Ganzheitliche Sicherheit in Microsoft 365: Von Defender for Office 365 bis Purview

Aug. 20, 2025

Warum Security in Microsoft 365 unverzichtbar ist

Sicherheit ist längst kein Randthema mehr in Microsoft 365, sie ist das Fundament, auf dem moderne Zusammenarbeit überhaupt erst möglich wird. Während wir heute von nahezu jedem Ort und Gerät aus E-Mails versenden, Dateien austauschen und gemeinsam an Projekten arbeiten, sind gleichzeitig die Bedrohungsszenarien komplexer und raffinierter geworden. Phishing-Kampagnen, Ransomware-Angriffe und gezielte Identitätsdiebstähle gehören zum Alltag von IT-Teams weltweit.

Microsoft hat auf diese Entwicklung reagiert und eine umfassende Sicherheitsarchitektur geschaffen, die weit über klassischen Virenschutz hinausgeht. Unter dem Dach von Microsoft 365 Defender (ehemals Microsoft 365 Security) und Microsoft Purview (ehemals Microsoft 365 Complinace) bündelt das Unternehmen Technologien für Bedrohungserkennung, Schutz sensibler Daten, Compliance und Governance. Diese Plattformen sind eng miteinander verzahnt und bieten Unternehmen jeder Größe Werkzeuge, die vom Basisschutz bis hin zu erweiterten Threat-Hunting-Szenarien reichen.

In diesem Beitrag werfen wir einen Blick auf die wichtigsten Sicherheitskomponenten in Microsoft 365. Wir beginnen mit den grundlegenden Schutzmechanismen wie Exchange Online Protection und den Sicherheitsfunktionen von Entra ID, gehen anschließend tiefer auf Microsoft Defender for Office 365 ein und erweitern die Perspektive durch einen Exkurs zu Defender for Identity, Endpoint und Cloud Apps. Ergänzt wird das Ganze durch Microsoft Purview, das Daten klassifiziert und schützt, sowie einen Ausblick auf die Rolle von künstlicher Intelligenz und automatisiertem Threat Hunting.

Das Ziel ist es, einen verständlichen Überblick zu schaffen, der sowohl Administrator:innen, die neu in das Thema einsteigen, als auch erfahrenen IT-Sicherheitsverantwortlichen praxisnahe Impulse bietet.

Fundament: Basis-Sicherheitsfunktionen in Microsoft 365 und Entra ID

Bevor es an spezialisierte Schutzmechanismen wie Safe Links oder Safe Attachments geht, lohnt sich ein Blick auf die Sicherheitsgrundlagen, die in Microsoft 365 bereits standardmäßig verfügbar sind. Viele dieser Funktionen sind unscheinbar, bilden aber das Rückgrat für jede Zero-Trust-Strategie.

Exchange Online Protection (EOP)

EOP ist der eingebaute E-Mail-Schutz in Microsoft 365 und fängt die meisten Bedrohungen bereits ab, bevor sie den Posteingang erreichen. Dazu gehören:

  • Anti-Malware-Engines, die bekannte Schadsoftware blockieren
  • Anti-Spam-Filter mit heuristischen Verfahren und Blacklisten
  • Outbound-Schutz, um kompromittierte Konten am Spam-Versand zu hindern
  • Quarantäne-Mechanismen für verdächtige Nachrichten

Microsoft unterscheidet hier zwischen Standard– und Strict-Einstellungen, die Admins als Policy-Basis nutzen können. Einen Überblick der möglichen und bereits umfangreichen Grundeinstellungen gibt es direkt bei Microsoft.

Microsoft 365 Sicherheitsgrundlagen

Auch ohne Zusatzlizenzen stehen in Microsoft 365 bereits wichtige Sicherheitsfunktionen bereit, die oft unterschätzt werden:

  • Microsoft Secure Score: Ein Dashboard, das den Sicherheitsstatus der Organisation bewertet und konkrete Verbesserungsvorschläge liefert
  • Multi-Factor Authentication (MFA): Schutz vor kompromittierten Passwörtern
  • Security Defaults: Vorkonfigurierte Basiseinstellungen, u.a. MFA für alle Benutzer:innen.
  • Self-Service Password Reset (SSPR): Entlastung des Helpdesks durch eigenständige Passwortverwaltung, optional auch im Zusammenspiel mit OnPremise-Infrastruktur

Gerade der Secure Score ist für viele Administrator:innen ein praktischer Einstieg, um priorisiert Sicherheitslücken zu schließen.

Exkurs: Security Defaults vs. Custom Policies in Entra ID

Microsoft stellt mit den Security Defaults eine Sammlung von grundlegenden Sicherheitseinstellungen bereit, die ohne Zusatzkosten in jeder Entra-ID-Umgebung aktiviert werden können. Dazu gehören unter anderem:

  • Basisschutz für Administrator:innenkonten
  • Blockierung veralteter Authentifizierungsprotokolle
  • Erzwingung von Multi-Faktor-Authentifizierung (MFA) für alle Benutzer:innen

Für kleinere Organisationen oder Umgebungen ohne dediziertes Security-Team bieten die Security Defaults einen einfachen, sofort wirksamen Basisschutz. Größere Unternehmen mit komplexeren Anforderungen setzen dagegen auf Custom Policies, zum Beispiel Conditional Access, um granular zu steuern:

  • Müssen besonders sensible Daten mit stärkeren Authentifizierungsregeln geschützt werden?
  • Sollen bestimmte Anwendungen nur aus dem Unternehmensnetzwerk erreichbar sein?
  • Wer darf sich wann, von welchem Gerät, aus welchem Land anmelden?

Fazit: Security Defaults sind ein sinnvoller Einstieg, reichen aber in Enterprise-Szenarien meist nicht aus. Hier sind maßgeschneiderte Policies notwendig, um Sicherheit, Benutzerfreundlichkeit und Compliance-Anforderungen in Einklang zu bringen.

Entra ID – Identität als Sicherheitsanker

Die Identität ist das neue Perimeter. Mit Microsoft Entra ID (ehemals Azure AD) lassen sich Zugriffe umfassend und granular steuern:

  • Conditional Access: Zugriff abhängig von Standort, Gerätestatus oder Risikoeinstufung
  • Identity Protection: Automatische Erkennung riskanter Anmeldungen und kompromittierter Konten
  • Password Protection: Sperre unsicherer oder häufig genutzter Passwörter
  • Privileged Identity Management (PIM): Zeitlich begrenzte Vergabe administrativer Rechte

Diese Funktionen bilden den Kern einer Zero-Trust-Architektur – „never trust, always verify“.

Geräte- und App-Grundschutz

Neben Identitäten und E-Mails müssen auch Endgeräte und Anwendungen abgesichert werden:

  • Basisintegration mit Defender for Endpoint (z.B. in Microsoft 365 Business Premium): Gerätebewertungen können in Conditional Access Policies einfließen
  • Intune-Compliance-Richtlinien: Nur konforme Geräte erhalten Zugriff auf Unternehmensressourcen
  • Mobile Application Management (MAM): Schutz von Unternehmensdaten in mobilen Apps, auch auf privaten Geräten

Damit wird der Schutz auf die Endpunkte und Anwendungen ausgedehnt. Eine notwendige Ergänzung, um die Identitätsebene und den E-Mail-Schutz mit einer konsistenten Sicherheitsstrategie in Microsoft 365 zu verbinden.

