Wenn du nicht weißt, wo du anfangen sollst: Willkommen bei MCRA – dem Architektur-Kompass für Ordnung statt Aktionismus

Irgendwann steht jeder frischer Security Architect in der Microsoft-Welt vor der gleichen Frage: „Wo fange ich an?“ Azure? Identity? Zero Trust? Compliance? Und während man noch überlegt, ob man zuerst den Türrahmen oder das Fundament baut, läuft der Vorstand schon ungeduldig mit der PowerPoint in der Hand durch den Flur. Herzlichen Glückwunsch – du bist offiziell in der Rolle des Architekten angekommen, der eine Burg sichern soll, während sie gerade gebaut wird.

Warum du eine Sicherheitsarchitektur brauchst (auch wenn sie noch keiner verlangt hat)

Lange Zeit reichte es, wenn irgendwo ein Firewalldiagramm hing, das aussah wie ein IKEA-Bauplan in Farbe. Heute reicht das nicht mehr – vor allem, wenn du in einer Aktiengesellschaft arbeitest oder eine bist. Denn 2025 wird klar: Sicherheitsarchitektur ist kein IT-Dekor mehr, sondern ein Nachweisdokument. Wirtschaftsprüfer, Aufsichtsräte und ESG-Ratings interessieren sich zunehmend für strukturiertes Risikomanagement – und das beginnt bei einer nachvollziehbaren Architektur. Oder anders gesagt:

Wenn dein CISO bei der Jahresabschlussprüfung auf die Frage „Wie ist unsere Security aufgebaut?“ nur „Sehr gut!“ antwortet, ist das ungefähr so glaubwürdig wie ein Schüler, der auf „Wie lief Mathe?“ mit „War okay“ reagiert.

Microsofts Antwort: MCRA – mehr als nur ein bunter Überblick

Die Microsoft Cybersecurity Reference Architecture (MCRA) ist im Grunde das, was man in der Physik eine Vereinheitlichungstheorie nennen würde: Sie zeigt, wie alle sicherheitsrelevanten Komponenten von Microsoft miteinander zusammenspielen – von Identity über Devices bis hin zu Data und Operations. Kurz gesagt: Sie ist das Landkartenmodell für Sicherheit im Microsoft-Universum. Und bevor du denkst, das sei nur Marketing – nein. Das Ding ist praktisch Gold wert. Denn MCRA hilft dir zu verstehen:

  • Wo du gerade in deiner Sicherheitsarchitektur stehst,
  • welche Abhängigkeiten du noch gar nicht erkannt hast,
  • und wo Microsoft dir schon Frameworks liefert, statt dass du das Rad neu erfindest.

Oder in einfach: Sie zeigt dir, wie du vom Wildwuchs zum System kommst.

Die 6 großen Bereiche, die MCRA zusammenführt

  1. Identity & Access Management – das Herzstück. Ohne Identity keine Kontrolle. Ohne Kontrolle kein Vertrauen.
  2. Devices & Endpoints – alles, was blinkt, funkt oder dein CFO im Meeting benutzt.
  3. Data Protection – weil Daten das neue Öl sind, aber keiner will, dass es brennt.
  4. Applications & Infrastructure – deine produktiven Umgebungen, wo Security oft „nachträglich“ eingebaut wird (Spoiler: das funktioniert selten).
  5. Threat Protection & Operations – hier spielt der SOC mit Sentinel & Co. seine Stärke aus.
  6. Governance, Risk & Compliance (GRC) – das Lieblingswort jedes Wirtschaftsprüfers, und gleichzeitig der Beweis, dass du nicht einfach „Security by Hope“ betreibst.

Diese Bereiche sind kein Zufall. Sie bilden die Schichten, aus denen jede moderne, auditable Sicherheitsarchitektur besteht – und MCRA zeigt dir, wie du sie logisch und visuell verknüpfst.

MCRA als strategischer Kompass (nicht als Checkliste)

Viele machen den Fehler, MCRA als „Todo-Liste“ zu verstehen. „Ah, alles klar, da steht Defender drauf – kaufen wir!“ Nein.

MCRA ist kein Einkaufszettel, sondern ein Denkkonzept.

