Modern Workplace Protection mit Dominik Hoefling
17.06.2026 46 min
Video zur Episode
;
Zusammenfassung & Show Notes
(Disclaimer: erstellt mit ChatGPT)
Hallo liebe Community, 👋
Hallo liebe Community, 👋
In dieser Episode von Talk Microsoft 365 sprechen Michael und Thorsten mit Dominik Höfling über Modern Workplace Protection, Microsoft Defender for Office 365, Microsoft Intune, Security Copilot, E3 / E5 und Agents. Im Fokus stehen Microsoft 365 Security, Teams Phishing, QR-Code Phishing, XDR, Safe Links, Safe Attachments und die Frage, warum Security heute nicht mehr nur am Endpoint endet. Gerade für Admins, Consultants und Power-User wird deutlich: Microsoft 365, Microsoft Intune, Security Copilot, E3 / E5 und Agents gehören strategisch zusammen, wenn moderne Angriffe erkannt, bewertet und automatisiert abgewehrt werden sollen. Und ja: „Wir haben da eine Lizenz“ ist noch kein Security-Konzept. Leider. 🔐
Dominik erklärt, wie sich Phishing durch LLMs verändert, warum Angriffe heute häufig malware-free sind und weshalb Microsoft Teams als Kommunikationsplattform auch für Angreifer interessanter wird. Dazu geht es um Microsoft Defender for Office 365 Plan 1, neue Vorteile für E3-Kunden, Attack Simulation Training und die praktische Frage, wie Unternehmen ihre Benutzer schützen, ohne alles auf „Bitte klickt halt nicht falsch“ zu reduzieren.
Technische Highlights
- 🔐 Modern Workplace Protection in Microsoft 365 verständlich eingeordnet
- 🛡️ Microsoft Defender for Office 365 als Schutz für Exchange, SharePoint, OneDrive und Teams
- 💬 Teams Phishing, externe Chats und „Chat with Anyone“ als neue Angriffsflächen
- 🎣 LLM-generiertes Phishing ohne Rechtschreibfehler, ohne Basteloptik, ohne Gnade
- 🔗 Safe Links und Safe Attachments inklusive Sandbox-Validierung
- 📦 E3-Lizenzupdate: Defender for Office 365 Plan 1 kommt für viele Kunden ins Paket
- 📱 QR-Code Phishing im Alltag, vom Parkautomaten bis zur Behördenmail
- 🧪 Attack Simulation Training für echte Awareness statt PowerPoint-Moralpredigt
- 🚨 XDR, Automatic Attack Disruption und automatisierte Reaktion auf Angriffe
- 🧩 Zusammenspiel von Defender, Purview, Entra, App Registrations und Governance
Für wen ist diese Folge relevant?
Für alle, die Microsoft 365 administrieren, Security verantworten, E3 / E5 lizenzieren, Defender einführen, Microsoft Intune und Endpoint Security betreiben oder sich fragen, warum plötzlich Teams, QR-Codes und App Registrations in der Security-Diskussion auftauchen. Also praktisch für alle, die beruflich schon einmal „wir sollten das mal prüfen“ gesagt haben. 🧠
Danke fürs Zuhören und Weiterempfehlen. Feedback, Kommentare und Security-Anekdoten aus dem echten Leben sind wie immer herzlich willkommen. 👋
Michael & Thorsten
-------------------------------------------------
Infos aus der Episode
Infos aus der Episode
-------------------------------------------------
Link zum Blog findet ihr hier: https://talkm365.net
Auf Twitter unter: @TalkM365
Twitter Michael: @plemich
Twitter Thorsten: @thorpick
Link zum YouTube-Kanal: https://link.talkm365.net/YouTube
Link zum Teams UG - Meetup: https://link.talkm365.net/TeamsUGMeetup
Link zu Thorstens YouTube-Kanal (Quick-Tipps): https://www.youtube.com/c/ThorstenPickhan
Global AI Community München: https://www.meetup.com/global-ai-munich
Global AI Community Bochum: https://www.meetup.com/global-ai-bochum
Meetup Teams UserGroup Hamburg: https://www.meetup.com/skype-for-business-user-group-hamburg
Meetup Teams UserGroup München: https://www.meetup.com/microsoft-teams-meetup-munich
Meetup Teams UserGroup Bochum: https://www.meetup.com/microsoft-teams-meetup-bochum
-------------------------------------------------
Reference-Links:
Music Intro/Outro: Vacation - AShamaluevMusic.
Music Link: https://soundcloud.com/ashamaluevmusic/vacation
Auf Twitter unter: @TalkM365
Twitter Michael: @plemich
Twitter Thorsten: @thorpick
Link zum YouTube-Kanal: https://link.talkm365.net/YouTube
Link zum Teams UG - Meetup: https://link.talkm365.net/TeamsUGMeetup
Link zu Thorstens YouTube-Kanal (Quick-Tipps): https://www.youtube.com/c/ThorstenPickhan
Global AI Community München: https://www.meetup.com/global-ai-munich
Global AI Community Bochum: https://www.meetup.com/global-ai-bochum
Meetup Teams UserGroup Hamburg: https://www.meetup.com/skype-for-business-user-group-hamburg
Meetup Teams UserGroup München: https://www.meetup.com/microsoft-teams-meetup-munich
Meetup Teams UserGroup Bochum: https://www.meetup.com/microsoft-teams-meetup-bochum
-------------------------------------------------
Reference-Links:
Music Intro/Outro: Vacation - AShamaluevMusic.
