[{"data":1,"prerenderedAt":951},["ShallowReactive",2],{"navigation-docs_de":3,"/blog/bsi-grundschutz-microsoft-365-posts_de":50,"/blog/bsi-grundschutz-microsoft-365-surround-posts_de":940},[4],{"title":5,"path":6,"stem":7,"children":8,"page":49},"De","/","de",[9],{"title":10,"path":11,"stem":12,"children":13,"page":49},"Docs","/docs","de/1.docs",[14,24],{"title":15,"path":16,"stem":17,"children":18},"Einführung","/docs/getting-started","de/1.docs/1.getting-started/1.index",[19,20],{"title":15,"path":16,"stem":17,"children":-1},{"title":21,"path":22,"stem":23,"children":-1},"Migrations-Fahrplan","/docs/getting-started/migration-fahrplan","de/1.docs/1.getting-started/2.migration-fahrplan",{"title":25,"path":26,"stem":27,"children":28,"page":49},"Technologien","/docs/technologien","de/1.docs/2.technologien",[29,33,37,41,45],{"title":30,"path":31,"stem":32,"children":-1},"Nextcloud","/docs/technologien/nextcloud","de/1.docs/2.technologien/1.nextcloud",{"title":34,"path":35,"stem":36,"children":-1},"Matrix / Element","/docs/technologien/matrix","de/1.docs/2.technologien/2.matrix",{"title":38,"path":39,"stem":40,"children":-1},"ONLYOFFICE","/docs/technologien/onlyoffice","de/1.docs/2.technologien/3.onlyoffice",{"title":42,"path":43,"stem":44,"children":-1},"Ubuntu Linux","/docs/technologien/ubuntu","de/1.docs/2.technologien/4.ubuntu",{"title":46,"path":47,"stem":48,"children":-1},"Keycloak","/docs/technologien/keycloak","de/1.docs/2.technologien/5.keycloak",false,{"id":51,"title":52,"authors":53,"badge":59,"body":61,"date":885,"description":886,"extension":887,"faq":888,"howto":906,"image":932,"meta":934,"navigation":935,"path":936,"seo":937,"stem":938,"__hash__":939},"posts_de/de/3.blog/11.bsi-grundschutz-microsoft-365.md","BSI IT-Grundschutz und Microsoft 365 – Warum die Kombination unmöglich konform sein kann",[54],{"name":55,"to":56,"avatar":57},"europioneer Team","https://europioneer.io",{"src":58},"/favicon.svg",{"label":60},"Informationssicherheit",{"type":62,"value":63,"toc":846},"minimark",[64,68,85,108,115,120,127,166,177,181,186,204,208,215,221,227,245,255,259,270,277,281,291,309,313,360,364,378,382,386,407,411,414,437,444,448,455,459,532,539,543,550,554,580,584,604,608,628,632,658,662,691,695,698,702,705,709,712,716,719,728,735,744,752,756,759,763,766,782,786,796,812,815,821,824,829],[65,66,52],"h1",{"id":67},"bsi-it-grundschutz-und-microsoft-365-warum-die-kombination-unmöglich-konform-sein-kann",[69,70,71,72,76,77,80,81,84],"p",{},"Das ",[73,74,75],"strong",{},"Bundesamt für Sicherheit in der Informationstechnik (BSI)"," veröffentlicht mit dem ",[73,78,79],{},"IT-Grundschutz-Kompendium"," die in Deutschland verbindliche Methodik für Informationssicherheit in Behörden und einen De-facto-Standard für KMU. Mit ",[73,82,83],{},"C5"," (Cloud Computing Compliance Criteria Catalogue) hat das BSI zusätzlich einen spezifischen Cloud-Standard geschaffen.",[69,86,87,88,95,96,99,100,103,104,107],{},"Wer ",[89,90,92],"a",{"href":91},"/blog/nis2-dsgvo-microsoft-paradox",[73,93,94],{},"NIS2-pflichtig"," ist, wer mit der ",[73,97,98],{},"öffentlichen Hand"," Verträge hat, wer ",[73,101,102],{},"Cyber-Versicherung"," abschließen will oder wer in einer ",[73,105,106],{},"NIS2-Lieferkette"," sitzt, kommt am IT-Grundschutz nicht vorbei.",[69,109,110,111,114],{},"Und genau hier wird es unangenehm: ",[73,112,113],{},"Microsoft 365 erfüllt keinen einzigen sicherheitskritischen Grundschutz-Baustein