Praxis-Tipp: Viele Organisationen nutzen Defender for Office 365 oder Purview, ohne diese Grundlagen sauber konfiguriert zu haben. Dabei sind es gerade die Basismechanismen – MFA, Conditional Access, EOP-Policies – die über Erfolg oder Misserfolg einer Sicherheitsstrategie entscheiden.

Exkurs: Zero Trust in Microsoft 365

Die klassische IT-Sicherheit basierte lange auf dem Prinzip Vertraue allem, was im Netzwerk ist. Doch mit Cloud-Diensten, Homeoffice und mobilen Endgeräten ist dieser Ansatz längst überholt. Heute gilt: Never trust, always verify. – das Grundprinzip des Zero Trust-Modells.

Die drei Kernprinzipien von Zero Trust

  1. Explizite Überprüfung: Jeder Zugriff muss authentifiziert, autorisiert und kontinuierlich validiert werden – unabhängig davon, wo sich Benutzer:innen befinden
  2. Geringste Rechte (Least Privilege Access): Benutzer:innen und Geräte erhalten nur die Berechtigungen, die sie tatsächlich für ihre Aufgaben benötigen – nicht mehr
  3. Annahme eines Angriffs: Es wird davon ausgegangen, dass jede Verbindung potenziell kompromittiert sein könnte. Sicherheitsmaßnahmen greifen daher präventiv und in Echtzeit

Zero Trust mit Microsoft 365 und Entra ID

Microsoft 365 bietet eine breite Palette an Funktionen, um Zero Trust umzusetzen:

  • Conditional Access in Entra ID, um Zugriffe dynamisch nach Standort, Gerät oder Risiko zu steuern
  • Device Compliance über Intune, um sicherzustellen, dass nur vertrauenswürdige Geräte auf Daten zugreifen dürfen
  • Just-in-Time und Just-Enough-Access für Administrator:innen, z.B. mit Privileged Identity Management (PIM)
  • Multi-Faktor-Authentifizierung (MFA) als Pflichtmaßnahme

Mehrwert für Organisationen

Ein Zero-Trust-Ansatz erweitert den Schutz über einzelne Tools wie EOP oder Defender hinaus und sorgt dafür, dass Identität und Kontext bei jeder Interaktion im Mittelpunkt stehen. Gerade in hybriden Umgebungen mit Cloud und On-Premises-Systemen wird Zero Trust damit zum unverzichtbaren Sicherheitsrahmen.

Tipp: Microsoft beschreibt Zero Trust als „Reise, nicht als Produkt“. Unternehmen sollten mit grundlegenden Bausteinen wie MFA und Conditional Access beginnen und den Ansatz Schritt für Schritt ausbauen.

Microsoft Defender for Office 365 – Die nächste Schutzebene

Während Exchange Online Protection den Grundschutz bildet, geht Microsoft Defender for Office 365 (MDO) einen entscheidenden Schritt weiter. Man kann sich den E-Mail-Schutz dabei wie eine mehrschichtige Verteidigung vorstellen: Während die äußere Schicht Spam und bekannte Malware blockiert, kümmert sich MDO als zweite Schutzebene um gezielte Angriffe, die herkömmliche Filtermechanismen umgehen. Im Fokus stehen Phishing-Kampagnen, Zero-Day-Malware und bösartige Links, die in klassischen Signatur- oder Heuristik-Scans oft unentdeckt bleiben.

Defender for Office 365 ist in zwei Lizenzstufen verfügbar:

  • Plan 1 umfasst Kernfunktionen wie Safe Links, Safe Attachments und Anti-Phishing
  • Plan 2 erweitert den Schutz um Werkzeuge für Threat Hunting, Kampagnenanalyse, Attack Simulation Training und automatisierte Investigation

Damit richtet sich Defender for Office 365 sowohl an kleinere Unternehmen, die einen erweiterten E-Mail-Schutz benötigen, als auch an größere Organisationen, die Angriffe proaktiv erkennen und umfassend auswerten wollen. Einen umfangreichen Überblick der individuellen Schutzmechanismen auf den jeweiligen Planstufen gibt Microsoft in der MDO-Dokumentation.

Safe Links

Safe Links schützen Benutzer:innen vor schädlichen URLs in E-Mails, Office-Dokumenten und Teams-Nachrichten.

  • Click-Time Protection: Links werden beim Anklicken dynamisch geprüft
  • Unterstützte Plattformen: Outlook, Office-Apps (Desktop / Web), Teams
  • URL-Umschreibung: Jede eingehende URL wird durch einen Defender-Link ersetzt, sodass Microsoft beim Zugriff eine Echtzeitprüfung durchführen kann

So wird verhindert, dass Benutzer:innen unwissentlich auf nachträglich kompromittierte oder neu registrierte bösartige Domains klicken. Dies wird umfangreich in der Microsoft Safe Links Dokumentation beschrieben.

Safe Attachments

Safe Attachments analysieren Anhänge in einer isolierten Sandbox, bevor diese an die Empfänger:innen zugestellt werden.

  • Dynamic Delivery: Der Mailtext wird sofort zugestellt, während der Anhang geprüft wird
  • Sandbox-Prüfung: Verdächtige Dateien werden in einer sicheren Umgebung ausgeführt
  • Unterstützte Plattformen: Exchange Online, Teams, OneDrive, SharePoint

Damit schützt Safe Attachments zuverlässig gegen Zero-Day-Angriffe, bei denen noch keine Signaturen verfügbar sind. Auch hier stellt Microsoft eine umfangreiche Safe Attachments Dokumentation bereit.

Zusammenspiel von Safe Links und Safe Attachments

In der täglichen Nutzung wirken Safe Links und Safe Attachments nicht isoliert, sondern ergänzen sich gegenseitig. Während Safe Attachments potenziell gefährliche Dateien in einer Sandbox überprüft, schützt Safe Links vor schädlichen URLs, sowohl in E-Mails als auch in Dokumenten und Chats.

Besonders effektiv wird der Schutz, wenn beide Mechanismen kombiniert werden:

  • Eine E-Mail mit einem kompromittierten Anhang und einem verdächtigen Link wird gleichzeitig auf Dateiebene und URL-Ebene analysiert
  • Dateien, die über OneDrive oder Teams geteilt werden, profitieren zusätzlich von Safe Attachments, während Safe Links alle enthaltenen URLs absichert

Wichtig: Der Schutz gilt unabhängig davon, ob eine Datei als klassischer E-Mail-Anhang versendet oder als OneDrive-Link (Modern Attachment) geteilt wird. Beide Szenarien werden von Safe Attachments und Safe Links abgedeckt, sodass keine Schutzlücke zwischen den verschiedenen Versandarten entsteht.

