BSI IT-Grundschutz und Microsoft 365 – Warum die Kombination unmöglich konform sein kann

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlicht mit dem IT-Grundschutz-Kompendium die in Deutschland verbindliche Methodik für Informationssicherheit in Behörden und einen De-facto-Standard für KMU. Mit C5 (Cloud Computing Compliance Criteria Catalogue) hat das BSI zusätzlich einen spezifischen Cloud-Standard geschaffen.

Wer NIS2-pflichtig ist, wer mit der öffentlichen Hand Verträge hat, wer Cyber-Versicherung abschließen will oder wer in einer NIS2-Lieferkette sitzt, kommt am IT-Grundschutz nicht vorbei.

Und genau hier wird es unangenehm: Microsoft 365 erfüllt keinen einzigen sicherheitskritischen Grundschutz-Baustein vollständig. Wir zeigen baustein-genau, woran es scheitert.

Was IT-Grundschutz eigentlich verlangt

IT-Grundschutz ist kein Marketing-Siegel, sondern ein dokumentationsschwerer Prozess. Die Kernidee:

1. Strukturanalyse des Informationsverbunds
2. Schutzbedarfsfeststellung für jede Komponente
3. Modellierung mit den Bausteinen des Kompendiums
4. IT-Grundschutz-Check – sind die Anforderungen umgesetzt?
5. Risikoanalyse nach BSI-Standard 200-3 bei hohem Schutzbedarf
6. Realisierung und Aufrechterhaltung

Ein Baustein definiert dabei Basis-, Standard- und Erhöhte-Anforderungen. Wer nach IT-Grundschutz zertifiziert sein will, muss die Basis- und Standard-Anforderungen vollständig umsetzen und nachweisen können.

Die kritischen Bausteine im Microsoft-365-Kontext

CON.3 – Datensicherungskonzept

CON.3.A4: Erstellung eines Datensicherungskonzeptes Verlangt ein dokumentiertes, getestetes Backup. Microsoft 365 sichert Daten nicht im Sinne des BSI. Microsofts Shared-Responsibility-Modell legt das ausdrücklich auf den Kunden um. Ohne Third-Party-Backup (z. B. nach S3-Storage in einer EU-Cloud) ist CON.3 in einem reinen-Microsoft-Setup nicht erfüllbar.

OPS.2.2 – Cloud-Nutzung

Dieser Baustein ist der entscheidende für jede Microsoft-365-Nutzung.

OPS.2.2.A1: Erstellung einer Cloud-Nutzungs-Strategie – machbar.

OPS.2.2.A5: Planung der sicheren Migration in eine Cloud – machbar, mit Aufwand.

OPS.2.2.A11: Erstellung eines Notfallkonzepts für einen Cloud-Dienst Ein Notfallkonzept muss den Ausfall des Anbieters und die Rückführbarkeit der Daten abdecken. Bei einer Vendor-Lock-in-Architektur wie Microsoft 365 (proprietäre Formate, proprietäre APIs, proprietäre Identity) ist eine realistische Notfall-Rückführung nicht in Stunden, sondern in Monaten zu rechnen. Das BSI verlangt dafür eine belastbare Dokumentation – die in den allermeisten Fällen nicht existiert.

OPS.2.2.A14: Sichere Migration zu einem anderen Cloud-Diensteanbieter / Rückmigration Ist mit Microsoft 365 wegen der proprietären Datenformate (Teams-Channels, OneNote-Notebooks, SharePoint-Sites, Power-Platform-Flows) praktisch unmöglich ohne signifikanten Datenverlust.

APP.5.2 – Microsoft Exchange und Outlook (Baustein existiert explizit!)

Der vom BSI selbst für Exchange/Outlook geschriebene Baustein adressiert die On-Premise-Variante. Für Exchange Online (Teil von M365) gibt es keinen analogen Cloud-Baustein, der die spezifischen Risiken adressiert. Die Lücke wird durch OPS.2.2 nur teilweise gefüllt.

Insbesondere APP.5.2.A10 (Sichere Konfiguration) und A14 (Verschlüsselung von Mails) sind in Exchange Online nur eingeschränkt umsetzbar, weil Microsoft den Schlüssel hält.

CON.1 – Krypto-Konzept

CON.1.A2: Festlegung des Kryptobedarfs + CON.1.A4: Geeignete Schlüssellängen Solange die Verschlüsselung clientseitig erfolgt – machbar.