vollständig."," Wir zeigen baustein-genau, woran es scheitert.",[116,117,119],"h2",{"id":118},"was-it-grundschutz-eigentlich-verlangt","Was IT-Grundschutz eigentlich verlangt",[69,121,122,123,126],{},"IT-Grundschutz ist ",[73,124,125],{},"kein Marketing-Siegel",", sondern ein dokumentationsschwerer Prozess. Die Kernidee:",[128,129,130,137,143,149,155,161],"ol",{},[131,132,133,136],"li",{},[73,134,135],{},"Strukturanalyse"," des Informationsverbunds",[131,138,139,142],{},[73,140,141],{},"Schutzbedarfsfeststellung"," für jede Komponente",[131,144,145,148],{},[73,146,147],{},"Modellierung"," mit den Bausteinen des Kompendiums",[131,150,151,154],{},[73,152,153],{},"IT-Grundschutz-Check"," – sind die Anforderungen umgesetzt?",[131,156,157,160],{},[73,158,159],{},"Risikoanalyse"," nach BSI-Standard 200-3 bei hohem Schutzbedarf",[131,162,163],{},[73,164,165],{},"Realisierung und Aufrechterhaltung",[69,167,168,169,172,173,176],{},"Ein Baustein definiert dabei ",[73,170,171],{},"Basis-, Standard- und Erhöhte-Anforderungen",". Wer nach IT-Grundschutz zertifiziert sein will, muss die ",[73,174,175],{},"Basis- und Standard-Anforderungen vollständig umsetzen"," und nachweisen können.",[116,178,180],{"id":179},"die-kritischen-bausteine-im-microsoft-365-kontext","Die kritischen Bausteine im Microsoft-365-Kontext",[182,183,185],"h3",{"id":184},"con3-datensicherungskonzept","CON.3 – Datensicherungskonzept",[69,187,188,191,192,195,196,199,200,203],{},[73,189,190],{},"CON.3.A4: Erstellung eines Datensicherungskonzeptes","\nVerlangt ein dokumentiertes, getestetes Backup. Microsoft 365 sichert Daten ",[73,193,194],{},"nicht im Sinne des BSI",". Microsofts Shared-Responsibility-Modell legt das ausdrücklich auf den Kunden um. Ohne ",[73,197,198],{},"Third-Party-Backup"," (z. B. nach S3-Storage in einer EU-Cloud) ist CON.3 in einem reinen-Microsoft-Setup ",[73,201,202],{},"nicht erfüllbar",".",[182,205,207],{"id":206},"ops22-cloud-nutzung","OPS.2.2 – Cloud-Nutzung",[69,209,210,211,214],{},"Dieser Baustein ist ",[73,212,213],{},"der entscheidende"," für jede Microsoft-365-Nutzung.",[69,216,217,220],{},[73,218,219],{},"OPS.2.2.A1: Erstellung einer Cloud-Nutzungs-Strategie"," – machbar.",[69,222,223,226],{},[73,224,225],{},"OPS.2.2.A5: Planung der sicheren Migration in eine Cloud"," – machbar, mit Aufwand.",[69,228,229,232,233,236,237,240,241,244],{},[73,230,231],{},"OPS.2.2.A11: Erstellung eines Notfallkonzepts für einen Cloud-Dienst","\nEin Notfallkonzept muss den Ausfall des Anbieters und die Rückführbarkeit der Daten abdecken. Bei einer ",[73,234,235],{},"Vendor-Lock-in-Architektur"," wie Microsoft 365 (proprietäre Formate, proprietäre APIs, proprietäre Identity) ist eine realistische Notfall-Rückführung ",[73,238,239],{},"nicht in Stunden, sondern in Monaten"," zu rechnen. Das BSI verlangt dafür eine ",[73,242,243],{},"belastbare Dokumentation"," – die in den allermeisten Fällen nicht existiert.",[69,246,247,250,251,254],{},[73,248,249],{},"OPS.2.2.A14: Sichere Migration zu einem anderen Cloud-Diensteanbieter / Rückmigration","\nIst mit Microsoft 365 wegen der proprietären Datenformate (Teams-Channels, OneNote-Notebooks, SharePoint-Sites, Power-Platform-Flows) ",[73,252,253],{},"praktisch unmöglich"," ohne signifikanten Datenverlust.",[182,256,258],{"id":257},"app52-microsoft-exchange-und-outlook-baustein-existiert-explizit","APP.5.2 – Microsoft Exchange und Outlook (Baustein existiert explizit!)",[69,260,261,262,265,266,269],{},"Der ",[73,263,264],{},"vom BSI selbst"," für Exchange/Outlook geschriebene Baustein adressiert die On-Premise-Variante. ",[73,267,268],{},"Für Exchange Online (Teil von M365) gibt es keinen analogen Cloud-Baustein",", der die spezifischen Risiken adressiert. Die Lücke wird durch OPS.2.2 nur teilweise gefüllt.",[69,271,272,273,276],{},"Insbesondere APP.5.2.A10 (Sichere Konfiguration) und A14 (Verschlüsselung von Mails) sind in Exchange Online ",[73,274,275],{},"nur eingeschränkt umsetzbar",", weil Microsoft den Schlüssel hält.",[182,278,280],{"id":279},"con1-krypto-konzept","CON.1 – Krypto-Konzept",[69,282,283,286,287,290],{},[73,284,285],{},"CON.1.A2: Festlegung des Kryptobedarfs"," + ",[73,288,289],{},"CON.1.A4: Geeignete Schlüssellängen","\nSolange die Verschlüsselung clientseitig erfolgt – machbar.",[69,292,293,296,297,300,301,304,305,308],{},[73,294,295],{},"CON.1.A8: Sichere Aufbewahrung der Krypto-Schlüssel","\nBei Microsoft 365 hält ",[73,298,299],{},"Microsoft die Schlüssel"," für Indexierung, Suche, Anti-Spam, Copilot und – im Notfall – CLOUD-Act-Anfragen. ",[73,302,303],{},"BYOK ändert daran fundamental nichts",", da der Schlüssel in Microsoft-HSMs liegt, die Microsoft selbst administriert. Ein BSI-Auditor wird hier ",[73,306,307],{},"kreuzehrlich"," „nicht erfüllt\" eintragen.",[182,310,312],{"id":311},"orp5-compliance-management","ORP.5 – Compliance-Management",[69,314,315,318,319,322,323,322,326,322,329,332,333,339,340,343,344,347,348,351,352,356,357,203],{},[73,316,317],{},"ORP.5.A2: Beachtung gesetzlicher Rahmenbedingungen","\nHierzu zählen ",[73,320,321],{},"DSGVO",", ",[73,324,325],{},"GeschGehG",[73,327,328],{},"TKDSG",[73,330,331],{},"BDSG",", branchenspezifische Gesetze. Microsoft 365 unterliegt dem ",[89,334,336],{"href":335},"/blog/cloud-act-2026",[73,337,338],{},"US CLOUD Act",", der das ",[73,341,342],{},"GeschGehG (§ 4)"," und ",[73,345,346],{},"DSGVO Art. 48"," ",[73,349,350],{},"strukturell verletzt",", sobald US-Behörden eine Anfrage stellen. Mit Blick auf das anstehende ",[89,353,355],{"href":354},"/blog/schrems-iii-eugh-urteil","Schrems-III-Urteil"," ist ",[73,358,359],{},"ORP.5.A2 mit Microsoft 365 strukturell nicht erfüllbar",[182,361,363],{"id":362},"net11-netzarchitektur","NET.1.1 – Netzarchitektur",[69,365,366,369,370,373,374,377],{},[73,367,368],{},"NET.1.1.A14: Schutz vor unautorisierten externen Zugriffen","\nMicrosoft hat selbst dokumentierte, weltweite Backbone-Zugänge (Microsoft Global Network), die für IT-Grundschutz ",[73,371,372],{},"nicht inspizierbar"," sind. Der Midnight-Blizzard-Vorfall (2024, M365-Senior-Leadership-Postfächer kompromittiert) zeigt, dass diese Zugänge ",[73,375,376],{},"real ausgenutzt"," werden.",[116,379,381],{"id":380},"häufige-fragen-zum-c5-testat-und-zur-bsi-konformität-von-microsoft-365","Häufige Fragen zum C5-Testat und zur BSI-Konformität von Microsoft 365",[182,383,385],{"id":384},"reicht-ein-c5-testat-als-nachweis-bsi-konformer-cloud-nutzung","Reicht ein C5-Testat als Nachweis BSI-konformer Cloud-Nutzung?",[69,387,388,389,392,393,396,397,322,400,403,404,203],{},"Nein. Ein ",[73,390,391],{},"C5-Testat"," ist eine ",[73,394,395],{},"Selbstauskunft mit Wirtschaftsprüfer-Bestätigung",", kein Rechtsgutachten. Microsoft hält ein C5-Testat (Type 2) – das klingt gut, ist aber missverständlich. Es prüft ",[73,398,399],{},"operative Sicherheitsmaßnahmen",[73,401,402],{},"nicht"," die ",[73,405,406],{},"Drittstaaten-Zugriffsproblematik",[182,408,410],{"id":409},"welche-c5-kriterien-sind-für-microsoft-365-kritisch","Welche C5-Kriterien sind für Microsoft 365 kritisch?",[69,412,413],{},"Insbesondere die Kriterien",[415,416,417,422,427,432],"ul",{},[131,418,419],{},[73,420,421],{},"BC-01 (Datenstandort)",[131,423,424],{},[73,425,426],{},"BC-02 (Subunternehmer)",[131,428,429],{},[73,430,431],{},"BC-03 (Rechtsraum)",[131,433,434],{},[73,435,436],{},"BC-04 (Datenherausgabe an staatliche Stellen)",[69,438,439,440,443],{},"werden im C5-Testat von Microsoft mit dem Verweis auf die „EU Data Boundary\" als erfüllt deklariert. ",[73,441,442],{},"Diese Selbstauskunft hält einer juristischen Prüfung nicht stand",", sobald der CLOUD Act ins Spiel kommt. Microsoft Frankreich hat dies 2025 vor dem Senat öffentlich bestätigt.",[182,445,447],{"id":446},"bedeutet-ein-c5-testat-automatisch-dsgvo-oder-nis2-konformität","Bedeutet ein C5-Testat automatisch DSGVO- oder NIS2-Konformität?",[69,449,450,451,454],{},"Nein. ",[73,452,453],{},"C5-Testat ≠ DSGVO-Konformität ≠ NIS2-Konformität."," Das BSI selbst weist in der C5-Dokumentation ausdrücklich darauf hin.",[116,456,458],{"id":457},"die-ehrliche-bilanz","Die ehrliche Bilanz",[460,461,462,475],"table",{},[463,464,465],"thead",{},[466,467,468,472],"tr",{},[469,470,471],"th",{},"BSI-Baustein / -Kriterium",[469,473,474],{},"Umsetzbar mit Microsoft 365?",[476,477,478,487,494,502,510,517,525],"tbody",{},[466,479,480,484],{},[481,482,483],"td",{},"CON.1 Krypto-Konzept (Schlüsselhoheit)",[481,485,486],{},"❌ Nein",[466,488,489,492],{},[481,490,491],{},"CON.3 Datensicherung (ohne Third-Party-Backup)",[481,493,486],{},[466,495,496,499],{},[481,497,498],{},"OPS.2.2 Cloud-Nutzung (Exit-Strategie)",[481,500,501],{},"⚠️ Nur mit massivem Aufwand",[466,503,504,507],{},[481,505,506],{},"APP.5.2 Exchange (Mail-Verschlüsselung)",[481,508,509],{},"⚠️ Eingeschränkt",[466,511,512,515],{},[481,513,514],{},"ORP.5 Compliance (CLOUD Act vs. DSGVO Art. 48)",[481,516,486],{},[466,518,519,522],{},[481,520,521],{},"NET.1.1 Netzarchitektur (externe Zugriffe)",[481,523,524],{},"❌ Nicht prüfbar",[466,526,527,530],{},[481,528,529],{},"C5 BC-01 bis BC-04 (Standort & Datenherausgabe)",[481,531,486],{},[69,533,534,535,538],{},"Das ist nicht „Microsoft-Bashing\". Das ist die ",[73,536,537],{},"baustein-genaue Anwendung des BSI-Kompendiums",". Jeder ehrliche Auditor kommt zum selben Ergebnis.",[116,540,542],{"id":541},"was-it-grundschutz-konforme-open-source-infrastruktur-leistet","Was IT-Grundschutz-konforme Open-Source-Infrastruktur leistet",[69,544,545,546,549],{},"Für jede der genannten Lücken existiert eine souveräne Lösung, die wir bei ",[89,547,548],{"href":6},"europioneer"," implementieren:",[182,551,553],{"id":552},"schlüsselhoheit-con1","Schlüsselhoheit (CON.1)",[415,555,556,562,568,574],{},[131,557,558,561],{},[73,559,560],{},"Eigene KMS",": Hashicorp Vault / OpenBao auf EU-Hardware",[131,563,564,567],{},[73,565,566],{},"Hardware Security Module",": nCipher, Utimaco, Securosys – BSI-zertifizierte HSMs verfügbar",[131,569,570,573],{},[73,571,572],{},"Mail-Verschlüsselung",": S/MIME oder OpenPGP, Schlüssel vollständig beim Kunden",[131,575,576,579],{},[73,577,578],{},"Nextcloud E2EE",": Client-seitige Verschlüsselung mit Customer-Keys",[182,581,583],{"id":582},"datensicherung-con3","Datensicherung (CON.3)",[415,585,586,592,598],{},[131,587,588,591],{},[73,589,590],{},"Borgbackup / Restic"," auf