ISMS

Microsoft Defender for Business: Lohnt sich der Umstieg vom klassischen Virenscanner?

19 Min. Lesezeit
TL;DR
  • Klassische Virenscanner arbeiten primär signaturbasiert und erkennen nur bekannte Malware. Moderne Angriffe nutzen dateilose Techniken, die an Signaturscannern vorbeigehen.
  • Endpoint Detection and Response (EDR) überwacht das Verhalten von Prozessen, Netzwerkverbindungen und Registry-Änderungen und erkennt verdächtige Muster, auch ohne Signatur.
  • Microsoft Defender for Business bietet EDR, Threat & Vulnerability Management und automatisierte Incident Response in einer Lizenz, die für den Mittelstand erschwinglich ist.
  • Die Einrichtung erfolgt über Microsoft Intune und erfordert keine dedizierte Server-Infrastruktur. Onboarding, Policies und Monitoring laufen komplett cloudbasiert.
  • Im ISMS lässt sich Defender for Business als TOM für Malware-Schutz (A.8.7) und Schwachstellenmanagement (A.8.8) dokumentieren.

Warum der klassische Virenscanner nicht mehr reicht

Der klassische Virenscanner funktioniert seit über 30 Jahren nach dem gleichen Prinzip: Er vergleicht Dateien auf dem Endgerät mit einer Datenbank bekannter Malware-Signaturen. Wird eine Übereinstimmung gefunden, wird die Datei blockiert oder in Quarantäne verschoben. Dieses Prinzip funktioniert gut gegen bekannte Bedrohungen, hat aber einen fundamentalen Nachteil: Es erkennt nur, was bereits bekannt ist.

Moderne Angreifer haben sich längst darauf eingestellt. Die Techniken, die heute bei Cyberangriffen zum Einsatz kommen, sind darauf ausgelegt, signaturbasierte Erkennung zu umgehen:

Dateilose Angriffe (Fileless Malware): Der Schadcode wird direkt im Arbeitsspeicher ausgeführt, ohne eine Datei auf die Festplatte zu schreiben. Ein solider Incident Response Plan hilft, auch auf diese schwer erkennbaren Angriffe vorbereitet zu sein. Da kein Dateiscan stattfinden kann, bleibt der Angriff für klassische Virenscanner unsichtbar. Typisches Beispiel: Ein PowerShell-Skript, das über eine Phishing-Mail gestartet wird und direkt im Speicher einen Reverse-Shell-Zugang öffnet.

Living off the Land (LotL): Angreifer nutzen legitime Systemwerkzeuge wie PowerShell, WMI, certutil oder mshta, um ihre Ziele zu erreichen. Da diese Tools zum Betriebssystem gehören, lösen sie keine Signatur-Alarme aus. Ein Virenscanner, der PowerShell blockiert, würde den normalen IT-Betrieb lahmlegen.

Polymorphe Malware: Jede Instanz der Malware ändert ihren Code leicht, sodass die Signatur nie identisch ist. Die Funktionalität bleibt gleich, aber der Fingerabdruck ändert sich bei jeder Verbreitung.

Verschleierung und Packing: Der Schadcode wird verschlüsselt, komprimiert oder in legitimem Code versteckt, sodass er bei einer statischen Analyse nicht erkannt wird. Erst zur Laufzeit wird der eigentliche Schadcode entpackt und ausgeführt.

Gegen all diese Techniken ist ein signaturbasierter Virenscanner im besten Fall eingeschränkt wirksam, im schlechtesten Fall komplett blind.

Was ist EDR und warum macht es den Unterschied?

Endpoint Detection and Response (EDR) verfolgt einen grundlegend anderen Ansatz als klassische Virenscanner. Statt Dateien gegen eine Signaturdatenbank zu prüfen, überwacht EDR das Verhalten auf dem Endgerät in Echtzeit:

  • Welche Prozesse werden gestartet und von welchem Elternprozess?
  • Welche Netzwerkverbindungen baut ein Prozess auf?
  • Welche Dateien werden erstellt, geändert oder gelöscht?
  • Welche Registry-Schlüssel werden verändert?
  • Welche PowerShell-Befehle werden ausgeführt?
  • Welche Benutzerkonten greifen auf welche Ressourcen zu?

Diese Telemetriedaten werden mit Verhaltensmodellen, Machine-Learning-Algorithmen und Threat Intelligence abgeglichen. Das System erkennt verdächtige Muster, auch wenn keine bekannte Signatur vorliegt. Wenn zum Beispiel ein Word-Dokument einen PowerShell-Prozess startet, der eine verschlüsselte Verbindung zu einem unbekannten Server aufbaut, ist das ein verdächtiges Verhalten, unabhängig davon, ob der verwendete Code in einer Signaturdatenbank steht.

EDR bietet zusätzlich Fähigkeiten, die ein klassischer Virenscanner nicht hat:

Forensische Untersuchung: Wenn ein Sicherheitsvorfall erkannt wird, kannst du den gesamten Angriffspfad nachvollziehen: Welcher Prozess hat den Angriff gestartet? Welche Dateien wurden verändert? Welche Daten wurden exfiltriert? Welche anderen Geräte sind betroffen?

Automatisierte Reaktion: Das System kann automatisch auf erkannte Bedrohungen reagieren: Prozesse beenden, Dateien in Quarantäne verschieben, Netzwerkverbindungen trennen, Benutzerkonten sperren. Das passiert in Sekunden, nicht in den Minuten oder Stunden, die ein manueller Incident Response braucht.

Threat Hunting: Security-Analysten können proaktiv nach Anzeichen für Kompromittierung suchen, bevor ein Alarm ausgelöst wird. Mit erweiterten Abfragen lassen sich Muster über tausende Endgeräte hinweg analysieren.

Microsoft Defender for Business im Detail

Microsoft Defender for Business ist Microsofts EDR-Lösung für kleine und mittlere Unternehmen. Er ist in Microsoft 365 Business Premium enthalten und als eigenständige Lizenz für Unternehmen mit bis zu 300 Mitarbeitenden verfügbar. Der Funktionsumfang orientiert sich am Enterprise-Produkt Defender for Endpoint Plan 2, ist aber in einigen Bereichen vereinfacht.

Next-Generation Protection

Die Basis bildet der Virenschutz, der weit über klassische Signaturen hinausgeht:

  • Cloud-basierte Erkennung: Verdächtige Dateien werden in Millisekunden gegen Microsofts Cloud-Intelligence geprüft, die Milliarden von Signalen von hunderten Millionen Endgeräten weltweit aggregiert.
  • Verhaltensbasierte Erkennung: Prozessverhalten wird in Echtzeit analysiert und gegen bekannte Angriffsmuster abgeglichen.
  • Exploit Protection: Schutz gegen gängige Exploit-Techniken wie Buffer Overflow, Return-Oriented Programming und DLL Injection.
  • Network Protection: Blockiert Verbindungen zu bekannten Command-and-Control-Servern und Phishing-Domains.
  • Tamper Protection: Verhindert, dass Malware oder Angreifer den Defender deaktivieren oder seine Konfiguration ändern.

Endpoint Detection and Response

Die EDR-Komponente überwacht das Verhalten aller Endgeräte und korreliert die Telemetriedaten zu Sicherheitsvorfällen:

  • Incident-basierte Darstellung: Einzelne Alarme werden automatisch zu Incidents zusammengefasst, die den gesamten Angriffspfad abbilden. Statt 50 Einzelalarme zu prüfen, siehst du einen Incident mit einer klaren Attack Story.
  • Attack Story Visualisierung: Grafische Darstellung des Angriffspfads vom initialen Zugriff über Lateral Movement bis zur Zielerreichung.
  • Device Timeline: Chronologische Darstellung aller relevanten Ereignisse auf einem Endgerät, gefiltert nach dem Untersuchungszeitraum.
  • Response Actions: Manuelle Reaktionsmöglichkeiten wie Device Isolation (Gerät vom Netzwerk trennen, bleibt aber über Defender Cloud erreichbar), File Quarantine, Process Kill, Live Response Session.

