Audit Log in Microsoft 365: Warum 90 Tage zu wenig sind und wie Sie auf 1 Jahr und mehr erweitern
In 8 von 10 Tenant Reviews finden wir das gleiche Bild: Audit Log Retention auf 90 Tagen. Für regulierte Unternehmen ein Problem, das im Audit zur Auflage wird. Dieser Artikel zeigt, wie Sie auf 1 Jahr und mehr erweitern und welche Logs in Premium Auditing gehören.
Warum 90 Tage in regulierten Umgebungen nicht reichen
Das Microsoft 365 Unified Audit Log protokolliert Anmeldungen, Berechtigungsänderungen, SharePoint-Zugriffe, Mail-Operationen und Hunderte weiterer Ereignisse. Standard-Retention: 90 Tage. Das war jahrelang ausreichend für Mittelstand-IT ohne regulatorischen Druck.
Mit NIS2 §30, ISO 27001 Annex A.8.15 und den BaFin-Aufsichtsregimen (BAIT, VAIT) hat sich die Erwartung verschoben. Auditoren fragen nach Vorgängen, die 6 oder 12 Monate zurückliegen. Ist das Log auf 90 Tagen, ist die Antwort: "Wir haben es nicht mehr." Das wird im Bericht zur Auflage. Und die Behebung dauert 3 Klicks.
Stufe 1: Den aktuellen Status prüfen
Im Microsoft Purview Compliance Portal unter Audit > Settings finden Sie die aktuelle Retention-Einstellung. Bei den meisten Tenants steht dort der Default-Wert: 90 Tage für E3, 1 Jahr für E5-User, aber nur, wenn die Lizenz korrekt erkannt wird.
Prüfen Sie zusätzlich, ob das Audit Log überhaupt aktiviert ist. In Tenants, die vor 2019 angelegt wurden, ist es teilweise noch deaktiviert. Eine PowerShell-Abfrage mit Get-AdminAuditLogConfig zeigt den Status.
Aktion: Retention-Einstellung im Purview Portal prüfen, Audit Log Aktivierungsstatus über PowerShell verifizieren, aktuellen Lizenz-Mix gegen Retention-Konfiguration abgleichen.
Stufe 2: Was die Aufsichten konkret verlangen
NIS2 verlangt nachweisbare Vorfallsanalyse über längere Zeiträume. Eine konkrete Mindestdauer ist nicht überall geregelt, in der Praxis erwarten BSI und nationale Aufsichten 1 Jahr. ISO 27001 fordert eine "angemessene" Retention, was Auditoren regelmäßig als 12 Monate auslegen.
Bei BaFin-Audits (BAIT für Banken, VAIT für Versicherungen) ist 1 Jahr in der Praxis das Minimum. Bei DORA-relevanten Vorfällen kann die Aufsicht Logs aus den letzten 24 Monaten verlangen. Für KRITIS-Betreiber unter NIS2 sind 1 bis 3 Jahre üblich.
Aktion: Pro Aufsichtsregime die geforderte Mindest-Retention dokumentieren, mit Compliance-Officer abstimmen, Soll-Wert pro Log-Kategorie definieren.
Stufe 3: Retention auf 1 Jahr erweitern
Die Erweiterung auf 1 Jahr ist in E5-Tenants ohne Zusatzkosten möglich. Über das Purview Portal lassen sich Audit Retention Policies erstellen, die pro Record-Type (User-Login, Admin-Operation, SharePoint-Zugriff) eine eigene Retention festlegen.
Wichtig: Die neue Retention gilt ab dem Zeitpunkt der Konfiguration. Bestandsdaten von vor der Umstellung bleiben auf 90 Tagen. Wer schon morgen einen 6-Monats-Vorfall analysieren muss, hat keine Logs. Daher: Konfiguration ist zeitkritisch, nicht "machen wir, wenn wir Zeit haben".
Aktion: Audit Retention Policy im Purview Portal erstellen, pro relevantem Record-Type 1 Jahr setzen, Konfiguration dokumentieren und in der Tenant-Doku ablegen.
Stufe 4: Premium Auditing für Tier-0-Accounts
Microsoft Purview Premium Auditing erweitert Retention auf bis zu 10 Jahre und protokolliert zusätzliche kritische Events: Mail-Item-Access (welcher User hat welche Mail geöffnet), Search-Queries, MailSent-Events. Diese Detail-Tiefe ist für die meisten User Overkill, für privilegierte Accounts essentiell.
Premium Auditing wird typischerweise für Global Admins, Privileged Role Admins, Geschäftsführungs-Postfächer und Vorstands-Postfächer aktiviert. Lizenz-Voraussetzung ist E5 Compliance oder das eigenständige E5 Audit Add-on.
Aktion: Liste der Tier-0-Accounts pflegen, Premium Auditing für diese Gruppe aktivieren, Retention auf bis zu 10 Jahre konfigurieren wo regulatorisch erforderlich.
Stufe 5: Logs außerhalb des Tenants sichern
Audit Logs im Tenant sind nur so sicher wie der Tenant selbst. Bei einem Tenant-weiten Compromise kann ein kompromittierter Global Admin Audit Logs nicht löschen, aber Retention Policies deaktivieren oder Logging selbst abschalten. Ab dem Zeitpunkt fehlen die Spuren der nachfolgenden Aktionen.
Die saubere Lösung ist eine kontinuierliche Spiegelung der Logs in ein SIEM oder einen externen Log-Speicher. Microsoft Sentinel, Splunk, Elastic oder ein dedizierter Log-Archiv-Bucket. Für DORA und NIS2 ist diese Trennung zunehmend ein expliziter Prüfpunkt.
Aktion: Log-Streaming an externes SIEM einrichten, Retention im SIEM gemäß regulatorischer Vorgabe konfigurieren, Zugriffsrechte auf den Log-Speicher streng auf Security-Rolle beschränken.
Stufe 6: Audit-prüfbare Dokumentation
Eine korrekte Konfiguration ohne Dokumentation ist im Audit nichts wert. Auditoren prüfen nicht nur den Stand, sondern auch die Begründung: Warum 1 Jahr und nicht 18 Monate? Wer hat das entschieden? Wann wurde das letzte Review der Retention-Periode gemacht?
Eine 1-Seiten-Doku reicht meist: aktuelle Retention pro Record-Type, regulatorische Begründung, Entscheidungsdatum, Verantwortliche Rolle, Review-Zyklus (typisch jährlich). Diese Doku gehört in das Compliance-Register und wird bei Audits direkt vorgelegt.
Aktion: Konfigurations-Dokument im Compliance-Register ablegen, jährliches Review im Compliance-Kalender setzen, Verantwortliche Rolle benennen.
Faustregel: Audit Log Retention ist eine 30-Minuten-Aufgabe mit hoher Audit-Relevanz. Wer bei einer 90-Tage-Retention auf "machen wir mal" wartet, verliert die Logs, die im nächsten Audit gefragt werden.
Die Erweiterung der Audit Log Retention ist eine der einfachsten Compliance-Maßnahmen mit dem höchsten Audit-Effekt. Drei Klicks, kein Risiko, kein Downtime, und eine der häufigsten Auflagen ist vom Tisch. Wer einen Tenant Review beauftragt, sollte diesen Punkt als ersten prüfen.
Microsoft 365 Compliance Check
In 5 Tagen prüfen wir Ihren Tenant entlang der wichtigsten Compliance-Anforderungen. Audit Log, Conditional Access, Sharing, Berechtigungen, Retention. Mit priorisiertem Maßnahmenplan und Audit-prüfbarer Dokumentation.
Zum Compliance Check