zweite EU-Cloud (Hetzner Storage Box, OVHcloud Cold)",[131,593,594,597],{},[73,595,596],{},"Versionierung & 3-2-1-Regel"," standardmäßig",[131,599,600,603],{},[73,601,602],{},"Wöchentliche Restore-Tests"," automatisiert dokumentiert",[182,605,607],{"id":606},"cloud-nutzung-exit-ops22","Cloud-Nutzung & Exit (OPS.2.2)",[415,609,610,616,622],{},[131,611,612,615],{},[73,613,614],{},"Offene Formate",": ODF (statt OOXML), Markdown, ICS, vCard, MBOX",[131,617,618,621],{},[73,619,620],{},"Standard-APIs",": CalDAV, CardDAV, IMAP, WebDAV, S3, OIDC",[131,623,624,627],{},[73,625,626],{},"Kein Vendor-Lock-in"," – jede Komponente ist in Tagen, nicht Monaten, austauschbar",[182,629,631],{"id":630},"compliance-rechtsraum-orp5","Compliance & Rechtsraum (ORP.5)",[415,633,634,640,646,652],{},[131,635,636,639],{},[73,637,638],{},"Hosting"," ausschließlich in EU (Hetzner DE/FI, OVHcloud FR, Scaleway FR, IONOS DE) oder On-Premise",[131,641,642,645],{},[73,643,644],{},"Vertragsstruktur"," komplett unter deutschem Recht",[131,647,648,651],{},[73,649,650],{},"CLOUD-Act-Risiko",": strukturell ausgeschlossen, da kein US-Anbieter beteiligt",[131,653,654,657],{},[73,655,656],{},"Quellcode"," vollständig einsehbar und auditierbar (echtes Open Source, keine „Open Inspection\")",[182,659,661],{"id":660},"netzarchitektur-net11","Netzarchitektur (NET.1.1)",[415,663,664,678,685],{},[131,665,666,669,670,673,674,677],{},[73,667,668],{},"Wazuh"," für SIEM, ",[73,671,672],{},"Suricata"," für IDS, ",[73,675,676],{},"CrowdSec"," für IPS",[131,679,680,681,684],{},"Logs liegen ",[73,682,683],{},"bei Ihnen",", nicht bei einem US-Konzern",[131,686,687,690],{},[73,688,689],{},"Zero-Trust"," mit Keycloak + OPA + Cilium",[116,692,694],{"id":693},"ein-realistischer-migrationspfad-nach-bsi-logik","Ein realistischer Migrationspfad nach BSI-Logik",[69,696,697],{},"Wir migrieren in der Reihenfolge, die das BSI selbst nahelegt:",[182,699,701],{"id":700},"schritt-1-strukturanalyse-und-schutzbedarfsfeststellung-woche-12-step-1","Schritt 1: Strukturanalyse und Schutzbedarfsfeststellung (Woche 1–2) {#step-1}",[69,703,704],{},"Informationsverbund vollständig erfassen, Schutzbedarf je Komponente ermitteln, kritische Bausteine identifizieren.",[182,706,708],{"id":707},"schritt-2-identity-access-orp-keycloak-ersetzt-entra-id-woche-34-step-2","Schritt 2: Identity & Access (ORP) – Keycloak ersetzt Entra ID (Woche 3–4) {#step-2}",[69,710,711],{},"Keycloak als zentrale Identitätsplattform, MFA und föderierte Authentifizierung, Migration der Nutzer-Identitäten ohne Passwort-Reset.",[182,713,715],{"id":714},"schritt-3-e-mail-app52-mailcow-stalwart-ersetzt-exchange-online-woche-57-step-3","Schritt 3: E-Mail (APP.5.2) – Mailcow / Stalwart ersetzt Exchange Online (Woche 5–7) {#step-3}",[69,717,718],{},"Mail-Server in EU-Rechenzentrum, S/MIME oder OpenPGP für Mail-Verschlüsselung, IMAP/JMAP-Migration aller Postfächer, MX-Cutover mit Null-Downtime.",[182,720,722,723,727],{"id":721},"schritt-4-datei-kollaboration-app4-nextcloud-onlyoffice-ersetzt-onedrive-sharepoint-und-office-woche-811-step-4","Schritt 4: Datei & Kollaboration (APP.4) – ",[89,724,726],{"href":725},"/blog/nextcloud-vs-onedrive-sharepoint","Nextcloud + ONLYOFFICE"," ersetzt OneDrive, SharePoint und Office (Woche 8–11) {#step-4}",[69,729,730,734],{},[89,731,733],{"href":732},"/blog/nextcloud-fuer-kmu","Nextcloud Hub für KMU"," mit ONLYOFFICE oder Collabora, Migration der Dateien aus