Warum SC-900 der perfekte Einstieg in Microsofts Security-Welt ist
Im Überblicksartikel zu den Microsoft-Sicherheitszertifizierungen habe ich den SC-900 – Security, Compliance und Identity Fundamentals bereits als Einstiegspunkt in die Welt von Microsoft Security vorgestellt. In diesem Beitrag gehe ich nun detailliert auf die Inhalte dieser Zertifizierung ein und lege die sicherheitstechnischen Grundlagen dar, die jede:r IT-Interessierte kennen sollte.
Die Prüfung SC-900 ist Teil der Microsoft Fundamentals-Reihe, die verschiedene Themenbereiche mit einem breiten, praxisorientierten Einstieg abdeckt. Neben Sicherheit, Compliance und Identität gibt es zum Beispiel:
- AI-900: Microsoft Azure AI Fundamentals – Grundlagen zu künstlicher Intelligenz und Machine Learning in Azure
- DP-900: Microsoft Azure Data Fundamentals – Grundlagen zur Arbeit mit Datenbanken, Analysen und Data Warehouses
Damit reiht sich der SC-900 in eine Zertifizierungsschiene ein, die bewusst niedrige Einstiegshürden bietet, keine tiefen technischen Vorkenntnisse voraussetzt und dennoch wertvolles Basiswissen für moderne IT-Architekturen vermittelt.
Für alle, die sich eigenständig vorbereiten möchten: Microsoft stellt die vollständigen Lerninhalte und Lernpfade zum SC-900 kostenfrei bereit. Diese sind hier abrufbar: Microsoft Learn – SC-900 Vorbereitung und Lernpfade
Grundlagen von Security, Compliance und Identity
Bevor wir in die spezifischen Microsoft-Dienste einsteigen, legt der SC-900 großen Wert auf ein gemeinsames Verständnis der grundlegenden Sicherheitskonzepte. Diese Basis ist entscheidend, da sie in allen modernen IT-Architekturen – egal ob Cloud oder On-Premises – eine zentrale Rolle spielt.
Die drei Kernprinzipien der Informationssicherheit
Die Informationssicherheit basiert auf drei grundlegenden Prinzipien, die in allen IT-Architekturen eine zentrale Rolle spielen:
- Verfügbarkeit (Availability):Systeme und Informationen müssen zur richtigen Zeit an der richtigen Stelle verfügbar sein
- Vertraulichkeit (Confidentiality): Daten dürfen nur von autorisierten Personen oder Systemen eingesehen werden
- Integrität (Integrity): Daten müssen korrekt, vollständig und vor Manipulation geschützt sein
Diese Prinzipien sind nicht nur theoretische Modelle, sondern bestimmen ganz konkret, wie Sicherheitsmaßnahmen in der Praxis umgesetzt werden, vom Passwortschutz über Backups bis hin zu modernen Cloud-Szenarien.
Das Zero-Trust-Modell
Microsoft stellt im Kontext des SC-900 das Zero-Trust-Modell in den Mittelpunkt. Der klassische Ansatz Trust but Verify gilt längst als überholt – stattdessen heißt es heute: Never trust, always verify.
Zero Trust basiert auf drei Kernpunkten:
- Explizit überprüfen: Jeder Zugriff wird authentifiziert, autorisiert und protokolliert
- Geringste Rechte nutzen: Benutzer:innen und Dienste erhalten nur die Berechtigungen, die sie wirklich benötigen
- Von einem Sicherheitsvorfall ausgehen: Systeme und Architekturen werden so gestaltet, dass ein potenzieller Angriff eingedämmt und überwacht werden kann
Damit rückt Zero Trust weg von der Vorstellung, dass es einen sicheren Perimeter gibt. Sicherheit muss auf allen Ebenen – Identität, Gerät, Anwendung, Daten und Netzwerk – durchgängig gewährleistet sein.
Shared Responsibility: gemeinsame Verantwortung in der Cloud
Ein weiteres grundlegendes Konzept ist die geteilte Verantwortung zwischen Cloud-Anbieter und Kund:innen.
