Neue Version des Microsoft Secure Score global verfügbar

22. Juli 2020/von Mariele Wolbring

Seit letzter Woche ist die neue Version des Microsoft Secure Scores global verfügbar. Das sind die wichtigsten Neuheiten:

Neue Bewertungsskala

Bisher basierte die Bewertungsskala des Microsoft Secure Scores auf einem Punktesystem. Da sich die Anzahl der maximal zu erreichenden Punkte mit jedem neuen Security-Feature änderte, hatten sich viele Nutzer über mangelnde Vergleichbarkeit beklagt. Daher hat Microsoft die Skala jetzt auf Prozentwerte „% complete“ umgestellt. Es soll den Nutzern so leichter fallen, den eigenen Score einzuordnen, da der maximal erreichbare Wert mit 100 % konstant bleibt. Microsoft weist weiter darauf hin, dass es je nach Unternehmensanforderungen nicht immer sinnvoll ist, alle Sicherheitsempfehlungen umzusetzen. 100 % als Ziel trifft daher nicht auf alle Unternehmen zu.

Eine weitere Neuerung bezüglich der Bewertungsskala ist, dass es sich zukünftig nicht mehr auf den Score auswirkt, wenn ein Administrator eine Empfehlung mit „Risk accepted“ markiert.

In den neuen Microsoft Secure Score fließen nur noch Empfehlungen ein, deren Umsetzung maschinell auslesbar sind. Darüber hinaus müssen die Vorschläge messbar zur Risikoreduktion beitragen. Vorschläge, die bisher mit „Not scored“ und „Review“ kategorisiert wurden, zeigt der Score nicht mehr an. Sobald die Auswirkungen der Umsetzung dieser Vorschläge messbar würde, plant Microsoft sie wieder in die Sicherheitsempfehlungen aufzunehmen.

Neue Übersichten

Die Grafik „Score changes“ zeigt an, in welchen Bereichen der Score gestiegen bzw. gesunken ist. Eine weitere nützliche Übersicht ist „Regression trend“, in der zu sehen ist, wann und in welchen Bereichen sich der Sicherheitsstatus verschlechtert hat.

Prioritäten verwalten

Der Microsoft Secure Score liefert Unternehmen eine Vielzahl von Empfehlungen, um das Sicherheitsniveau zu optimieren. Damit Administratoren leichter den Überblick behalten, gibt es ab jetzt eine weitere Option für den Status einer Empfehlung. Mit „Planned“ können Administratoren die Empfehlungen markieren, die sie als nächstes umsetzen möchten.

Der „Projected score“ zeigt Administratoren dann sogar an, welche Auswirkung die Umsetzung der markierten Empfehlungen auf die Gesamtbewertung hätte.

Benutzerdefinierter Vergleich

Um einzuordnen, wie gut der eigene Score ist, hat Microsoft bisher schon einen Vergleich mit ähnlichen Unternehmen angeboten. Die Auswertung erfolgte anhand der Parameter Branche und Unternehmensgröße.

Jetzt ermöglicht es Microsoft den Administratoren eigene Vergleichsparameter festzulegen, die besser zu ihrem Unternehmen passen. Sie können einen oder mehrere der folgenden Parameter auswählen: Branche, Unternehmensgröße, Region und Lizenztyp.

Benutzerdefinierte Vergleichswerte Secure Score

Benutzerdefinierte Darstellung

Da die Sicherheitsanforderungen in jedem Unternehmen unterschiedlich sind, bietet der Microsoft Secure Score jetzt die Möglichkeit, die Anzeige der Skala anhand der eigenen Anforderungen zu definieren. Administratoren können selber festlegen, in welchen Prozentbereichen der Score als „Bad“, „Okay“ und „Good“ angezeigt wird. Dieses individuelle Dashboard können sie dann zur Diskussion mit Entscheidern verwenden.

Ausblick: Abgrenzung zu anderen Security Scores von Microsoft

Langfristig soll der Microsoft Secure Score der zentrale Anlaufpunkt für alle Sicherheitsvorschläge werden. Aktuell sind aber noch nicht alle relevanten Daten in den Score eingebunden. Daher haben einzelne Workloads wie Azure noch eigene Secure Scores, die Administratoren ebenfalls beachten sollten.

Microsoft kündigt an, dass der “Identity Secure Score” demnächst in „Microsoft Secure Score for Identity” umbenannt werden soll. Die Bewertungsskala soll in diesem Zuge auch von einem Punktesystem auf die Bewertung „% complete“ umgestellt werden.