Du hast Microsoft Defender im Einsatz. Das Portal färbt sich regelmässig rot, es laufen Warnungen auf, ab und zu ein Incident mit der Stufe "hoch". Und dann passiert meistens nichts. Nicht weil dir die Sicherheit egal wäre, sondern weil niemand die Zeit hat, jede Microsoft Defender Warnung zu öffnen, einzuordnen und zu entscheiden, ob sie zählt. Genau das ist der wunde Punkt der Microsoft-365-Sicherheit in vielen Schweizer KMU: nicht zu wenig Technik, sondern niemand, der verlässlich hinschaut.
Die Werkzeuge sind längst da. Wer Business Standard oder Business Premium lizenziert hat, bezahlt Defender bereits mit. Die Erkennung funktioniert. Was fehlt, ist der zweite Schritt: lesen, bewerten, reagieren. Dieser Artikel zeigt dir, warum die Warnungen liegen bleiben, welche du nicht ignorieren solltest und was du kurzfristig selbst verbessern kannst.
Microsoft Defender erzeugt Warnungen rund um die Uhr. Der wunde Punkt in den meisten KMU ist nicht die Erkennung, sondern die Auswertung: Alerts laufen auf, aber niemand liest, priorisiert und übernimmt sie. Dafür brauchst du kein 24/7-SOC. Du brauchst jemanden, der zu Bürozeiten verlässlich hinschaut, mit klaren Reaktionszeiten.
Warum niemand die Defender-Warnungen liest
Das ist selten eine Frage von Disziplin. In den meisten KMU trifft der Alert-Strom auf eine IT-Betreuung, die für ganz andere Dinge zuständig ist: Drucker, das Onboarding neuer Mitarbeitender, das ERP, der Support-Anruf aus dem Verkauf. Security-Monitoring ist ein eigener Beruf, und er passt schlecht zwischen zwei Support-Tickets.
Dazu kommen ein paar strukturelle Gründe. Defender meldet nicht nur echte Angriffe, sondern auch viele erklärbare Ereignisse, und ohne Übung ist schwer zu sehen, was Signal und was Rauschen ist. Wer ein paar Mal einer Warnung nachgeht und am Ende nichts findet, gewöhnt sich das Nachschauen wieder ab. Das ist menschlich, aber riskant. Dazu sind die Meldungen in Sicherheits-Englisch formuliert: "impossible travel" oder "mass download" sagen einem Generalisten wenig über die tatsächliche Dringlichkeit. Und oft ist gar nicht festgelegt, wer die Incident-Queue morgens öffnet. Was niemandem gehört, macht niemand.
Das Ergebnis ist paradox: Die Firma hat in Erkennung investiert, aber die entscheidende Komponente, das menschliche Urteil, fehlt.
Der eigentliche Denkfehler: noch ein Tool statt jemand, der hinschaut
Defender-Warnungen ohne Leser sind wie ein Rauchmelder ohne Batterie. Er hängt an der Decke, er sieht im Audit gut aus, und im Ernstfall piept er nicht. Das Problem ist nicht die Technik. Es ist die Lücke zwischen Alarm und Reaktion.
Wenn dieses Unbehagen aufkommt, ist der erste Reflex oft, noch ein Produkt zu kaufen: eine weitere Konsole, einen zusätzlichen Agenten, ein grösseres Lizenzpaket. Das verschiebt das Problem nur. Ein zweites Werkzeug, das ebenfalls niemand liest, verbessert die Sicherheit nicht. Es erhöht bloss die Zahl der ungelesenen Warnungen. Sichtbar wird die Lücke oft erst, wenn es zu spät ist: Beim ersten echten Vorfall fällt auf, dass die entscheidende Warnung schon Tage vorher im Portal stand, nur eben ungelesen.
Der zweite Reflex ist der Sprung ans andere Extrem: ein volles 24/7-SOC mit Nachtschicht. Für die meisten Büro-KMU ist das überdimensioniert. Wenn nachts um zwei Uhr ein Alert aufläuft und dein Betrieb erst um acht wieder arbeitet, entsteht in diesen Stunden in aller Regel kein Schaden, der eine durchgehende menschliche Schicht rechtfertigt, vorausgesetzt die automatischen Sofortmassnahmen greifen. Genau die laufen in Defender ohnehin rund um die Uhr: ein riskanter Login wird unterbrochen, ein auffälliges Gerät isoliert. Was fehlt, ist nicht die Nacht, sondern der verlässliche Morgen.
Die passende Grösse liegt dazwischen. Automatisierung begrenzt den Schaden sofort, ein Mensch bewertet und übernimmt zu Bürozeiten mit vereinbarten Reaktionszeiten. Das ist die Dimensionierung, die zu einem KMU ohne Schichtbetrieb wirklich passt.