Threat & Vulnerability Management (TVM)

TVM ist ein integriertes Schwachstellenmanagement, das kontinuierlich den Sicherheitszustand aller Endgeräte bewertet:

  • Software-Inventar: Automatische Erfassung aller installierten Software und deren Versionen.
  • Schwachstellenerkennung: Abgleich der installierten Software mit bekannten Schwachstellen (CVEs), ohne dass ein separater Vulnerability Scanner benötigt wird.
  • Risikobewertung: Priorisierung der Schwachstellen nach tatsächlicher Ausnutzbarkeit im Unternehmensnetzwerk, nicht nur nach CVSS-Score.
  • Sicherheitsempfehlungen: Konkrete Handlungsempfehlungen (Software-Updates, Konfigurationsänderungen, Deaktivierung unsicherer Dienste).
  • Exposure Score: Gesamtbewertung der Angriffsfläche auf einer Skala von 0 bis 100.

TVM ist besonders wertvoll, weil es das Schwachstellenmanagement in die Endpoint-Protection-Plattform integriert. Du brauchst keinen separaten Vulnerability Scanner, keine separate Datenbank und keinen separaten Report. Die Schwachstellen werden im gleichen Portal sichtbar wie die Sicherheitsvorfälle, und der Zusammenhang zwischen einer Schwachstelle und ihrer Ausnutzung wird automatisch hergestellt.

Automatisierte Untersuchung und Reaktion (AIR)

Automated Investigation and Response untersucht Alarme automatisch und führt Gegenmaßnahmen durch, ohne dass ein Analyst eingreifen muss:

  • Bei einem Alarm startet eine automatisierte Untersuchung, die verwandte Artefakte sammelt (Dateien, Prozesse, Registry-Einträge, Netzwerkverbindungen).
  • Die gesammelten Beweise werden analysiert und eine Handlungsempfehlung generiert (z.B. Datei in Quarantäne, Prozess beenden, Benutzer sperren).
  • Je nach Konfiguration werden die Maßnahmen automatisch durchgeführt (Full Automation) oder zur Genehmigung vorgelegt (Semi-Automation).

Für mittelständische Unternehmen ohne eigenes SOC ist Full Automation empfehlenswert: Die automatisierte Reaktion ist in den meisten Fällen schneller und präziser als eine manuelle Reaktion, die Stunden auf sich warten lässt, weil gerade niemand das Portal im Blick hat.

Defender for Business vs. Drittanbieter-Lösungen

Die Frage, ob Defender for Business oder eine Drittanbieter-Lösung (CrowdStrike, SentinelOne, Sophos, Bitdefender, ESET) die bessere Wahl ist, lässt sich nicht pauschal beantworten. Aber es gibt klare Argumente für beide Seiten.

Vorteile von Defender for Business

Integration: Defender for Business ist tief in das Microsoft-Ökosystem integriert. Die Telemetriedaten fließen in den Microsoft 365 Security Stack (Conditional Access, Identity Protection, Defender for Cloud Apps) ein und ermöglichen korrelierte Erkennung über Endgeräte, E-Mail, Identitäten und Cloud-Apps hinweg. Diese Cross-Domain-Korrelation ist ein erheblicher Vorteil gegenüber isolierten Endpoint-Lösungen.

Keine zusätzlichen Kosten: In Microsoft 365 Business Premium ist Defender for Business bereits enthalten. Da die meisten Unternehmen Business Premium ohnehin für Conditional Access und Intune benötigen, verursacht Defender for Business keine Zusatzkosten.

Vereinfachtes Management: Onboarding, Konfiguration und Monitoring laufen über das Microsoft 365 Defender Portal und Intune. Kein zusätzlicher Management-Server, keine zusätzliche Konsole, keine zusätzliche Infrastruktur.

TVM inklusive: Das integrierte Schwachstellenmanagement ist bei den meisten Drittanbietern ein separates, kostenpflichtiges Produkt.