Für Benutzer:innen entsteht dadurch ein durchgängiger Schutzfluss – unabhängig davon, ob sie auf einen Link klicken oder einen Anhang öffnen. Dieses Zusammenspiel reduziert das Risiko erheblich, dass ein gezielter Angriff über unterschiedliche Angriffsvektoren erfolgreich ist.

Anti-Phishing

Phishing bleibt eine der größten Gefahren im E-Mail-Verkehr – und die Qualität der Angriffe hat in den vergangenen Jahren immens zugenommen. Mit Hilfe von künstlicher Intelligenz erstellen Angreifer:innen täuschend echt wirkende Nachrichten, die sich oft kaum noch von legitimer Kommunikation unterscheiden lassen. Klassische Indikatoren wie Rechtschreibfehler oder unprofessionelles Layout verlieren zunehmend an Bedeutung.

Microsoft Defender for Office 365 begegnet dieser Entwicklung mit:

  • Impersonation Protection, um den Missbrauch von CEO- oder internen Mitarbeiter-Identitäten zu erkennen
  • KI-gestützte Mustererkennung für verdächtige Absenderadressen
  • Machine-Learning-Modelle, die kontinuierlich mit Daten aus der Microsoft-Sicherheits-Cloud trainiert werden

Diese Mechanismen greifen ineinander, um sowohl breit gestreute Phishing-Kampagnen als auch hochspezialisierte Spear-Phishing-Angriffe zu erkennen. Besonders die Impersonation Protection ist in der Praxis relevant, da Angreifer:innen häufig versuchen, durch scheinbar vertraute Namen oder Absenderautorität Vertrauen zu gewinnen. Hier schließt Defender for Office 365 eine der größten Sicherheitslücken im E-Mail-Alltag: den Faktor Mensch.

Erweiterte Plan 2-Features

Mit Plan 2 von Microsoft Defender for Office 365 erhalten Unternehmen Zugriff auf Funktionen, die deutlich über den klassischen E-Mail-Schutz hinausgehen. Dazu gehören Attack Simulation Training,  Automated Investigation & Response, Kampagnenanalyse oder Threat Explorer. Sie richten sich vor allem an Organisationen, die Angriffe nicht nur abwehren, sondern auch analysieren, simulieren und proaktiv bekämpfen wollen.

Attack Simulation Training

Sicherheit hängt nicht nur von Technik, sondern auch von Menschen ab. Mit Attack Simulation Training können interne Phishing-Simulationen durchgeführt werden. Diese reichen von einfachen Mails mit Links bis hin zu realistisch gestalteten Spear-Phishing-Szenarien. Ergebnisse wie Klickraten oder wiederholte Opfer-Teilnahmen helfen, gezielt Awareness-Trainings einzusetzen. So wird die Belegschaft Schritt für Schritt widerstandsfähiger gegenüber Social Engineering.

Automated Investigation & Response (AIR)

AIR reduziert die Reaktionszeit bei Angriffen erheblich. Verdächtige Nachrichten, Dateien oder Konten werden automatisch untersucht, Korrelationen zwischen Vorfällen erkannt und – wenn gewünscht – auch automatisch Maßnahmen eingeleitet, etwa das Verschieben von E-Mails in die Quarantäne oder das Sperren kompromittierter Benutzerkonten.

Kampagnenanalyse

Angriffe erfolgen heute oft nicht isoliert, sondern in Wellen. Die Kampagnenanalyse zeigt übersichtlich, welche Nachrichten zu einer Angriffskampagne gehören, welche Absender, Links und Domains genutzt wurden und wie sich die Bedrohung zeitlich entwickelt hat. Dadurch lassen sich Muster erkennen und Schutzmaßnahmen anpassen – auch über den aktuellen Vorfall hinaus.

Exkurs: Kampagnen, Benutzerfehler und Awareness-Training

Technische Schutzmaßnahmen sind nur so stark wie das Verhalten der Menschen, die sie nutzen. Phishing-Mails werden immer raffinierter, nicht zuletzt durch den Einsatz von KI-generierten Texten. Selbst geschulte Mitarbeitende können in Stresssituationen oder bei sehr glaubwürdig gestalteten Mails Fehler machen.

Kampagnen gezielt simulieren

Um diese Schwachstelle nicht erst im Ernstfall sichtbar werden zu lassen, können Unternehmen eigene Phishing-Simulationen durchführen. Microsoft bietet mit Attack Simulation Training (im Defender for Office 365 Plan 2) ein Werkzeug, mit dem Administrator:innen realistische Angriffsszenarien kontrolliert nachstellen.

Das Ziel: Benutzer:innen in einer sicheren Umgebung mit typischen Angriffsmustern konfrontieren, um ihre Reaktionen zu testen und zu schulen. Dabei lassen sich u.a. folgende Aspekte individuell gestalten:

  • Szenarioauswahl: Von simplen Mails mit verdächtigen Links bis hin zu täuschend echten Nachbildungen von Login-Seiten
  • Zielgruppensteuerung: Einzelne Abteilungen oder Standorte können gezielt angesprochen werden, um unterschiedliche Risikoprofile zu prüfen
  • Ergebnisse messen: Berichte zeigen klar, wie viele Benutzer:innen Links geklickt, Anhänge geöffnet oder Anmeldedaten eingegeben haben

So wird sichtbar, wo Awareness-Defizite bestehen und wo zusätzliche Schulungen nötig sind.

Reaktion auf Benutzerfehler

Da sich menschliche Fehler nie vollständig vermeiden lassen, ist es entscheidend, wie Organisationen reagieren, wenn jemand doch auf einen gefährlichen Link klickt oder Daten preisgibt. Moderne Sicherheitskonzepte setzen daher auf eine Kombination aus technischen Gegenmaßnahmen und Awareness-Förderung:

  • Automatische Sofortmaßnahmen: Systeme wie Defender können kompromittierte Konten sofort isolieren, eine Passwortänderung erzwingen oder verdächtige Sessions beenden
  • Just-in-Time-Training: Wer auf eine simulierte Phishing-Mail hereinfällt, wird unmittelbar auf eine Schulungsseite umgeleitet, die erklärt, woran die Mail hätte erkannt werden können
  • Langfristige Lernkurven: Regelmäßige Wiederholungen solcher Kampagnen führen nachweislich dazu, dass die Zahl erfolgreicher Angriffe sinkt und die Sensibilität im Umgang mit verdächtigen Nachrichten steigt

Mehrwert für die Organisation

Solche Kampagnen stärken nicht nur die individuelle Wachsamkeit, sondern helfen Administrator:innen auch dabei, die Wirksamkeit der eigenen Schutzmechanismen zu überprüfen. Im Zusammenspiel mit EOP, Defender und Purview entsteht so eine ganzheitliche Sicherheitsstrategie, die Technik und Mensch gleichermaßen berücksichtigt.

Threat Explorer

Ermöglicht eine detaillierte Untersuchung laufender und vergangener Bedrohungen. Administrator:innen können nachvollziehen, welche Benutzer:innen betroffen sind, über welche Kanäle die Angriffe eingegangen sind und welche Maßnahmen bereits ergriffen wurden. Damit wird Threat Explorer zum zentralen Werkzeug für Incident Response-Teams.

