Microsoft Secure Score: Was er misst und wie du ihn verbesserst

Was ist der Microsoft Secure Score?

Der Microsoft Secure Score ist ein Dashboard im Microsoft 365 Security Center (security.microsoft.com), das den Sicherheitszustand deines M365-Tenants auf einer Punkteskala bewertet. Jede Sicherheitsempfehlung, die du umsetzt, bringt Punkte. Der Score wird als Prozentsatz der maximal erreichbaren Punkte dargestellt.

Das Konzept ist einfach: Microsoft analysiert die Konfiguration deines Tenants, vergleicht sie mit den empfohlenen Best Practices und berechnet daraus einen Score. Je mehr Empfehlungen du umsetzt, desto höher der Score, desto besser der Sicherheitszustand. Zusätzlich zeigt das Dashboard, wie dein Score im Vergleich zu ähnlichen Organisationen (gleiche Branche, gleiche Unternehmensgröße, gleiche Lizenzierung) abschneidet.

Aber der Secure Score ist kein Allheilmittel und kein vollständiges Sicherheitsaudit. Er bewertet nur die Konfiguration der Microsoft 365-Dienste, nicht die gesamte IT-Sicherheit deines Unternehmens. Ein Secure Score von 80 Prozent sagt nichts über die Sicherheit deiner On-Premises-Infrastruktur, deiner Drittanbieter-Anwendungen oder deiner organisatorischen Sicherheitsprozesse. Trotzdem ist er das beste verfügbare Werkzeug, um den Sicherheitszustand der M365-Umgebung zu messen und systematisch zu verbessern.

Die vier Kategorien

Der Secure Score gliedert die Empfehlungen in vier Kategorien, die unterschiedliche Sicherheitsbereiche abdecken:

Identity (Identität)

Die Identity-Kategorie bewertet die Konfiguration von Entra ID und die Authentifizierungssicherheit:

Typische Empfehlungen:

• MFA für alle Benutzer aktivieren (hohe Punktzahl)
• MFA für administrative Rollen aktivieren (hohe Punktzahl)
• Legacy Authentication blockieren (hohe Punktzahl)
• Conditional Access Policies einrichten
• Privileged Identity Management (PIM) aktivieren
• Password Protection konfigurieren (Sperrliste für schwache Passwörter)
• Self-Service Password Reset aktivieren
• Sign-in Risk Policy aktivieren
• User Risk Policy aktivieren
• Passwordless Authentication aktivieren

Die Identity-Kategorie bietet typischerweise die meisten Punkte und die Maßnahmen mit dem größten Sicherheitsgewinn. MFA allein kann 20-30 Prozent des gesamten Scores ausmachen. Wenn du nur eine Kategorie priorisieren kannst, fang hier an.

Data (Daten)

Die Data-Kategorie bewertet den Schutz von Daten in Exchange Online, SharePoint, OneDrive und Teams:

Typische Empfehlungen:

• DLP-Richtlinien aktivieren
• Sensitivity Labels einrichten
• Aufbewahrungsrichtlinien konfigurieren
• Externe Freigaben in SharePoint einschränken
• Audit Log aktivieren
• Information Barriers konfigurieren (bei Bedarf)
• Customer Lockbox aktivieren (E5)

Die Data-Kategorie enthält viele Empfehlungen, die einen organisatorischen Prozess erfordern (z.B. ein Klassifizierungsschema für Sensitivity Labels). Die Umsetzung dauert daher oft länger als bei der Identity-Kategorie.

Device (Geräte)

Die Device-Kategorie bewertet den Schutz der Endgeräte über Microsoft Intune und Defender for Endpoint:

Typische Empfehlungen:

• Defender for Endpoint onboarden
• Gerätecompliance-Richtlinien konfigurieren
• Attack Surface Reduction (ASR) Regeln aktivieren
• BitLocker-Verschlüsselung erzwingen
• Firewall-Richtlinien konfigurieren
• Windows Hello for Business aktivieren
• Microsoft Defender Antivirus konfigurieren

Die Device-Kategorie setzt Intune-Enrollment und Defender for Endpoint voraus. Wenn du diese Dienste nicht nutzt, wird die Device-Kategorie niedrig scoren, und das ist in Ordnung, solange du alternative Lösungen für Endgeräteschutz hast.

