Skip to main content

Microsoft Security Assessment Tool

Das kostenlose Microsoft Security Assessment Tool (MSAT) soll Organisationen darin unterstützen, Schwachstellen in der aktuellen IT-Sicherheitsumgebung zu bewerten. Es erstellt hierzu eine nach Priorität geordnete Liste der gefundenen Probleme und bietet konkrete Anleitungen zur Minimierung dieser Risiken. MSAT ist eine einfache und kostengünstige Möglichkeit, die Sicherheit Ihrer Computerumgebung und Ihres Unternehmens zu erhöhen. In einem ersten Schritt erstellen Sie einen Snapshot Ihres aktuellen Sicherheitsstatus und überwachen dann mithilfe von MSAT kontinuierlich die Fähigkeit Ihrer Infrastruktur, auf Sicherheitsbedrohungen zu reagieren.

Für Microsoft hat die Sicherheit der Netzwerke, Server, Clientcomputer, mobilen Geräte und Datenressourcen unserer Kunden oberste Priorität. Wir sind bestrebt, Sicherheitstools wie MSAT bereitzustellen, um Sie bei der Verbesserung des Sicherheitsstatus Ihres Unternehmens zu unterstützen.

Wichtiger Hinweis für Kunden in Deutschland:
Das Microsoft Security Assessment Tool wird in Deutschland nicht mehr unterstützt, d. h. dass Kunden, die das Tool installieren und die Fragebögen ausfüllen, keine Auswertung erhalten können. Dies betrifft sowohl die deutschsprachige Version 3.5 als auch die aktuelle, nicht auf Deutsch erhältliche Version 4.0 des Microsoft Security Assessment Tools.


Erläuterungen zu Risiken

MSAT soll Ihnen bei der Erkennung und Beseitigung von Sicherheitsrisiken in Ihrer IT-Umgebung helfen. Das Tool stützt sich bei der Beurteilung Ihrer Sicherheitslage auf einen ganzheitlichen Ansatz und deckt Bereiche wie Mitarbeiter, Prozesse und Technologie ab.

MSAT bietet Folgendes:

  • Einfach zu verwendende, umfassende und kontinuierliche Sicherheitsinformationen
  • Ein Defense-in-Depth-Framework mit branchenbezogener vergleichender Analyse
  • Detaillierte, kontinuierliche Berichtserstellung mit Vergleichen von Ausgangsbasis und Fortschritt
  • Erprobte Empfehlungen und nach Priorität geordnete Maßnahmen zur Erhöhung der Sicherheit
  • Strukturierte Anleitungen von Microsoft und anderen Vertretern der Branche

Besuchen Sie die Trustworthy Computing-Website, um weitere Informationen zum Engagement von Microsoft im Bereich Trustworthy Computing zu erhalten.

Lesen Sie den aktuellen Microsoft Security Intelligence Report. Weitere Informationen finden Sie im Malware Protection Center.

Der MSAT-Prozess

MSAT umfasst mehr als 200 Fragen zu Infrastruktur, Anwendungen, Betrieb und Mitarbeitern. Die Fragen, die entsprechenden Antworten und die Empfehlungen sind von allgemein anerkannten bewährten Methoden, Standards wie ISO 17799 und NIST-800.x sowie von Empfehlungen und ausführlichen Leitfäden der Microsoft Trustworthy Computing Group und anderer externer Sicherheitsexperten abgeleitet.

Die Bewertung dient zur Erkennung des geschäftlichen Risikos Ihrer Organisation und der zur Verringerung des Risikos eingesetzten Sicherheitsmaßnahmen. Die Fragen konzentrieren sich auf häufig auftretende Probleme und wurden entwickelt, um eine grundlegende Bewertung der Sicherheitsrisiken in Bezug auf die Technologie, Prozesse und Mitarbeiter, auf die sich Ihr Unternehmen stützt, bereitzustellen.