In Kombination ergeben diese Plan-2-Funktionen ein starkes Werkzeugset für Unternehmen, die über reaktiven Schutz hinausgehen und Security Operations auf ein professionelles Niveau heben wollen.

ICES Vendor Ecosystem

Ein spannender Schritt in der Weiterentwicklung von Microsoft Defender for Office 365 ist das Integrated Cloud Email Security (ICES) Vendor Ecosystem. Microsoft öffnet seine Sicherheitsarchitektur damit gezielt für Drittanbieter, die ihre Schutzmechanismen über standardisierte Schnittstellen in Defender einbinden können.

Bisher waren externe Mail-Security-Lösungen meist als Inline-Gateway vor Exchange Online geschaltet. Diese Vorgehensweise war technisch komplex, brachte zusätzliche Latenzen mit sich und erschwerte die zentrale Administration. Mit ICES verfolgt Microsoft einen deutlich integrierteren Ansatz:

  • API-basierte Anbindung: Partnerlösungen binden sich direkt über definierte Schnittstellen in Microsoft 365 ein
  • Einheitliches Incident Handling: Alerts aus Drittanbieterlösungen erscheinen im Microsoft 365 Defender Portal und können dort wie native Vorfälle bearbeitet werden
  • Signal-Sharing: Bedrohungsindikatoren und Erkennungen externer Anbieter werden in die Microsoft eigene Erkennungslogik integriert
  • Zentrale Policy-Steuerung: Sicherheitsmaßnahmen wie Quarantäne oder Benutzerwarnungen lassen sich konsolidiert über die Microsoft-Sicherheits- und Compliance-Umgebungen ausführen

Für Unternehmen bedeutet das eine spürbare Vereinfachung:

  • Geringere Komplexität, da kein Umleiten des gesamten Mailverkehrs mehr notwendig ist
  • Investitionsschutz, weil bestehende Drittanbieter-Lösungen weiter genutzt, aber nahtlos ins Microsoft-Ökosystem integriert werden können
  • Stärkere Defense-in-Depth-Strategie, da Erkenntnisse von Microsoft und Partnern kombiniert werden

Microsoft hat bereits erste Partner für ICES vorgestellt, die ihre Lösungen in diese Architektur einbinden. Damit wird deutlich: Defender for Office 365 entwickelt sich zunehmend von einem eigenständigen Schutzsystem hin zu einer plattformzentrierten Sicherheitsdrehscheibe, in der Microsoft und Drittanbieter ihre Stärken bündeln. Einen guten Einblick bietet der Beitrag zu diesem Thema in der Microsoft Tech Community.

Fazit

Microsoft Defender for Office 365 ist kein statisches Produkt, sondern ein lebender Dienst, der kontinuierlich erweitert wird. Neue Funktionen finden sich regelmäßig in den Neuerungen in Microsoft Defender für Office 365 und der Microsoft 365 Roadmap. Administrator:innen sollten diese Seiten im Blick behalten, um die Security-Konfiguration stets aktuell zu halten.

Exkurs: ICES und Leistungsvergleich von Defender for Office 365

Die Wirksamkeit von E-Mail-Sicherheitslösungen lässt sich nur schwer objektiv vergleichen. Jede Lösung wirbt mit hohen Erkennungsraten, doch in der Praxis unterscheiden sich die Ergebnisse oft deutlich, insbesondere bei neuen, gezielten Angriffen. Um Transparenz zu schaffen, nehmen viele Hersteller an standardisierten ICES (Independent Compare and Evaluation of Security) Tests teil.

Was ist ICES?

ICES ist ein unabhängiges Benchmarking-Verfahren für E-Mail-Security, bei dem verschiedene Anbieter mit denselben Angriffsmustern konfrontiert werden. Dabei geht es nicht nur um bekannte Malware, sondern auch um besonders kritische Szenarien:

  • Gezielte Social-Engineering-Angriffe mit täuschend echt wirkenden Absenderinformationen
  • Kombinierte Angriffe über Anhänge und Links
  • Polymorphe Malware, die ihre Signatur ständig verändert
  • Zero-Day-Phishing-Mails, die klassische Filtermechanismen umgehen

Der Vorteil: Unternehmen erhalten ein Bild davon, wie zuverlässig eine Lösung unter realistischen Bedingungen Bedrohungen erkennt.

Performance von Defender for Office 365

Microsoft veröffentlicht regelmäßig die Ergebnisse aus ICES-Benchmarkings. Die Tests zeigen, dass Defender for Office 365 vor allem durch folgende Eigenschaften überzeugt:

  • Automatisierte Nachverfolgung: Wird eine Bedrohung nachträglich erkannt, können bösartige Mails automatisch aus allen Postfächern entfernt werden
  • Hohe Erkennungsraten bei Zero-Day-Angriffen dank KI-gestützter Heuristiken und globaler Bedrohungsdaten
  • Mehrschichtiger Ansatz mit Safe Links, Safe Attachments und Anti-Phishing-Mechanismen
  • Nahtlose Kontextintegration: Angriffe werden nicht isoliert betrachtet, sondern im Zusammenhang mit Identitäts- und Endpoint-Signalen analysiert

Bedeutung für Unternehmen

Die Ergebnisse verdeutlichen, dass Microsoft Defender for Office 365 in Benchmarks auf Augenhöhe mit spezialisierten Drittanbietern agiert – und in manchen Bereichen sogar überlegen ist. Entscheidend ist dabei weniger ein einzelner Prozentwert, sondern die Tatsache, dass Microsoft seine Lösung kontinuierlich in unabhängigen Tests validieren lässt.

Für Unternehmen bedeutet das:

  • Wer auf Microsoft setzt, erhält kein Nischenprodukt, sondern eine im Markt vergleichbare Lösung
  • Durch die direkte Integration in Exchange Online entfallen zusätzliche Gateways oder komplexe Umleitungen
  • IT-Abteilungen profitieren von einer geringeren Komplexität und schnelleren Reaktionszeit

Strategische Einordnung

Gerade in Kombination mit Purview (Compliance, DLP), Entra ID (Identitätsschutz) und den erweiterten Defender-Produkten wird deutlich: Microsoft verfolgt einen plattformbasierten Sicherheitsansatz, der über klassische E-Mail-Filter hinausgeht. Unternehmen, die sich für Defender entscheiden, setzen nicht nur auf eine Einzelkomponente, sondern auf einen integrierten Baustein einer ganzheitlichen Security-Architektur.

Mehr Details und aktuelle Testergebnisse stellt Microsoft hier bereit: Performance Benchmarking für Microsoft Defender for Office 365

Daten- und Informationsschutz mit Microsoft Purview

Angriffe von außen sind nur eine Seite der Medaille – ebenso wichtig ist der interne Schutz sensibler Informationen. Genau hier setzt Microsoft Purview an. Purview vereint Funktionen zur Klassifizierung, zum Schutz und zur Überwachung von Daten, egal ob sie sich in E-Mails, Dokumenten, Datenbanken oder Cloud-Anwendungen befinden.