Music Link: https://soundcloud.com/ashamaluevmusic/vacation
Music Background: Inspirational Corporate Ambient - AShamaluevMusic
Music Link: https://www.patreon.com/ashamaluevmusic
-------------------------------------------------
Music Link: https://www.patreon.com/ashamaluevmusic
-------------------------------------------------
Transkript
Hallo Thorsten.
Hallo liebe Community.
Herzlich willkommen zu einer weiteren Episode des aufgezeichneten Talk Microsoft 365.
Ihr habt ja beim letzten Mal schon gehört, dass hier gerade ganz viel Umbruch passiert und
wir deswegen eher vorher was aufnehmen, sicher zu sein, dass wir zumindest über die Themen
reden können, über die wir gerne reden wollen.
und dann nicht irgendwie in eine ungewisse Terminplanungssituation reinlaufen.
Deswegen haben wir den ersten Monat jetzt dann von Torstens neue Herausforderungen.
Doch, doch, die Leute müssen das ja verstehen.
Dass das einfach klar ist, warum wir jetzt schon wieder so viel Recording machen.
Wir sind ja am Anfang des Jahres gestartet mit.
Wir machen sehr viel live und jetzt machen wir sehr viel Recording.
Damit es einfach klar ist, warum wir das tun.
Nichtsdestotrotz, wir hatten es auch schon angesprochen, als wir auf der ECS waren und
dort die Aufzeichnung gemacht haben, wir haben ein paar spannende Gäste für uns
identifiziert und spannende Themen.
Also Themen und Gäste in Kombination.
Es war jetzt nicht so, dass die Gäste ein Thema aufgedrückt bekommen haben.
dann jetzt musst du aber über das Thema, worüber du dich gar nicht auskennst, auslassen,
sondern wir haben die Spezialistinnen dazu geholt, die sich mit den Themen auskennen.
Und heute haben wir ein ganz spezielles Thema und damit auch einen
Das klingt falsch.
geht in die falsche Richtung.
Ich will sagen, spezieller Gast.
klingt so wie ...
Guck mal, ist ganz speziell.
und er wird uns jetzt in ein Statement geben, wie es mit Copilot und AI bei Microsoft
weitergeht.
Nein.
Wir haben einen wunderbaren Gast.
Wir haben den Dominik zu uns eingeladen.
Ich hole ihn mal auf die Bühne, wenn ich die richtigen Knop fände.
Damit herzlich willkommen, Dominik.
Hi Michael, hi Thorsten, danke, dass ich bei eurer Show heute dabei sein darf.
Die Ehre ist auf unserer Seite, die Freude auch, weil du bringst ein Thema mit, was für
uns nicht so alltäglich ist.
Bevor wir da tiefer einsteigen, vielleicht erzählst du ein bisschen was über dich, damit
alle Zuschauer, alle Zuhörer verstehen, wer du bist, was dich so den lieben langen Tag
umtreibt.
Ja, danke, das mache ich.
Also Dominik Höfling, ich komme aus der Nähe aus Nürnberg und Michael, wir waren vorher
schon Arbeitskollegen.
Auch eine interessante Geschichte.
Die Welt dreht sich immer im gleichen Kreis, glaube ich, zumindest in der IT und weil du
Co-Palert und AI angesprochen hast.
Also ich war vorher bei Microsoft, bin jetzt bei der Siemens AG als Plattformarchitekt in
der Org Cyber Security.
Ich kümmere mich die Security Themen wie AI, Entra, Agents.
die ganze Governance und Security-Thematik dazu.
Und ja, ich freue mich richtig auf dieses neue Kapitel tatsächlich, wie bei Thorsten auch
sozusagen.
ja, so viel zu mir.
Ist dann aber auch ein sehr spannendes Thema, du dann jetzt quasi einsteigst.
Das heißt, wir können eigentlich direkt einen Save the Date machen für in sechs Monaten,
damit wir dann mal uns austauschen rund um Security im Bereich AI, Agents und Entra-ID,
oder?
Ja, das können wir gern machen.
Auch gestern beispielsweise bei LinkedIn hat Dave Uri, der ist auch bei Microsoft im
Defender for Cloud Thema, announced, dass das neue Buch rauskommt am 22.
Juli.
AI Transformation Strategy und Security.
Ich hatte da das Tech Review gemacht und sorry für die Werbung.
Aber hier kommt tatsächlich ein neues Buch.
Das ist zweite Buch, was ich mit ihm gemacht habe.
Und ja, ich glaube, das Stichwort AI is here to stay ist
Wichtig ist es ja.
Also das geht gar nicht, dass du hier Werbung machst, solange du nicht auch noch irgendwo
einen Link irgendwie da lässt.
Also wenn es bis dahin schon verfügbar ist, wenn wir es schon haben können, dann packen
wir es auch gerne mit in die Show Notes.
Ich persönlich habe da immer eine große Freude dran, dieses Wissen zu teilen.
Und wenn es da schon was gibt, gerade mit solchen brandheißen Themen, dann sind wir die
Letzten, die sich dagegen sperren.
Die Vorbestellung bei Amazon ist aktiv und ich schicke euch da super gerne den Link dazu.
Sehr gut.
Sehr gut, das packe ich euch mit in die Show Notes.
Das heißt, ihr habt dann auch die Möglichkeit, selbst draufzuschauen.