Apps (Anwendungen)

Die Apps-Kategorie bewertet die Konfiguration der E-Mail-Sicherheit (Defender for Office 365) und der Cloud-App-Sicherheit:

Typische Empfehlungen:

• Safe Links aktivieren
• Safe Attachments aktivieren
• Anti-Phishing-Richtlinien konfigurieren
• Zero-Hour Auto Purge (ZAP) aktivieren
• User Consent für Apps einschränken
• Defender for Cloud Apps konfigurieren (E5)

Die Apps-Kategorie überschneidet sich stark mit der E-Mail-Sicherheitskonfiguration. Wenn du die Empfehlungen aus dem Artikel zu Exchange Online umgesetzt hast, wird dein Apps-Score bereits deutlich höher sein.

Empfehlungen priorisieren

Der Secure Score listet oft 50 bis 100 Empfehlungen auf. Die Versuchung, alle gleichzeitig anzugehen, führt zu Überforderung und Stillstand. Stattdessen brauchst du eine Priorisierungsmethode, die Sicherheitsgewinn, Aufwand und geschäftliche Machbarkeit berücksichtigt.

Priorisierung nach der Impact-Effort-Matrix

Ordne jede Empfehlung in eine von vier Kategorien ein:

Quick Wins (hoher Impact, geringer Aufwand): Sofort umsetzen. Typische Beispiele:

• MFA für Admins aktivieren (5 Minuten Konfiguration, massive Sicherheitsverbesserung)
• Audit Log aktivieren (1 Klick)
• Self-Service Password Reset aktivieren
• First Contact Safety Tip aktivieren

Strategische Projekte (hoher Impact, hoher Aufwand): Planen und in Sprints umsetzen. Typische Beispiele:

• MFA für alle Benutzer ausrollen (Registrierungskampagne, Kommunikation, Support)
• Conditional Access Framework aufbauen
• Sensitivity Labels und Klassifizierungsschema einführen
• Intune Enrollment und Gerätecompliance

Low-Hanging Fruit (geringer Impact, geringer Aufwand): Bei Gelegenheit umsetzen. Typische Beispiele:

• Password Expiration deaktivieren (Microsoft empfiehlt keine erzwungenen Passwortänderungen mehr)
• Standardmäßige Benutzerberechtigungen einschränken
• Safe Attachments für SharePoint aktivieren

Aufwand-Monster (geringer Impact, hoher Aufwand): Bewusst zurückstellen oder als "Risk accepted" markieren. Typische Beispiele:

• Information Barriers (nur relevant bei regulatorischen Anforderungen)
• Customer Lockbox (nur sinnvoll bei E5 und hochsensiblen Daten)
• Alle Empfehlungen, die eine Lizenz erfordern, die du nicht hast und nicht brauchst

Umgang mit nicht umsetzbaren Empfehlungen

Nicht jede Empfehlung ist für jedes Unternehmen sinnvoll oder umsetzbar. Der Secure Score bietet drei Status-Optionen für Empfehlungen, die du nicht umsetzen willst oder kannst:

Completed: Die Empfehlung ist umgesetzt. Der Score steigt.

Resolved through third party: Die Empfehlung wird durch eine Drittanbieter-Lösung abgedeckt (z.B. Endpoint Protection durch CrowdStrike statt Defender for Endpoint). Der Score steigt, weil Microsoft akzeptiert, dass die Anforderung erfüllt ist, nur eben nicht mit dem Microsoft-Produkt. Nutze diesen Status ehrlich und nur, wenn die Drittanbieter-Lösung den gleichen Schutz bietet.

Risk accepted: Du hast die Empfehlung bewertet und dich bewusst entschieden, das Risiko zu akzeptieren. Der Score steigt nicht, aber die Empfehlung verschwindet aus der offenen Liste. Dokumentiere die Begründung für die Risikoakzeptanz im ISMS.

Planned: Die Empfehlung ist geplant, aber noch nicht umgesetzt. Der Score steigt nicht, aber du kannst die geplanten Maßnahmen tracken.