Sie hilft dir, dein eigenes Unternehmen zu mappen: Wo sind Lücken, wo sind Überschneidungen, und wo sind Risiken, die keiner sieht, weil sie zwischen zwei Teams liegen?

Das ist der eigentliche Wert: MCRA zwingt dich dazu, Security ganzheitlich zu betrachten – technisch, organisatorisch und strategisch. Denn das größte Risiko ist nicht, dass du kein SIEM hast.

Das größte Risiko ist, dass du nicht weißt, wer verantwortlich ist, wenn es brennt.

Für C-Level: Warum das plötzlich euer Thema ist

Wenn du CFO, CTO oder im Aufsichtsrat sitzt, denkst du vielleicht: „Security? Haben wir jemanden für.“ Richtig. Aber Architektur ist Chefsache – und zwar, weil sie Prüfsache wird.

In Zeiten von NIS2, ISO 27001, IT-Sicherheitsgesetz 2.0 und Corporate Sustainability Reporting Directive (CSRD) wird es nicht reichen, zu sagen: „Wir haben was mit Cloud und Security.“ Du musst zeigen, wie deine Schutzmechanismen strukturiert, dokumentiert und überprüfbar sind. Und genau hier liefert MCRA den roten Faden, der Technik, Prozesse und Verantwortung zusammenbringt.

Das Beste daran: Selbst Wirtschaftsprüfer verstehen das Diagramm. (Zumindest ab der dritten Kaffeepause.)

Wie du als neuer Security Architect startest

Wenn du neu bist in dieser Rolle – keine Panik. Niemand wird als Architekt geboren (außer vielleicht Batman). Hier ein pragmatischer Fahrplan:

  1. Lade dir die MCRA-Grafik herunter – druck sie aus, häng sie an die Wand. Du wirst sie brauchen.
  2. Identifiziere, welche Teile deines Unternehmens wo verortet sind. Beispiel: Identity → Entra ID, Devices → Intune, Data → Purview usw.
  3. Markiere die Lücken. (Ja, auch die unangenehmen.)
  4. Verknüpfe technische Maßnahmen mit Verantwortlichkeiten. Jede Box braucht einen Owner.
  5. Präsentiere MCRA im nächsten Security Steering Committee – aber nicht als Technikfolie, sondern als Strategie-Landkarte.
  6. Starte klein, dokumentiere groß. Jede sichtbare Struktur ist ein Argument gegen Haftungsrisiken.

Mit anderen Worten: Dein Job ist nicht, alles umzusetzen.

Dein Job ist, das System sichtbar zu machen, bevor es jemand anderes für dich zeichnet – mit einem Rotstift.

Fazit: Ohne Architektur ist alles nur Hoffnung

MCRA ist kein Allheilmittel. Aber sie ist das, was in jeder guten Strategie zählt: Klarheit. Klarheit, wie deine Systeme zusammenspielen. Klarheit, wer wofür verantwortlich ist. Und Klarheit, dass du als Security Architect mehr bist als ein Firefighter mit Zertifikaten – du bist der Kartograph im Cyberkrieg.

Wenn du also das nächste Mal gefragt wirst, ob ihr eine Sicherheitsarchitektur habt, sag nicht: „Ja, irgendwo in Confluence.“ Sag: „Ja, wir orientieren uns an der Microsoft Cybersecurity Reference Architecture – und wissen genau, wo wir stehen.“

Und das ist – in der heutigen Welt – Gold wert.

Perfekt — hier ist dein finaler, sauber eingebetteter Abschnitt mit der korrekten, klickbaren URL: 👉 Offizielle Microsoft-Dokumentation zur MCRA:

https://learn.microsoft.com/de-de/security/adoption/mcra

💡 Und wenn du wissen willst, wie du MCRA in deiner eigenen Organisation praktisch umsetzt – ohne Aktionismus, aber mit klarer Struktur:

Ich unterstütze dich mit individueller Beratung, Workshops und Trainings, um aus Theorie echte Architektur zu machen: 👉Webseite von KARNAS Cybersecurity

https://www.karnas.de

Euer Simon

#Cybersecurity, #MicrosoftSecurity, #MCRA, #ZeroTrust, #CISO, #SecurityArchitecture, #Compliance, #RiskManagement, #CloudSecurity, #Governance, #Strategy

Leave a Comment

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert