Umgebung bestellt ist – aber können Sie sich darauf auch wirklich verlassen? Ist der Wert vielleicht nur eine weitere Taktik, um Sie dazu zu bewegen, doch zu den größeren Lizenzen zu greifen? In diesem Artikel beleuchten wir die Funktion und was sie Ihnen bringt – oder auch nicht.

Der Secure Score ist ein numerischer Wert zwischen 0% und 100%. Hierbei stellen 0% eine Umgebung dar, welche keine einzige Sicherheitsmetrik erfüllt. Liegt der Wert bei 100%, sind alle laut Microsoft relevanten Sicherheitsfunktionen nach Best Practice konfiguriert.

Wie setzt sich nun aber der Wert zusammen? Dies geschieht, indem die Umgebungen automatisiert auf etliche Metriken geprüft werden, welche Microsoft für sicherheitsrelevant hält. So sorgt zum Beispiel das Einrichten von MFA-Methoden für alle User zu einer Erhöhung des Secure Scores um 3,19%. Von Microsoft als weniger wichtig erachtete Maßnahmen wie das automatische Abmelden inaktiver Benutzer in SharePoint Online hingegen erhöhen den Score lediglich im 0,35%.

Derzeit sind es insgesamt ca. 80 Maßnahmen, welche die Höhe des Secure Scores bestimmen. Diese werden dabei in folgende Produkte unterschieden:

• Microsoft Entra ID

• Microsoft Teams

• Exchange Online

• SharePoint Online

• Defender for Office

• Defender for Cloud Apps

• Microsoft Information Protection

Der Microsoft Secure Score bietet eine intuitive Visualisierung des Sicherheitsstatus und eine klare Anleitung für Verbesserungen. Unternehmen, die gerade erst in die Welt von Microsoft 365 einsteigen, erhalten durch den Score eine praktische Orientierungshilfe. Es ist einfacher, die größten Sicherheitsrisiken zu identifizieren und Prioritäten zu setzen.

Darüber hinaus hilft der Secure Score, Fortschritte zu dokumentieren. Die Verbesserung des Scores kann als messbare Kennzahl dienen, um Sicherheitsinitiativen voranzutreiben und deren Erfolg intern zu kommunizieren. Besonders für Unternehmen, die externe Audits durchlaufen, kann ein erhöhter Secure Score ein zusätzlicher Nachweis für die Bemühungen um IT-Sicherheit sein.

So hilfreich der Secure Score auch sein mag, gibt es einige Einschränkungen. Eine der größten Schwächen ist, dass die Metriken stark auf Microsofts eigenes Ökosystem ausgerichtet sind. Funktionen und Sicherheitsfeatures, die von Drittanbietern kommen oder individuelle Sicherheitsrichtlinien Ihres Unternehmens widerspiegeln, finden hier keine Berücksichtigung. Dies kann dazu führen, dass ein Unternehmen mit exzellenter Sicherheit, die jedoch stark auf Drittanbieter setzt, einen unterdurchschnittlichen Score erhält.

Ein weiterer Kritikpunkt ist die Gewichtung der Maßnahmen. Einige wichtige Sicherheitsaspekte sind angemessen bewertet, wie zum Beispiel die konsequente Durchsetzung von MFA, andere Maßnahmen erscheinen jedoch über- oder unterbewertet. Das führt dazu, dass der Score nicht immer die reale Sicherheit der Umgebung widerspiegelt.

Nicht zu vergessen ist auch die Frage der Lizenzierung: Viele der vorgeschlagenen Sicherheitsfeatures setzen auf Lizenzen höherer Kategorien. Unternehmen mit Basic- oder Standard-Lizenzen können die Vorschläge oft nur bedingt umsetzen, was die Nützlichkeit des Scores für diese Organisationen einschränkt.

Der Microsoft Secure Score ist weder die ultimative Lösung noch reine Augenwischerei. Er bietet einen wertvollen Ausgangspunkt, insbesondere für Unternehmen, die ihre Sicherheitsstrategie strukturieren oder einen schnellen Überblick über Sicherheitsrisiken erhalten möchten.

Allerdings sollte der Score immer im Kontext betrachtet werden. Unternehmen sollten ihn als ein Werkzeug unter vielen sehen, das sie sinnvoll in ihre übergeordnete Sicherheitsstrategie integrieren können. Blind auf die Prozentzahl zu vertrauen, wäre hingegen ein einseitiger Fokus, der sich negativ auswirken könnte. Stattdessen gilt es, die zugrunde liegenden Maßnahmen individuell zu bewerten und gegebenenfalls durch weitere Sicherheitsmechanismen zu ergänzen.

Einer dieser zusätzlichen Sicherheitsmechanismen könnte eine von Extern durchgeführte Prüfung sein, die neben den durch Microsoft vorgegebenen Maßnahmen noch eine Vielzahl weiterer Kriterien prüft und diese - das ist besonders wichtig - auf Ihre individuellen