Und ich habe gelernt, dass es vielleicht dazu reicht, wenn ihr ein paar hundert Exemplare
kauft, die zwei Autoren sich vielleicht mal ein Abendessen leisten können.
super, das klingt nach spannenden Herausforderungen.
Wir haben für den heutigen Talk
So das Thema Modern Workplace Protection als Headline mit aufgenommen.
Das ist erst mal so ein schönes Buzzword, da kann man sehr viel drunter verstehen.
Lass uns mal vielleicht einsteigen in was da drunter überhaupt fällt.
Ich teile auch mal meinen Screen dazu, dann ist es veranschaulichter für dieses Thema.
ja, nochmal Stichwort ECS.
hatten uns ja vorletzte Woche hier nochmal alle in person getroffen, hatten auch Sessions
dazu.
Und eine meiner Sessions war, wie einfach es ist mit einer lokalen LLM.
Also ich habe hier verschiedene LLMs genutzt und dann eben Phishing-Kampagnen gestartet in
Echtzeit.
Das war ein echtes Lab.
Und je nach LLM, man muss da immer differenzieren.
Also, ihr kennt das wahrscheinlich auf der einen Seite, kannst du Olamamist-Schein nutzen,
die sind weniger restriktiv im Model selbst.
Grog ist ein Beispiel, Grog kümmert sich um gar nichts.
Also wenn du dem sagst, schick 1000 Fishing Mails, dann haut das Ding dir auch raus.
Super interessant.
Wenn du das mit Chechipi-D oder Sonnet oder Opus machst, dann gibt es hier schon starke
Beschränkungen.
Die lassen das nicht so einfach zu, aber
Es gibt hier tausende Möglichkeiten, tatsächlich Fishing-E-Mails oder auch QR-Codes zu
schickenden Links, diese zu generieren über einen Reverse-Proxy.
Und es spiegelt sich auch in
wir natürlich alles nur für Trainingszwecke machen, Dominik.
Alles nur für Training-Zwecke, absolut.
Es war auch ein Training-Tenant und alles ist abgeklärt.
Und ihr seht sie auch an der Statistik.
Also 82 % der Detections waren malware-free.
Und hier steht auch noch mal, Taggers Login, der Don't Break-In.
Und das ist natürlich ein Sweet Spot für Teams, auch Gäste.
Oder auch dieses Feature Chat with Anyone, was ich glaube im Januar dieses Jahr
gearwurscht.
Im Prinzip heißt Chat with Anyone, dass du jeden mit einer E-Mail-Adresse in Teams
anschauen kannst.
Völlig unabhängig, ob diese Person Teams installiert hat oder im Browser nutzt oder nicht.
Es kommt dann eben eine Beidachtung per Mail, du klickst drauf und Teams öffnet sich im
Browser.
Du brauchst auch keine Lizenz dafür.
Und im Hintergrund wird von dieser Organisation aus dann ein B2B-Account angelegt, also
ein Excital Guest.
Und darüber kannst du dann auch schreiben.
Das kann man als App mir natürlich beschränken, ob ich das haben möchte oder nicht.
Auch der Unterschied zwischen Consumer und Enterprise kann man granular einschränken.
Aber man muss es halt wissen.
Microsoft macht ja oft Feature, ich würde sagen Opt-in und die sind bei Default aktiv und
ich muss dann aktiv werden, wenn ich es nicht haben möchte.
Und deshalb öffnet das komplett neue Angriffsmöglichkeiten tatsächlich auch für Microsoft
Teams.
Und es ist halt sehr einfach auch, ne, mit Microsoft Teams heutzutage.
ist noch nicht so...
Ich habe gehört, es ist noch nicht so, man wie eben Junk-Mail, Phishing-Mail zu
verschicken, aber es ist dabei Phishing-Angriffen, allem Ungewollten, was wir aktuell per
E-Mail bekommen, nach und nach den Rang abzulaufen, indem sie dann doch mehr Teams
einsetzen, um Leute auf irgendwelche ominösen Webseiten zu locken, One Drives.
OneDrive links zu verschicken, die gar keine OneDrive sind und so weiter und so fort, am
Ende des Tages an die Credentials ranzukommen.
Absolut, das ist korrekt und auch ein O-Synthool, was auch von zum Beispiel von Dr.
Escher.ad von Nestorri verfügbar ist.
kannst alle User in dem Tenant einfach auslesen, welche UPNs gibt es, welche
E-Mail-Adressen und daher ist das Risiko schon extrem hoch, dass ich hier einfach mal
10.000 E-Mails verschicke an Adressen, die ich ja ausgelesen habe und dann eben den
malicious Link reinpacke beispielsweise.
Also das heißt auch diese aus alten Zeiten vielleicht immer noch aktiven Funktionalitäten.
Ich möchte nicht, dass die E-Mail-Adresse meiner User erraten wird und deswegen benutze
ich dann die Personalnummer oder irgendeinen Encrypted-Kram mit irgendeiner wilden Theorie
zusammengebaute Mail-Adressen.
Funktioniert dann am Ende des Tages heute auch nicht mehr.
Ja, das kommt genauso an, weil der UPN eben trotzdem auf den User gemapped ist und da gibt
es dann eben andere Sicherheitsmechanismen, die man hier einbauen sollte und nutzen
sollte.
Und ein wichtiges Thema natürlich für Modern Work Protection, auch aus E-Mail hinaus ist
Defender für Office 365 tatsächlich.
Du kannst hier OneDrive schützen, SharePoint, Exchange, Teams und das gleiche funktioniert
auch auf den Mobile Apps, wenn du diese Microsoft Apps natürlich nutzt.
Der Sweet Spot an dieser Lösung ist, es braucht kein Agent, Sensor.
Du kannst es im Tenant aktivieren und hier sind ein paar Features aufgelistet, also Safe
Links, Anti-Fishing, Anti-Spam Policies und so weiter, die man konfigurieren kann, ohne
irgendwas auf den Endgeräten zu installieren, über Windows und Back-in-Back.
Was ich vor allen Dingen beeindruckend finde, ist, wenn man über den Defender spricht, ich
glaube, die initiale Wahrnehmung war ja, das ist ein Antiviren-Programm.
Und ich glaube, der letzten, schon längere Zeit, so sechs Jahre oder irgendwas,
wahrscheinlich sogar noch länger, hat sich das gemausert und immer mehr Funktionen
bekommen, das wir tatsächlich deutlich mehr haben als einen reinen Virenscanner, sondern
wir haben einen Endpunkt.
Eine Endpunktsoftware, die in der Lage ist, die Signale von deinem Client zu analysieren
und in der Konstellation, was passiert online, also innerhalb auch von der Microsoft 365
Welt mit deinem Account, dann zu reagieren.
Das heißt, wenn du einen Statuswechsel hast von, ich sag mal, normaler User zu risky User.
Das heißt, da ist einfach nur ein gewisses Bedrohungspotenzial, dann reagiert auch der
Defender schon nach den eingestellten Policies, basierend auf diesen Änderungen, ohne dass
tatsächlich jetzt irgendwie ein Virus oder sowas, sondern tatsächlich die Verhaltensweise
kommt.
Bis hin zu ...
Jetzt fehlt mir das Wort dazu.
Dass du das Device beziehungsweise den User isolierst.
Das war das Wort, was ich gesucht habe.
Ja absolut.
Das Feature ging von EOP damals, Exchange Online Protection, also SMTP Gateway mit
Anti-Virus, Malware Scanning, Phishing Scanning.
Wir haben jetzt auch ganz viele Post-Breach Features drin.
Beispielsweise kann Microsoft auch E-Mails im Nachgang aus der Mailbox entfernen oder
natürlich auch des SAC Ops, wenn die Signatur im Nachgang aktualisiert wurde und etwas
nachträglich, also nach der Zustellung malicious erkannt wurde.
Ich kann Sachen selbst als User reporten.
Das geht sowohl in Teams als auch in Outlog natürlich.
Also ich kann auch Teams Chatten, Chatmessages reporten, wenn die malischer sind.
Und im Hintergrund nutzt dann Microsoft auch tatsächlich mehrere L &M's, um die Sachen
auch zu erkennen.
Wenn ich jetzt eine Phishing-E-Mail nutze oder generiere, die von, keine Ahnung, Grog
beispielsweise erstellt wurde, als menschlicher User ist es mir fast nicht mehr möglich.
den Unterschied zu erkennen.
Es sind keine Rechtschreibfehler mehr drin, keine Grammatikfehler.
Die Links sind so gut umschrieben, dass ich echt zehnmal hinschauen muss.
Und auch ich selbst im Security-Bereich bin hier schon echt auf ein, zwei Phishing-E-Mails
reingefallen, wo ich dachte, okay, wie kannst du das denn übersehen eigentlich?
Ja, da war so ein kleiner Zip drin in der langen E-Mail und dann ist es schon mal
passiert.
Deshalb ist bei E-Mail und auch so Phishing immer User-Wern ist wichtig.
Also auch das Training, auf welche Faktoren muss man achten?
Ist die Mail from richtig?
Habe ich mit Sender schon mal gechattet?
Ist es vielleicht extern aus meiner Organisation?
Trotzdem bin ich der Meinung, dass das Tool schon hoffentlich 80 % abdecken sollte, um
diesen Workload nicht auf die User abzuwälzen.
Ja, ich glaube, ist auch etwas, was ich gerade alles nochmal erzählt habe.
Ich die ganzen Spezialisten ist das absolut langweilig.
Ich habe aber auch festgestellt, dass diese Wahrnehmung immer noch nicht zu 100 Prozent
angekommen ist, was wir eigentlich für Möglichkeiten haben in der Security-Welt und gerade
in Kombination mit dem Defender.
Wir haben ja ganz unterschiedliche Produkte online.
Da habe ich tatsächlich ein Verständnisproblem.
Welche Produktbeschreibung macht eigentlich irgendetwas?
Also was macht was?
Und es gibt heute auch Kunden, sind nicht bereit, pauschal einfach eine E7 zu kaufen und
alles aktiv zu stellen.
Das heißt, wir haben immer mal wieder auch diese Diskussionen rund um was.
gibt es denn überhaupt für eine Unterscheidung?
Mir hat ganz gut geholfen, diese Online-Sachen zu verstehen.
Es ist völlig unabgestimmt.
Dominik, du da irgendwo was, was als Merkhilfe vielleicht mit beitragen kann?
Genau, die ganzen Defender Features oder die ganze Extended Detection Response läuft ja
unter dem Passwort XDR auf tatsächlich und bei Microsoft gibt es hier auch eine Übersicht,
welche Produkte hier zusammenspielen.
