M365 Compliance –
Governance-Denken
trifft technische Tiefe.
Freiberuflicher Interim-Manager und Berater mit über 25 Jahren Erfahrung in IT-Governance, Risk & Compliance. Spezialisierung auf den Aufbau prüfungsfähiger Compliance-Strukturen in Microsoft 365 – von der technischen Konfiguration bis zur Governance-Verankerung auf Leitungsebene. Regulatorische Anforderungen wie DSGVO, NIS2 und ISO 27001 werden operativ in M365-Kontrollen übersetzt, nicht nur dokumentiert.
Risk & Compliance
Purview, Defender, Entra ID
Governance-Verankerung
Microsoft 365 Compliance Suite – Überblick
Information Protection & Governance
Sensitivity Labels, DLP-Policies, Retention- und Löschkonzepte, Records Management und eDiscovery – strukturiert und regulatorisch belastbar konfiguriert.
Endpoint, Identity & Cloud Security
MDE, MDI, MDO und Defender for Cloud Apps – Bedrohungsschutz, Incident Response und Security Controls mit nachweisbarer Auditierbarkeit.
Identity Governance & Access Control
Conditional Access, Privileged Identity Management (PIM), Access Reviews und rollenbasierte Zugriffssteuerung – prüfungsfähig und SoD-konform.
Regulatorische Compliance & Assessments
DSGVO-, ISO-27001-, NIS2- und DORA-Assessments im Microsoft Compliance Manager – Maßnahmen tracken, dokumentieren und nachweisen.
SIEM, SOAR & Security Monitoring
Log-Aggregation, Anomalieerkennung, automatisierte Reaktionen und Audit-Trails für regulatorische Nachweispflichten und Incident-Meldungen.
Device Compliance & Mobile Management
Geräte-Compliance-Policies, Mobile Device Management, App-Schutz und Conditional-Access-Integration für ein vollständiges Zero-Trust-Fundament.
Kompetenzmatrix – M365 Compliance & Governance
| Kompetenzbereich | Methoden, Tools & Konfiguration | Ergebnis |
|---|---|---|
| Information Protection & DLP | Sensitivity LabelsDLP-PoliciesEndpoint DLPDSGVO-Klassifikation |
Datenverlust regulatorisch verhindert |
| Retention & Records Management | Retention PoliciesRetention LabelsRecords ManagementLöschautomatik |
Rechtssichere Aufbewahrung & Löschung |
| eDiscovery & Audit | Content SearcheDiscovery (Standard/Premium)Audit LogLegal Hold |
Prüfungsfähige Nachweisführung |
| Identity & Access Governance | PIMConditional AccessAccess ReviewsRBACSoD |
Geregelte Zugriffe & SoD-Compliance |
| Endpoint & Cloud Security | MDEMDIDefender for Cloud AppsCSPMIntune |
Prüfungsfeste Endpunkt- & Cloud-Kontrollen |
| SIEM & Security Monitoring | Microsoft SentinelAnalytik-RegelnSOAR-PlaybooksAudit-Trails |
Nachweisbare Erkennung & Reaktion |
| Regulatorische Compliance-Assessments | Compliance ManagerDSGVOISO 27001NIS2DORA |
Prüfungsfähige Compliance-Dokumentation |
| Governance-Verankerung & Leitungsebene | Governance-StrukturRichtlinien & KontrollenBoard-ReportingNachweisbarkeit |
Compliance strukturell, nicht nur dokumentarisch |
M365-Compliance ist keine Konfigurationsaufgabe –— Patrick Upmann
sie ist eine Governance-Entscheidung, die technisch umgesetzt werden muss.
Nachgewiesene Wirkung
Compliance-Wirkung
- M365-Compliance-Lücken identifizieren und schließen
- DLP- und Retention-Policies regulatorisch belastbar gestalten
- Zugriffe, Rollen und SoD-Konflikte prüfungsfähig bereinigen
- eDiscovery und Audit-Trails für Nachweispflichten einrichten
- Defender-Suite und Sentinel nachweisbar konfigurieren
- Compliance-Verantwortung auf Leitungsebene verankern
Zielrollen
- M365 Compliance Architect
- Microsoft Purview Lead (Interim)
- M365 Security & Governance Lead
- Information Governance Manager
- Cloud Compliance & Controls Lead
- Interims-CISO-Unterstützung M365
Verfügbarkeit
- Interim-Mandate
- Projektleitung
- M365-Compliance-Rollouts
- Prüfungsvorbereitung & Beratung
Mobilität deutschlandweit & DACH-Region