Ein massiver Cyberangriff zwingt Microsoft und die CISA zu drastischen Maßnahmen: Neue, erweiterte Cloud-Protokolle, die „Expanded Cloud Logs“ sollen Unternehmen schützen – aber nur, wenn sie richtig genutzt werden. Warum jetzt Logging-Strategien über Erfolg oder Scheitern der IT-Sicherheit entscheiden.
Die aktuellen Richtlinien der CISA in Verbindung mit den erweiterten Protokollierungsfunktionen sollen die Cloud-Umgebungen von Microsoft sicherer machen.
(Bild: tippapatt - stock.adobe.com)
Geschichten, die sich um staatlich gesponserte Hacker-Angriffe ranken, sind nicht zuletzt ein beliebtes Hollywood-Genre. Fiktion allerdings nur bis zu dem Punkt, an dem unseren eigenen privaten Daten oder Unternehmensinformationen im Dark Web oder in den Händen von Hackern landen. Im wirklichen Leben lösen die Aktionen von Gruppen, die sich auf Cyberspionage spezialisiert haben, eine Kaskade von strengeren Sicherheitsmaßnahmen aus. Zunächst betreffen diese Regierungsbehörden und regierungsnahe Institutionen. In der Folge werden die Anforderungen zumeist in Industrienormen gegossen. Anbieter, die ihrerseits an Regierungen und Behörden verkaufen wollen, werden so mit sanftem Nachdruck genötigt, sich an diese Normen zu halten.
Das kürzlich angekündigte Microsoft Expanded Cloud Logs Implementation Playbook, herausgegeben von der US Cybersecurity and Infrastructure Security Agency (CISA), ist so ein Fall. Begonnen hat alles im Juli 2023. Der chinesischen Cyberspionage-Gruppe Storm-0558 gelang es eine Schwachstelle in Microsofts Outlook-E-Mail-System ausnutzen und sich Zugriff auf E-Mail-Konten von US-Behörden und anderen Organisationen zu verschaffen. Mithilfe eines gestohlenen Microsoft-Sicherheitsschlüssels gelang es den Angreifern Authentifizierungstoken zu fälschen und so die Sicherheitsmaßnahmen zu umgehen. Tatsächlich nutzen die meisten Angriffe BEC (Business Email Compromise) als Einstiegspunkt für ihre Angriffsvektoren. Und warum? Weil es funktioniert.
In der Folge ergänzte Microsoft die kostenlosen Protokollierungsfunktionen für alle Benutzer des Purview Audit Standards, nebst einiger weiterer Änderungen. Angesichts der Tatsache, dass es zukünftig weiterer Sicherheitsmaßnahmen bedürfe, nahm sich die CISA der Sache an. Sie hob insbesondere das transformative Potenzial von Microsofts erweiterten Cloud-Protokollen bei der Bedrohungserkennung hervor und stellte entsprechende Richtlinien in einem Playbook bereit.
Die erweiterten Cloud-Protokolle in Microsoft Purview
Microsoft und die CISA hatten sich im Oktober 2023 zusammengetan und eine Art Leitfaden für Behörden und Unternehmen verfasst. Hierin geht es um die Nutzung der Cloud Logs an sich und wie sich die Quellen für Protokolldaten erweitern lassen. Microsoft Purview Audit hat die Messlatte mit seinen erweiterten Protokollierungsfunktionen höher gelegt. Firmen haben jetzt die Möglichkeit, Tausende von Events in Exchange, SharePoint und Teams zu überwachen. Die aktuellen Protokolle erlauben einen tieferen Einblick in die Aktivitäten von Benutzern und Administratoren. Die Idee stammt ursprünglich von der CISA selbst und wurde insbesondere als Mittel gegen fortschrittliche Intrusion-Techniken empfohlen.
Wenn Unternehmen darauf verzichten, die von Microsoft hinzugefügten Protokolle zu sammeln und zu nutzen, wissen sie nicht was in ihren IT-Systemen vor sich geht oder aufgrund von "blinden Flecken" regelmäßig übersehen wird.