CON.1.A8: Sichere Aufbewahrung der Krypto-Schlüssel Bei Microsoft 365 hält Microsoft die Schlüssel für Indexierung, Suche, Anti-Spam, Copilot und – im Notfall – CLOUD-Act-Anfragen. BYOK ändert daran fundamental nichts, da der Schlüssel in Microsoft-HSMs liegt, die Microsoft selbst administriert. Ein BSI-Auditor wird hier kreuzehrlich „nicht erfüllt" eintragen.

ORP.5 – Compliance-Management

ORP.5.A2: Beachtung gesetzlicher Rahmenbedingungen Hierzu zählen DSGVO, GeschGehG, TKDSG, BDSG, branchenspezifische Gesetze. Microsoft 365 unterliegt dem US CLOUD Act, der das GeschGehG (§ 4) und DSGVO Art. 48 strukturell verletzt, sobald US-Behörden eine Anfrage stellen. Mit Blick auf das anstehende Schrems-III-Urteil ist ORP.5.A2 mit Microsoft 365 strukturell nicht erfüllbar.

NET.1.1 – Netzarchitektur

NET.1.1.A14: Schutz vor unautorisierten externen Zugriffen Microsoft hat selbst dokumentierte, weltweite Backbone-Zugänge (Microsoft Global Network), die für IT-Grundschutz nicht inspizierbar sind. Der Midnight-Blizzard-Vorfall (2024, M365-Senior-Leadership-Postfächer kompromittiert) zeigt, dass diese Zugänge real ausgenutzt werden.

Häufige Fragen zum C5-Testat und zur BSI-Konformität von Microsoft 365

Reicht ein C5-Testat als Nachweis BSI-konformer Cloud-Nutzung?

Nein. Ein C5-Testat ist eine Selbstauskunft mit Wirtschaftsprüfer-Bestätigung, kein Rechtsgutachten. Microsoft hält ein C5-Testat (Type 2) – das klingt gut, ist aber missverständlich. Es prüft operative Sicherheitsmaßnahmen, nicht die Drittstaaten-Zugriffsproblematik.

Welche C5-Kriterien sind für Microsoft 365 kritisch?

Insbesondere die Kriterien

• BC-01 (Datenstandort)
• BC-02 (Subunternehmer)
• BC-03 (Rechtsraum)
• BC-04 (Datenherausgabe an staatliche Stellen)

werden im C5-Testat von Microsoft mit dem Verweis auf die „EU Data Boundary" als erfüllt deklariert. Diese Selbstauskunft hält einer juristischen Prüfung nicht stand, sobald der CLOUD Act ins Spiel kommt. Microsoft Frankreich hat dies 2025 vor dem Senat öffentlich bestätigt.

Bedeutet ein C5-Testat automatisch DSGVO- oder NIS2-Konformität?

Nein. C5-Testat ≠ DSGVO-Konformität ≠ NIS2-Konformität. Das BSI selbst weist in der C5-Dokumentation ausdrücklich darauf hin.

Die ehrliche Bilanz

Das ist nicht „Microsoft-Bashing". Das ist die baustein-genaue Anwendung des BSI-Kompendiums. Jeder ehrliche Auditor kommt zum selben Ergebnis.

Was IT-Grundschutz-konforme Open-Source-Infrastruktur leistet

Für jede der genannten Lücken existiert eine souveräne Lösung, die wir bei europioneer implementieren:

Schlüsselhoheit (CON.1)

• Eigene KMS: Hashicorp Vault / OpenBao auf EU-Hardware
• Hardware Security Module: nCipher, Utimaco, Securosys – BSI-zertifizierte HSMs verfügbar
• Mail-Verschlüsselung: S/MIME oder OpenPGP, Schlüssel vollständig beim Kunden
• Nextcloud E2EE: Client-seitige Verschlüsselung mit Customer-Keys

Datensicherung (CON.3)

• Borgbackup / Restic auf zweite EU-Cloud (Hetzner Storage Box, OVHcloud Cold)
• Versionierung & 3-2-1-Regel standardmäßig
• Wöchentliche Restore-Tests automatisiert dokumentiert

Cloud-Nutzung & Exit (OPS.2.2)

• Offene Formate: ODF (statt OOXML), Markdown, ICS, vCard, MBOX
• Standard-APIs: CalDAV, CardDAV, IMAP, WebDAV, S3, OIDC
• Kein Vendor-Lock-in – jede Komponente ist in Tagen, nicht Monaten, austauschbar

Compliance & Rechtsraum (ORP.5)

• Hosting ausschließlich in EU (Hetzner DE/FI, OVHcloud FR, Scaleway FR, IONOS DE) oder On-Premise
• Vertragsstruktur komplett unter deutschem Recht
• CLOUD-Act-Risiko: strukturell ausgeschlossen, da kein US-Anbieter beteiligt
• Quellcode vollständig einsehbar und auditierbar (echtes Open Source, keine „Open Inspection")

Netzarchitektur (NET.1.1)

• Wazuh für SIEM, Suricata für IDS, CrowdSec für IPS
• Logs liegen bei Ihnen, nicht bei einem US-Konzern
• Zero-Trust mit Keycloak + OPA + Cilium

Ein realistischer Migrationspfad nach BSI-Logik

Wir migrieren in der Reihenfolge, die das BSI selbst nahelegt:

Schritt 1: Strukturanalyse und Schutzbedarfsfeststellung (Woche 1–2) {#step-1}

Informationsverbund vollständig erfassen, Schutzbedarf je Komponente ermitteln, kritische Bausteine identifizieren.

Schritt 2: Identity & Access (ORP) – Keycloak ersetzt Entra ID (Woche 3–4) {#step-2}

Keycloak als zentrale Identitätsplattform, MFA und föderierte Authentifizierung, Migration der Nutzer-Identitäten ohne Passwort-Reset.

Schritt 3: E-Mail (APP.5.2) – Mailcow / Stalwart ersetzt Exchange Online (Woche 5–7) {#step-3}

Mail-Server in EU-Rechenzentrum, S/MIME oder OpenPGP für Mail-Verschlüsselung, IMAP/JMAP-Migration aller Postfächer, MX-Cutover mit Null-Downtime.

Schritt 4: Datei & Kollaboration (APP.4) – Nextcloud + ONLYOFFICE ersetzt OneDrive, SharePoint und Office (Woche 8–11) {#step-4}

Nextcloud Hub für KMU mit ONLYOFFICE oder Collabora, Migration der Dateien aus OneDrive/SharePoint inklusive Versionshistorie, E2EE für sensible Bereiche.

Schritt 5: Kommunikation – Element / Matrix ersetzt Teams (Woche 12–13) {#step-5}

Wie es die EU-Kommission selbst vormacht: Matrix-Homeserver in EU, Element als Client, Element Call für Videokonferenzen.

Schritt 6: Endpoint-Härtung (SYS.2.x) (Woche 14–16) {#step-6}

Linux- oder gehärteter Windows-Client mit Wazuh-Agent, Disk-Encryption, MDM-Profile, Application Whitelisting.

Schritt 7: Durchgehende Audit-Dokumentation nach IT-Grundschutz-Methodik {#step-7}

Strukturanalyse, Schutzbedarfsfeststellung, Modellierung, IT-Grundschutz-Check und Risikoanalyse für jeden Baustein nachweisbar dokumentieren — als belastbarer Audit-Nachweis für DSGVO, NIS2 und Cyber-Versicherer.

Für ein KMU mit 20–100 Mitarbeitern: 8–16 Wochen, Festpreis, inklusive Grundschutz-Dokumentation für Audit / NIS2-Nachweis / Cyber-Versicherer. Die Kosten-Gegenüberstellung Microsoft 365 vs. Open Source zeigt zusätzlich, dass die Migration sich auch wirtschaftlich rechnet — meist innerhalb von 12 Monaten.

Fazit

Es gibt keine seriöse Lesart des IT-Grundschutz-Kompendiums, in der Microsoft 365 die sicherheitskritischen Bausteine vollständig erfüllt. Wer ein Microsoft-365-Setup als „BSI-konform" verkauft – intern oder vom Dienstleister –, hat entweder die Bausteine nicht gelesen oder verschweigt das Ergebnis.

Die EU-Open-Source-Stack-Alternativen sind heute reif, interoperabel, kostengünstiger im Total-Cost-of-Ownership und – wichtigster Punkt – strukturell BSI-konform.

Wir machen aus dem Compliance-Risiko ein dokumentiertes, auditierbares Asset.

BSI-Grundschutz-Workshop buchen →

Verwandte Beiträge:

• NIS2 und DSGVO mit Microsoft 365 – Das Compliance-Paradox
• CLOUD Act 2026 – Warum US-Cloud rechtlich nicht mehr tragbar ist
• Microsoft 365 vs. Open Source – Der große Kostenvergleich für KMU