Realistische Zielwerte

Ein häufiger Fehler: Das Management sieht den Secure Score und fordert 100 Prozent. Das ist weder realistisch noch nötig, aus mehreren Gründen.

Warum 100 Prozent unrealistisch ist:

• Manche Empfehlungen erfordern E5-Lizenzen, die du nicht hast und deren Kosten den Sicherheitsgewinn nicht rechtfertigen
• Manche Empfehlungen passen nicht zu deinem Geschäftsmodell (z.B. "Block all external sharing" wenn du mit externen Partnern zusammenarbeitest)
• Manche Empfehlungen widersprechen sich teilweise (z.B. maximale Restriktion vs. geschäftliche Flexibilität)
• Microsoft ändert die Empfehlungen regelmäßig, was deinen Score schwanken lässt, ohne dass du etwas geändert hast

Realistische Zielwerte nach Unternehmensgröße und Lizenz:

Diese Werte berücksichtigen, dass mit höheren Lizenzen mehr Empfehlungen umsetzbar sind und dass der maximale Score mit der Lizenz steigt.

Empfehlung: Setze den Zielwert 10-15 Prozentpunkte über deinem aktuellen Score und erhöhe ihn quartalsweise, wenn du den Zielwert erreicht hast. Das schafft einen kontinuierlichen Verbesserungsprozess, ohne unrealistische Erwartungen zu wecken.

Der Secure Score als KPI im ISMS

Der Secure Score eignet sich hervorragend als KPI (Key Performance Indicator) im ISMS, weil er mehrere Anforderungen von ISO 27001 erfüllt:

Anforderung 9.1: Monitoring, Messung, Analyse und Bewertung

ISO 27001 fordert, dass die Organisation die Wirksamkeit des ISMS messen und bewerten muss. Der Secure Score ist eine automatisierte, objektive Messung des Sicherheitszustands der M365-Umgebung, die ohne manuellen Aufwand erhoben wird.

Anforderung 9.3: Management Review

Im Management Review muss die Geschäftsführung über den Zustand des ISMS informiert werden. Der Secure Score liefert eine verständliche Kennzahl, die auch Nicht-Techniker verstehen: "Unser M365-Sicherheitswert liegt bei 72 Prozent und hat sich seit dem letzten Review um 8 Prozentpunkte verbessert."

Anforderung 10.1: Kontinuierliche Verbesserung

Der Secure Score visualisiert den Verbesserungsverlauf über die Zeit. Wenn der Score quartalsweise steigt, ist die kontinuierliche Verbesserung dokumentiert. Wenn er stagniert oder sinkt, ist das ein Signal, dass Maßnahmen ergriffen werden müssen.

Integration in das ISMS-Reporting

Quartalsweise:

• Aktuellen Secure Score dokumentieren
• Veränderung gegenüber dem Vorquartal
• Umgesetzte Empfehlungen seit dem letzten Review
• Geplante Empfehlungen für das nächste Quartal
• "Risk accepted"-Empfehlungen mit Begründung

Jährlich (Management Review):

• Jahresvergleich des Secure Scores
• Vergleich mit dem Branchendurchschnitt (im Secure Score Dashboard verfügbar)
• Analyse der Kategorien (welche Kategorie hat sich am meisten verbessert, welche stagniert?)
• Ressourcenbedarf für weitere Verbesserungen (Lizenzen, Arbeitszeit, externe Unterstützung)

Der Score schwankt, ohne dass ich etwas geändert habe

Eine häufige Frustration: Der Secure Score sinkt plötzlich um einige Punkte, obwohl du nichts an der Konfiguration geändert hast. Das passiert aus mehreren Gründen:

Neue Empfehlungen: Microsoft fügt regelmäßig neue Empfehlungen hinzu. Jede neue Empfehlung erhöht die maximal erreichbare Punktzahl, was deinen prozentualen Score senkt, auch wenn dein absoluter Punktestand gleich bleibt.

Geänderte Bewertung: Microsoft kann die Punktzahl bestehender Empfehlungen ändern (z.B. eine Empfehlung von 5 auf 10 Punkte hochstufen, weil die Bedrohungslage sich geändert hat).

Konfigurationsänderungen durch andere Admins: Wenn ein anderer Admin eine Sicherheitseinstellung ändert (z.B. eine Conditional Access Policy deaktiviert), sinkt der Score.