Diese Protokolltypen sind:
Microsoft Exchange Audit Logs
Microsoft SharePoint Audit Logs
Microsoft Teams Audit Logs
Microsoft Viva Engage Audit Logs
Microsoft Stream Audit Logs
Herausforderungen bei der Operationalisierung der neuen Protokolldaten
Das Datenvolumen: Wie bei jeder Art von Protokoll ist auch das Sammeln, Verarbeiten, Normalisieren und Versenden von Cloud-Protokollen nicht ganz ohne Herausforderungen. Gerade wenn es darum geht die Protokolle zu operationalisieren. Ohne eine effektive Lösung laufen Unternehmen leicht Gefahr, von der schieren Menge an Audit Events überflutet zu werden. Das führt unter Umständen zu hohen Speicherkosten. Zudem ist es nicht ganz einfach, relevante Daten zu herauszufiltern, um verwertbare und umsetzbare Erkenntnisse zu gewinnen.
Anpassung an bestehende SIEMs: Um die Daten zu verarbeiten, anzuzeigen und Warnmeldungen auf der Grundlage der neu verfügbaren protokollierten Ereignisse auszulösen, muss man die SIEM-Konfiguration entsprechend anpassen. Ohne Protokolldaten zu Sicherheitsvorkommnissen, fehlen Vorfallswarnungen in Echtzeit. Gleichzeitig haben Unternehmen keine Möglichkeit, Probleme bis zu deren Ursache zurückzuverfolgen. Man sollte sich immer vergegenwärtigen: SIEMs sind für die Analyse optimiert, aber Analysen sind immer nur so gut wie die bereitgestellten Datenquellen. Wenn man wesentliche Datenquellen nicht mit einbezieht, sind die Analysen mindestens unvollständig, wenn nicht unzuverlässig.
Filterung relevanter Daten: Das CISA Playbook unter dem Titel „Microsoft Expanded Cloud Logs Implementation Playbook“ beschäftigt sich mit Splunk und dem eigenen SIEM-Angebot Microsoft Sentinel. Hier wird erklärt, wie man diese Protokolle am besten verwendet. Das ist hilfreich für diejenigen, die genau diese beiden Technologien verwenden. Alle anderen müssen selbst nach einer Lösung suchen. Wenn man die bestehenden Konfigurationen und Systeme so anpassen will, dass sie die neu verfügbaren Protokolldaten verarbeiten und nutzen können, ist das alles andere als trivial. Fehlen ein genaues Verständnis der neuen Protokolldaten oder die geeigneten Tools, sind die IT-Ressourcen schnell erschöpft. Und zwar sowohl personell als auch finanziell.
Herausforderungen bei Microsofts erweiterten Cloud Logs bewältigen
Was also tun, wenn das eigene Unternehmen nicht zum Microsoft Sentinel- und Splunk SIEM-Ökosystem gehört?
Wer Microsoft Sentinel oder Splunk verwendet, kann vermutlich darauf bauen, dass die Protokolle bereits unterstützt werden - die Realität ist jedoch meist komplexer. Dies sind nur zwei von vielen weiteren SIEM-Lösungen. Die meisten Unternehmen sind noch dabei, Wege zu finden, wie sie die zusätzlichen Datenquellen einbringen und einen wirklichen Mehrwert aus ihren Protokolldaten ziehen können.
Wer diese Protokolle effektiv handhaben will, der braucht eine auf seine Anforderungen zugeschnittene Lösung. Es gibt also ganz offensichtlich einen Bedarf, der über die Möglichkeiten der nativen SIEM-Integrationen hinausgeht. Hier kommt eine plattformübergreifende Protokollierungslösung ins Spiel. Firmen sind auf umfangreiche Funktionen angewiesen, um die Datenquellen zu erfassen - von bestehenden Systemen über BEC-Daten bis hin zu Cloud-Anwendungen, die das Sammeln, Filtern und Normalisieren von Protokollen aus Microsoft-Technologien vereinfachen. Ziel ist es, alles aus den jeweiligen Cloud-Protokollen herauszuholen, was möglich ist.