- Microsoft sorgt als Anbieter für die physische Sicherheit der Rechenzentren, die Netzwerkinfrastruktur und die Verfügbarkeit der Plattform
- Kund:innen sind verantwortlich für ihre eigenen Daten, Benutzerkonten, Zugriffsrechte und die Konfiguration der bereitgestellten Dienste
Dieses Modell ist essenziell, um Missverständnisse zu vermeiden. Ein Beispiel: Nutzt eine Organisation Microsoft 365, ist Microsoft für die Verfügbarkeit der Dienste zuständig, die Einrichtung von Multi-Faktor-Authentifizierung oder die richtige Konfiguration von Conditional Access liegt jedoch in der Verantwortung der Administrator:innen.
Microsoft Identity und Access Management (IAM)
Ein zentrales Thema des SC-900 ist die Identität. Microsoft stellt klar: Identität ist der neue Sicherheitsperimeter. Während früher Firewalls und Netzwerke die wichtigste Schutzschicht bildeten, rückt heute die digitale Identität von Benutzer:innen und Diensten in den Mittelpunkt.
Microsoft Entra ID (ehem. Azure Active Directory)
Herzstück des Identitätsmanagements ist Microsoft Entra ID, die Cloud-basierte Identitäts- und Zugriffsverwaltung. Sie ermöglicht Organisationen, Benutzer:innen, Gruppen, Geräte und Anwendungen zentral zu verwalten.
Typische Funktionen von Entra ID sind:
- Rollenbasierte Zugriffssteuerung (RBAC): präzise Vergabe von Berechtigungen auf Basis von Rollen
- Self-Service Password Reset (SSPR): Entlastung der IT durch eigenständige Kennwortzurücksetzung
- Single Sign-On (SSO): einheitliche Anmeldung für Cloud- und On-Premises-Anwendungen
Authentifizierungsmethoden
Sichere Authentifizierung ist die Grundlage jeder modernen Sicherheitsarchitektur. Microsoft unterstützt im Rahmen von Entra ID verschiedene Verfahren:
- Klassisches Kennwort (mit Mindestanforderungen, aber zunehmend unsicher)
- Multi-Faktor-Authentifizierung (MFA), z.B. mit Authenticator-App oder Hardware-Token
- Passwortlose Verfahren, z.B. FIDO2-Sicherheitsschlüssel oder biometrische Anmeldung mit Windows Hello
Gerade MFA gilt heute als Mindeststandard, um Konten zuverlässig gegen unbefugten Zugriff zu schützen.
Bedingter Zugriff (Conditional Access)
Eine der wichtigsten Funktionen von Entra ID ist Conditional Access. Damit lässt sich granular steuern, wer, wann und wie auf Unternehmensressourcen zugreifen darf.
Beispiele:
- Blockierung aus bestimmten Ländern oder Regionen
- Zugriff nur von firmeneigenen Geräten
- Zusätzliche MFA-Abfrage bei ungewöhnlichen Anmeldeversuchen
Conditional Access wird in der Praxis schnell zum Dreh- und Angelpunkt einer Zero-Trust-Strategie, da hier Identität, Gerät und Kontext miteinander verknüpft werden.
Identity Governance
Ein weiterer Baustein im Bereich Identity ist die Identity Governance. Sie sorgt dafür, dass Benutzer:innen nicht nur sicher angemeldet sind, sondern auch die richtigen Zugriffsrechte haben.
Dazu gehören:
- Access Reviews, um regelmäßig zu prüfen, ob Rechte noch benötigt werden
- Automatisierte Workflows für Genehmigungen und Rezertifizierungen
- Lebenszyklus-Management von Identitäten (Joiner, Mover, Leaver)
Zusammengefasst zeigt sich: Identität ist der zentrale Baustein moderner IT-Sicherheit. Mit Entra ID, Conditional Access und Identity Governance stellt Microsoft nicht nur die nötigen Werkzeuge bereit, um Benutzer:innen und Zugriffe abzusichern, sondern auch, um diese Prozesse effizient und nachvollziehbar zu gestalten. Wer die Grundlagen im Bereich Identitätsmanagement beherrscht, schafft damit die Basis für jede Zero-Trust-Strategie – und legt gleichzeitig den Grundstein für die weiterführenden Zertifizierungen im Security-Umfeld.
Microsoft Security-Lösungen
Neben Identität und Zugriffsschutz behandelt der SC-900 auch die Security-Tools, die Microsoft für den Schutz von Endpunkten, Anwendungen und Cloud-Umgebungen bereitstellt. Ziel ist es, Teilnehmer:innen ein Verständnis dafür zu vermitteln, wie Microsofts Sicherheitsportfolio ineinandergreift und Bedrohungen ganzheitlich adressiert.
