Microsoft Defender for Office 365 – Safe Attachments und Safe Links für kleine Unternehmen in Berlin
E-Mail ist der primäre Angriffsvektor für Ransomware, Business-Email-Compromise und Credential-Phishing gegen kleine Unternehmen. Exchange Online Protection (EOP) — in allen Microsoft-365-Abonnements enthalten — filtert bekannte Malware und Spam über signaturbasierte Erkennung. Microsoft Defender for Office 365 (MDO) fügt Verhaltensanalyse hinzu: Anhänge werden in einer Sandbox detoniert, bevor sie zugestellt werden, URLs werden beim Klick statt bei der Zustellung geprüft, und Machine Learning erkennt Impersonierungsangriffe, die die Signaturerkennung umgehen. Für Berliner KMU mit Business Premium (das MDO Plan 1 enthält) sind diese Fähigkeiten bereits lizenziert — sie müssen konfiguriert werden.
MDO-Plan-Vergleich
| Funktion | EOP (Basis) | MDO Plan 1 | MDO Plan 2 |
|---|---|---|---|
| Anti-Spam / Anti-Malware | ✓ | ✓ | ✓ |
| Safe Attachments | ✗ | ✓ | ✓ |
| Safe Links | ✗ | ✓ | ✓ |
| Anti-Phishing (Impersonierung) | Basis | Erweitert | Erweitert |
| Threat Explorer / Echtzeiterkennung | ✗ | Echtzeiterkennung | Threat Explorer (vollst.) |
| Angriffssimulationstraining | ✗ | ✗ | ✓ |
| Automatisierte Untersuchung und Reaktion | ✗ | ✗ | ✓ |
Safe Attachments
Safe Attachments detoniert E-Mail-Anhänge in einer Cloud-gehosteten Sandbox, bevor sie an das Postfach des Empfängers zugestellt werden. Ein bösartiges Office-Dokument, das in einer echten Umgebung gerendert wird, löst die Ausführung aus, Verhaltensanalyse erkennt die Nutzlast, und die E-Mail wird blockiert oder mit dem Anhang als Warnung ersetzt.
Wichtige Richtlinieneinstellungen:
| Einstellung | Empfohlener Wert | Hinweis |
|---|---|---|
| Safe-Attachments-Reaktion auf unbekannte Malware | Blockieren | Erkennt und stellt statt Anhang eine Benachrichtigung zu |
| Umleitung aktivieren für erkannte Anhänge | Ein — Umleitung an Admin-Postfach | Ermöglicht Überprüfung blockierter Anhänge ohne Exponierung der Empfänger |
| Safe Attachments für SharePoint, OneDrive, Teams | Aktiviert | Erweitert Detonation auf über Teams/SharePoint geteilte Dateien |
| Anwendungsbereich | Auf alle Empfänger anwenden | Dienstkonten und geteilte Postfächer nicht ungeschützt lassen |
Safe Links
Safe Links schreibt URLs in E-Mails bei der Zustellung um und prüft sie dann gegen einen Echtzeit-Bedrohungsfeed beim Klick. Dies erkennt zwei Kategorien, die die URL-Prüfung zum Zustellzeitpunkt verpasst:
- Klickzeitpunkt-Phishing: Eine URL ist bei der Zustellung harmlos (Angreifer hat eine saubere Site), leitet aber auf eine Phishing-Seite weiter, nachdem die E-Mail das Scannen passiert hat
- Kompromittierung legitimer Sites: Eine URL, die auf eine legitime Website zeigt, wird sicher zugestellt, aber die Site wird später kompromittiert und liefert Malware
Wichtige Richtlinieneinstellungen:
| Einstellung | Empfohlener Wert |
|---|---|
| Safe-Links-Prüfung bei Klick auf Links in E-Mail aktivieren | Aktiviert |
| Echtzeit-URL-Scannen für verdächtige Links und dateiverknüpfte Links aktivieren | Aktiviert |
| Benutzer dürfen nicht zur Original-URL klicken | Aktiviert (Clickthrough blockieren) |
| Benutzerklicks verfolgen | Aktiviert (für Vorfalluntersuchung) |
| Safe Links in Microsoft Teams | Aktiviert |
Anti-Phishing-Richtlinie (Impersonierungsschutz)
MDOs Anti-Phishing geht über Signatur-Matching hinaus und erkennt Impersonierungsangriffe:
- Benutzerimpersonierung: Eine E-Mail, die scheinbar von Ihrem CEO stammt (Typosquatting der Domäne oder Spoofing des Anzeigenamens), wird erkannt, auch wenn die Absenderdomäne anders ist
- Domänenimpersonierung: Domänen, die ähnlich wie Ihre aussehen, werden markiert
- Postfachintelligenz: ML-Modelle lernen den typischen Kommunikationsgraphen jedes Benutzers; eine E-Mail, die einen bekannten Kontakt imitiert, aber von einer ungewöhnlichen Quelle stammt, wird markiert
Konfiguration: Fügen Sie Ihre Führungskräfte und hochwertige Ziele (Geschäftsführer, CFO, HR-Leitung) zur Benutzerimpersonierungs-Schutzliste hinzu, und ergänzen Sie Ihre primären Domänen und ähnlich aussehende Domänen in der Domänenimpersonierungs-Liste. Setzen Sie die Aktion auf „In Junk verschieben“ für verdächtige Impersonierung.
Vordefinierte Sicherheitsrichtlinien
Für KMU, die manuelles Richtlinien-Tuning überspringen möchten, bietet Microsoft zwei vordefinierte Sicherheitsrichtlinien: Standard-Schutz und Strikter Schutz. Diese sind unter Bedrohungsrichtlinien → Vordefinierte Sicherheitsrichtlinien zugänglich und wenden konsistente Einstellungen über EOP + MDO an.
Standard-Schutz ist der geeignete Ausgangspunkt für die meisten Berliner KMU. Auf alle Benutzer als Baseline anwenden, dann benutzerdefinierte Richtlinien für spezifische Gruppen darüberlegen (z. B. Strikter Schutz für Führungskräfte).
Defender for Office 365 eliminiert nicht den Bedarf an Sicherheitsbewusstseinsschulungen — es reduziert den Explosionsradius, wenn ein Benutzer doch auf etwas Bösartiges klickt. Die Kombination aus MDO-Filterung, Entra ID Protection und Conditional Access gibt Berliner KMU eine mehrschichtige E-Mail-Sicherheitsposition, die der von wesentlich größeren Organisationen entspricht.
Weiterfuehrende Artikel