Im Kern geht es darum, Informationen so zu kennzeichnen und zu schützen, dass nur die richtigen Personen Zugriff haben, unabhängig davon, wo sich die Daten gerade befinden.

Information Protection und Sensitivity Labels

Ein zentraler Gedanke moderner Sicherheitskonzepte lautet: Nicht alle Daten sind gleich wichtig – und nicht alle dürfen gleich behandelt werden. Während alltägliche Informationen problemlos geteilt werden können, erfordern vertrauliche Dokumente oder personenbezogene Daten einen besonderen Schutz.

Genau hier kommen die Sensitivity Labels von Microsoft Purview ins Spiel. Sie ermöglichen es, Inhalte klar zu klassifizieren und automatisch mit den passenden Schutzmaßnahmen zu versehen – sei es durch Verschlüsselung, Zugriffsbeschränkungen oder sichtbare Markierungen wie Wasserzeichen. So wird Information Protection zu einem natürlichen Bestandteil des Arbeitsalltags, anstatt ein zusätzliches Hindernis darzustellen.

  • Automatisierung: Purview kann Inhalte mithilfe von KI und vordefinierten Regeln automatisch klassifizieren, etwa wenn Kreditkartennummern oder personenbezogene Daten erkannt werden
  • Integration: Labels sind nicht nur in Office-Apps verfügbar, sondern auch in Microsoft Teams, SharePoint, OneDrive und sogar in Power BI
  • Klassifizierung: Mit Sensitivity Labels können Dokumente und E-Mails nach Sensibilitätsstufen wie Öffentlich, Intern, Vertraulich oder Streng vertraulich gekennzeichnet werden
  • Schutzmechanismen: Labels können automatisch Verschlüsselung, Wasserzeichen oder Zugriffsbeschränkungen auslösen

Automatische vs. manuelle Labels
Während manuelle Labels die Benutzer:innen aktiv einbeziehen, erhöhen automatische Labels die Konsistenz und reduzieren Fehlklassifizierungen. Viele Unternehmen nutzen eine Kombination aus beiden Ansätzen, um Sicherheit und Anwenderfreundlichkeit in Einklang zu bringen.

Data Loss Prevention (DLP)

Während Sensitivity Labels Inhalte klassifizieren und mit Schutzmaßnahmen versehen, stellt sich im nächsten Schritt die Frage: Wie verhindern wir, dass sensible Informationen unkontrolliert das Unternehmen verlassen?

Genau hier setzt Data Loss Prevention (DLP) an. DLP-Richtlinien überwachen den Umgang mit sensiblen Daten in Echtzeit – sei es in E-Mails, Teams-Chats, SharePoint-Dokumenten oder sogar auf Endgeräten – und greifen ein, bevor ein Sicherheitsvorfall entsteht. Damit wird aus reiner Klassifizierung ein aktiver Schutzmechanismus, der Datenlecks proaktiv verhindert.

  • Einsatzorte: DLP ist in Exchange Online, Teams, SharePoint, OneDrive und auch auf Endgeräten verfügbar
  • Integration mit Defender: DLP kann Alarme und Aktionen an Microsoft Defender for Endpoint weitergeben, wenn sensible Dateien auf unsicheren Geräten geöffnet oder verschoben werden
  • Zweck: DLP-Richtlinien verhindern, dass sensible Informationen wie Gesundheitsdaten oder Finanzkennzahlen unkontrolliert das Unternehmen verlassen
  • Beispiele:
    • Blockieren von E-Mails mit Kreditkartennummern an externe Empfänger:innen
    • Warnungen in Teams-Chats, wenn vertrauliche Inhalte geteilt werden
    • Automatisches Protokollieren oder Eskalieren von Verstößen

Einheitliche Richtlinien und Governance

Einzelne Schutzmaßnahmen entfalten ihre volle Wirkung erst dann, wenn sie in ein konsistentes Regelwerk eingebettet sind. Genau diesen Rahmen bietet Microsoft Purview: Statt für jeden Dienst eigene Regeln zu verwalten, lassen sich Sicherheits- und Compliance-Vorgaben zentral definieren und unternehmensweit ausrollen.

Das Ergebnis: einheitliche Richtlinien, die für E-Mails, Dateien, Chats, Cloud-Anwendungen und sogar On-Premises-Systeme gelten. So entsteht nicht nur ein höheres Maß an Sicherheit, sondern auch eine klar nachvollziehbare Governance-Struktur, die den steigenden gesetzlichen Anforderungen – etwa der DSGVO – gerecht wird.

Praxis-Hinweis: Während Defender in erster Linie Angriffe abwehrt, sorgt Purview dafür, dass Daten im Kern geschützt bleiben, selbst wenn sie bereits in Umlauf sind. Beide Ansätze ergänzen sich und sind im Zusammenspiel die Basis für eine ganzheitliche Sicherheitsstrategie in Microsoft 365.

Exkurs: Microsoft Sentinel, XDR und die Rolle von SIEM-Systemen

Neben den integrierten Schutzmechanismen von Defender und Purview benötigen viele Unternehmen ein Werkzeug, um die ständig wachsende Menge an Sicherheitsereignissen zentral zu überwachen und auszuwerten. Genau hier kommen Security Information and Event Management (SIEM)-Lösungen ins Spiel.

SIEM: Überblick behalten

Ein SIEM sammelt Logdaten und Alarme aus unterschiedlichsten Quellen – E-Mail-Systemen, Firewalls, Endgeräten, Cloud-Anwendungen oder Identitätsdiensten – und führt sie in einer zentralen Plattform zusammen. Dadurch lassen sich Zusammenhänge erkennen, die mit isolierten Lösungen verborgen blieben.

Microsoft Sentinel: das Cloud-native SIEM

Mit Microsoft Sentinel bietet Microsoft ein vollständig cloudbasiertes SIEM, das direkt in Azure integriert ist und nahtlos mit den Defender-Produkten zusammenarbeitet. Sentinel ermöglicht:

  • KI-gestützte Analysen, um komplexe Angriffsketten zu erkennen
  • Automatisierte Reaktionen mit Playbooks, die Bedrohungen direkt abwehren oder eindämmen können
  • Integration in Threat Hunting mit leistungsfähigen Kusto Query Language (KQL)-Abfragen
  • Skalierbarkeit ohne klassische Infrastrukturkosten
  • Zentrale Sammlung und Korrelation von Logs und Alerts aus Microsoft- und Drittanbieter-Quellen

Damit wird Sentinel zu einem strategischen Baustein für Unternehmen, die ihre Security Operations professionalisieren und von einer reaktiven in eine proaktive Sicherheitsstrategie übergehen wollen.

SOAR: Automatisierung durch Playbooks

Ein entscheidender Vorteil von Sentinel ist die Möglichkeit, Sicherheitsprozesse zu automatisieren. Dies geschieht über Playbooks, die auf den Prinzipien von SOAR (Security Orchestration, Automation and Response) basieren.

