+200 begeisterte Kunden

M365 Security Case Study: Investitionsbank Berin - Microsoft 365 für Banken – von Anfang an BaFin- und ISO-27001-konform aufgebaut

Eine öffentliche Förderbank wollte Microsoft 365 nutzen, ohne regulatorische Risiken einzugehen. Der neue Tenant wurde daher nach dem Secure-by-Design-Prinzip aufgebaut – mit klaren Sicherheitsrichtlinien, vollständiger Audit-Dokumentation und Compliance nach BaFin-, DSGVO- und ISO-27001-Vorgaben.

Microsoft Official Most Valued Professional - MVP - 2025

Secure Score direkt > 85 % beim Go-Live

0 kritische Findings in ISO-27001- und BAIT-Prüfungen

BaFin-, DSGVO- und ISO-konforme Governance

Bei der Investitionsbank Berlin (IBB) stand der Aufbau eines neuen Microsoft-365-Tenants unter streng regulatorischen Rahmenbedingungen im Mittelpunkt. Als öffentliche Förderbank unterliegt die IBB sowohl den Anforderungen der BaFin als auch den Vorgaben der ISO 27001. Ziel war es daher, eine Microsoft-365-Umgebung zu schaffen, die von Beginn an sicher, auditfähig und vollständig compliant ist – ohne später kostspielige Nachhärtungen durchführen zu müssen.

Der Microsoft 365 Security Check diente als strategische Grundlage für den Aufbau dieser Umgebung. Dabei wurden Sicherheits- und Compliance-Anforderungen detailliert aufgenommen, in technische Richtlinien um von Grund auf einen gesicherten Microsoft 365 Tenant zu besitzen. Schwerpunkte lagen auf der Einrichtung von Conditional-Access-Richtlinien, der Implementierung eines sauberen Identity-Lifecycles in Entra ID sowie der Konfiguration sicherer Kollaborationsumgebungen in Teams und SharePoint Online. Ergänzend wurden organisatorische Dokumentationen wie TOMs, Sicherheitsrichtlinien und Governance-Modelle erstellt.

Durch dieses Vorgehen konnte eine ISO 27001-konforme Sicherheitsarchitektur realisiert werden, die gleichzeitig den BaFin-Anforderungen an den IT-Betrieb und Datenschutz gerecht wird. Die Maßnahmen sorgten nicht nur für technische Absicherung, sondern auch für volle Audit-Readiness: Alle sicherheitsrelevanten Entscheidungen sind nachvollziehbar dokumentiert, die IT-Abteilung wurde in die Lage versetzt, regulatorische Prüfungen aktiv zu unterstützen.

Mit diesem Projekt gelang es der IBB, Microsoft 365 als sichere und konforme Plattform zu etablieren, die regulatorische Anforderungen nicht nachträglich erfüllt, sondern von Anfang an integriert. Damit ist die IBB Bank optimal vorbereitet auf künftige Cloud-Erweiterungen und Audits – technisch wie organisatorisch.

Über das Projekt:

Öffentliche Förderbank im Bankensektor. Ziel war der Aufbau einer neuen Microsoft-365-Umgebung, die ISO 27001-konform, BaFin-regelkonform und auditfähig ist. Der Fokus lag auf regulatorischer Sicherheit und dokumentierter Nachvollziehbarkeit aller Maßnahmen.

Meine Methode

Durchführung eines Security-Checks als Planungsgrundlage für den Tenant-Aufbau.
Übersetzung der BaFin-Anforderungen in technische M365-Richtlinien.
Definition eines Secure-by-Design-Frameworks für Entra ID, Conditional Access, Intune und Teams.
Erstellung eines DSGVO-, ISO- und BaFin-konformen Governance-Modells inkl. TOMs und Policies.
Schulung von Administratoren, Datenschutz- und Compliance-Beauftragten zur selbstständigen Fortführung.

Ergebnis

Outcome geliefert:

Aufbau eines gehärteten Microsoft-365-Tenants nach ISO 27001 und BaFin-Vorgaben.
Einführung standardisierter Zugriffs- und Sicherheitsrichtlinien für alle Bankanwender.
Nachvollziehbare Dokumentation aller Maßnahmen für interne und externe Audits.
Go-Live ohne Nachhärtungsbedarf und vollständige Audit-Readiness.

Nachhaltig geschaffener Mehrwert:

Regulatorische Compliance (BaFin, ISO 27001, DSGVO) ab Tag 1.
Reduzierte Kosten und Projektlaufzeiten durch Vermeidung nachträglicher Anpassungen.
Erhöhte Sicherheit und Vertrauen bei Aufsichtsbehörden und Prüfern.
Langfristige Skalierbarkeit für weitere Cloud-Dienste innerhalb des regulatorischen Rahmens.

Wirkungsnachweis in Zahlen:

↑ Erfüllungsgrad der BAIT-Kontrollen
↓ Audit-Findings in ISO 27001/BAIT-Prüfungen (keine kritischen Punkte).
↑ Secure Score von 85%
Vollständige Nachweisdokumentation

Meine Arbeitsweise

Wissenstransfer statt Abhängigkeit: Wir implementieren nicht nur Lösungen, sondern befähigen Ihr Team, sie zu verstehen und weiterzuentwickeln – damit Sie nach Projektende eigenständig und souverän agieren können.
Praxiserprobte Expertise, die Zeit spart: Keine theoretischen Konzepte, sondern in Enterprise-Umgebungen bewährte Lösungen – damit Ihr Team nicht durch Trial-and-Error wertvolle Zeit verliert.
Persönliche Betreuung aus einer Hand: Kein ständig wechselnder Ansprechpartner, sondern direkte Kommunikation mit dem Experten – für reibungslose Prozesse und konsistente Ergebnisse.

Zurück zu den Referenzen

Microsoft 365 - DSGVO Compliance & Hardening Check

Nutzen Sie direkt meine Expertise aus hunderten erfolgreicher Projekte für den Intensiv-Check und Handlungsempfehlungen.
Damit die DSGVO-Compliance und Microsoft Security Ihres Unternehmens keine Glückssache ist.

Security & Compliance CheckJetzt anfragen!

Dr. Oliver Diedrich

"Seit 2022 hält Aaron Siller iX-Workshops zu verschiedenen Themen der Microsoft-Welt für die heise Academy ab. Seine große Expertise in den Themen "Mobile Device Management mit Microsoft Intune", "Planung, Konfiguration und Verwaltung von MS Teams" und "Administration von Microsoft 365 Copilot" führt regelmäßig zu ausverkauften Workshops und hervorragenden Teilnehmerbewertungen. Wir sind sehr froh, Herrn Siller als Referenten gewonnen zu haben."

Chefredakteur iX