Microsoft Defender reicht nicht — warum E-Mail-Sicherheit eine zweite Schicht braucht
Die meisten M365-Kunden glauben: „Wir haben Defender, wir sind abgesichert.” Das stimmt — bis zu einem Punkt.
Exchange Online Protection (EOP) ist in jedem Microsoft-365-Abo enthalten. Es filtert Massenmails, blockiert bekannte Malware und prüft DKIM- und SPF-Einträge. Für generische Bedrohungen macht es seinen Job.
Aber die Angriffe, die Unternehmen wirklich Geld kosten, sind nicht generisch.
Was EOP gut kann — und was nicht
EOP ist stark bei:
- Massenmails mit bekannten Spam-Signaturen
- Anhängen mit bekannten Malware-Patterns
- Standardisierten Phishing-Kampagnen über Phishing-as-a-Service-Plattformen
EOP hat nachweislich Schwächen bei:
- Business Email Compromise (BEC): Kein Attachment, kein Link — einfach eine E-Mail die aussieht, als käme sie vom CEO. EOP hat nichts zum Scannen.
- Display-Name-Spoofing: Der Absender heißt „Gerrit Walther”, kommt aber von gerrit.walther@walther-it-consultingde.com. EOP erkennt das nicht zuverlässig als Bedrohung.
- Lookalike-Domains: Registriert in der Nacht, noch nicht auf Blacklists — EOP lässt sie durch.
- Zero-Day-Payloads: Neue Varianten, die noch keine bekannte Signatur haben.
Das ist kein Vorwurf an Microsoft. Das ist die Realität von Perimeter-basiertem Schutz.
Praxis-Erfahrung aus der Community: Wer von Microsoft Defender Plan 2 auf Plan 1 downgradet, meldet bis zu 50 % mehr Phishing- und Spam-Mails im Postfach. EOP allein ist nicht dasselbe wie ein vollständig konfiguriertes Defender-Setup.
BEC: Der teuerste Angriff ohne Malware
Business Email Compromise ist laut FBI die teuerste Cyberbedrohung weltweit — und sie kommt fast immer ohne Malware aus.
Das Muster ist immer ähnlich: Eine E-Mail vom (vermeintlichen) Geschäftsführer, Lieferanten oder Steuerberater fordert eine Überweisung. Dringend. Vertraulich. Keine Rückfrage bitte.
Warum EOP hier versagt: Es gibt keinen schadhaften Link zu scannen, keinen verdächtigen Anhang zu blockieren. Die E-Mail ist — technisch betrachtet — sauber.
Das löst ein Anti-Spam-Filter nicht. Das löst verhaltensbasierte Analyse und Identity-Checking.
Was passiert, wenn Exchange Online ausfällt
Ausfälle passieren — auch bei Microsoft.
Im Jahr 2025 gab es mehrere relevante Unterbrechungen:
- März 2025: Exchange Online weltweit gestört, mehrere Tage mit Einschränkungen (Quelle: borncity.com, Stand 03.03.2025)
- Juni 2025: Ausfall von Exchange Online und Teams durch fehlerhaftes Traffic-Management-Update (Quelle: Greyhound Research, Stand 17.06.2025)
- Juli 2025: 19-stündiger M365-Ausfall — einer der längsten in der Geschichte von Microsoft 365 (Quelle: messageware.com, Stand Juli 2025)
In all diesen Fällen gilt: Wenn Exchange ausfällt, kommen keine E-Mails an. Oder sie werden verzögert zugestellt. Bei zeitkritischer Kommunikation — Angebote, Eskalationen, Lieferkette — kann das teuer werden.
Was Hornetsecurity als zweite Schicht liefert
WITC ist Hornetsecurity-Partner. Was wir unseren Kunden konkret empfehlen — und warum:
Email Security (Spam + Malware + ATP):
- Eigene Sandbox für Zero-Day-Analyse
- Lookalike-Domain-Erkennung und Display-Name-Spoofing-Checks
- Verhaltensbasierte Analyse für BEC-Muster
- Ergänzt EOP — ersetzt es nicht
Email Continuity Service:
- Wenn Exchange Online ausfällt, wird E-Mail-Verkehr automatisch über Hornetsecurity-Infrastruktur weitergeleitet
- Webmailer und Outlook-Plugin bleiben verfügbar
- Keine manuelle Intervention nötig
Das Modell: EOP + Hornetsecurity arbeiten hintereinander. Hornetsecurity ist keine Konkurrenz zu Defender — es schließt die Lücken, die EOP strukturell nicht schließen kann.
Was das für euch bedeutet
Ihr müsst nicht alles umbauen. Aber ihr solltet wissen, was euer EOP-Setup tatsächlich abdeckt — und was nicht.
Ein M365-Security-Assessment dauert bei uns einen halben Tag. Ergebnis: eine klare Einschätzung wo ihr steht, welche Lücken offen sind, und was sinnvoll wäre.
Unverbindlich. Kein Retainer-Pflicht-Paket.
Gerrit Walther ist Microsoft-365-Berater bei Walther IT Consulting (WITC), Essen. WITC ist zertifizierter Hornetsecurity-Partner.