SOAR bezeichnet Workflows, die auf bestimmte Bedrohungen automatisch reagieren, zum Beispiel:

  • Ein kompromittiertes Gerät direkt in Quarantäne verschieben.
  • Ein Ticket im Service-Desk-System erstellen.
  • Eine verdächtige E-Mail an das Security-Team weiterleiten.

Damit werden wiederkehrende Vorfälle standardisiert und Analyst:innen entlastet.

Defender XDR: operative Abwehr

Während Sentinel das große Bild liefert, sorgt Microsoft Defender XDR (Extended Detection and Response) für die operative Verteidigung. XDR bezeichnet dabei Sicherheitslösungen, die Bedrohungen über verschiedene Angriffsflächen hinweg erkennen, korrelieren und automatisch abwehren, von E-Mail über Identitäten bis hin zu Endgeräten.

Beispiele:

  • Benutzerkonten sichern: Kompromittierte Identitäten werden blockiert oder zur MFA gezwungen
  • Geräte isolieren: Infizierte Endpoints werden automatisch vom Netzwerk getrennt
  • Schädliche E-Mails entfernen: Bösartige Mails werden rückwirkend aus allen Postfächern gelöscht

Das Zusammenspiel: SIEM, XDR und SOAR

Das Zusammenspiel dieser drei Komponenten ist mehr als die Summe ihrer Teile. Während ein klassisches SIEM vor allem Transparenz schafft, erweitert XDR diese Sicht um automatisierte Abwehrmechanismen auf den einzelnen Ebenen wie E-Mail, Identität oder Endpunkt. SOAR wiederum sorgt dafür, dass diese Reaktionen nicht nur punktuell, sondern standardisiert und reproduzierbar erfolgen. Unternehmen können so Sicherheitsvorfälle nicht nur schneller erkennen, sondern auch skalierbar und konsistent darauf reagieren, ein entscheidender Schritt hin zu modernen, resilienten Security Operations.

  • Sentinel (SIEM): Überblick, Analyse, strategische Sicht
  • Defender XDR: Operatives Eingreifen, unmittelbare Gegenmaßnahmen
  • SOAR: Automatisierte Abläufe und Standardisierung von Reaktionen

Zusammen entsteht eine ganzheitliche Sicherheitsarchitektur, die Bedrohungen nicht nur erkennt, sondern auch strukturiert und automatisiert darauf reagiert.

Praxisbeispiele für Microsoft Sentinel im Einsatz

Die beschriebenen Konzepte werden besonders greifbar, wenn man sie im Alltag betrachtet:

  • Cloud-App-Schutz erweitern: Integration mit Defender for Cloud Apps identifiziert unautorisierte SaaS-Dienste und blockiert riskante Datenbewegungen
  • Insider Threats aufdecken: Sentinel korreliert ungewöhnliche Anmeldeversuche mit verdächtigen Download-Mustern und alarmiert Analyst:innen
  • Phishing-Kampagnen erkennen: E-Mail-Logs aus Defender for Office 365 werden mit Login-Daten aus Entra ID abgeglichen, um kompromittierte Konten aufzudecken
  • Ransomware frühzeitig stoppen: Auffällige Dateiaktivitäten in OneDrive oder SharePoint werden mit Endpoint-Logs verknüpft; ein Playbook isoliert betroffene Geräte sofort

 

Mehr Informationen finden sich im offiziellen Überblick direkt bei Microsoft: Microsoft Sentinel

Praxisbeispiele: Wenn Defender und Purview zusammenwirken

Die Vorteile einer ganzheitlichen Sicherheitsarchitektur werden besonders deutlich, wenn konkrete Szenarien betrachtet werden. Zwei typische Beispiele aus der Praxis:

1. Verdächtige Anmeldungen mit sensiblen Datenzugriffen

  • Microsoft Defender erkennt mehrere verdächtige Anmeldeversuche aus ungewöhnlichen Regionen
  • Parallel zeigt Microsoft Purview, dass ein Benutzerkonto in kurzer Zeit auf zahlreiche Dateien mit der Klassifizierung „Vertraulich – personenbezogen“ zugegriffen hat
  • Durch die Kombination beider Informationen können Security- und Compliance-Teams schnell erkennen, dass es sich nicht nur um einen Angriff auf die Identität handelt, sondern dass sensible Daten betroffen sind
  • Die Reaktion: sofortige Sperrung des Kontos, Untersuchung der Datenabflüsse und Einleitung von Meldeprozessen nach DSGVO

2. Phishing-Mail mit Compliance-Relevanz

  • Defender for Office 365 blockiert eine verdächtige E-Mail mit schädlichem Anhang
  • Bei der Analyse stellt sich heraus, dass die E-Mail personenbezogene Daten aus einer kompromittierten Quelle enthält
  • Purview liefert hier den entscheidenden Zusatznutzen: Die Daten werden automatisch klassifiziert, und es wird nachvollziehbar, welche Informationen betroffen sind
  • Damit entsteht eine Brücke zwischen Bedrohungserkennung und regulatorischer Verantwortung

Diese Beispiele verdeutlichen: Erst durch das Zusammenspiel beider Lösungen entsteht eine umfassende Sicherheitsstrategie, die nicht nur technische Risiken adressiert, sondern auch rechtliche und organisatorische Anforderungen berücksichtigt.

Lizenzierung und Kostenplanung

So leistungsfähig die Sicherheitsfunktionen in Microsoft 365 auch sind, sie stehen nicht in jedem Plan gleichermaßen zur Verfügung. Ein Verständnis der Lizenzierungsmodelle ist daher unerlässlich, um die richtigen Entscheidungen für das eigene Unternehmen zu treffen.

Basisfunktionen

Bevor wir uns den größeren Lizenzpaketen zuwenden, lohnt ein Blick auf die Funktionen, die bereits ohne zusätzliche Kosten zur Verfügung stehen. Diese Basisschutzmaßnahmen bilden den Grundstein jeder Microsoft 365 Umgebung und sollten in keiner Organisation fehlen.

So sind viele grundlegende Sicherheitsmechanismen bereits in den Standard-Plänen enthalten:

  • Exchange Online Protection (EOP) gehört in allen Plänen zum Funktionsumfang
  • Microsoft Secure Score ist allgemein nutzbar
  • Security Defaults und MFA stehen ohne Zusatzkosten zur Verfügung

Gerade für kleinere Unternehmen ist dies ein guter Startpunkt, der ohne große Investitionen grundlegenden Schutz ermöglicht.

Erweiterte Sicherheitspläne

Wer mehr Schutz benötigt, muss in erweiterte Lizenzpakete investieren. Hier unterscheiden sich die Pläne deutlich darin, welche Defender- und Purview-Funktionalitäten enthalten sind. Ein genauer Blick zeigt, welche Zielgruppen Microsoft mit Business Premium, E3 und E5 anspricht.

