Kurz vorweg: Cyberversicherer und immer mehr Auftraggeber verlangen 2026 explizit eine EDR-Lösung statt klassischem Antivirus. Microsoft Defender for Business schliesst diese Lücke für KMU – ohne dass Sie ein eigenes Security Operations Center aufbauen müssen. Wer Microsoft 365 Business Premium hat, besitzt die Lösung bereits – sie muss nur noch ausgerollt werden.
Was Defender for Business 2026 kann
Microsoft hat aus dem Enterprise-Produkt Defender for Endpoint eine schlanke KMU-Variante destilliert. Diese fünf Bausteine machen den Unterschied zum klassischen Virenscanner.
Next-Gen-Antivirus mit Cloud-Intelligenz
Verhaltensbasierte Erkennung statt nur Signatur-Matching. Erkennt unbekannte Ransomware, Zero-Day-Angriffe und Living-off-the-Land-Techniken (LOLBins) in Echtzeit – mit ML-Modellen, die täglich von Milliarden Telemetrie-Punkten trainiert werden.
Endpoint Detection & Response (EDR)
Vollständige Aufzeichnung verdächtiger Aktivitäten: Welcher Prozess hat welche Datei geöffnet, welche Verbindung aufgebaut, welches Skript ausgeführt. Im Schadensfall gibt es eine komplette Angriffskette – Forensik in Stunden statt Tagen.
Automated Investigation & Response (AIR)
Defender untersucht Vorfälle automatisch, isoliert betroffene Geräte, beendet schädliche Prozesse und stellt Dateien aus Quarantäne wieder her – ohne manuelles Eingreifen. Reduziert Time-to-Containment von Stunden auf Minuten.
Threat & Vulnerability Management
Inventarisiert alle Software auf den Endgeräten, gleicht sie mit CVE-Datenbanken ab und priorisiert kritische Schwachstellen nach realer Ausnutzung im Netz. Inklusive Empfehlungen, welche Patches zuerst.
Web- & Mail-Inhaltsschutz
Blockiert bekannte Phishing-Domains, schädliche Downloads und C2-Server bereits auf DNS-Ebene. In Kombination mit Defender for Office 365 (Plan 1, in Business Premium enthalten) ergänzt um sicheren Anhangs- und Link-Scan.
Defender for Business vs. Konkurrenz
| Lösung | Preis/User/Monat | Stärke |
|---|---|---|
| Defender for Business | CHF 3.20 (in M365 BP enthalten) | Beste Integration in M365, einfache Konsole |
| CrowdStrike Falcon Go | ab CHF 7.– | Marktführer, sehr gute Detection-Rate |
| SentinelOne Singularity | ab CHF 6.50 | Starke autonome Reaktion |
| Sophos Intercept X | ab CHF 5.– | Beliebt bei Schweizer KMU, MTR-Option |
| Bitdefender GravityZone | ab CHF 4.– | Solide für preissensitive Mikro-KMU |
| ESET PROTECT | ab CHF 4.50 | Schweizer Support-Netz, ressourcenschonend |
Wenn Sie ohnehin Microsoft 365 Business Premium nutzen, ist Defender for Business der wirtschaftlichste Weg zu echtem EDR. Bei reinen Google-Workspace-Häusern oder hohem Linux-Anteil sind CrowdStrike, SentinelOne oder Sophos oft die bessere Wahl.
Setup-Roadmap: In 14 Tagen produktiv
- Tag 1–2: Lizenzen zuweisen (Business Premium oder Defender for Business standalone), Microsoft 365 Defender Portal öffnen, Onboarding-Wizard durchlaufen.
- Tag 3–5: Geräte via Intune oder Group Policy einrollen (Windows 10/11), für Mac/iOS/Android über Company Portal. Tamper Protection und Cloud Protection erzwingen.
- Tag 6–7: Standard-Sicherheitsbaseline aktivieren (ASR-Regeln im Audit-Modus), Allow-Listen für legitime Tools (Bexio-Agent, Druckersoftware) definieren.
- Tag 8–10: Erste Erkennungen prüfen, False Positives in den ASR-Regeln korrigieren, dann auf Block-Modus umstellen.
- Tag 11–12: Automated Investigation auf "halbautomatisch" stellen, Notification-Regeln für IT-Admin und Geschäftsleitung definieren.
- Tag 13: Schwachstellen-Bericht als wöchentlichen Report im Postfach einrichten, kritische CVE-Findings sofort patchen.
- Tag 14: Tabletop-Übung: Simulierte Erkennung, Kontrolle der Reaktionskette, Dokumentation für Cyber-Versicherung archivieren.
Wirtschaftlich: Standalone oder Business Premium?
| Szenario | Defender Standalone | M365 Business Premium |
|---|---|---|
| Defender for Business | CHF 3.20 | enthalten |
| Office-Apps (Word, Excel, Outlook) | separat | enthalten |
| Intune (Geräteverwaltung) | separat (CHF 8.–) | enthalten |
| Azure AD P1 (Conditional Access) | separat (CHF 6.–) | enthalten |
| Defender for Office 365 P1 | separat (CHF 2.–) | enthalten |
| Effektiv pro Nutzer/Monat | ≈ CHF 19–22 (zusammengestellt) | CHF 22.– |
Bei mehr als drei aktivierten Modulen rechnet sich Microsoft 365 Business Premium fast immer. Defender standalone macht nur Sinn, wenn Sie Office bereits über andere Wege haben (z.B. Volumenlizenzen oder Open Value).
Wo Defender for Business an Grenzen stösst
- Maximal 300 Lizenzen pro Tenant – darüber zwingt Microsoft den Wechsel auf Defender for Endpoint P1/P2.
- Kein manuelles Threat Hunting mit KQL – wer das braucht, benötigt Defender for Endpoint P2.
- Begrenzte Anpassbarkeit der Detection-Regeln – tiefe Custom-Detection nur in der Enterprise-Variante.
- Keine Linux-Server-Unterstützung in der Standalone-Variante (nur via Defender for Servers, separat lizenziert).
- Eingeschränkte API-Anbindung an Drittsysteme (z.B. SIEM) – möglich, aber nicht so reichhaltig wie bei P2.
Fazit: Pflicht-Setup für M365-Häuser
Defender for Business ist 2026 die wirtschaftlichste Art, EDR im KMU produktiv zu betreiben. Die Bedienung ist auf KMU-Niveau zugeschnitten, die Erkennungsrate liegt in unabhängigen Tests (AV-Comparatives, MITRE) im Spitzenfeld – und über Microsoft 365 Business Premium kommt sie zu einem Bruchteil der Standalone-Kosten konkurrierender Lösungen.
Wichtig bleibt: Defender ist ein Werkzeug, kein Service. Wer keine eigene IT hat, braucht einen Managed-Service-Partner, der Erkennungen prüft, Schwachstellen behebt und im Ernstfall die Reaktion fährt – sonst verpufft der Mehrwert von EDR im Alarmrauschen.
Defender-Rollout planen lassen
Wir rollen Defender for Business in Ihrem KMU in zwei Wochen aus – inklusive Intune-Onboarding, Baseline-Härtung und Reporting für Ihre Cyber-Versicherung.
Beratung anfragen