SFI-Statusbericht vom November 2025

In unserem dritten Statusbericht teilen wir Updates für alle Bereiche und technische Säulen, stellen die Zuordnung zum NIST Cybersecurity Framework vor, um Kunden den Fortschritt anhand eines anerkannten Branchenrahmens verständlich zu machen, und heben neue Sicherheitsfunktionen hervor, die Kunden bereitgestellt wurden. Wir teilen auch bewährte Verfahren und Implementierungsleitfäden, die an Zero Trust-Prinzipien ausgerichtet sind, um Kunden bei der Risikominderung zu unterstützen.

Wir fördern weiterhin eine Kultur, die Sicherheit in der gesamten Organisation an erste Stelle setzt.

95 % der Mitarbeitenden haben bereits die im Juli 2025 zugewiesene neueste Sicherheitsschulung zum Schutz vor KI-gesteuerten Angriffen abgeschlossen, die weiterhin zu unseren bestbewerteten Kursen gehört.
Die Stimmung im Engineering-Bereich in Bezug auf Sicherheit ist seit Februar 2024 um 9 Punkte gestiegen.
Um eine Sicherheitsmentalität sowohl am Arbeitsplatz als auch zu Hause zu stärken, haben wir Ressourcen für Mitarbeitende entwickelt und diese erstmals auch Kunden zur Verfügung gestellt, um das Sicherheitsbewusstsein zu verbessern.

Erhalten Sie handlungsorientierte Empfehlungen und lesen Sie mehr darüber, wie Sicherheit in unsere Arbeitsweise, Führung und Erfolgsmessung eingebettet ist, im vollständigen Bericht.

„Wir haben Sicherheit für jede einzelne Person bei Microsoft zu einer Kernpriorität gemacht, nicht nur für das Sicherheitsteam.“

Vasu Jakkal
CVP, Microsoft Security

Wir skalieren weiterhin unser Governancemodell, um die sich entwickelnde Bedrohungslandschaft und die zunehmende regulatorische Komplexität zu bewältigen.

Erweiterung des Cybersecurity Governance Council um 3 zusätzliche stellvertretende CISO-Funktionen:
- Lieferkette und Drittanbieter
- Geschäftsfunktionen, Marketing und Finanzen
- Einhaltung der EU-Cybersicherheitsgesetzgebung
Einrichtung des Microsoft European Security Program, um Partnerschaften zu vertiefen und europäische Regierungen besser über die Bedrohungslage zu informieren. Weiterhin aktives Engagement in der Expertengruppe zum Gesetz über Cyber Resilience der Europäischen Union.
Arbeiten Sie aktiv mit Branchenpartnern zusammen, um bestehende und zukünftige Cybersicherheitsregelungen besser aufeinander abzustimmen und Cybersicherheitskapazität über die Initiative zur Verbesserung der regionalen Cybersicherheit im globalen Süden aufzubauen.

Erhalten Sie handlungsorientierte Empfehlungen, und erfahren Sie mehr darüber, wie wir unser Governancemodell weiter skalieren, um die sich entwickelnde Bedrohungslandschaft zu bewältigen und die regulatorische Komplexität zu erhöhen, im vollständigen Bericht.

„Wir sind fest davon überzeugt, dass ein nachhaltiges Programm ohne eine abgestimmte Kultur nicht möglich ist, und ein messbares Programm ohne abgestimmte Governance erst recht nicht.“

Ann Johnson
CVP & Deputy CISO, Customer Security Management Office

Sicherheitsprinzipien

Auf Sicherheit ausgelegt, Sicherheit als Standard und Sichere Abläufe

Geleitet von drei Sicherheitsprinzipien – Auf Sicherheit ausgelegt, Sicherheit als Standard und Sichere Abläufe – liefern Teams bei Microsoft weiterhin Innovationen, um Kunden und Microsoft zu schützen.

Es wurden obligatorische sichere Standardwerte, erweiterte hardwarebasierte Vertrauensstellung und aktualisierte Sicherheitsbenchmarks eingeführt, um die Cloudsicherheit zu verbessern.

Weitere Informationen zu Azure im vollständigen Bericht:
MFA ist jetzt für alle Azure-Benutzer obligatorisch, wodurch das Risiko kennwortbezogener Angriffe reduziert wird. Darüber hinaus bietet Azure Bastion Developer jetzt standardmäßig eine sichere Konnektivität mit virtuellen Computern in 35 Regionen.
Version 2 des Microsoft Cloud Security Benchmark (MCSB) bietet Kunden aktualisierte Sicherheitsbaselines, die mit Microsoft Defender for Cloud implementiert werden können.
Azure Local hat die Anzahl der sicherheitsrelevanten Standardeinstellungen um 25 % (400 Einstellungen) erhöht. Dies vereinfacht weiter die Einhaltung von Industriestandards für Kunden und schützt Azure Local-Knoten besser vor zusätzlichen Bedrohungen wie dateiloser Malware.
Weitere Informationen zu Azure im vollständigen Bericht
Wir stellen bewährte Verfahren und Implementierungsleitfäden bereit, die an Zero Trust-Prinzipien ausgerichtet sind, um Kunden bei der Risikominderung zu unterstützen.

Links zu handlungsorientierten Empfehlungen abrufen

Technische Säulen

Die sechs SFI-Säulen umfassen Ziele und Aktionen, die unseren Sicherheitsansatz definieren.

Von 28 Zielen stehen 5 kurz vor dem Abschluss, 12 haben bedeutende Fortschritte gemacht, und bei den übrigen machen wir weiterhin Fortschritte. Als Ergebnis der SFI haben wir die Sicherheit unserer Plattform und Dienste sowie unsere Fähigkeit zur Erkennung und Reaktion auf Bedrohungen verbessert.

Wir haben die Identitätssicherheit für Microsoft-Dienste und Kunden verbessert.
95 % der Microsoft Entra ID-Signatur-VMs wurden zu Azure Confidential Compute migriert.
94,3 % der Microsoft Entra ID-Sicherheitstokenvalidierung auf unser standardmäßiges Identity Software Development Kit (SDK) umgestellt.
Phishing-resistente MFA für 99,6 % der Microsoft-Mitarbeitenden und -Geräte durchgesetzt.

Weitere Informationen, einschließlich Links zu umsetzbaren Anleitungen, im vollständigen Bericht.
Wir erhöhen weiterhin die Isolation und verringern das Risiko seitlicher Bewegungen.
Die Nutzung von Active Directory-Verbunddienste (AD FS) in unserer Produktivitätsumgebung eingestellt.
98 % der cloudbasierten Ressourcen, die von Azure Service Manager (ASM) verwaltet werden, wurden zu Azure Resource Manager (ARM) migriert.
560 000 weitere ungenutzte und veraltete Mandanten sowie 83 000 ungenutzte Entra ID-Apps in Microsoft-Produktions- und Produktivitätsumgebungen außer Betrieb genommen.

Weitere Informationen, einschließlich Links zu umsetzbaren Anleitungen, im vollständigen Bericht.
Erzielte Fortschritte haben die Netzwerksicherheit verbessert und neue Funktionen für Kunden bereitgestellt.
Vollständige Netzwerkgeräteinventur und ausgereifte Ressourcenlebenszyklusverwaltung
Sicherheit durch verbesserte Isolation und Schutzmaßnahmen gestärkt.
Beschleunigte Einführung von Network Security Perimeter (NSP) mit mehr als 1,1 Millionen Ressourcen im Lernmodus und etwa 500 000 im Durchsetzungsmodus.

Weitere Informationen, einschließlich Links zu umsetzbaren Anleitungen, im vollständigen Bericht.
Wir haben die Sicherheit der Systeme verbessert, die wir zum Erstellen, Testen und Bereitstellen von Code verwenden.

Codesignieren ist jetzt nahezu vollständig auf Produktionsidentitäten beschränkt, und in Code erkannte Geheimnisse werden kontinuierlich behoben.
Die nahezu vollständige Softwareressourceninventur ermöglicht eine schnelle Incident Response und die Durchsetzung universeller Richtlinien.
Erweiterte standardmäßig sichere Pipelines und Netzwerkisolation mit fast allen Produktionsbuilds und 94 % der Releasepipelines mit gesteuerten Vorlagen.

Weitere Informationen, einschließlich Links zu umsetzbaren Anleitungen, im vollständigen Bericht.
Wir fördern Bedrohungssuche, schnelle Incident Response und einheitliche Sicherheitskontrollen.
98 % der Produktionsinfrastruktur werden zentral nachverfolgt, wobei Protokolle 2 Jahre lang aufbewahrt werden.
50 neue Erkennungsmechanismen wurden in der Microsoft-Infrastruktur implementiert, die auf Taktiken, Techniken und Verfahren (TTPs) mit hoher Priorität abzielen. Die entsprechenden Erkennungsmechanismen werden in Microsoft Defender integriert.
KI-Integration beschleunigt Verbesserungen im Erkennungslebenszyklus – von der Identifikation bis zur Wirksamkeitsvalidierung.

Weitere Informationen, einschließlich Links zu umsetzbaren Anleitungen, im vollständigen Bericht.
Wir erhöhen die Geschwindigkeit bei Identifikation, Priorisierung und Behebung von Sicherheitsrisiken.
Die KI-basierte Triage von Sicherheitsrisiken hat zu einer Erfolgsrate von 72 % bei der Behebung von Sicherheitsrisiken innerhalb unserer reduzierten Zeit beigetragen, trotz kontinuierlicher Zunahme von Volume und Umfang.
Beschleunigte Bereitstellungsprozesse haben die Risikominderung für Sicherheitsrisiken beschleunigt.
Microsoft veröffentlichte 1.096 CVEs, darunter 53 Cloud-CVEs ohne Maßnahmen, und zahlte 17 Mio. USD an Prämien aus, was eine erhöhte Transparenz und externes Engagement demonstriert.

Weitere Informationen, einschließlich Links zu umsetzbaren Anleitungen, im vollständigen Bericht.

HANDLUNGSORIENTIERTE EMPFEHLUNGEN

Praktische Anwendung

In diesem Bericht werden 10 Patterns and Practices hervorgehoben, denen Kunden folgen können, um ihr Risiko in priorisierten Bereichen zu reduzieren und zusätzliche Best Practices und Anleitungen für jeden Bereich und jede Säule zu teilen.

Bericht für weitere Empfehlungen herunterladen