Das Hauptproblem in dieser Detection und auch Response Geschichte ist immer, wenn ich die
Produkte den Ziel losnutze.
Das heißt, ich habe zum Beispiel Palo Alto Prisma für Cloud Security in AWS.
Dann habe ich Defender for Cloud für Azure.
Ich habe U.S.
für Google.
Und natürlich sehe ich dann immer für jedes Silo, was passiert und wie funktioniert der
Attack Path beispielsweise.
Aber am Ende will ich auch wissen, ist vielleicht jemand von Azure nach GCP gekommen, weil
hier ein Storage Account öffentlich verfügbar ist und es wird Daten zwischen zwei Cloud
Providern hin und her geschrieben.
Und das Gleiche macht auch XDA.
für Email, für Identity, für Endpoint und auch für Cloud Apps tatsächlich.
wenn ich jetzt Daten kopiere und schicke die nach Dropbox.
Und dann kommt natürlich auch der Compliance-Suspect wie Purview nochmal hinzu.
Der große Vorteil und nicht nur Microsoft macht Marketing für XDA, sondern alle Hersteller
tatsächlich.
Ich habe ein Toolset und sehe dann exakt, welcher User hat auf welchem Endpoint auf die
Phishing-Mail geklickt.
wurden darüber Daten exfiltriert, Stichwort Purview, wurden vielleicht einen Command in
Control Server aktiviert, der dann Daten automatisch nach Dropbox lädt und so weiter.
Und so habe ich eben die Übersicht von der Tech-Chain von A bis Z.
Ich kann das natürlich auch mit mehreren Produkten lösen und Microsoft ist da sehr
produktoffen tatsächlich.
Wenn ich jetzt zum Beispiel Sentinel oder ein SIM nutze, die ganzen Konnektoren zu
verbinden.
Dann habe ich natürlich auch die Möglichkeit, dass ich WIS anbinde, dass ich Defend of
Endpoint anbinde, CrowdStrike und das Sentinel in meinem SIM analysiere und auch die Daten
dann produktübergreifend habe.
Der Nachteil ist, dass ich die ganzen Automations kann ich ja machen mit Playbox.
Wenn jetzt ein User auf einen Link klickt auf den Endpoint, kann ich das Device isolieren,
beispielsweise vom Netzwerk.
Die Defender XDA Suite macht das automatisch, Stichwort Automatic Attack Disruption.
Und in einer sehr beeindruckenden Zeit, also Ransomware zum Beispiel, kann in unter zwei
Minuten geblockt werden.
Business Email Compromise, Adversary in the Middle.
Da sind viele Build-in-Covered Möglichkeiten eingebaut in diese XDA-Produkte, die es dann
automatisieren.
Aber die Produkte müssen auch im Backend zusammenspielen und das ist der Grund, warum die
Hersteller sagen,
Wenn ihr das von uns nutzt oder das ganze Suite-Paket nutzt im XDA-Bereich, dann haben wir
einen besseren automatischen Schutz für die Organisation.
Absolut, ja.
Genau und auch wenn wir E-Mail anschauen und das soll echt nur eine ganz kurze Übersicht
sein, die Slide ist echt wild, wichtig zu verstehen ist auch für die Leute, dass diese
MDO-Funktionalitäten immer funktionieren, unabhängig davon wohin euer Mixed Record zeigt.
Also wenn der Mixed Record auf Proofpoint zeigt, auf Cisco Iron Port oder Sonstiges,
habt ihr trotzdem 100 % Schutz und 100 % alle Funktionalitäten für MDO und E-Mail.
Lass mich kurz nochmal da rein hüpfen Dominik.
Ich weiß nicht wie viel unserer Zuhörer, Zuschauer so weit in der Technik drin sind.
Vielleicht nochmal deswegen kurz abholen.
MXPoint sagt im Prinzip, wo sind eure Mail Server?
Wenn ich jetzt an den Dominik eine Mail schicken will, gibt es einen öffentlichen Eintrag,
wo drin steht Dominik's Mailbox liegt bei Provider XY und dann weiß mein Mail Server die
Mail muss zum Mail Server vom Dominik und der liegt da unter.
Das ist der MX Record.
Und MDO ist hier in dem Augenblick das Kürzel für Microsoft Defender for Office.
Nur als...
Thorsten.
Ja, wichtig, genau diese ganzen Abkürzungen und die ändern sich ja auch stetig, deshalb
ist es wichtig, die nochmal anzusprechen.
Genau, im Prinzip, das auch kurz zu halten, dieses Slide, solange die Mailbox im Substrate
liegt, also at Exchange Online, sind alle MDO-Features und Funktionalitäten aktiv und
funktionieren auch, wie sie funktionieren sollen, unabhängig davon, wo der Mixed Record
hin zeigt, ob das jetzt vor...
EOPs, also vor dem Eingang oder auch danach.
Es gibt ja auch Mailgate Ways, die zum Beispiel nachzeitig noch eine Signatur hinpacken.
Ist völlig egal.
Der einzige wichtige Punkt in 2026 ist, dass die mailbox in Exchange online liegt.
Was hier vielleicht auch nochmal, wir gerade auch so bisschen welche Features habe ich
wann angesprochen haben.
Viele der Funktionalitäten liefert mein oder was heißt viele, aber ich sag mal so ein paar
Basic Funktionalitäten, eben grundlegenden Schutz zu haben, bekomme ich ja bereits in dem
Augenblick, wo ich eine Exchange Online Lizenz erworben habe über entweder Dedicated oder
über einen E3 Plan, E5 Plan, was auch immer.
