Microsoft Defender for Cloud: CSPM für kleine Unternehmen in Berlin
Wenn Ihre Infrastruktur in Azure verlagert wird, verlagert sich die Sicherheitsgrenze mit ihr. Lokale Sicherheitstools überwachen, was innerhalb des korporativen Perimeters passiert; sobald Workloads in der Cloud laufen, entsteht eine neue Risikokategorie: Fehlkonfiguration. Ein Azure-Speicherkonto mit aktiviertem öffentlichen Zugang, eine virtuelle Maschine ohne Endpunktschutz, eine SQL-Datenbank ohne transparente Datenverschlüsselung, eine Netzwerksicherheitsgruppe, die eingehenden Datenverkehr aus dem Internet über Port 22 zulässt – das sind die Konfigurationslücken, die Angreifer systematisch auskundschaften. Microsoft Defender for Cloud ist das in Azure integrierte Cloud Security Posture Management (CSPM) und Cloud Workload Protection Platform (CWPP), das diese Konfigurationen kontinuierlich bewertet und einen priorisierten Sanierungsplan liefert.
Dieser Leitfaden erklärt, wie die CSPM-Empfehlungen von Defender for Cloud funktionieren, welche Workload-Typen die Defender-Pläne schützen, wie das Dashboard zur regulatorischen Compliance DSGVO und ISO 27001 abbildet und wie Berliner Unternehmen es nutzen können, um eine gesicherte Azure-Umgebung ohne dediziertes Cloud-Sicherheitsteam aufrechtzuerhalten.
Was ist Microsoft Defender for Cloud?
Microsoft Defender for Cloud ist Microsofts integrierter Cloud-Sicherheitsverwaltungsdienst. Er hat zwei distinkte Fähigkeitsbereiche:
- CSPM (Cloud Security Posture Management): kontinuierliche Bewertung Ihrer Azure-Ressourcenkonfigurationen gegen Sicherheitsbest Practices, mit bewerteten Empfehlungen und Ein-Klick-Sanierung wo verfügbar. Die grundlegende CSPM-Stufe (CSPM Free) ist bei jeder Azure-Subscription kostenlos enthalten
- CWPP (Cloud Workload Protection Platform): Laufzeit-Bedrohungserkennung für spezifische Workload-Typen. Individuelle Defender-Pläne umfassen VMs (Defender for Servers), Datenbanken (Defender for SQL, Defender for Open-Source RDBs), Container (Defender for Containers), Speicherkonten (Defender for Storage), Key Vault (Defender for Key Vault) und App Service (Defender for App Service). Jeder Plan wird unabhängig aktiviert und abgerechnet
Der Secure Score: Ihr CSPM-Dashboard
Das Herzstück der CSPM-Fähigkeit von Defender for Cloud ist der Secure Score – ein Prozentwert, der anzeigt, wie viel des Azure Security Benchmark Ihre Umgebung erfüllt. Jede Empfehlung in Defender for Cloud trägt eine Anzahl von Punkten bei. Das Beheben von Empfehlungen erhöht Ihren Score; neue Ressourcen mit Fehlkonfigurationen verringern ihn.
Empfehlungen sind in Sicherheitskontrollen gruppiert, jede mit einem maximalen Punktwert:
| Sicherheitskontrolle | Beispielempfehlungen | Max. Punkte |
|---|---|---|
| MFA aktivieren | MFA sollte für alle Subscription-Besitzer aktiviert sein | 10 |
| Nicht autorisierten Netzwerkzugriff einschränken | Verwaltungsports sollten auf VMs geschlossen sein; internetbezogene VMs sollten NSG-Schutz haben | 8 |
| Endpunktschutz aktivieren | Endpunktschutz sollte auf Maschinen installiert sein | 2 |
| Verschlüsselung im Ruhezustand aktivieren | Festplattenverschlüsselung sollte auf VMs angewendet werden; SQL-Datenbanken sollten TDE aktiviert haben | 4 |
| Zugriff und Berechtigungen verwalten | Subscriptions sollten mehr als einen Besitzer haben; veraltete Konten sollten entfernt werden | 6 |
| Systemupdates anwenden | Maschinen sollten Lösungen für Schwachstellenbefunde haben | 6 |
Die Empfehlungsmaschine von Defender for Cloud integriert sich direkt mit Microsoft Secure Score im Microsoft 365 Defender-Portal: Azure-Infrastrukturempfehlungen von Defender for Cloud und Microsoft 365-Identitäts-/Endpunktempfehlungen vom M365 Secure Score fließen in eine kombinierte Sicherheitspositionsansicht ein.