OneDrive/SharePoint inklusive Versionshistorie, E2EE für sensible Bereiche.",[182,736,738,739,743],{"id":737},"schritt-5-kommunikation-element-matrix-ersetzt-teams-woche-1213-step-5","Schritt 5: Kommunikation – ",[89,740,742],{"href":741},"/blog/microsoft-teams-alternative","Element / Matrix"," ersetzt Teams (Woche 12–13) {#step-5}",[69,745,746,747,751],{},"Wie es die ",[89,748,750],{"href":749},"/blog/eu-kommission-matrix","EU-Kommission selbst vormacht",": Matrix-Homeserver in EU, Element als Client, Element Call für Videokonferenzen.",[182,753,755],{"id":754},"schritt-6-endpoint-härtung-sys2x-woche-1416-step-6","Schritt 6: Endpoint-Härtung (SYS.2.x) (Woche 14–16) {#step-6}",[69,757,758],{},"Linux- oder gehärteter Windows-Client mit Wazuh-Agent, Disk-Encryption, MDM-Profile, Application Whitelisting.",[182,760,762],{"id":761},"schritt-7-durchgehende-audit-dokumentation-nach-it-grundschutz-methodik-step-7","Schritt 7: Durchgehende Audit-Dokumentation nach IT-Grundschutz-Methodik {#step-7}",[69,764,765],{},"Strukturanalyse, Schutzbedarfsfeststellung, Modellierung, IT-Grundschutz-Check und Risikoanalyse für jeden Baustein nachweisbar dokumentieren — als belastbarer Audit-Nachweis für DSGVO, NIS2 und Cyber-Versicherer.",[69,767,768,769,772,773,776,777,781],{},"Für ein KMU mit 20–100 Mitarbeitern: ",[73,770,771],{},"8–16 Wochen",", Festpreis, ",[73,774,775],{},"inklusive Grundschutz-Dokumentation"," für Audit / NIS2-Nachweis / Cyber-Versicherer. Die ",[89,778,780],{"href":779},"/blog/microsoft-vs-opensource","Kosten-Gegenüberstellung Microsoft 365 vs. Open Source"," zeigt zusätzlich, dass die Migration sich auch wirtschaftlich rechnet — meist innerhalb von 12 Monaten.",[116,783,785],{"id":784},"fazit","Fazit",[69,787,788,789,792,793,203],{},"Es gibt keine seriöse Lesart des IT-Grundschutz-Kompendiums, in der Microsoft 365 die sicherheitskritischen Bausteine ",[73,790,791],{},"vollständig"," erfüllt. Wer ein Microsoft-365-Setup als „BSI-konform\" verkauft – intern oder vom Dienstleister –, hat ",[73,794,795],{},"entweder die Bausteine nicht gelesen oder verschweigt das Ergebnis",[69,797,798,799,322,802,322,805,808,809,203],{},"Die EU-Open-Source-Stack-Alternativen sind heute ",[73,800,801],{},"reif",[73,803,804],{},"interoperabel",[73,806,807],{},"kostengünstiger im Total-Cost-of-Ownership"," und – wichtigster Punkt – ",[73,810,811],{},"strukturell BSI-konform",[69,813,814],{},"Wir machen aus dem Compliance-Risiko ein dokumentiertes, auditierbares Asset.",[69,816,817],{},[89,818,820],{"href":819},"/contact?subject=BSI-Grundschutz","BSI-Grundschutz-Workshop buchen →",[822,823],"hr",{},[69,825,826],{},[73,827,828],{},"Verwandte Beiträge:",[415,830,831,836,841],{},[131,832,833],{},[89,834,835],{"href":91},"NIS2 und DSGVO mit Microsoft 365 – Das Compliance-Paradox",[131,837,838],{},[89,839,840],{"href":335},"CLOUD Act 2026 – Warum US-Cloud rechtlich nicht mehr tragbar ist",[131,842,843],{},[89,844,845],{"href":779},"Microsoft 365 vs. Open Source – Der große Kostenvergleich für