Es gibt dann eben noch zusätzliche Lizenzen, Defender 4.
Office, die ihr dazu kaufen könnt, um zusätzliche Schutzmechanismen zu bekommen in den
einzelnen Produkten.
Aber es gibt immer einen Basic-Schutz für Endpoint, für Sharepoint, den Microsoft
mitliefert.
da guckt ihr am besten auch auf den entsprechenden Seiten von Microsoft, was schon von
Hause aus kommt.
Aber ihr habt immer so eine Art Basisschutz schon am Start.
Genau so ist es und das ist auch die perfekte Überleitung zu ein paar Lizenz-Updates, die
Microsoft gemacht hat tatsächlich oder jetzt machen wird.
Und ich glaube auf der linken Spalte hier also Defender für Office 365, Stichwort MDO,
Plan 1 und die Defender-Pläne gibt es immer in Plan 1 und Plan 2.
Plan 1 bedeutet, ich habe den ganzen Schutz und Plan 2 bedeutet dann ebenfalls, ich habe
Automation, Remediation und auch SACOPs Möglichkeiten mit drin.
Das sind jetzt nur Feinheiten für Defender für Office 365, aber der Grundschutz in P1 ist
da.
Und das Tolle ist, Microsoft hat angekündigt, dass alle Office 365 E3 und M365 E3 Kunden
jetzt eben auch den Defender für Office 365 Plan 1 in ihr Lizenzpaket kommen, für kein
Preisupgrade oder zusätzliche Kosten.
Und hier gibt es drei essenzielle Features, die wichtig sind, Safe Links, Safe
Attachments.
Also egal, wo ich den Link schicke und den User klick drauf, dieser Link wird immer in der
Sandbox geöffnet, ohne Sensor, ohne Agent, der auf dem Device installiert ist, mobile und
auf Workstations wie Mac und Windows.
Und das heißt, es gibt schon einen guten Grundschutz auch für Kunden, die dieses Feature
oder diese Lizenz haben, aber kein Defender zusätzlich gekauft hatten.
Und hier schützt es mich tatsächlich vor Links und auch die Attachments.
die in der Sandbox geöffnet werden, Schaden auf dem Device abzugreifen oder abzubloppen.
Lass uns nochmal kurz über, sorry, aber lass uns nochmal kurz über dieses Thema Sandbox
sprechen.
Also das heißt, Microsoft wird in dem Augenblick tatsächlich einen Container für euch
bereit, wenn ihr so einen Link anklickt zum Beispiel und SafeLink ist aktiv, wird eine
Sandbox geöffnet, führt Microsoft diesen Link aus, schaut auf die Website, was ist das für
eine Website, haben wir irgendwelche Informationen zu dieser Website, wie ist die
Reputation, was passiert mit der Website, welcher Code wird geladen, ist das eine ganz
normale Website, geladen wird, irgendwas nachgeladen, was wir nicht haben wollen.
Und erst wenn da alles safe ist, dann wird das entsprechend an den User freigegeben, dass
auch der Link sich auf der User-Seite öffnet.
Was dann wiederum dazu führen kann, wenn es ein Link ist, der jetzt nicht so häufig
genutzt wird über SafeLink, dass ihr als User dann auch ein, zwei Sekunden bis hin zu ein
bisschen mehr Sekunden warten müsst, bis der Link dann wirklich im Zugriff ist, weil
Microsoft eben erst validieren muss, sind das Links, häufiger genutzt werden, weil
dass irgendein Heise-Artikel ist, irgendein Bildartikel, irgendein was auch immer, der
eben häufig genutzt wird, dann ist quasi der Link schon an sich als save getaggt und dann
geht es auch für den User relativ zügig, den Zugriff zu bekommen.
Oder habe ich Quatsch erzählt?
absolut korrekt 100 prozent forsten genauso ist es also das feature funktioniert exakt wie
du es gesagt hast es wird im hintergrund tatsächlich ein container ich glaube es ist sogar
eine vm provisioniert für diesen zentren für diesen kunden dann wird über diese vm dann
also diese sandbox vm gecheckt defender thread intelligence ist diese link malicious ist
der bekannt liegt er bei uns im backend wurde schon mal ein reporting für dieses link
gemacht und dann wird der user bei
Seite, okay ist, eben weitergeleitet und das funktioniert wirklich echt schnell.
Ein, zwei Sekunden, manchmal kann es sein, dass es auch fünf, sechs Sekunden sind, das ist
definitiv verkraftbar.
Aber es ist genau so, wie du es erzählt hast.
Auch als zweiten Punkt, was dazu kam, ist Anti-Fishing Policies.
Also hier gibt es ja auch noch mal die Möglichkeit, Slider zu setzen, wie aggressiv diese
Fishing Detections sein sollen, Stichwort auch Impersonation, wenn die Domain mail from
geändert ist oder sender from, wenn die nicht so beeinstimmen.
P1, P2 wird es bei Microsoft auch genannt.
Die kann ich hier endlich konfigurieren, die sind auch super wichtig.
Ich habe dann auch Reports drin, die sehen, okay, mit welchem Threshold ist dann diese
Fishing mail erkannt worden oder nicht.
Ich kann das dann anpassen für meine Organisation.
Real-Time Detections generell ist auch ein Feature.
