ISO 27001 · Microsoft 365

ISO 27001 und Cloud: Wie Microsoft 365 Ihre Zertifizierung unterstützt

Von Kigen IT · 14. April 2026 · 7 Min. Lesezeit

Viele Unternehmen glauben, dass eine Cloud-Migration die ISO-27001-Zertifizierung erschwert. Das Gegenteil ist der Fall. Microsoft 365 bietet für zahlreiche Annex-A-Controls technische Lösungen, die eine On-Premises-Umgebung nicht oder nur mit erheblichem Aufwand liefern kann. Vorausgesetzt, sie werden korrekt konfiguriert.

Der entscheidende Punkt

Der Auditor prüft nicht, ob Sie Microsoft 365 haben. Er prüft, ob die Controls wirksam implementiert sind. Eine E5-Lizenz alleine ist kein Nachweis. Die dokumentierte Konfiguration im Tenant ist der Nachweis.

Mapping der wichtigsten Controls auf M365-Funktionen

Annex A ControlMicrosoft 365 Funktion
A.5.12 - 5.13
Informationsklassifizierung		Sensitivity Labels in Purview bilden die Klassifizierung direkt ab. Ein dokumentiertes Labeling-Konzept mit 4 Stufen erfüllt diese Anforderung vollständig.
A.5.14
Informationstransfer		DLP-Policies kontrollieren den Datentransfer über E-Mail, SharePoint, Teams und Endpunkte. Purview Message Encryption für sensible E-Mails.
A.5.15 - 5.18
Zugriffskontrolle		Entra ID mit Conditional Access, MFA, PIM und Access Reviews. Dokumentiertes Rollenmodell mit Least-Privilege-Prinzip.
A.5.33
Schutz von Aufzeichnungen		Records Management in Purview mit Retention Labels und Disposition Reviews. Automatisierte Aufbewahrung und Löschung gemäß definierter Fristen.
A.8.1
Endgeräte		Intune Device Compliance Policies, Defender for Endpoint, Conditional Access basierend auf Geräte-Compliance.
A.8.7
Schutz vor Malware		Defender for Endpoint und Defender for Office 365. Safe Attachments, Safe Links, Real-time Detection.
A.8.15 - 8.16
Überwachung		Unified Audit Log mit erweiterter Retention (E5). Microsoft Sentinel für SIEM und SOAR. Alert Policies für sicherheitsrelevante Ereignisse.
Wichtig: Die Tabelle zeigt die wichtigsten Controls, nicht alle. Annex A der ISO 27001:2022 umfasst 93 Controls. Für ein vollständiges Audit muss jedes einzelne bewertet werden. Die genannten sind diejenigen mit dem höchsten M365-Hebel.

Der Weg zur Zertifizierung mit M365

Unser ISO 27001 Readiness Assessment prüft in ein bis zwei Wochen, welche Annex-A-Controls durch Ihre aktuelle M365-Konfiguration abgedeckt sind und wo Gaps bestehen. Das Ergebnis ist eine priorisierte Maßnahmenliste mit Zeitaufwand und eine Management Summary für die Geschäftsleitung.

Bei einer Kanzlei mit 20 Mitarbeitern haben wir die gesamte IT-Landschaft in acht Wochen ISO-27001-ready gemacht. Inklusive Migration von On-Premises nach Azure und Aufbau einer kostenoptimierten AVD-Umgebung. Das zeigt: ISO 27001 mit M365 ist machbar, messbar und schneller als viele denken.

ISO 27001 Readiness Assessment

Gap-Analyse gegen Annex A, Bewertung der M365-Konfiguration, priorisierte Maßnahmenliste. Festpreis ab 3.900 €.

Assessment buchen