Lizenzänderungen: Wenn Benutzer Lizenzen erhalten oder verlieren, können sich die verfügbaren Empfehlungen und deren Punktzahl ändern.

Umgang mit Score-Schwankungen:

• Tracke den Score über die Zeit und reagiere nur auf Trends, nicht auf Tageschwankungen
• Richte Alert Policies ein, die dich benachrichtigen, wenn der Score um mehr als 5 Punkte sinkt
• Prüfe bei Score-Rückgängen zuerst, ob neue Empfehlungen hinzugekommen sind (kein Handlungsbedarf) oder ob eine bestehende Konfiguration geändert wurde (Handlungsbedarf)

Secure Score vs. andere Sicherheits-Scores

Microsoft bietet neben dem Secure Score weitere Bewertungen, die unterschiedliche Aspekte abdecken:

Microsoft Secure Score (security.microsoft.com):

• Bewertet die M365-Konfiguration (Identity, Data, Device, Apps)
• Datenquelle: M365-Tenant-Konfiguration

Defender for Cloud Secure Score (portal.azure.com):

• Bewertet die Azure-Infrastruktur-Sicherheit
• Datenquelle: Azure-Ressourcen-Konfiguration
• Nicht zu verwechseln mit dem M365 Secure Score

Exposure Score (Defender for Endpoint):

• Bewertet die Angriffsfläche der Endgeräte
• Datenquelle: Endgeräte-Telemetrie (Schwachstellen, Konfiguration)

Identity Secure Score (Entra ID):

• Subset des Microsoft Secure Score, fokussiert auf Identitätssicherheit
• Nützlich für eine detailliertere Analyse der Identity-Kategorie

Für das ISMS empfiehlt sich, den Microsoft Secure Score als primären KPI für die M365-Umgebung zu verwenden und bei Bedarf den Defender for Cloud Secure Score für Azure-Workloads zu ergänzen. Mehr als zwei Score-KPIs sind für die meisten mittelständischen Unternehmen zu viel und verwässern die Aussagekraft.

Schritt-für-Schritt: Den Secure Score in 90 Tagen verbessern

Hier ein konkreter 90-Tage-Plan, um den Secure Score eines typischen mittelständischen Unternehmens mit Business Premium-Lizenz um 15-25 Prozentpunkte zu verbessern:

Woche 1-2: Bestandsaufnahme und Quick Wins

1. Secure Score im Security Center öffnen und aktuellen Stand dokumentieren
2. Alle Empfehlungen nach Punktzahl sortieren
3. Quick Wins identifizieren und sofort umsetzen:
   • Audit Log aktivieren
   • MFA für Admins (falls nicht bereits aktiv)
   • Self-Service Password Reset aktivieren
   • First Contact Safety Tip aktivieren
   • Safe Attachments für SharePoint aktivieren
4. Empfehlungen, die du bewusst nicht umsetzen willst, als "Risk accepted" oder "Resolved through third party" markieren

Woche 3-6: Identity-Kategorie

5. MFA-Registrierungskampagne starten
6. Conditional Access Policies erstellen (Report-Only)
7. Legacy Authentication blockieren (Report-Only, dann On)
8. MFA für alle Benutzer aktivieren
9. Password Protection konfigurieren

Woche 7-10: Apps- und Data-Kategorie

10. Anti-Phishing-Richtlinien konfigurieren
11. Safe Links und Safe Attachments aktivieren
12. External Sender Warning als Mailflow-Regel
13. Auto-Forward blockieren
14. DLP-Richtlinien im Testmodus erstellen
15. Externe Freigaben einschränken

Woche 11-12: Review und Planung

16. Aktuellen Secure Score dokumentieren und Verbesserung berechnen
17. Verbleibende Empfehlungen priorisieren
18. Plan für das nächste Quartal erstellen
19. Ergebnisse für das Management Review aufbereiten

Erwartetes Ergebnis

Bei konsequenter Umsetzung steigt der Secure Score eines typischen Business-Premium-Tenants von circa 35-45 Prozent (Ausgangswert ohne gezielte Härtung) auf 55-70 Prozent. Die größten Sprünge kommen von MFA (10-15 Punkte), Conditional Access (5-10 Punkte) und E-Mail-Sicherheit (5-10 Punkte).

