Der Microsoft Secure Score aus deutscher Sicht

Es begann vor zwei Jahren mit dem Office 365 Secure Score und dem Azure Advisor, so dass über diesen Score ein Überblick über die Umgebung erreicht werden kann. Der Office 365 Secure Score wurde letztendlich auch in die Office 365 Adminumgebung eingebaut. Deshalb ist es nicht erstaunlich, dass wir nun den Microsoft Secure Score haben. Es ist eine Erfolgsgeschichte des Entwicklungsteam von einer einfachen Azure WebApp (securescore.microsoft.com) hin zu einem Werkzeug im Microsoft 365 Admin Center.

Der Microsoft Secure Score

Mit der General Avaliabilty (GA) des Microsoft 365 Admin Center kommt nun auch auch der Microsoft Secure Score. Die Entwicklung des Secure Score wurde durch sehr viele Feedbackrunden begünstigt. Microsoft fragte Anwender, Unternehmen und auch MVPs, sowie die Microsoft Partner. Es flossen dementsprechend wie Wünsche auf den Zettel des Microsoft Secure Score. 

Das Ziel des Microsoft Secure Score ist eine Security Baseline über seine Microsoft 365 Umgebung zu haben.

Aktuelle Webseite: https://security.microsoft.com

Der Microsoft Secure Score umfasst:

  • Office 365
  • Windows
  • Devices
  • OAuth Apps
  • Infrastrukture

Das Prinzip des Secure Score ist es basierend auf Parametern, die von Microsoft vorgegeben wurden, zu erfahren wie viele ihr bereits umgesetzt habt. Jeder der Kategorien (Identität, Daten, Geräte, Apps, Infrastruktur) besitzt einen maximalen Wert, den ihr erreichen könnt. Dieser Wert steigt auch immer mal wieder, da Microsoft neue Werkzeuge aufnimmt oder auch neue Produkte. Ihr müsst also immer am “Ball” bleiben. Für jeder Verbesserungsmaßnahme erhaltet ihr dann Punkte, so dass ihr immer mehr an den maximalen Wert heran kommt. 

Aber Achtung: a) nicht für alle Aufgaben erhaltet ihr Punkte b) die Punkte sind die von Microsoft vorher definierten. Diese können und müssen nicht alle auf die Umgebung passen.

Im Security Center seht ihr direkt den Einstieg eine kleine Übersicht. Der Screenshot stammt aus einer aktuellen und neuen Testumgebung:

Dann geht es zur Übersicht:

Hier erhält man eine genauere Auflistung und genauere Erläuterungen, welche Maßnahmen umzusetzen sind. Ganz konkret könnt ihr rechts mit den “Verbesserungsmaßnahmen” beginnen.  

Der Verlauf zeigt euch den Wert über eure Nutzung des Tenants hinweg an:

Ebenfalls könnt ihr euch die Verbesserungsmaßnahmen genauer anschauen:

Eine Stufe tiefer, hier am Beispiel von Information Protection:

Hier seht ihr eine genaue Erläuterung des jeweiligen Punktes. Aber auch, dass ihr wie hier zwar Azure Information Protection einsetzt, die Aufgabe abgeschlossen habt und auch eine Bewertung erhaltet 15/15 Punkten, es aber “noch” nicht in die Geamtbewertung einfließt. 

Fazit

Der Microsoft Secure Score ist sehr gut, um einen Überblick über die Umgebung zu erhalten. Hierfür ist jedoch zu beachten, dass ihr zur Umsetzung oft Lizenzen benötigt und einige Aufgaben nicht zu eurer Umgebung passen oder ihr andere Prozesse seit Jahren definiert habt. Dies lohnt es sich in den Notizen zu hinterlegen. 

Ein Manko ist es auch, dass Microsoft diese Parameter definiert und zwar auf Feedback reagiert, aber Juristen und andere Spezialisten bisher nicht tief eingebunden hat. Ich hoffe, dass dies in Zukunft passiert. 

Ich wünsche mir einen Microsoft Secure Score Germany angepasst auf uns mit unseren Parametern und der Möglichkeit auch einige Parameter selber zu definieren. Dazu sollte eine Filteroption kommen, um die Informationen für Deutschland filtern zu lassen, damit der Nutzer/in nicht zu überfordert wird. 

 

Fragen und Anregungen: raphael.koellner@rakoellner.com 

 

 

aktuellester Blogartikel zum Thema:

https://techcommunity.microsoft.com/t5/Security-Privacy-and-Compliance/A-new-home-and-an-all-new-look-for-Microsoft-Secure-Score/ba-p/529641