KMU",{"title":847,"searchDepth":848,"depth":848,"links":849},"",2,[850,851,860,865,866,873,884],{"id":118,"depth":848,"text":119},{"id":179,"depth":848,"text":180,"children":852},[853,855,856,857,858,859],{"id":184,"depth":854,"text":185},3,{"id":206,"depth":854,"text":207},{"id":257,"depth":854,"text":258},{"id":279,"depth":854,"text":280},{"id":311,"depth":854,"text":312},{"id":362,"depth":854,"text":363},{"id":380,"depth":848,"text":381,"children":861},[862,863,864],{"id":384,"depth":854,"text":385},{"id":409,"depth":854,"text":410},{"id":446,"depth":854,"text":447},{"id":457,"depth":848,"text":458},{"id":541,"depth":848,"text":542,"children":867},[868,869,870,871,872],{"id":552,"depth":854,"text":553},{"id":582,"depth":854,"text":583},{"id":606,"depth":854,"text":607},{"id":630,"depth":854,"text":631},{"id":660,"depth":854,"text":661},{"id":693,"depth":848,"text":694,"children":874},[875,876,877,878,880,882,883],{"id":700,"depth":854,"text":701},{"id":707,"depth":854,"text":708},{"id":714,"depth":854,"text":715},{"id":721,"depth":854,"text":879},"Schritt 4: Datei & Kollaboration (APP.4) – Nextcloud + ONLYOFFICE ersetzt OneDrive, SharePoint und Office (Woche 8–11) {#step-4}",{"id":737,"depth":854,"text":881},"Schritt 5: Kommunikation – Element / Matrix ersetzt Teams (Woche 12–13) {#step-5}",{"id":754,"depth":854,"text":755},{"id":761,"depth":854,"text":762},{"id":784,"depth":848,"text":785},"2026-05-20T00:00:00.000Z","Das BSI verlangt im IT-Grundschutz-Kompendium nachweisbare Kontrolle über Schlüssel, Standort und Audit. Microsoft 365 erfüllt keinen einzigen kritischen Baustein vollständig. Die Bausteine OPS.2.2, APP.5.2 und CON.3 zeigen warum – inklusive Migrationspfad.","md",[889,891,894,897,900,903],{"q":385,"a":890},"Nein. Ein C5-Testat ist eine Selbstauskunft mit Wirtschaftsprüfer-Bestätigung, kein Rechtsgutachten. Es prüft operative Sicherheitsmaßnahmen, nicht die Drittstaaten-Zugriffsproblematik. Insbesondere die Kriterien BC-01 bis BC-04 (Standort, Subunternehmer, Rechtsraum, Datenherausgabe) bestehen den juristischen Test gegenüber dem CLOUD Act nicht.",{"q":892,"a":893},"Kann ich mit BYOK (Bring Your Own Key) BSI-Anforderungen erfüllen?","Nein. Bei Microsoft 365 liegen die BYOK-Schlüssel in Microsoft-administrierten HSMs. Microsoft hält weiterhin Zugriff für Indexierung, Suche, Anti-Spam und Copilot. CON.1.A8 (Sichere Aufbewahrung der Krypto-Schlüssel) bleibt damit unerfüllt — ein BSI-Auditor trägt hier ehrlicherweise „nicht erfüllt\" ein.",{"q":895,"a":896},"Gibt es im BSI-Kompendium einen eigenen Baustein für Exchange Online?","Nein. Der Baustein APP.5.2 adressiert die On-Premise-Variante von Exchange/Outlook. Für Exchange Online (Teil von M365) füllt nur OPS.2.2 die Lücke teilweise — die spezifischen Cloud-Risiken bleiben unadressiert.",{"q":898,"a":899},"Ist eine OPS.2.2-konforme Exit-Strategie aus Microsoft 365 realistisch?","Nur mit massivem Aufwand. Microsoft 365 nutzt proprietäre Formate (Teams-Channels, OneNote-Notebooks, SharePoint-Sites, Power-Platform-Flows) und proprietäre Identity. Eine realistische Rückführung ist in Monaten, nicht Stunden, zu kalkulieren — und mit signifikantem Datenverlust verbunden.",{"q":901,"a":902},"Schließen sich ORP.5 (Compliance-Management) und Microsoft 365 strukturell aus?","Ja. ORP.5.A2 verlangt Einhaltung von DSGVO und GeschGehG. Beide werden durch den CLOUD Act strukturell verletzt, sobald US-Behörden eine Anfrage stellen — DSGVO Art. 48 und GeschGehG § 4 sind nicht vereinbar mit der zwingenden US-Datenherausgabe.",{"q":904,"a":905},"Welche Open-Source-Komponenten erfüllen die kritischen BSI-Bausteine vollständig?","Schlüsselhoheit (CON.1) über HashiCorp Vault / OpenBao + BSI-zertifizierte HSMs (nCipher, Utimaco, Securosys). Backup (CON.3) über Borg / Restic auf zweite EU-Cloud. Cloud-Exit (OPS.2.2) durch offene Formate (ODF, Markdown, ICS, vCard, MBOX) und