Secure Score und Compliance-Frameworks

Der Secure Score ist nicht nur ein technisches Werkzeug, sondern lässt sich direkt mit Compliance-Anforderungen verknüpfen. Im Microsoft 365 Compliance Center gibt es ein separates Compliance Manager Dashboard, das den Secure Score mit regulatorischen Frameworks verknüpft: ISO 27001, NIST 800-53, BSI IT-Grundschutz und weitere.

Verknüpfung mit ISO 27001

Viele Secure Score-Empfehlungen lassen sich direkt ISO 27001-Controls zuordnen:

Diese Zuordnung hilft dir bei der Dokumentation im ISMS: Jede umgesetzte Secure Score-Empfehlung ist gleichzeitig eine TOM, die du im Statement of Applicability referenzieren kannst. In ISMS Lite lässt sich der Secure Score als KPI für das Management Review tracken und die Verbesserungsmaßnahmen direkt mit den ISO 27001-Controls verknüpfen.

Reporting für die Geschäftsführung

Die Geschäftsführung braucht keine technischen Details, sondern eine verständliche Zusammenfassung. Der Secure Score eignet sich hervorragend für Management-Reporting, weil er komplex genug ist, um aussagekräftig zu sein, aber einfach genug, um auf einer Folie zu passen.

Ein bewährtes Format für das Quartalsreporting:

Kennzahl: Aktueller Secure Score (z.B. 72 Prozent) Trend: Veränderung zum Vorquartal (z.B. +8 Punkte) Vergleich: Position im Branchenvergleich (z.B. Top 30 Prozent) Umgesetzte Maßnahmen: 3-5 Maßnahmen seit dem letzten Review Geplante Maßnahmen: 3-5 Maßnahmen für das nächste Quartal Ressourcenbedarf: Geschätzter Aufwand und ggf. Lizenzbedarf

Dieses Format passt auf eine einzige Seite und gibt der Geschäftsführung genau die Informationen, die sie braucht: Wo stehen wir? Wohin entwickeln wir uns? Was brauchen wir dafür?

Häufige Fehler

Score-Jagd statt Risikoorientierung: Der Secure Score ist ein Indikator, kein Selbstzweck. Setze Maßnahmen um, weil sie das Sicherheitsniveau erhöhen, nicht weil sie die meisten Punkte bringen. Manchmal ist eine Maßnahme mit 2 Punkten sicherheitsrelevanter als eine mit 10 Punkten.

Alle Empfehlungen blind umsetzen: Nicht jede Empfehlung passt zu deinem Unternehmen. Bewerte jede Empfehlung im Kontext deiner Organisation, bevor du sie umsetzt. Eine Empfehlung, die dein Geschäftsmodell behindert, ist kontraproduktiv, egal wie viele Punkte sie bringt.

Den Score einmal hochjagen und dann vergessen: Der Secure Score ist ein lebendes Instrument, das regelmäßig gepflegt werden muss. Neue Empfehlungen kommen hinzu, Konfigurationen ändern sich, Bedrohungen entwickeln sich weiter. Plane ein quartalsweises Review ein.

Nur den prozentualen Score betrachten: Der prozentuale Score kann sinken, auch wenn du Maßnahmen umsetzt (weil Microsoft neue Empfehlungen hinzufügt). Tracke zusätzlich die absolute Punktzahl und die Anzahl der offenen Empfehlungen.

Den Score nicht kommunizieren: Der Secure Score ist ein hervorragendes Kommunikationsinstrument gegenüber der Geschäftsführung. Nutze ihn, um den Sicherheitszustand verständlich darzustellen und Ressourcen für weitere Verbesserungen zu begründen.

Weiterführende Artikel

• Microsoft 365 absichern: Die 15 wichtigsten Sicherheitseinstellungen
• Conditional Access in Entra ID einrichten: Richtlinien für den Mittelstand
• Management Review nach ISO 27001: Agenda, KPIs und Protokoll
• PDCA-Zyklus im ISMS: Plan-Do-Check-Act in der Praxis
• ISMS aufbauen: Der komplette Leitfaden für Unternehmen