Vorteile von Drittanbieter-Lösungen

Unabhängigkeit: Wenn Microsoft selbst kompromittiert wird (wie beim Midnight Blizzard-Angriff 2023), ist eine unabhängige Sicherheitslösung nicht automatisch betroffen. Diversifizierung reduziert das Klumpenrisiko.

Spezialisierung: Dedizierte EDR-Anbieter wie CrowdStrike oder SentinelOne fokussieren sich ausschließlich auf Endpoint Security und investieren ihre gesamten Ressourcen in diesen Bereich. Das kann sich in der Erkennungsrate und der Reaktionsgeschwindigkeit bemerkbar machen.

Plattformübergreifend: Wenn du neben Windows auch macOS, Linux, iOS und Android schützen musst, bieten einige Drittanbieter eine konsistentere Erfahrung über alle Plattformen hinweg.

Managed Detection and Response (MDR): Viele Drittanbieter bieten MDR-Services an, bei denen ein externes SOC die Alarme rund um die Uhr überwacht und auf Vorfälle reagiert. Microsoft bietet mit Defender Experts einen ähnlichen Service, aber das Angebot der spezialisierten Anbieter ist oft ausgereifter.

Pragmatische Empfehlung für den Mittelstand

Für die meisten mittelständischen Unternehmen, die bereits Microsoft 365 Business Premium oder E3/E5 lizenziert haben, ist Defender for Business die pragmatische Wahl. Die Integration in den Microsoft-365-Stack, die enthaltene TVM-Funktionalität und der Wegfall zusätzlicher Infrastruktur und Lizenzkosten wiegen schwerer als die theoretischen Vorteile einer Drittanbieter-Lösung. Wenn du bisher einen klassischen Virenscanner eines Drittanbieters einsetzt, ist der Umstieg auf Defender for Business ein klarer Sicherheitsgewinn bei niedrigeren Gesamtkosten.

Anders sieht es aus, wenn du spezifische Anforderungen hast: regulatorische Vorgaben, die einen unabhängigen Anbieter fordern, eine heterogene Umgebung mit vielen Nicht-Windows-Systemen, oder die Anforderung an ein externes MDR mit 24/7-SOC. In diesen Fällen lohnt sich ein Vergleich mit dedizierten EDR-Anbietern.

Einrichtung: Schritt für Schritt

Die Einrichtung von Defender for Business gliedert sich in vier Phasen:

Phase 1: Vorbereitung (1-2 Tage)

  1. Lizenzierung prüfen: Stelle sicher, dass alle Benutzer eine Microsoft 365 Business Premium-Lizenz (oder Defender for Business Standalone) haben.
  2. Bestehenden Virenscanner dokumentieren: Welche Endpoints sind geschützt? Welche Ausnahmen sind konfiguriert? Welche Policies existieren?
  3. Intune-Enrollment prüfen: Defender for Business wird über Intune verwaltet. Stelle sicher, dass alle Geräte in Intune enrollt sind (Windows 10/11, macOS, iOS, Android).
  4. Kommunikation: Informiere die Mitarbeitenden über den anstehenden Wechsel. In den meisten Fällen ist der Wechsel für Endbenutzer unsichtbar, aber es schadet nicht, proaktiv zu kommunizieren.

Phase 2: Onboarding (1-3 Tage)

  1. Microsoft 365 Defender Portal öffnen (security.microsoft.com) und den Setup Wizard durchlaufen.
  2. Onboarding-Methode wählen: Über Intune (empfohlen für verwaltete Geräte), über Group Policy (für Domain-joined Geräte ohne Intune) oder über ein lokales Skript (für einzelne Geräte).
  3. Pilotgruppe onboarden: Beginne mit 5-10 Geräten aus der IT-Abteilung, um den Prozess zu validieren.
  4. Bestehenden Virenscanner in den passiven Modus versetzen oder deinstallieren (je nach Koexistenz-Konfiguration). Defender for Business kann im passiven Modus neben einem Drittanbieter-Scanner laufen, die EDR-Funktionalität ist dann aber eingeschränkt.