Die Microsoft Defender Suite
Unter dem Namen Microsoft Defender fasst Microsoft eine Reihe spezialisierter Sicherheitsprodukte zusammen. Diese bauen aufeinander auf und decken unterschiedliche Angriffsszenarien ab:
- Microsoft Defender for Cloud Apps: Kontrolle von Schatten-IT, Zugriffsüberwachung und Schutz sensibler Daten in SaaS-Anwendungen
- Microsoft Defender for Endpoint: Schutz von Windows-, macOS-, Linux- und mobilen Endgeräten durch Next-Generation Antivirus, EDR (Endpoint Detection and Response) und Schwachstellenmanagement
- Microsoft Defender for Identity: Überwachung von Active Directory und Entra ID, um verdächtige Aktivitäten wie Pass-the-Hash- oder Brute-Force-Angriffe zu erkennen
- Microsoft Defender for Office 365: Schutz vor Phishing, Malware und Spam in E-Mails, Teams und SharePoint
Alle Defender-Lösungen sind eng integriert und liefern Signale an die zentrale Security-Plattform von Microsoft.
Microsoft Sentinel – SIEM und SOAR in der Cloud
Ein weiterer Baustein ist Microsoft Sentinel, die Cloud-native SIEM- und SOAR-Lösung.
- SIEM (Security Information and Event Management): Sammlung und Analyse von Logdaten aus unterschiedlichsten Quellen
- SOAR (Security Orchestration, Automation and Response): Automatisierung von Abwehrmaßnahmen, z.B. Sperrung von Konten bei Angriffen
Sentinel ist besonders für hybride und Multi-Cloud-Umgebungen geeignet, da es Daten aus Microsoft- sowie Drittanbieter-Quellen integrieren kann.
Abgrenzung zu klassischen Sicherheitslösungen
Traditionelle Antivirenprogramme oder Firewalls bieten zwar Basisschutz, stoßen aber bei modernen Angriffsmethoden schnell an ihre Grenzen. Microsoft setzt daher auf ein XDR-Modell (Extended Detection and Response), bei dem Signale aus verschiedenen Quellen (Endpunkte, Identitäten, Cloud, E-Mail) zusammengeführt werden.
Unterschied zwischen XDR und SIEM:
- XDR ist auf die Integration und Korrelation von Microsoft-Sicherheitsdiensten optimiert
- SIEM wie Sentinel ist breiter aufgestellt und verarbeitet Daten aus nahezu beliebigen Quellen, auch außerhalb des Microsoft-Ökosystems
Beide Ansätze ergänzen sich und bieten Organisationen einen hohen Reifegrad im Security Operations Center (SOC).
Exkurs: XDR vs. SIEM in der Praxis
Wer sich mit modernen Sicherheitslösungen beschäftigt, trifft schnell auf die Begriffe XDR und SIEM. Beide Technologien verfolgen ähnliche Ziele, unterscheiden sich aber in Ansatz, Fokus und Einsatzbereich.
XDR (Extended Detection and Response)
- Fokus auf integrierte Microsoft-Sicherheitsdienste wie Defender for Endpoint, Defender for Office 365 oder Defender for Identity
- Stärke liegt in der schnellen Korrelation von Signalen innerhalb des Microsoft-Ökosystems
- Typisches Beispiel: Ein verdächtiges Login in Entra ID wird automatisch mit einem möglichen Malware-Fund auf dem gleichen Endgerät verknüpft
SIEM (Security Information and Event Management)
- Plattformunabhängiger Ansatz, um Logs und Events aus beliebigen Quellen zu sammeln und auszuwerten, von Microsoft über AWS bis hin zu Firewalls oder Drittanbieter-Tools
- Sentinel bietet zusätzlich SOAR-Funktionalitäten, um Abwehrmaßnahmen zu automatisieren
- Typisches Beispiel: Analyse von Ereignissen aus Microsoft 365, kombiniert mit Firewall-Logs und IDS-Sensoren aus einem Rechenzentrum
Fazit
XDR ist ideal für Unternehmen, die bereits stark auf Microsoft setzen und von einer engen Integration profitieren wollen. SIEM hingegen ist unverzichtbar für Organisationen mit heterogenen oder komplexen Infrastrukturen, in denen Daten aus verschiedenen Quellen zentral korreliert werden müssen. In der Praxis ergänzen sich beide Ansätze: XDR liefert die Tiefe, SIEM die Breite.