Empfehlungen: Kontinuierliche Bewertung und Sanierung
Defender for Cloud scannt kontinuierlich alle Ressourcen in Ihrer Subscription und generiert Empfehlungen für jede Konfigurationslücke. Jede Empfehlung umfasst:
- Schweregrad: Hoch, Mittel oder Niedrig – basierend auf Ausnutzbarkeit und potenziellem Einfluss
- Betroffene Ressourcen: die spezifischen VMs, Datenbanken, Speicherkonten oder andere Ressourcen mit der Fehlkonfiguration
- Sanierungsschritte: Schritt-für-Schritt-Anweisungen für die manuelle Sanierung im Azure-Portal
- Quick Fix: Für viele Empfehlungen wendet ein einziger Klick die Sanierung auf alle betroffenen Ressourcen gleichzeitig an – keine manuelle ressourcenbezogene Aktion erforderlich
- Ausnahmen: Für akzeptierte Risiken oder Workloads, bei denen die Empfehlung nicht zutreffend ist, unterdrücken Ausnahmen die Empfehlung aus dem Score, ohne sie aus Auditprotokollen zu verbergen
Prioritäre Empfehlungen für Berliner Kleinunternehmen: MFA für alle Azure-Subscription-Besitzer durchsetzen (spricht direkt das Kontodiebstahlrisiko an), Verwaltungsports (SSH Port 22, RDP Port 3389) auf internetbezogenen VMs durch Netzwerksicherheitsgruppen-Regeln schließen, Just-in-Time-VM-Zugriff aktivieren (ersetzt die immer offene Verwaltungsport-Exposition durch zeitlich begrenzten, genehmigten Zugriff) und Azure Defender for Key Vault auf jedem Tresor aktivieren, der Produktionsgeheimnisse speichert.
Defender-Pläne: Workload-Bedrohungserkennung
Die kostenpflichtigen Defender-Pläne fügen Laufzeit-Bedrohungserkennung über die kostenlosen CSPM-Empfehlungen hinaus hinzu. Jeder Plan umfasst einen spezifischen Azure-Ressourcentyp:
| Defender-Plan | Abdeckung | Wichtige Erkennungen |
|---|---|---|
| Defender for Servers P1 | Azure- und lokale VMs | Dateiintegritätsüberwachung, adaptive Anwendungssteuerung, Schwachstellenbewertung |
| Defender for Servers P2 | Azure- und lokale VMs | Alles von P1 + EDR über Microsoft Defender for Endpoint-Integration |
| Defender for SQL | Azure SQL, SQL auf VMs, SQL Managed Instance | SQL-Injection-Erkennung, anomale Zugriffsmuster, Brute-Force-Versuche |
| Defender for Storage | Azure Blob, File, Queue, Table | Malware-Scan beim Hochladen, Erkennung sensibler Daten, anomaler Zugriff |
| Defender for Key Vault | Azure Key Vault | Zugriff von anonymen IPs, hohes Operationsvolumen, ungewöhnliche Geolokalisation |
| Defender for App Service | Azure App Service-Webanwendungen | Dangling DNS, verdächtige Prozessausführung, Verbindung zur C2-Infrastruktur |
Für ein Berliner Kleinunternehmen, das eine WordPress-Website auf einem Azure App Service mit Azure SQL-Backend und Geheimnissen in Key Vault betreibt, ist das minimale Defender-Planset: Defender for App Service, Defender for SQL und Defender for Key Vault – die drei wahrscheinlichsten Angriffsvektoren für diese Architektur abdeckend.
Dashboard zur regulatorischen Compliance
Das Dashboard zur regulatorischen Compliance von Defender for Cloud bildet Ihre Azure-Ressourcenkonfigurationen gegen die Kontrollen in spezifischen regulatorischen Rahmenwerken ab und zeigt, welchen Prozentsatz der Kontrollen jedes Rahmenwerks Ihre Umgebung erfüllt:
- Azure Security Benchmark (Microsofts Basis – standardmäßig aktiviert)
- DSGVO: Kontrollenabbildung auf Artikelebene zu Azure-Konfigurationsempfehlungen
- ISO 27001:2013: Anhang A-Kontrollabbildung
- SOC 2 Typ 2: Trust Service Criteria-Abbildung
- BSI C5: Kontrollenabbildung des Bundesamts für Sicherheit in der Informationstechnik für Cloud-Dienste
- NIS2: Kontrollenabbildung der EU-Richtlinie über Netz- und Informationssicherheit 2
Die DSGVO- und BSI C5-Vorlagen sind besonders relevant für Berliner Unternehmen. Das BSI C5-Rahmenwerk wurde speziell für Cloud-Dienste entwickelt, die von deutschen Organisationen genutzt werden, und wird in Beschaffungsanforderungen für öffentliche Sektorarbeiten und Finanzdienstleistungen referenziert.