Welche Microsoft Defender Warnungen wirklich zählen
Nicht jede Warnung ist gleich dringend. In unserer Erfahrung sind es vor allem identitätsnahe Ereignisse, die man nicht liegen lassen darf, weil ein übernommenes Konto der häufigste Einstieg in eine Microsoft-365-Umgebung ist. Als grobe Orientierung:
| Signal | Warum es zählt |
|---|---|
| Anmeldung aus untypischem Land oder "impossible travel" | Hinweis auf ein kompromittiertes Konto oder umgangene MFA |
| Neue Weiterleitungs- oder Posteingangsregel | Klassischer Schritt nach einer Kontoübernahme, um mitzulesen und Spuren zu verstecken |
| Massenhafter Download aus SharePoint oder OneDrive | Möglicher Datenabfluss vor einer Kündigung oder nach einem Einbruch |
| Wiederholte MFA-Aufforderungen (MFA fatigue) | Versuch, den Nutzer zur unbedachten Bestätigung zu ermüden |
| Änderung an privilegierten Rollen in Entra ID | Ausweitung von Rechten, oft ein spätes und kritisches Angriffszeichen |
Diese Liste ist keine vollständige Priorisierung, und die richtige Einstufung hängt immer vom Kontext ab: Ist die Reise erklärbar, weil jemand tatsächlich im Ausland ist? Wurde die Weiterleitung bewusst eingerichtet? Genau diese Einordnung ist die Arbeit, die Defender dir nicht abnimmt.
Was du diese Woche selbst tun kannst
Auch ohne externe Unterstützung kannst du kurzfristig einiges verbessern. Die folgenden Schritte kosten wenig und schliessen die auffälligsten Lücken:
- Feste Zuständigkeit klären: Lege fest, wer die Incident-Queue in Defender an welchen Tagen öffnet. Ein Name, ein fixer Zeitpunkt.
- Benachrichtigungen einschalten: Konfiguriere E-Mail-Alerts für Incidents ab Stufe "hoch", damit die kritischen Fälle nicht im Portal versauern.
- Weiterleitungsregeln prüfen: Kontrolliere im Exchange Admin Center, ob es unerwartete automatische Weiterleitungen nach aussen gibt. Das ist eine der häufigsten Spuren einer Übernahme.
- Privilegierte Konten zählen: Wie viele globale Administratoren gibt es? Oft sind es zu viele. Reduziere auf das Nötige und schütze diese Konten besonders.
- MFA und Conditional Access nachziehen: Prüfe, ob MFA wirklich für alle gilt und ob Conditional Access die gröbsten Risiken abdeckt. Vieles davon ist in deiner Lizenz bereits enthalten.
Diese Massnahmen ersetzen kein laufendes Monitoring, aber sie senken das Risiko spürbar und schaffen Ordnung, auf der sich später aufbauen lässt.
Vom Alarm zur Reaktion: der Schritt, der zählt
Eine gelesene Warnung ist erst der Anfang. Der eigentliche Wert entsteht in den Schritten danach. Zuerst die Triage: Fehlalarm oder echtes Problem? Dann die Eindämmung, also das betroffene Konto sperren, die verdächtige Sitzung beenden, die fremde Weiterleitungsregel entfernen. Danach die Aufarbeitung: Wie kam es dazu, was wurde berührt, was muss zurückgesetzt werden? Und am Ende die Dokumentation, damit dein Betrieb gegenüber Versicherung, Kunden oder Revision belegen kann, was passiert ist und wie reagiert wurde.
Diese Kette braucht Übung und einen kühlen Kopf, gerade weil die ersten Minuten eines echten Vorfalls hektisch sind. Wer sie zweimal im Jahr durchläuft, ist im Nachteil gegenüber jemandem, der die Muster täglich sieht. Nicht weil er weniger kann, sondern weil ihm die Wiederholung fehlt.
Wann sich die Auswertung an ein Team lohnt
Irgendwann stösst der Ansatz "wir schauen selbst, wenn Zeit ist" an eine Grenze. Meist ist das der Moment, in dem die Cyberversicherung nach Monitoring fragt, ein Grosskunde einen Nachweis verlangt oder im Umfeld ein Phishing-Vorfall passiert. Dann reicht es nicht mehr, dass die Werkzeuge vorhanden sind. Jemand muss belegbar hinschauen.
Ob das für deinen Betrieb sinnvoll ist, hängt von deiner Grösse und deinem Risiko ab. Auf unserer Übersicht dazu, für wen das SOC passt und für wen nicht, haben wir das ehrlich aufgeschlüsselt, samt der Fälle, in denen sich der Aufwand nicht lohnt. Wenn du wissen willst, wo dein Tenant heute steht, ist ein M365 Tenant Review für CHF 990 der nüchternste Einstieg: eine Standortbestimmung deiner Konfiguration, die auch dann nützlich bleibt, wenn du dich gegen den laufenden Betrieb entscheidest. Was ein SOC in der richtigen Grösse kostet und warum es ab CHF 1'850 pro Monat beginnt, findest du auf der Übersicht zu Preisen und Risikoleveln.
Und die ehrliche Kehrseite: Wenn dein Betrieb rund um die Uhr produziert oder regulatorisch echte 24/7-Reaktion durch Menschen braucht, ist ein bürozeiten-basiertes SOC nicht das richtige. Für ein KMU ohne Schichtbetrieb ist es meist genau die Grösse, die bisher gefehlt hat: nicht der Ferrari, aber auch nicht der Blindflug.