Phase 3: Konfiguration (2-5 Tage)

  1. Next-Generation Protection Policies: Echtzeitschutz, Cloud-basierte Erkennung, Tamper Protection und PUA Protection (Potentially Unwanted Applications) aktivieren.
  2. Attack Surface Reduction (ASR) Rules: Regeln aktivieren, die häufige Angriffstechniken blockieren (z.B. "Block Office applications from creating child processes", "Block credential stealing from LSASS"). Zunächst im Audit-Modus, dann schrittweise im Block-Modus.
  3. Firewall und Network Protection: Web Content Filtering und Network Protection konfigurieren.
  4. Ausnahmen definieren: Branchenspezifische Software, die False Positives auslöst, in die Ausnahmeliste aufnehmen. Halte die Ausnahmeliste so kurz wie möglich und dokumentiere die Begründung für jede Ausnahme.
  5. Automatisierte Reaktion konfigurieren: Full Automation empfohlen, alternativ Semi-Automation für die erste Phase.

Phase 4: Rollout und Monitoring (1-4 Wochen)

  1. Schrittweiser Rollout: Von der Pilotgruppe auf weitere Abteilungen erweitern, dann auf alle Geräte.
  2. Monitoring der ersten Wochen: Täglich das Defender Portal prüfen, Alarme evaluieren, False Positives identifizieren und Ausnahmen bei Bedarf anpassen.
  3. TVM auswerten: Die Schwachstellenberichte nutzen, um kritische Software-Updates zu priorisieren.
  4. Bestehenden Virenscanner deinstallieren: Sobald Defender for Business auf allen Geräten aktiv und validiert ist, den alten Scanner entfernen.

Defender for Business im ISMS

Defender for Business adressiert mehrere ISO 27001-Controls und lässt sich als TOM in verschiedenen Bereichen des ISMS dokumentieren:

A.8.7 (Schutz gegen Malware):

  • Next-Generation Protection als primärer Malware-Schutz
  • Cloud-basierte Erkennung und Verhaltensanalyse
  • Automatische Updates über Microsoft Cloud
  • Ausnahmen dokumentiert und begründet

A.8.8 (Management von technischen Schwachstellen):

  • Threat & Vulnerability Management als kontinuierliches Schwachstellenmanagement
  • Software-Inventar und CVE-Abgleich automatisiert
  • Risikobewertung basierend auf tatsächlicher Ausnutzbarkeit
  • Regelmäßige Auswertung und Priorisierung der Empfehlungen

A.5.24 (Informationssicherheitsvorfall-Management: Planung und Vorbereitung):

  • Automatisierte Untersuchung und Reaktion (AIR)
  • Incident-basierte Darstellung für schnelle Analyse
  • Response Actions für Containment und Eradication
  • Forensische Daten für Post-Incident-Analyse

A.8.15 (Logging) und A.8.16 (Überwachung von Aktivitäten):

  • Kontinuierliche Telemetrieerfassung auf allen Endgeräten
  • Korrelation über das Microsoft 365 Defender Portal
  • Alert Policies für kritische Erkennungen

Die Dokumentation im ISMS sollte neben der technischen Konfiguration auch den Betriebsprozess umfassen. ISMS Lite bildet die relevanten Controls aus 11 Frameworks ab und liefert zu jedem Control praktische Umsetzungsempfehlungen. So lassen sich TOMs und Logging-Maßnahmen direkt innerhalb der passenden Controls dokumentieren, und die KI-gestützte Richtliniengenerierung hilft beim Erstellen der zugehörigen Policies. Wichtig ist dabei auch der organisatorische Rahmen: Wer prüft die Alarme? Wie schnell wird auf kritische Incidents reagiert? Wie oft wird TVM ausgewertet? Wer genehmigt Ausnahmen? Diese organisatorischen Aspekte sind für den Auditor mindestens so wichtig wie die technische Einrichtung.

Betrieb und Monitoring

Nach der Einrichtung braucht Defender for Business einen strukturierten Betriebsprozess. Ohne regelmäßiges Monitoring ist die beste EDR-Lösung wertlos, weil die Alarme ungelesen bleiben und die Schwachstellen ungepatcht.

Tägliches Monitoring (5-10 Minuten):

  • Neue Incidents im Defender Portal prüfen
  • Kritische und hohe Alarme sofort evaluieren
  • Automatisierte Reaktionen validieren (hat die Automatisierung korrekt reagiert?)

Wöchentliches Review (30 Minuten):

  • Alle Incidents der Woche durchgehen
  • False Positives identifizieren und Ausnahmen bei Bedarf anpassen
  • TVM-Dashboard prüfen: Neue kritische Schwachstellen?
  • Onboarding-Status: Sind alle Geräte aktiv und melden Telemetrie?

Monatliches Reporting (1 Stunde):

  • Incident-Statistik: Anzahl, Schweregrad, Reaktionszeit
  • TVM-Statistik: Exposure Score, offene Schwachstellen, Patch-Compliance
  • Secure Score-Entwicklung (Endpoint-Kategorie)
  • Ergebnisse für das ISMS-Dashboard aufbereiten

Quartalsweise Überprüfung:

  • ASR-Regeln und Policies auf Aktualität prüfen
  • Ausnahmeliste überprüfen (sind alle Ausnahmen noch nötig?)
  • Neue Defender-Features evaluieren (Microsoft erweitert den Funktionsumfang regelmäßig)

Für Unternehmen ohne dediziertes IT-Security-Personal ist es sinnvoll, das tägliche Monitoring durch E-Mail-Benachrichtigungen zu vereinfachen. Defender for Business kann bei kritischen Incidents automatisch E-Mails an eine definierte Verteilergruppe senden. So musst du nicht jeden Tag ins Portal schauen, sondern wirst proaktiv informiert, wenn etwas passiert.

Häufige Fragen zum Umstieg

Können Defender for Business und ein Drittanbieter-Scanner parallel laufen? Ja, Defender for Business kann im passiven Modus neben einem anderen Scanner laufen. EDR-Telemetrie wird gesammelt, aber der Echtzeitschutz ist deaktiviert. Für den vollständigen Schutz muss Defender for Business im aktiven Modus laufen und der Drittanbieter-Scanner deinstalliert werden.

Was passiert mit bestehenden Virenscanner-Ausnahmen? Die Ausnahmen müssen manuell in Defender for Business übertragen werden. Nutze den Umstieg als Gelegenheit, jede Ausnahme kritisch zu prüfen: Ist sie noch nötig? Gibt es eine bessere Lösung?

Brauche ich ein SOC für EDR? Nein, nicht zwingend. Defender for Business ist so konzipiert, dass kleine IT-Teams die Lösung betreiben können. Die automatisierte Untersuchung und Reaktion (AIR) übernimmt einen Großteil der Arbeit, die in Enterprise-Umgebungen von SOC-Analysten erledigt wird. Aber: Du brauchst mindestens eine Person, die die Alarme regelmäßig prüft und bei kritischen Incidents reagiert.

Wie lange dauert der Umstieg? Für ein Unternehmen mit 50-200 Endgeräten ist ein Zeitraum von 2-4 Wochen realistisch, von der Vorbereitung bis zum vollständigen Rollout. Die reine technische Einrichtung geht schneller, aber die Evaluierungsphase (False Positives, Ausnahmen, ASR-Regeln) braucht Zeit.

Schützt Defender for Business auch Server? Defender for Business schützt primär Client-Geräte (Windows 10/11, macOS, iOS, Android). Für Server (Windows Server, Linux Server) brauchst du Defender for Servers, das über Microsoft Defender for Cloud lizenziert wird. Für kleine Unternehmen mit wenigen Servern kann die Standalone-Lizenz von Defender for Servers ausreichen.

Weiterführende Artikel

Microsoft Defender for Business EDR Endpoint Detection and Response Virenscanner Endpoint Protection Threat Vulnerability Management ISMS ISO 27001

Endpoint Protection im ISMS dokumentieren

ISMS Lite hilft dir, deine Endpoint-Protection-Strategie als TOM zu dokumentieren, Schwachstellenmanagement-Prozesse zu tracken und den Schutzstatus für ISO 27001-Audits nachzuweisen.

Jetzt installieren