Identität & Zugriff
MFA, Admin-Konten, Passwortrichtlinien
critical
Ist Multi-Faktor-Authentifizierung (MFA) für alle Benutzerkonten aktiviert?
MFA verhindert ~99 % aller passwortbasierten Angriffe.
high
Werden administrative Rollen nur zeitlich begrenzt vergeben (z.B. via PIM)?
Permanente Admin-Rechte sind das häufigste Angriffsziel bei Cloud-Kompromittierungen.
high
Gibt es ein dokumentiertes Verfahren für das Offboarding von Mitarbeitern?
Nicht gesperrte Ex-Mitarbeiter-Konten sind ein häufiger Einstiegspunkt.
high
Sind Admin-Konten von normalen Benutzerkonten getrennt (dedizierte Admin-Accounts)?
Admins sollten nicht täglich mit Privilegien-Konten arbeiten.
Microsoft 365
Exchange, Teams, SharePoint-Sicherheit
high
Ist der externe E-Mail-Weiterleitungsschutz aktiviert?
Automatische Weiterleitungen nach außen sind ein klassisches Zeichen für kompromittierte Konten.
high
Werden verdächtige Anmeldeaktivitäten in Microsoft 365 überwacht?
Ohne Monitoring bleiben Angriffe oft wochenlang unentdeckt.
critical
Ist Legacy-Authentifizierung (Basic Auth) in Microsoft 365 vollständig blockiert?
Legacy Auth umgeht MFA und ist ein häufiger Angriffsvektor.
medium
Werden SharePoint-Berechtigungen regelmäßig überprüft?
Überprivilegierte Freigaben sind ein häufiger Datenleck-Grund.
Endpunktsicherheit
Patch-Management, EDR, Geräteverschlüsselung
critical
Sind alle Endgeräte mit aktuellen Betriebssystem-Updates versorgt (max. 30 Tage Rückstand)?
Ungepatchte Systeme sind das häufigste Einfallstor für Ransomware.
high
Ist auf allen Endgeräten eine EDR-Lösung aktiv?
Klassischer Virenschutz erkennt moderne Angriffe nicht zuverlässig.
high
Sind alle Festplatten der Endgeräte verschlüsselt?
Geräteverlust ohne Verschlüsselung bedeutet sofortiger Datenverlust.
medium
Werden mobile Geräte über MDM verwaltet?
Unkontrollierte Mobilgeräte sind oft der blinde Fleck in der Sicherheit.
Netzwerk
Firewall, Segmentierung, Remote-Zugriff
high
Ist das Netzwerk segmentiert (z.B. Gäste-WLAN getrennt vom Produktivnetz)?
Flache Netzwerke ermöglichen laterale Bewegung bei Kompromittierungen.
critical
Wird Remote-Zugriff ausschließlich über VPN oder Zero-Trust-Lösung abgewickelt?
Direkter RDP-Zugang ins Internet ist eines der häufigsten Einfalltore.
medium
Werden ausgehende Verbindungen durch eine Firewall oder Proxy gefiltert?
Ungefilterte ausgehende Verbindungen erleichtern C2-Kommunikation von Malware.
Backup & Recovery
Datensicherung, Recovery-Tests, Offline-Kopien
critical
Existiert eine Backup-Strategie nach dem 3-2-1-Prinzip?
Ohne offline Backups ist Ransomware oft ein Totalschaden.
critical
Werden Backups regelmäßig auf Wiederherstellbarkeit getestet?
Backups die nie getestet wurden, existieren funktional nicht.
high
Sind Microsoft 365 Daten in ein externes Backup eingebunden?
Microsoft empfiehlt Third-Party-Backup für M365.
medium
Ist die Backup-Retention ausreichend lang (mindestens 30 Tage)?
Ransomware bleibt oft 30+ Tage unentdeckt – kurze Retentionen sind wertlos.
Awareness & Prozesse
Schulungen, Incident-Prozesse, Dokumentation
high
Erhalten Mitarbeiter regelmäßige Security-Awareness-Schulungen?
Der Mensch ist nach wie vor der häufigste Angriffsvektor.
high
Gibt es einen dokumentierten Incident-Response-Plan?
Ohne Plan verliert man im Ernstfall wertvolle Stunden.
medium
Ist ein Informationssicherheitsbeauftragter oder vergleichbare Rolle definiert?
Ohne klare Verantwortung bleibt IT-Sicherheit Nebensache.
medium
Werden kritische Assets in einem Inventar gepflegt?
Man kann nicht schützen, was man nicht kennt.