Compliance und Datenschutz mit Microsoft Purview
Neben Identität und Security legt der SC-900 auch einen Schwerpunkt auf Compliance und Datenschutz. Unternehmen müssen heute nicht nur technische Angriffe abwehren, sondern auch gesetzlichen und regulatorischen Anforderungen gerecht werden – Stichwort DSGVO, ISO 27001 oder branchenspezifische Vorgaben.
Hier setzt Microsoft Purview an, die zentrale Plattform für Informationssicherheit, Daten-Governance und Compliance.
Information Protection und Sensitivity Labels
Mit Information Protection lassen sich Daten nach Sensibilität klassifizieren und mit sogenannten Labels versehen.
- Beispiel: Ein Dokument mit Kundendaten erhält automatisch das Label Vertraulich
- Auf Basis des Labels können dann Regeln greifen, etwa Verschlüsselung oder Einschränkungen beim Teilen
So wird sichergestellt, dass sensible Informationen geschützt bleiben, unabhängig davon, wo sie gespeichert oder geteilt werden.
Data Loss Prevention (DLP)
Ein weiterer wichtiger Baustein ist DLP. Diese Technologie verhindert, dass vertrauliche Daten unkontrolliert das Unternehmen verlassen.
- Beispiel: Eine E-Mail mit Kreditkartendaten wird automatisch blockiert oder verschlüsselt
- Administrator:innen können vordefinierte Richtlinien aktivieren oder eigene Regeln erstellen
Insider Risk Management
Nicht alle Risiken kommen von außen. Mit Insider Risk Management adressiert Purview Szenarien, in denen Mitarbeiter:innen absichtlich oder unabsichtlich Schaden verursachen.
- Beispiel: Warnungen bei massenhaftem Download sensibler Dateien kurz vor dem Ausscheiden einer Person aus dem Unternehmen
- Automatisierte Workflows helfen, Vorfälle schnell zu erkennen und zu bearbeiten, selbstverständlich unter Wahrung der Datenschutzvorgaben
Audit und eDiscovery
Für Nachvollziehbarkeit und rechtliche Anforderungen bietet Purview umfangreiche Audit-Logs.
- Jede Aktivität – von Anmeldungen bis zu Änderungen an Dateien – kann protokolliert und ausgewertet werden
- Mit eDiscovery lassen sich Daten gezielt durchsuchen und für rechtliche Verfahren oder interne Untersuchungen aufbereiten
Bezug zu regulatorischen Rahmenwerken
Ein zentrales Ziel von Purview ist die Unterstützung bei der Einhaltung gesetzlicher Vorgaben:
- DSGVO (Datenschutz-Grundverordnung)
- ISO 27001 (Informationssicherheits-Managementsysteme)
- branchenspezifische Standards wie HIPAA im Gesundheitswesen
Purview stellt dazu Vorlagen, Dashboards und Assessments bereit, die Unternehmen bei der Umsetzung ihrer Compliance-Strategie unterstützen.
Exkurs: Microsoft Priva – Datenschutz-Management in der Praxis
Während Microsoft Purview den Schwerpunkt auf Compliance, Governance und Informationssicherheit legt, adressiert Microsoft Priva gezielt die Anforderungen des Datenschutz-Managements. Es ergänzt Purview und unterstützt Organisationen dabei, den verantwortungsvollen Umgang mit personenbezogenen Daten sicherzustellen.
Kernfunktionen von Microsoft Priva
- Insights und Empfehlungen: Priva liefert Administrator:innen und Datenschutzbeauftragten konkrete Handlungsempfehlungen, um Prozesse datenschutzkonform zu gestalten
- Privacy Risk Management: Automatische Erkennung von Risiken im Umgang mit personenbezogenen Daten, z.B. wenn sensible Daten in frei zugänglichen Bereichen gespeichert werden
- Subject Rights Requests (SRR): Unterstützung bei Anfragen betroffener Personen (z.B. Auskunft nach DSGVO). Daten lassen sich schneller auffinden, zusammenstellen und bereitstellen
Praxisbeispiel
Eine Mitarbeiterin stellt einen Antrag nach Art. 15 DSGVO (Auskunftsrecht der betroffenen Person). Mit Priva können die relevanten Datenquellen automatisch durchsucht und die Ergebnisse rechtssicher exportiert werden, ein Prozess, der ohne Automatisierung sehr zeitaufwändig wäre.
Fazit
Priva ist kein Ersatz für Purview, sondern eine sinnvolle Ergänzung. Während Purview eher auf Technik und Richtlinien abzielt, unterstützt Priva aktiv bei der praktischen Umsetzung von Datenschutzanforderungen im Unternehmensalltag.
Warum der SC-900 ein idealer Einstieg ist
Die Zertifizierung SC-900 – Microsoft Security, Compliance and Identity Fundamentals richtet sich bewusst an Einsteiger:innen in die Welt der IT-Security. Sie erfordert keine tiefen technischen Vorkenntnisse, sondern vermittelt ein fundiertes Verständnis der wichtigsten Sicherheits-, Compliance- und Identitätskonzepte im Microsoft-Umfeld.
Niedrige Einstiegshürde, hoher Nutzen
Der besondere Reiz des SC-900 liegt darin, dass er komplexe Themen verständlich und praxisnah aufbereitet. Dadurch eignet sich die Zertifizierung nicht nur für IT-Spezialist:innen, sondern auch für Personen, die Security, Compliance und Identität im größeren Unternehmenskontext einordnen möchten.
- Keine Voraussetzungen – der Kurs eignet sich für IT-Einsteiger:innen ebenso wie für Fach- oder Führungskräfte, die Security-Grundlagen verstehen wollen
- Fokus auf Konzepte und Strategien, nicht auf komplexe technische Details
- Vermittelt Wissen, das direkt im Arbeitsalltag anwendbar ist – sei es beim Verständnis von Zero Trust, bei der Auswahl sicherer Authentifizierungsmethoden oder beim Aufbau einer Compliance-Strategie
Fundament für weiterführende Zertifizierungen
Der SC-900 ist oft der erste Schritt in eine Spezialisierung innerhalb der Microsoft-Sicherheitszertifizierungen. Aufbauend darauf bieten sich an:
- SC-200 – Security Operations Analyst: Fokus auf Bedrohungserkennung und Reaktion
- SC-300 – Identity and Access Administrator: Vertiefung im Identitäts- und Zugriffsmanagement
- SC-400 – Information Protection Administrator: Spezialisierung auf Compliance und Datenklassifizierung
So entsteht eine klare Lern- und Entwicklungspfad, der von den Grundlagen bis zur Spezialisierung führt.
Mehrwert für die Praxis
Auch unabhängig von einer Zertifizierung lohnt sich die Beschäftigung mit den Inhalten:
- IT-Entscheider:innen gewinnen einen Überblick, wie Microsoft Security-Lösungen zusammenspielen.
- Administrator:innen verstehen die Zusammenhänge zwischen Identität, Security und Compliance besser.
- Security-Verantwortliche können Strategien wie Zero Trust oder DLP zielgerichtet in Projekten umsetzen.
Damit ist der SC-900 nicht nur ein Zertifikat, sondern ein solider Startpunkt für den Aufbau einer modernen Sicherheitskultur im Unternehmen.
Quellenangaben
(Abgerufen am 09.10.2025)
Offizielle Microsoft-Lerninhalte
- AI-900: Microsoft Azure AI Fundamentals
- DP-900: Microsoft Azure Data Fundamentals
- Microsoft Certification Poster (PDF-Datei)
- Microsoft Learn – Security, Compliance, and Identity Fundamentals (SC-900)
- Microsoft Learning GitHub – SC-900 Labs und Materialien (DE)
- Microsoft Training – SC-900T00: Microsoft Security, Compliance, and Identity Fundamentals
Weiterlesen hier im Blog
- Von SC-900 bis SC-400 – der komplette Überblick über Microsofts Security-Zertifizierungen
- Copilot Story in Microsoft 365 und Dynamics 365 – Von intelligenten Assistenten zu autonomen Agenten
- Intelligente Agenten mit Copilot Studio – KI-gestützte Automatisierung im Microsoft-Ökosystem
- Vertrauenswürdige KI in der Praxis – Regulierung, Sicherheit und Verantwortung im Zeitalter des AI Act