Dies sind in erster Instanz:

  • Microsoft 365 Business Premium
    Enthält bereits Defender for Office 365 Plan 1, Basisfunktionen von Defender for Endpoint sowie Intune; Damit ist dieser Plan für KMU eine attraktive All-in-One-Lösung
  • Microsoft 365 E3
    Liefert die Enterprise-Basis mit EOP und Entra ID Premium, jedoch ohne Defender for Office 365 oder Defender for Endpoint; Diese können als Add-ons erworben werden
  • Microsoft 365 E5
    Enthält die gesamte Bandbreite an Security-Funktionalitäten: Defender for Office 365 Plan 1 und 2, Defender for Endpoint, Defender for Identity, Defender for Cloud Apps sowie Microsoft Purview Compliance-Features

Einen aktuellen Lizenzvergleich der verschiedenen Enterprise-Pläne stellt Microsoft unter folgendem Link bereit: Modern Work Plan Comparison – Enterprise (PDF)

Add-ons und Flexibilität

Nicht jedes Unternehmen möchte sofort den großen Wurf mit einem E5-Plan machen. Deshalb bietet Microsoft die Möglichkeit, gezielt einzelne Sicherheitsfunktionen als Add-on zu lizensieren. Das sorgt für Flexibilität und ermöglicht eine modulare Erweiterung der Sicherheitsarchitektur.

Hier lassen sich gezielt Add-ons zu den vorhandenen Abonnements dazu buchen:

  • Defender for Office 365 Plan 1 oder Plan 2
  • Defender for Endpoint P1 oder P2
  • Microsoft Purview Information Protection & Compliance

Diese Flexibilität erlaubt es, die eigene Sicherheitsarchitektur modular zu erweitern.

Kosten-Nutzen-Abwägung

Am Ende bleibt die zentrale Frage: Welches Sicherheitsniveau brauche ich – und was darf es kosten? Die richtige Lizenzwahl ist immer ein Balanceakt zwischen Budget, Sicherheitsbedarf und organisatorischen Anforderungen. Hier zahlt sich eine ehrliche Analyse aus, die den Preis möglicher Sicherheitsvorfälle mit einbezieht.

  • Für kleinere Umgebungen reicht oft das Lizenzierungsniveau Business Premium aus
  • Mittelgroße bis große Unternehmen profitieren von Microsoft 365 E3 und Add-ons oder direkt von Microsoft 365 E5
  • Wer Security ernsthaft betreibt, sollte nicht nur die Lizenzkosten, sondern auch die Kosten eines Sicherheitsvorfalls berücksichtigen – diese übersteigen Investitionen in den richtigen Plan meist um ein Vielfaches

Praxis-Hinweis: Microsoft veröffentlicht regelmäßig eine Security & Compliance Licensing Guidance. Diese Dokumentation ist Pflichtlektüre für Administrator:innen, die ihre Umgebung optimal lizenzieren möchten.

Exkurs: Microsoft Defender vs. Drittanbieter-Lösungen – reicht Microsoft-Security allein aus?

In Seminaren und Projekten taucht immer wieder die Frage auf: Ist die Microsoft-Sicherheitsarchitektur für sich genommen ausreichend, oder sollte man auf Drittanbieter-Lösungen setzen? Die Antwort hängt stark von den individuellen Anforderungen ab – von der Unternehmensgröße über die Branche bis hin zu regulatorischen Vorgaben.

Stärken von Microsoft Defender

Microsoft hat in den vergangenen Jahren massiv in den Ausbau seiner Sicherheitsplattform investiert. Die Defender-Produktfamilie bietet heute Schutz über mehrere Ebenen hinweg:

  • Ganzheitlicher Ansatz
    Mit Defender for Office 365, Defender for Endpoint, Defender for Identity und Defender for Cloud Apps deckt Microsoft die wichtigsten Angriffsflächen ab, von der E-Mail bis zum Endgerät.
  • Globale Threat Intelligence
    Microsoft analysiert täglich Milliarden von Signalen aus Windows, Azure, Office 365 und dem weltweiten Ökosystem. Diese Daten fließen kontinuierlich in die Erkennungsalgorithmen ein – ein Vorteil, den nur wenige Drittanbieter in dieser Größenordnung bieten können.
  • Nahtlose Integration
    Defender ist direkt in Exchange Online, Teams, SharePoint, OneDrive und Entra ID eingebettet. Dadurch lassen sich Bedrohungen nicht nur isoliert erkennen, sondern im gesamten Kontext einer Microsoft 365 Umgebung nachvollziehen.
  • Ständige Weiterentwicklung
    Neue Features wie Safe Links für OneDrive-Links oder Attack Simulation Training werden regelmäßig nachgeliefert.
  • Wirtschaftlichkeit
    Viele Funktionen sind in Microsoft 365 Plänen (E3, E5 oder Business Premium) bereits enthalten. Für Unternehmen bedeutet das: kein zusätzlicher Lizenzdschungel, geringere Betriebskosten und weniger Integrationsaufwand.

Wo Drittanbieter punkten können

Trotz dieser Stärken entscheiden sich viele Unternehmen für ergänzende Lösungen. Gründe dafür sind:

  • Erweiterte Compliance-Funktionalitäten
    In stark regulierten Branchen (z.B. Finanzwesen oder Gesundheitssektor) gibt es Anforderungen an Archivierung, Protokollierung oder Audit-Funktionalitäten, die Drittanbieter teils granularer umsetzen.
  • Herstellerunabhängigkeit
    Einige Unternehmen möchten bewusst nicht ausschließlich auf einen Anbieter setzen. Durch den Mix verschiedener Hersteller wird ein Single Point of Failure vermieden.
  • Mehrschichtige Abwehr
    Ein vorgeschaltetes Secure E-Mail Gateway (SEG) kann eine zusätzliche Barriere darstellen, die Angriffe schon vor dem Eintritt in die Microsoft-Cloud filtert.
  • Spezialisierung
    Drittanbieter wie Proofpoint oder Mimecast haben sich auf E-Mail-Security spezialisiert und bieten oft sehr detaillierte Konfigurationsmöglichkeiten, beispielsweise beim Schutz vor Business Email Compromise (BEC).

Die Realität: eine individuelle Entscheidung

Ob Microsoft Defender allein genügt, hängt letztlich von verschiedenen Faktoren ab:

  • Branche und Risikoprofil: Ein lokales Handwerksunternehmen hat andere Anforderungen als eine internationale Bank
  • Compliance-Anforderungen: In manchen Sektoren schreibt der Gesetzgeber zusätzliche Tools oder Prüfmechanismen zwingend vor
  • Interne Ressourcen: Kleinere Unternehmen profitieren von den integrierten Lösungen, während große Konzerne oft Security Operations Center (SOC) betreiben und dadurch komplexere Szenarien abbilden können

Viele Unternehmen stellen fest, dass Defender for Office 365 und die Microsoft-Sicherheitsarchitektur inzwischen auf Augenhöhe mit etablierten Drittanbietern agieren. Gleichzeitig bleibt die Kombination mit zusätzlichen Lösungen in Hochrisiko-Szenarien eine sinnvolle Strategie, um das Schutzniveau weiter zu erhöhen.