Ausgehend von einer Reihe von Fragen zum Geschäftsmodell Ihres Unternehmens erstellt das Tool ein Geschäftsrisikoprofil (Business Risk Profile, BRP) und misst das geschäftliche Risiko Ihres Unternehmens, das sich aus dem durch das BRP definierten Branchen- und Geschäftsmodell ergibt. Dann folgt eine zweite Reihe von Fragen, um eine Liste der Sicherheitsmaßnahmen zu erstellen, die Ihr Unternehmen im Laufe der Zeit eingesetzt hat. Zusammen bilden diese Sicherheitsmaßnahmen Verteidigungsschichten, die einen größeren Schutz vor Sicherheitsrisiken und spezifischen Sicherheitslücken bieten. Jede Schicht trägt zu einer kombinierten Defense-in-Depth-Strategie bei. Die Summe dieser Schichten wird als Defense-in-Depth-Index (DiDI) bezeichnet. BRP und DiDI werden dann verglichen, um die Risikoverteilung auf die analysierten Bereiche (Areas of Analysis, AoAs) zu ermitteln – Infrastruktur, Anwendungen, Betrieb und Mitarbeiter.

Dieses Tool misst nicht nur die Abstimmung zwischen Sicherheitsrisiken und Verteidigungsmaßnahmen, sondern auch die Ausgereiftheit der IT-Sicherheit Ihrer Organisation. Die Ausgereiftheit der IT-Sicherheit bezieht sich auf die Entwicklung einer hohen Sicherheit und nachhaltiger Verfahren. Am unteren Ende der Skala werden nur wenige Sicherheitsmaßnahmen eingesetzt, und die Maßnahmen sind reaktiv. Am oberen Ende ermöglichen etablierte und bewährte Prozesse einem Unternehmen, proaktiver zu handeln und bei Bedarf effizienter und konsequenter zu reagieren.

Empfehlungen zum Risikomanagement werden für Ihre Umgebung unter Berücksichtigung der vorhandenen Technologien, der aktuellen Sicherheitslage und der Tiefenverteidigungsstrategien gegeben. Die Vorschläge sollen Ihnen dabei helfen, den kürzesten Weg zu anerkannten bewährten Methoden einzuschlagen.

Diese Bewertung – einschließlich der Fragen, Maßnahmen und Empfehlungen – ist für mittelgroße Organisationen konzipiert, deren IT-Umgebung 50 bis 1.500 Desktops umfasst. Sie soll potenzielle Risikobereiche in Ihrer Umgebung großflächig abdecken, statt eine detaillierte Analyse einzelner Technologien oder Prozesse zu liefern. Daher kann mit dem Tool nicht die Wirksamkeit der eingesetzten Sicherheitsmaßnahmen gemessen werden. Der Ergebnisbericht sollte als vorläufiger Leitfaden verwendet werden, der Sie dabei unterstützt, eine Grundlage für die Konzentration auf bestimmte Bereiche, die mehr Aufmerksamkeit erfordern, zu entwickeln. Anhand der von MSAT bereitgestellten Leitfäden und der implementierten Sicherheitsmaßnahmen können Sie das Tool beliebig oft erneut ausführen, um weitere Informationen zu Ihrem Fortschritt gegenüber einem festgelegten MSAT-Basisbericht zu erhalten.

Überblick über MSAT

Das Microsoft Security Assessment Tool soll Ihnen beim Erkennen und Beseitigen von Sicherheitsrisiken in Ihrer Computerumgebung helfen. Das Tool stützt sich bei der Beurteilung Ihrer Sicherheitslage auf einen ganzheitlichen Ansatz und deckt Bereiche wie Mitarbeiter, Prozesse und Technologie ab. Die Ergebnisse werden mit ausführlichen Leitfäden und empfohlenen Maßnahmen zur Risikoverringerung verknüpft und enthalten bei Bedarf auch Links zu weiteren Informationen, um zusätzliche Branchenleitfäden bereitzustellen. Diese Ressourcen können Ihnen dabei helfen, mehr über die spezifischen Tools und Methoden zu erfahren, mit denen Sie die Sicherheitslage Ihrer IT-Umgebung verändern können.

Die Bewertung umfasst mehr als 200 Fragen, die in vier Kategorien unterteilt sind:

  • Infrastruktur
  • Anwendungen
  • Betrieb
  • Mitarbeiter

Die Fragen, aus denen der Befragungsteil des Tools besteht, und die zugehörigen Antworten sind von anerkannten bewährten Methoden (sowohl allgemeinen als auch speziellen) im Bereich der Sicherheit abgeleitet. Die Fragen und die vom Tool angebotenen Empfehlungen basieren auf Standards wie ISO 17799 und NIST-800.x sowie auf Empfehlungen und ausführlichen Leitfäden der Trustworthy Computing Group von Microsoft, aber auch auf Empfehlungen von anderen externen Sicherheitsexperten.

In der folgenden Tabelle sind die Bereiche aufgeführt, die in die Bewertung der Sicherheitsrisiken einbezogen werden.

InfrastrukturBedeutung für die Sicherheit
UmkreisverteidigungDie Umkreisverteidigung bezieht sich auf die Sicherheit an den Netzwerkgrenzen, an denen Ihr internes Netzwerk mit der Außenwelt in Verbindung tritt. Dies stellt die erste Verteidigungslinie gegen Angreifer dar.
AuthentifizierungStrenge Authentifizierungsverfahren für Benutzer, Administratoren und Remotebenutzer helfen dabei, den nicht autorisierten Zugriff von Außenstehenden durch lokale Angriffe oder Remoteangriffe auf das Netzwerk zu verhindern.
Verwaltung und ÜberwachungVerwaltung, Überwachung und ordnungsgemäße Protokollierung spielen für die Wartung und Analyse von IT-Umgebungen eine entscheidende Rolle. Diese Maßnahmen sind sogar noch wichtiger, wenn ein Angriff stattgefunden hat und eine Analyse des Vorfalls erforderlich ist.
ArbeitsstationenDie Sicherheit einzelner Arbeitsstationen ist für den Schutz jeder Umgebung ein entscheidender Faktor, insbesondere wenn der Remotezugriff gestattet ist. Es sollten Schutzmaßnahmen für Arbeitsstationen vorhanden sein, um diesen gängigen Angriffsformen standhalten zu können.

 

AnwendungenBedeutung für die Sicherheit
Bereitstellung und VerwendungWenn erfolgsentscheidende Anwendungen in der Produktionsumgebung bereitgestellt werden, muss die Sicherheit und Verfügbarkeit dieser Anwendungen und der Hostserver gewährleistet werden. Es ist eine kontinuierliche Wartung erforderlich, um sicherzustellen, dass Sicherheitslücken geschlossen und keine neuen Sicherheitsrisiken in die Umgebung eingeschleust werden.
AnwendungsentwurfEin Entwurf, bei dem Sicherheitsmechanismen wie Authentifizierung, Autorisierung und Datenüberprüfung nicht ordnungsgemäß berücksichtigt wurden, kann Angreifern ermöglichen, Sicherheitslücken auszunutzen und dadurch Zugriff auf vertrauliche Informationen zu erhalten.

Methoden für die sichere Anwendungsentwicklung tragen entscheidend dazu bei, dass intern oder extern entwickelte Anwendungen Sicherheitsbedrohungsmodellen Rechnung tragen, die eine Organisation anfällig für Exploits machen könnten.

Die Integrität und Vertraulichkeit der Daten muss für jedes Unternehmen eines der Hauptanliegen sein. Der Verlust oder Diebstahl von Daten kann sich negativ auf die Gewinne und den Ruf eines Unternehmens auswirken. Es ist wichtig, dass verstanden wird, wie Anwendungen erfolgsentscheidende Daten verarbeiten und wie diese Daten geschützt sind.

 

BetriebBedeutung für die Sicherheit
UmgebungDie Sicherheit einer Organisation hängt von den operativen Verfahren, Prozessen und Richtlinien ab, die auf die IT-Umgebung angewendet werden. Die Sicherheit einer Organisation wird erhöht, wenn sie mehr als nur auf Technologie basierende Schutzmaßnahmen umfasst. Die genaue Dokumentation der IT-Umgebung und präzise Richtlinien sind von entscheidender Bedeutung für die Fähigkeit des Betriebsteams, die Sicherheit der Umgebung zu steuern, zu unterstützen und aufrechtzuerhalten.
SicherheitsrichtlinieDie Sicherheitsrichtlinie eines Unternehmens umfasst die Gesamtheit der einzelnen Richtlinien, die die sichere und angemessene Verwendung von Technologie und Prozessen innerhalb der Organisation regeln. In diesen Bereich fallen Richtlinien für alle Arten von Sicherheit, z. B. Benutzer-, System- und Datensicherheit.
Sicherung und WiederherstellungDie Sicherung und Wiederherstellung von Daten ist für die Aufrechterhaltung der Geschäftskontinuität im Notfall oder bei einem Hardware-/Softwarefehler von wesentlicher Bedeutung. Das Fehlen angemessener Sicherungs- und Wiederherstellungsverfahren kann zu beträchtlichen Datenverlusten und Produktivitätseinbußen führen. Dies kann den Ruf und das Markenimage des Unternehmens gefährden.
Patch- und UpdateverwaltungDie ordnungsgemäße Verwaltung von Patches und Updates ist für die Sicherung der IT-Umgebung einer Organisation wichtig. Die rechtzeitige Anwendung von Patches und Updates ist für den Schutz vor bekannten und ausnutzbaren Sicherheitsrisiken erforderlich.

 

MitarbeiterBedeutung für die Sicherheit
Anforderungen und BewertungenDie Sicherheitsanforderungen sollten von allen Entscheidungsträgern verstanden werden, damit sowohl ihre technischen als auch ihre geschäftlichen Entscheidungen die Sicherheit erhöhen, statt ihr zuwiderzulaufen. Regelmäßige Bewertungen durch einen Dritten können Unternehmen bei der Erkennung, Beurteilung und Überprüfung verbesserungswürdiger Bereiche helfen.
Richtlinien und VerfahrenKlare, praktische Verfahren für die Gestaltung der Beziehungen zu Anbietern und Partnern können zum Schutz des Unternehmens vor Sicherheitsrisiken beitragen. Mithilfe von Verfahren für die Einstellung und Kündigung von Mitarbeitern können sich Unternehmen vor den von skrupellosen oder unzufriedenen Mitarbeitern ausgehenden Gefahren schützen.
Schulung und SicherheitsbewusstseinDie Mitarbeiter sollten geschult und über die Sicherheitsrichtlinien aufgeklärt werden. Zudem sollten sie darüber informiert werden, welche Rolle die Sicherheit bei ihren täglichen Arbeitsabläufen spielt, damit sie das Unternehmen nicht versehentlich größeren Risiken aussetzen.

Download

MSAT-Videos (engl.)


MSAT-Demo
Erfahren Sie, wie Sie eine Sicherheitsstrategie entwickeln können, indem Sie mithilfe von MSAT Risiken erkennen, ein Sicherheitsbewusstsein schaffen und Prioritäten setzen.

4 Minuten, 20 Sekunden

  

Interview zum Thema Sicherheit: Jeff Jones und Thomas Dawkins (Teil 1 von 2)
Lernen Sie den Product Manager von MSAT kennen, und erfahren Sie mehr über die Entwicklung und den Entwurf von MSAT.

5 Minuten, 51 Sekunden

  

Interview zum Thema Sicherheit: Jeff Jones und Thomas Dawkins (Teil 2 von 2)
Sicherheitsexperten betrachten das MSAT und bieten zusätzliche Anleitungen und Einblicke.

15 Minuten, 52 Sekunden

Microsoft führt eine Onlineumfrage durch, um Ihre Meinung zur -Website zu erfahren. Wenn Sie sich zur Teilnahme entscheiden, wird Ihnen die Onlineumfrage angezeigt, sobald Sie die -Website verlassen.

Möchten Sie teilnehmen?