Die Vorteile einer übergreifenden Logging-Plattform in der Praxis
Übergreifende Logging-Plattformen bieten Unternehmen eine Reihe von Vorteilen. Eine fortschrittliche Protokollerfassung und nahtlose Verarbeitung unterstützen Anwender dabei, Ereignisse in Microsoft 365 und darüber hinaus zu korrelieren, unabhängig von ihrer bevorzugten SIEM-Lösung. Dies hilft beispielsweise dabei, einen unbefugten Zugriff auf das E-Mail-System schneller zu erkennen. Gleiches gilt für ungewöhnliche Suchvorgänge oder potenzielle Insider-Bedrohung en. Ein vorausschauender Ansatz schützt aber nicht nur vor Cyberbedrohungen, sondern trägt auch dazu bei, Compliance-Anforderungen besser zu erfüllen. Stellen Sie sich beispielsweise ein mittelständisches Unternehmen vor, das mit einem plötzlichen Anstieg von Phishing-Versuchen konfrontiert ist. Mit einer plattformübergreifenden Logging-Plattform lassen sich Microsoft Purview Audit Logs sammeln und verarbeiten, um ungewöhnliche Zugriffsmuster zu erkennen und einen möglichen Sicherheitsverstoß nahezu in Echtzeit zu melden. So kann man Schäden begrenzen und die Sicherheitslage insgesamt verbessern.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Die CISA räumt ein, dass die Umsetzung der Empfehlungen für kleine und mittelgroße Unternehmen im Moment noch kostspielig sein kann. Trotzdem spricht einiges dafür, dass diese Empfehlungen im Laufe der Zeit zu verbindlichen Anforderungen werden. Man kann davon ausgehen, dass sich immer wieder neue Quellen für Protolldaten erschließen und für die IT-Sicherheit nutzbar machen lassen. Mit einem vorausschauenden Ansatz sind Unternehmen deutlich besser für die Zukunft gewappnet.
Die aktuellen Richtlinien der CISA in Verbindung mit den erweiterten Protokollierungsfunktionen von Microsoft markieren einen gewichtigen Fortschritt, um die Herausforderungen bei der Cybersicherheit anzugehen.
Die Integration dieser Protokolle in einer plattformübergreifenden Logging-Lösung unterstützt Unternehmen dabei, proaktiv gegen Bedrohungen vorzugehen und gleichzeitig eine strenge Compliance aufrechtzuerhalten sowie Sicherheitslücken zu beseitigen.
Über den Autor: Botond Botyánszki ist Gründer, CEO und CTO von NXLog.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f8/4f/f84f6d7e58d390cfb9ccd24604f29680/0128949614v2.jpeg "Vom 3. bis 10. Februar 2026 haben Schülerinnen und Schüler die Möglichkeit, an der Hacking Challenge der TH Augsburg teilzunehmen, bei der sie eine bösartige KI aufhalten müssen, indem sie in einem Capture-the-Flag-Wettbewerb Sicherheitsprobleme lösen. (Bild: SVasco - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/50/035093fa21967192ed89ad7d199a89cf/0128925549v1.jpeg "Threat Intelligence liefert Rohdaten zur Bedrohungslage. Erst die kontextbezogene Bewertung und Zuordnung zu eigenen Assets macht sie für Detektion und Threat Hunting nutzbar. (Bild: © Pakin - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/43/0a439494e291abc64fc198fcfb7d23cd/0128778210v2.jpeg "Informationen darüber, dass eine kritsche Schwachstelle in IBM API Connect aktiv ausgenutzt wird, gibt es bisher nicht. Dennoch sollten Nutzer dringend die Interim Fixes installieren, da Cyberkriminelle ansonsten ohne Anmeldung auf Systeme zugreifen können. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/fc/62/fc6241572174058c15f52b26aa9cbffc/0128589742v1.jpeg "Betreiber kritischer Infrastrukturen melden laut Thales weniger Sicherheitsvorfälle, sehen aber wachsende Risiken durch KI-Systeme und künftige Entschlüsselungsszenarien im Post-Quanten-Kontext. (Bild: © SVasco - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/6f/4c6ffa4ee2503e5ba4c23eaae095d7d4/0125105677v1.jpeg "Mit check_cert lassen sich SSL/TLS-Zertifikate bis ins Detail prüfen – von Laufzeiten über Signaturverfahren bis hin zu Aussteller-Details. (Bild: Lang | Checkmk)")