Standard-APIs (CalDAV, IMAP, S3, OIDC). Hosting in EU oder On-Premise schließt das CLOUD-Act-Risiko strukturell aus.",{"name":907,"description":908,"totalTime":909,"steps":910},"BSI-IT-Grundschutz-konforme Migration von Microsoft 365 auf souveräne Open-Source-Infrastruktur","Siebenstufiger Migrationspfad nach BSI-Methodik – von Strukturanalyse über Identity- und E-Mail-Ablösung bis zur durchgehenden Audit-Dokumentation.","P16W",[911,914,917,920,923,926,929],{"name":912,"text":913},"Strukturanalyse und Schutzbedarfsfeststellung","Informationsverbund vollständig erfassen, Schutzbedarf je Komponente ermitteln, kritische Bausteine identifizieren. Woche 1–2.",{"name":915,"text":916},"Identity & Access (ORP) – Keycloak ersetzt Entra ID","Keycloak als zentrale Identitätsplattform einrichten, MFA und föderierte Authentifizierung, Migration der Nutzer-Identitäten ohne Passwort-Reset über SCIM/LDIF. Woche 3–4.",{"name":918,"text":919},"E-Mail (APP.5.2) – Mailcow / Stalwart ersetzt Exchange Online","Mail-Server in EU-Rechenzentrum aufsetzen, S/MIME oder OpenPGP für Mail-Verschlüsselung, IMAP/JMAP-Migration aller Postfächer, MX-Cutover mit Null-Downtime. Woche 5–7.",{"name":921,"text":922},"Datei & Kollaboration (APP.4) – Nextcloud + ONLYOFFICE ersetzt OneDrive, SharePoint und Office","Nextcloud Hub mit ONLYOFFICE oder Collabora als Office-Suite, Migration der Dateien aus OneDrive/SharePoint inklusive Versionshistorie, E2EE-Konfiguration für sensible Bereiche. Woche 8–11.",{"name":924,"text":925},"Kommunikation – Element / Matrix ersetzt Teams","Matrix-Homeserver in EU aufsetzen, Element als Client, Element Call für Videokonferenzen, Räume- und Kanal-Migration nach Abteilungen. Woche 12–13.",{"name":927,"text":928},"Endpoint-Härtung (SYS.2.x)","Linux- oder gehärteter Windows-Client mit Wazuh-Agent, Disk-Encryption, MDM-Profile, Application Whitelisting. Woche 14–16.",{"name":930,"text":931},"Durchgehende Audit-Dokumentation nach IT-Grundschutz-Methodik","Strukturanalyse, Schutzbedarfsfeststellung, Modellierung, IT-Grundschutz-Check und Risikoanalyse für jeden Baustein nachweisbar dokumentieren — als belastbarer Audit-Nachweis für DSGVO, NIS2 und Cyber-Versicherer. Läuft parallel zu allen Migrationsschritten.",{"src":933},"https://images.unsplash.com/photo-1518770660439-4636190af475?w=1200&q=80",{},true,"/de/blog/bsi-grundschutz-microsoft-365",{"title":52,"description":886},"de/3.blog/11.bsi-grundschutz-microsoft-365","O16jBU8HA_HcboVs0zCR75EnVhGM7LysRH-nHqMGkjY",[941,946],{"title":942,"path":943,"stem":944,"description":945,"children":-1},"NIS2 und DSGVO mit Microsoft 365 – Das Compliance-Paradox deutscher Unternehmen","/de/blog/nis2-dsgvo-microsoft-paradox","de/3.blog/10.nis2-dsgvo-microsoft-paradox","NIS2, DSGVO und BSI fordern strikte Datenkontrolle. Gleichzeitig laufen 90 % der Unternehmen auf US-Cloud, die per CLOUD Act offen wie ein Scheunentor ist. Warum die Compliance-Lüge 2026 platzt – und was Sie jetzt tun müssen.",{"title":947,"path":948,"stem":949,"description":950,"children":-1},"Microsoft 365 Copilot Flex Routing – Wie die EU Data Boundary 2026 stillschweigend aufgeweicht wird","/de/blog/microsoft-copilot-flex-routing","de/3.blog/12.microsoft-copilot-flex-routing","Seit April 2026 verlässt Copilot-AI-Inferenz die EU bei Lastspitzen – per Default. Plus Anthropic als Sub-Processor außerhalb der EU Data Boundary. Was deutsche KMU jetzt prüfen und abschalten müssen.",1779405614738]