Integration mit Microsoft Sentinel
Defender for Cloud-Sicherheitswarnungen – generiert durch die kostenpflichtigen Defender-Pläne bei der Erkennung von Laufzeitbedrohungen – fließen direkt über den Defender for Cloud-Datenkonnektor in Microsoft Sentinel ein. Ein SQL-Injection-Versuch auf einer Azure SQL-Datenbank generiert eine Warnung in Defender for Cloud, die als Incident in Sentinel erscheint und ein Playbook auslösen kann, um das Sicherheitsteam zu benachrichtigen – alles automatisch innerhalb von Minuten nach der Erkennung.
DSGVO-Compliance-Postur
Die CSPM-Empfehlungen von Defender for Cloud unterstützen direkt DSGVO Artikel 32 (Sicherheit der Verarbeitung): die Verpflichtung, geeignete technische Maßnahmen für den Datenschutz zu implementieren. Jede sanierte Defender for Cloud-Empfehlung – Verschlüsselung im Ruhezustand aktivieren, Verwaltungsports schließen, MFA für Subscription-Besitzer durchsetzen, Auditprotokollierung aktivieren – ist eine dokumentierte technische Sicherheitsmaßnahme, die der Berliner Beauftragten für Datenschutz und Informationsfreiheit als Nachweis der Artikel-32-Compliance präsentiert werden kann.
Das Dashboard zur regulatorischen Compliance generiert exportierbare Compliance-Berichte, die für die Aufnahme in DSGVO-Artikel-30-Verzeichnisse von Verarbeitungstätigkeiten oder in Auditdateien, die im Rahmen von ISO-27001-Zertifizierungsprogrammen geführt werden, geeignet sind.
Kosten
Die grundlegende CSPM-Stufe (kostenloser Secure Score und Empfehlungen) ist bei jeder Azure-Subscription enthalten. Kostenpflichtige Defender-Pläne werden pro Ressource pro Monat abgerechnet:
- Defender for Servers P1: ~3,00 € pro VM pro Monat
- Defender for Servers P2: ~14,60 € pro VM pro Monat (inkl. MDE)
- Defender for SQL: ~13,00 € pro SQL-Instanz pro Monat
- Defender for Storage: ~10,00 € pro Speicherkonto pro Monat
- Defender for Key Vault: ~0,02 € pro 10.000 Transaktionen
- Defender for App Service: ~14,60 € pro App Service-Plan pro Monat
Für ein Kleinunternehmen, das einen App Service, eine SQL-Datenbank und zwei Key Vaults betreibt, kostet das vollständige Defender-Planset für diese Ressourcen etwa 40–50 €/Monat – und bietet kontinuierliche Bedrohungserkennung über den gesamten Anwendungsstack.
Einrichtungsschritte für Berliner Kleinunternehmen
- Azure-Portal → Microsoft Defender for Cloud → Übersicht → Aktuellen Secure Score und wichtigste Empfehlungen überprüfen
- Umgebungseinstellungen → Subscription auswählen → Defender-Pläne für Ihre bereitgestellten Ressourcen aktivieren (mindestens App Service, SQL, Key Vault)
- Empfehlungen → Nach Schweregrad filtern: Hoch → Alle Empfehlungen mit hohem Schweregrad mit Quick Fix bearbeiten, wo verfügbar
- Regulatorische Compliance → Standard hinzufügen → DSGVO und BSI C5 hinzufügen → Kontrollabdeckung überprüfen und fehlerhafte Kontrollen beheben
- Workload-Schutz → Just-in-Time-VM-Zugriff für alle VMs mit Verwaltungsports aktivieren – dies eliminiert allein einen erheblichen Anteil der Brute-Force-Versuche gegen Azure-VMs
- Defender for Cloud → Sicherheitswarnungen → Mit Sentinel verbinden (Defender for Cloud-Datenkonnektor) für SIEM-Warnungsverwaltung
Defender for Cloud bietet die Azure-Infrastruktur-Sicherheitsbewertungsebene, die Microsoft 365-orientierte Tools wie Microsoft Secure Score und identitätsorientierte Tools wie Zero-Trust-Durchsetzung ergänzt. Zusammen decken sie jede Ebene des Microsoft-Cloud-Fußabdrucks eines Berliner Kleinunternehmens ab: Identität, Endpunkte, Cloud-Anwendungen und Azure-Infrastruktur.
Weiterfuehrende Artikel
- Microsoft Secure Score: Azure-Infrastrukturempfehlungen von Defender for Cloud fließen in den kombinierten Secure Score ein
- Azure Key Vault: Defender for Key Vault für Laufzeit-Bedrohungserkennung aktivieren und CSPM-Härtungsempfehlungen für den Tresor umsetzen
- Microsoft Sentinel: Defender for Cloud-Sicherheitswarnungen über den Defender-Datenkonnektor für SIEM-Warnungsverwaltung weiterleiten
Auch zu diesem Thema
Auch zu diesem Thema
Auch zu diesem Thema