Während Security- und Compliance-Teams heute oft noch auf getrennten Plattformen arbeiten, zeigt sich immer deutlicher, wie wichtig eine gemeinsame Sicht auf Bedrohungen und regulatorische Anforderungen ist. Genau hier setzt die nächste Entwicklungsstufe an: intelligente Unterstützung durch KI.

Integration in Microsoft 365 Copilot – ein Ausblick

Mit der Einführung von Copilot in Microsoft 365 rücken auch Sicherheits- und Compliance-Daten stärker in den Fokus intelligenter Assistenzsysteme. Während Defender for Office 365 und Purview heute vor allem über eigene Portale und Dashboards genutzt werden, eröffnet Copilot die Möglichkeit, Informationen aus beiden Welten kontextbezogen in den Arbeitsalltag einzubinden.

So könnte etwa ein:e Administrator:in direkt in Teams oder Outlook eine Zusammenfassung der aktuellen Sicherheitsvorfälle anfordern, während ein:e Compliance-Beauftragte:r gezielt nach den letzten Klassifizierungen sensibler Daten fragt. Beide Rollen profitieren davon, dass Copilot die relevanten Informationen aus Defender und Purview zusammenführt, filtert und in natürlicher Sprache aufbereitet.

Beispiel für eine Copilot-Abfrage:

  • Administrator:in: „Copilot, zeige mir alle verdächtigen Anmeldeversuche der letzten 24 Stunden aus Defender.
  • Copilot: „In den letzten 24 Stunden gab es 12 verdächtige Anmeldeversuche. Fünf davon stammen aus ungewöhnlichen Geolocations. Die detaillierten Vorfälle habe ich in einer Tabelle für Sie aufbereitet.
  • Compliance-Beauftragte:r: „Copilot, welche Dateien mit personenbezogenen Daten wurden im gleichen Zeitraum von externen Konten geöffnet?
  • Copilot: „Es wurden drei Dateien mit der Sensitivitätsbezeichnung ‚Vertraulich – personenbezogen‘ von externen Benutzern geöffnet. Ich habe die Vorfälle mit Zeitstempel und Zugriffspfad in einem Report zusammengefasst.

Der strategische Vorteil liegt auf der Hand:

  • Schnellerer Zugriff auf Informationen ohne zwischen Portalen wechseln zu müssen
  • Bessere Entscheidungsgrundlagen da Copilot Sicherheits- und Compliance-Aspekte in einem Kontext sichtbar macht
  • Effizientere Zusammenarbeit weil Security- und Compliance-Teams ein gemeinsames Sprachmodell nutzen können, um komplexe Sachverhalte zu besprechen

Auch wenn die Integration heute noch in den Anfängen steckt, zeichnet sich bereits ab, dass Copilot die Lücke zwischen technischer Detailtiefe und strategischer Übersicht schließen kann. Für Unternehmen entsteht dadurch ein neues Niveau an Transparenz und Handlungsschnelligkeit.

Fazit und Handlungsempfehlungen

Die Sicherheitslandschaft in Microsoft 365 ist in den letzten Jahren deutlich gereift. Statt einzelner und weit verstreuter Schutzmechanismen präsentiert sich heute ein durchgängiges Sicherheitsökosystem, das E-Mails, Identitäten, Endgeräte, Cloud-Apps und Daten gleichermaßen abdeckt.

Für Organisationen bedeutet das:

  • Mit Exchange Online Protection und Entra ID steht ein robuster Basisschutz zur Verfügung
  • Defender for Office 365 ergänzt diesen durch spezialisierte Abwehrmechanismen gegen Phishing, Zero-Day-Malware und gezielte Angriffe
  • Über den Defender-Exkurs hinaus lassen sich Identitäten, Endgeräte und Cloud-Apps absichern, inklusive Möglichkeiten für proaktives Threat Hunting
  • Purview sorgt dafür, dass sensible Informationen auch nach der Klassifizierung und beim Austausch geschützt bleiben

Man kann dieses Modell als mehrschichtige Verteidigungslinie verstehen:

  • Außen: Basisschutz mit EOP und Entra ID
  • Zweite Schicht: Erweiterter E-Mail-Schutz mit Defender for Office 365
  • Dritte Schicht: Vertiefender Schutz für Identität, Endpoint und Cloud
  • Kern: Purview für den Schutz sensibler Daten

Jede Schicht für sich ist wertvoll, doch erst im Zusammenspiel entsteht ein ganzheitlicher Schutz, der den Herausforderungen moderner Bedrohungen standhält.

Handlungsempfehlungen für Administrator:innen

Die Vielzahl an Funktionen in Microsoft 365 kann leicht den Eindruck erwecken, dass Security vor allem komplex und schwer umzusetzen ist. In der Praxis zeigen sich jedoch klare Prioritäten: Mit einigen gezielten Maßnahmen lassen sich Umgebungen schon erheblich absichern, bevor tiefere Spezialfunktionen ins Spiel kommen. Die folgenden Handlungsempfehlungen bieten einen pragmatischen Leitfaden, um Schritt für Schritt ein höheres Sicherheitsniveau zu erreichen.

  • Awareness stärken – durch Attack Simulation Training und wiederkehrende Schulungen
  • EOP- und Defender-Policies prüfen und anpassen – insbesondere Safe Links und Safe Attachments
  • Lizenzmodell regelmäßig evaluieren – ob Business Premium, E3 mit Add-ons oder E5, hängt von den Anforderungen ab
  • Purview Sensitivity Labels und DLP einführen – Schritt für Schritt, mit klaren Richtlinien
  • Security Defaults aktivieren und MFA erzwingen – schnell umsetzbare Basismaßnahmen

Ausblick: KI und die Zukunft des Threat Huntings

Ein spannender Trend ist die Verstärkung von Security durch KI. Auf der Ignite 2024 stellte Microsoft neue Funktionen vor, die Sicherheitsanalysen beschleunigen und Security-Teams durch generative KI entlasten. Weiterführende Informationen finden sich in diesem Zusammenhang im Microsoft Security Blog.

Die bereits vorhandenen Möglichkeiten werden hier wie folgt ergänzt:

  • Security Copilot analysiert Bedrohungen in natürlicher Sprache und hilft, Muster schneller zu erkennen
  • Threat Hunting mit Advanced Queries wird zunehmend durch KI-gestützte Vorschläge unterstützt
  • Ziel ist es, die Alert Fatigue zu reduzieren und Unternehmen in die Lage zu versetzen, proaktiver auf Angriffe zu reagieren

Damit ist klar: Die Rolle der Administrator:innen verändert sich weiter. Statt nur reaktiv Vorfälle zu bearbeiten, können sie künftig mit KI-Unterstützung Bedrohungen vorausschauend erkennen und entschärfen – ein echter Paradigmenwechsel.

Quellenverzeichnis

(Abgerufen am 20.08.2025)

Microsoft Defender for Office 365 – Grundlagen und Funktionen

Benchmarking und Leistungsvergleiche

Erweiterte Microsoft-Sicherheitslösungen

Purview, Compliance und Governance

Aktuelle Entwicklungen und Roadmap

Weiterlesen hier im Blog

Kommentar absenden

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert