Microsoft Defender for Endpoint (MDE) für kleine Unternehmen in Berlin
Die meisten Berliner Kleinunternehmen haben Endpunktschutz installiert. Die wenigsten nutzen ihn jedoch auf einem Niveau, das moderne Angriffe tatsächlich stoppt. Der Unterschied liegt nicht zwischen Antivirus und keinem Antivirus – er liegt zwischen signaturbasierter Erkennung (die bekannte Malware stoppt) und Endpoint Detection and Response (EDR), das Angreiferverhalten, Seitwegsbewegungen und Living-off-the-Land-Techniken erkennt, die überhaupt keine Malware-Signatur tragen. Microsoft Defender for Endpoint ist die EDR-Plattform für Unternehmen, die Microsoft in Microsoft 365 Business Premium-, E3- und E5-Lizenzen einschließt – eine Fähigkeit, die die meisten Kleinunternehmen lizenziert, aber nie aktiviert haben.
Dieser Leitfaden erklärt, was MDE bietet, wie es sich von Windows Defender Antivirus unterscheidet, welche Bereitstellungsoptionen für Berliner Unternehmen mit Intune bestehen und wie die wichtigsten Sicherheitsfunktionen – Bedrohungs- und Schwachstellenmanagement, Angriffsoberflächenreduzierung und automatisierte Untersuchung – in der Praxis aussehen.
Was ist Microsoft Defender for Endpoint?
Microsoft Defender for Endpoint (MDE) ist die EDR- und Endpunktsicherheitsplattform von Microsoft für Unternehmen. Sie unterscheidet sich von Windows Defender Antivirus, dem integrierten Malware-Scanner. MDE fügt über die AV-Engine hinaus eine cloudverbundene Sicherheitsebene hinzu:
- Verhaltensüberwachung: Der MDE-Sensor überwacht Prozessaktivitäten, Netzwerkverbindungen, Registrierungsveränderungen und Dateioperationen auf jedem Endpunkt und sendet Telemetrie an Microsofts Cloud. Die Erkennungsmaschine analysiert diese Telemetrie auf Angriffsmuster – nicht nur auf Malware-Signaturen
- Bedrohungs- und Schwachstellenmanagement (TVM): Kontinuierliches Inventar der auf jedem Gerät installierten Software mit Schwachstellenbewertungen für jeden CVE, der diese Software betrifft. TVM priorisiert Schwachstellen nach Ausnutzbarkeit und Exponierung – nicht nur nach dem CVSS-Score
- Angriffsoberflächenreduzierung (ASR): Regelbasierte Richtlinien, die spezifische Angriffsverhalten auf OS-Ebene blockieren – bevor Malware identifiziert werden muss
- Automatisierte Untersuchung und Behebung: Bei einem hochkonfidenten Alarm kann MDE automatisch untersuchen und beheben – die schadhaften Dateien unter Quarantäne stellen, den bösartigen Prozess beenden – ohne auf Analysteingriff zu warten
MDE Plan 1 vs. Plan 2
| Fähigkeit | MDE Plan 1 (M365 Business Premium, E3) | MDE Plan 2 (M365 E5, Defender for Business) |
|---|---|---|
| Next-Generation AV | ✓ | ✓ |
| Angriffsoberflächenreduzierungsregeln | ✓ | ✓ |
| Gerätekontrolle (USB, Wechselmedien) | ✓ | ✓ |
| Webinhaltsfilterung | ✓ | ✓ |
| EDR (Verhaltenserkennung, Zeitachse) | ✓ | ✓ |
| Bedrohungs- und Schwachstellenmanagement | Basic | Vollständig (Exploit-Vorhersage, Softwareinventar) |
| Automatisierte Untersuchung und Behebung | ✓ | ✓ |
| Geräteerkennung | ✓ | ✓ |
| Bedrohungsanalyse (Akteurprofile) | – | ✓ |
| Endpoint Attack Notifications | – | ✓ |
| Microsoft Threat Experts (Managed Hunting) | – | ✓ |
Für ein Unternehmen mit Microsoft 365 Business Premium ist MDE Plan 1 enthalten. Das eigenständige Abonnement Defender for Business fügt Plan-2-Fähigkeiten für ca. 3 €/Nutzer/Monat hinzu – und ist auf 300 Nutzer begrenzt, was es zur richtigen Wahl für Kleinunternehmen macht, die vollständiges EDR ohne Upgrade auf M365 E5 möchten.
Geräte-Onboarding mit Intune
Der schnellste und skalierbarste Onboarding-Pfad für Intune-verwaltete Geräte erfolgt über den Intune-MDE-Konnektor. Einmal konfiguriert, werden in Intune registrierte Geräte automatisch in MDE eingebunden – kein manueller Paketbereitstellungsaufwand erforderlich:
- Microsoft Defender XDR-Portal (security.microsoft.com) → Einstellungen → Endpunkte → Erweiterte Funktionen → „Microsoft Intune-Verbindung“ aktivieren
- Microsoft Intune Admin Center → Endpunktsicherheit → Microsoft Defender for Endpoint → Konnektor aktivieren
- Gerätekonfigurationsprofil in Intune mit „Microsoft Defender for Endpoint“-Basiseinstellungen erstellen – dies verteilt die MDE-Onboarding-Konfiguration an alle Zielgeräte
- Geräte registrieren sich und werden innerhalb von 15–30 Minuten eingebunden; sie erscheinen im MDE-Geräteinventar im Defender XDR-Portal
Angriffsoberflächenreduzierungsregeln
ASR-Regeln sind eine der wirkungsvollsten und aufwandsarmen Sicherheitsverbesserungen von MDE. Sie arbeiten auf der Windows-Kernelebene und blockieren spezifische Angriffsmuster unabhängig davon, ob ein CVE oder eine Malware-Signatur bekannt ist:
| Regel | Was blockiert wird | Wirkung |
|---|---|---|
| Office-Apps am Erstellen untergeordneter Prozesse hindern | Makrobasierte Angriffe (Word/Excel startet cmd.exe oder PowerShell) | Hoch – eliminiert die meisten Makro-Malware-Lieferungen |
| Anmeldeinformationsdiebstahl von LSASS blockieren | Mimikatz-artige Anmeldeinformationsdumps | Hoch – verhindert Pass-the-Hash und Seitwegsbewegungen |
| Nicht vertrauenswürdige/unsignierte Prozesse von USB blockieren | Bösartige USB-Autorun-Nutzdaten | Mittel |
| Persistenz über WMI-Ereignisabonnement blockieren | Dateilose Malware-Persistenz via WMI | Hoch für fortgeschrittene Bedrohungen |
| Missbrauch anfälliger signierter Treiber blockieren | BYOVD-Kernel-Angriffe (Bring Your Own Vulnerable Driver) | Hoch für Ransomware-Vorläuferaktivitäten |
Stellen Sie ASR-Regeln zunächst im Prüfmodus bereit: Dies protokolliert, was blockiert werden würde, ohne tatsächlich zu blockieren, sodass Sie legitime Prozesse identifizieren können, bevor Sie in den Durchsetzungsmodus wechseln.
Bedrohungs- und Schwachstellenmanagement
TVM bietet eine kontinuierliche, gerätebezogene Ansicht nicht gepatchter Schwachstellen über den gesamten Gerätepool. Im Gegensatz zu Patch-Management-Tools, die installierte Updates verfolgen, ordnet TVM installierte Softwareversionen der CVE-Datenbank zu und priorisiert Schwachstellen basierend auf Microsofts Exploit-Vorhersage-Scoring – ob es aktiven Exploit-Code in der freien Wildbahn gibt, ob die Schwachstelle aktiv ausgenutzt wird und ob die anfällige Software über einen netzwerkzugänglichen Dienst exponiert ist.
Integration mit Microsoft Sentinel
MDE-Alarme und Gerätetelemetrie fließen über den Microsoft Defender XDR-Datenkonnektor in Microsoft Sentinel ein. Die MDE-Geräteisolierungsfunktion – die von Sentinel über Logic Apps ausgelöst werden kann – ist besonders wertvoll: Sie blockiert den gesamten Netzwerkdatenverkehr eines kompromittierten Geräts mit Ausnahme des MDE-Verwaltungskanals und verhindert so die Ausbreitung von Ransomware über das Netzwerk.
Secure Score-Integration
MDE-Endpunktkonfigurationsempfehlungen – ASR-Regeln aktivieren, Manipulationsschutz aktivieren, Cloud-Schutz aktivieren – tragen Punkte zum Microsoft Secure Score bei. Jede MDE-Empfehlung ist bewertet und eingestuft, was eine priorisierte Behebungsreihenfolge ergibt, die sowohl die Sicherheitsauswirkung als auch den erforderlichen Bereitstellungsaufwand berücksichtigt.
Einrichtungsschritte für Berliner Kleinunternehmen
- Lizenz prüfen: M365 Business Premium enthält MDE Plan 1; Defender for Business (eigenständig, ≤300 Nutzer) fügt Plan 2 für ~3 €/Nutzer/Monat hinzu
- Intune mit MDE verbinden: Defender XDR-Portal → Einstellungen → Endpunkte → Erweiterte Funktionen → Intune-Verbindung aktivieren
- MDE-Konnektor im Intune Admin Center aktivieren → Endpunktsicherheit → Microsoft Defender for Endpoint
- Intune-Endpunktsicherheitsrichtlinie erstellen: Antivirus → Microsoft Defender Antivirus → Cloud-Schutz, Echtzeitschutz, Manipulationsschutz aktivieren
- ASR-Regeln im Prüfmodus bereitstellen: Endpunktsicherheit → Angriffsoberflächenreduzierung → Richtlinie mit allen Regeln im Prüfmodus erstellen
- ASR-Prüfprotokoll im Defender XDR-Portal prüfen → Bestätigen, dass keine legitimen Prozesse markiert sind, dann Regeln in den Blockiermodus umschalten
- TVM-Empfehlungen prüfen: Defender XDR-Portal → Schwachstellenmanagement → Empfehlungen → alle Elemente mit kritischem und hohem Schweregrad angehen
MDE ist die Endpunktsicherheitskomponente, die sich in die Zero-Trust-Geräte-Compliance-Anforderungen integriert: Intune Conditional Access-Richtlinien können einen MDE-Risiko-Score unterhalb eines Schwellenwerts verlangen und sicherstellen, dass Geräte mit aktiven Bedrohungen vom Zugriff auf Unternehmensressourcen blockiert werden, bis die Bedrohung behoben ist.
Weiterfuehrende Artikel
- Zero Trust: Microsoft Defender for Endpoint schützt Geräte als Endpunkt-Sicherheitsschicht im Zero-Trust-Modell
- Microsoft Sentinel: MDE-Sicherheitswarnungen über den Microsoft 365 Defender-Konnektor für einheitliches SIEM-Alerting aufnehmen
- Microsoft Secure Score: Defender for Endpoint-Empfehlungen steigern den Geräte-Secure-Score für eine verbesserte Sicherheitsbewertung
Weiterfuehrende Artikel
- Intune Compliance-Richtlinien: MDE-Geräterisikobewertung als Intune-Konformitätsbedingung einsetzen — Geräte mit aktiven Bedrohungen werden automatisch als nicht konform markiert und per Conditional Access von Microsoft 365 gesperrt
- Microsoft Defender for Cloud: MDE liefert Endpunktsicherheitssignale für den Defender for Cloud Workload-Schutz — Endpunktbedrohungen mit Azure-Ressourcenschwachstellen in einem einheitlichen Security-Posture-Dashboard korrelieren
- Microsoft Sentinel: MDE-Warnungen über den Microsoft Defender XDR-Konnektor in Sentinel einbinden — Endpunkterkennungen mit Entra ID-Anmeldeanomalien und Azure Firewall-Ereignissen in einer einheitlichen Incident-Zeitleiste korrelieren