:quality(80)/p7i.vogel.de/wcms/ac/7d/ac7de267fffd98226a6feeee8275e6de/0128963385v2.jpeg "NIS 2 gilt! Alles, was Unternehmen dazu nun wissen müssen, gibt es im Fakten-Check mit Prof. Dennis-Kenji Kipker im Security-Insider-Podcast. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/ab/c4/abc4346adf0d031c478a138dd10e3ec9/0128637719v2.jpeg "Die Schwachstelle, die HashJack ausnutzt, besteht laut Cato darin, dass KI-Browser unsichtbare URL-Fragmente lokal verarbeiten und deren versteckte Befehle ungeprüft in den Kontext des KI-Assistenten übernehmen. (Bild: © leszekglasner - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6e/2d/6e2dae8dfad47cd031d8727dc87e578b/0128886755v1.jpeg "Lohn- und Gehaltsabrechnungen enthalten besonders sensible personenbezogene Daten und unterliegen strengen datenschutzrechtlichen Anforderungen. (Bild: © StockPhotoPro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2d/a4/2da4b696d03840fc37a3f5e234c9835e/0128976696v2.jpeg "User and Entity Behavior Analytics erkennt Angriffe, bei denen Kriminell legitime Nutzerkonten missbrauchen, in Echtzeit, indem es Verhalten analysiert und relevante Ereignisse kontextuell korreliert, um interne Bedrohungen effizient zu identifizieren. (Bild: ImageFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/94/d1/94d1da55da4af6da014a7d9d42576ca8/0128830479v2.jpeg "Crowdstrike übernimmt den Identitätsspezialisten SGNL. Diese Akquisition zielt darauf ab, die Next-Gen Identity Security auszubauen und Zugriffe von menschliche sowie nicht-menschliche Identitäten sicherer zu verwalten. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1c/f5/1cf5cfb8d1888abeecba82e9c7e396f1/0127320123v1.jpeg "SSoT ist keine neue Technologie, spielt aber eine immer wichtigere Rolle in modernen Netzwerken. (Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/ab/f9/abf9df1f15ee1b1e9920eec42f491548/0126593157v1.jpeg "Eine Zero-Click-Schwachstelle ist eine ohne Benutzerinteraktion ausnutzbare Sicherheitslücke, ein Zero-Click-Angriff ist damit ein Cyberangriff ohne bewusste Interaktion eines Anwenders. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/e9/e4/e9e46cb902bc964811a46b3dc1b6645e/0128371921v1.jpeg "Unter Post-Quanten-Kryptographie (PQC) versteht man eine auf klassischen Computern einsetzbare, von Quantencomputern nicht zu brechende Verschlüsselung. (Bild: agsandrew via Getty Images)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/b3/e5b32e348869fe4743f002bd90233d65/0118008844.jpeg "Nach mehreren Cyberattacken und Sicherheitslücken in den vergangenen Monaten, fordern US-Behörden, dass Microsoft seine Sicherheitskultur deutlich überarbeitet. (Bild: Sono Creative - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/53/00/53004975a5f819e01f296a7d8787f7da/0118952062v1.jpeg "Eine Schwachstelle in Microsoft Azure ermöglicht es Angreifern, Firewall-Regeln, die auf Azure Service Tags basieren, zu umgehen. Microsoft plant, diese Schwachstelle nicht durch einen Patch zu beheben. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/a7/7c/a77cc8fbf1a892cd02e3708a1753866c/0122043762v1.jpeg "Die Tür ist offen, der Schlüssel verfügbar und dennoch bleibt Deutschland im goldenen Käfig und nutzt weiterhin die user- aber nicht unbedingt daten-freundliche Cloud von Microsoft. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f2/3c/f23c3cb20b569c7839fe6be7a6df2e48/0124169347v2.jpeg "Obwohl das Risiko von Hacker-Angriffen stetig wächst, verfügen immer noch rund 40 Prozent der KMU über keinen angemessenen IT-Security-Schutz. (Bild: Maria Mikhaylichenko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/dc/32/dc32f2c0e47a10fb28fc07745b269a1f/0122770891v2.jpeg "Erfolgreiche Cybersicherheitsstrategien erfordern ein sorgfältiges Zusammenspiel von Echtzeitgeschwindigkeit und der Fähigkeit, historische Daten auch über lange Zeitachsen hinweg zu analysieren. (Bild: Lila Patel - stock.adobe.com)")