Also das zählt auch zu Safe Links und Safe Attachments.
Es ist immer in Real-Time, auch wenn ich eine Mail bekomme, wird in Echtzeit diese Mail
gescannt, bevor die in der Inbox landet.
Auch mach mal danach mit Zap, Zero-Outer-Hour-Perch, wenn sich die Signaturen aktualisiert
oder der Verdikt geändert wurde.
Und diese Sachen werden dann effektiv
für alle verfügbar global ab 1.
Juli dieses Jahres.
Das heißt aber, haben einen riesigen Gewinn eigentlich für die Leute, aktuell eine E3
haben.
Lohnt sich für die dann eigentlich noch diese ...
Du hast ja eine Enterprise, eine Security Suite, die du noch als Lizenz mit dazu nehmen
kannst.
Einen Großteil haben die ja dann zumindest schon mal, was in Richtung Mailing-Bereich geht
als Abdeckung.
Die sollten sich dann auf jeden Fall mal anschauen, sie überhaupt noch die Zusatzkosten
dafür jetzt bezahlen wollen.
Ich sage ganz bewusst jetzt.
Weil sie dann zumindest mal hinterfragen sollten, nutze ich das tatsächlich alles schon,
was an Feature da ist oder sind das meine Hauptfeature, weswegen ich eigentlich diese
Lizenz habe?
Und bevor einer von euch beiden bitte schreit, ja.
Viele von diesen Funktionen sind sehr, sehr nützlich, für kleinere Organisationen, also
nicht bloß Enterprise-Organisationen, und sollten auf jeden Fall mit in die Planung
reinkommen und berücksichtigt werden.
Ich weiß aber auch, dass bei ganz vielen einfach nur die wichtigsten Grundfunktionen da
und eingerichtet sind und gerade diese Zusatzfunktionen dann noch nicht genutzt werden.
Wenn sie noch nicht genutzt werden, könnten die vielleicht etwas Geld sparen.
Das ist keine Werbung dafür, ihr die Security runterdrehen sollt.
Nicht falsch verstehen.
Mir ist schon wichtig, da sind sehr viele gute Funktionen drin, dass ihr einen Plan
einfach habt.
Und dann auch angeht, dass ihr die Sachen umsetzt und tatsächlich auch ...
einen Plan nicht nur von der Technologie habt, sondern auch mit den Sachen, was da hinten
dran passiert.
Also was passiert mit den ganzen Alarmen, die hochkommen?
Was passiert denn mit den Sachen, die ihr untersucht habt, völlig automatisiert?
Jetzt habt ihr da was, jetzt ist ein User isoliert oder ein Device ist isoliert.
Was passiert denn hinten dran?
ist auch die Prozesse hinten dran stimmen?
nicht so klingel wie jetzt könnt ihr eure Lizenzen wegschmeißen die Security braucht ihr
nicht mehr als alles bild in
Also für Kunden, die E3 haben und den MDO-Plan extra als Add-on dazu gekauft haben, weil
sie vielleicht für Endpoint CrowdStrike haben oder was auch immer, Sentinel One, spielt
keine Rolle, aber sie möchten halt E-Mail-Protection haben, diese Lizenzen können dann
nach dem 1.
Juli tatsächlich gekündigt werden.
Ich weiß jetzt nicht, ob Microsoft das automatisch machen wird, da wird wahrscheinlich
noch ein Announcement kommen, dass diese Kosten dann sowieso automatisch wegfallen oder
der Kunde aktiv werden muss.
steht auch oft im Message Sender oder ein guter Kontakt ist auch immer der Customer
Success Account Manager, für diese Fragen bei Microsoft Direct.
Aber hier macht es Sinn.
Genau, ich muss halt schauen, was habe ich jetzt und wo will ich hin und ich muss
natürlich auch schauen, welches Produkt passt am besten zu meiner Organisation.
Habe ich jetzt 99 Prozent Kubernetes laufen in Asha zum Beispiel, dann habe ich hier eine
andere Auswahlmöglichkeit, wenn ich sage, okay,
Ich löse jetzt Proofpoint mit Defender für Office 365 ab und ein anderes mit Defender for
Endpoint.
Je nachdem, wie die Situation ausschaut in der aktuellen Organisation, kann man hier die
Produkte entscheiden und auch es gibt hier, das ist das beste Beispiel, auch
Möglichkeiten, eben auch Geld einzusparen.
Auf der anderen Seite, also auch die SMB-Kunden, ja auch super wichtig.
Also es gibt ja E1, Business Basic Standard, die M365 bis 300 zieht, das ist glaube ich
immer noch heutzutage.
Die haben natürlich auch nochmal einen Vorteil und ein Feature, Vorteil mit dieser
Änderung.
Es gibt hier auch URL Check Protection, nennt es Microsoft, also known malicious site
blocking.
Das funktioniert auch in E-Mail, in Office Apps, Desktop und mobile.
Und ich kann diese Sachen auch mit der Tech Simulation nutzen.
Also Tech Simulation ist User Awareness Training, wo ich dann aktive Attacken nutzen kann
und die auch in meiner Organisation einmal testen kann, den Payload ausrollen kann und
sehe, wie verhalten sich die User.
Muss ich vielleicht ein Training nochmal anpassen?
Muss ich Education machen bei den Usern in meiner Org?
Und ich bin auch richtig froh, weil dieses Lizenz oder speziell in Deutschland auch, wir
haben so viele SME Kunden.
die dann weniger als 300 oder nur bis 300 Lizenzen haben tatsächlich und das ist eine
tolle Geschichte, dass die auch nicht außen vorgehen von diesen zusätzlichen Features.
Wichtig zu wissen, dass es nicht aktiv bei default diese neuen Sachen.
Ich muss sehr aktiv werden, in den Tenant reingehen und die Sachen einschalten.
Und vielleicht noch ein kurzes Wörtchen zu Attack Simulation, weil du das ja am Anfang
auch sagtest, dass du auf dem ECS dort eben mit verschiedenen LLMs, eine Umgebung hattest
und so weiter und so fort.
Guckt mal rein bei euch ins Defender Portal, da gibt es den Punkt Attack Simulation.
Das heißt, Microsoft liefert euch das mehr oder weniger eigentlich alles komplett fertig.
Ihr könnt eben so ein Training für eure User starten, sie dann da, so wie Dominik gerade
schon sagte, Awareness zu machen.
Da müsst ihr aber jetzt nicht ein LLM bereitstellen, ...
E-Mails bereitstellen, Umgebung bereitstellen, ...
bla bla bla, das macht alles ...
im Prinzip mehr oder weniger Microsoft.
Ihr müsst halt aktiv werden und diese Trainings aktivieren.
Macht das am besten zusammen mit eurem ...
Berater für Security, mit eurem Team für Security.
Und dann seht ihr mal, wie häufig eure User ...
Phishing-Mails anklicken und schafft ihr ...
überhaupt nichts dafür.
Ja, ein kleines Fun-Fact bei uns im Unternehmen gab es ein Rekord, der wird glaube ich so
schnell auch nicht geschlagen, von Versand-E-Mail über dieser Attack-Simulator auf
Anklicken von dem Malicious waren vier Sekunden.
Ja, also es hilft, weil das natürlich dann auch eine ganz starke Awareness schafft in der
Auswertung hinterher, in dem drüber reden, in dem das ist ja der nächste Schritt, wenn das
alles durchgelaufen ist, was sind die Maßnahmen da draus.
Und auch etwas, falls ihr diese Phishing Attacken, diesen Simulator nutzt.
Mach den gerne auch mal in nicht so regelmäßigen Abständen.
Wir hatten auch sehr viel Erfolg.
Heute ging was raus und nächsten Tag ging noch mal was raus.
Das war auch sehr erfolgreich, muss man so zu sagen.
Ja, spannendes Thema.
wie gesagt, ich bin da auch schon drauf reingefallen.
Ja, klick hier.
Du bekommst 10 Prozent mehr Bonus.
Zack, Internet, E-Mail.
Wer klickt da nicht?
Also echt schwierig zu erkennen tatsächlich.
Auch wenn man sich unsicke ist, ob das echt ist oder nicht.
Und das kommt dir spanisch vor, vor allem wenn solche Sachen per E-Mail kommuniziert
werden.
Oft gibt es ja auch HR-Tools, zumindest in etwas größeren Unternehmen, wo das dann hier
eingepflegt wird und nicht per E-Mail kommt.
Also
Das Beste, was ihr machen könnt, immer diesen Report-Button zu nutzen.
Und das ist, ich, auch das Hauptziel.
Ihr müsst dann nicht ein schlechtes Gewissen haben oder denken, okay, ist es vielleicht
richtig oder falsch?
Dieser Report-Button geht an die Upmans von Eura Org und an Microsoft.
Das ist die best practices und auch die Folteinstellung, die ihr nutzen sollt.
Und es kommt dann auch zurück.
Hey, ich habe das gecheckt.
Der Link ist safe.
Ihr könnt da klicken.
Das ist echt und kam auch von uns.
Also hier wird niemand.
Ja, wie nennt man das?
Gebashed oder
schlecht behandelt deswegen.
ist extrem wichtig.
Dieses Training und auch dieses Reporting soll nicht dafür da sein, Benutzer zu
kontrollieren, zu schikanieren tatsächlich, sondern es hilft, die Security zu verbessern.
Und auch ich, wenn ich mir unsicher bin, ich mache einfach ein Reporting, lasse mir das
dann erklären von einem Zockteam.
Die zeigen mir die Sachen, warum es echt oder warum es vielleicht nicht echt ist.
Und so hilft es auch für meine Weiterbildung tatsächlich, das richtig zu verstehen.
Report-Button findet ihr übrigens, ihr die Slide unter Umständen als Podcasts...
Ich bin heute irgendwie der Bad Guy, was ist hier los?
Den Report-Button, falls ihr Zuhörer seid des Podcasts und die Slide seht, findet ihr eben
in den E-Mails.
Ich glaube, in Outlook selber ist das Ding schon kalter Kaffee und seid keine Ahnung, wie
viele Jahren verfügbar.
Wenn ihr eben eine Mail habt, über Rechtsklick auf die E-Mail gibt es eine
Report-as-Message-Option, wo ihr dann auswählen könnt als Junk oder...
Fishing Mail und genauso oben im Menüband selber im Outlook habt ihr sowohl im known als
auch im Classic Outlook Client noch die Option Reports as Email.
ja, ich glaube die gleiche Funktion, Dominik, werden wir demnächst dann auch in Teams
sehen, was ich sehr begrüße, oder?
Genau, das ist auch schon auf der Slide.
Also ist schon etwas älter.
GeA war Mitte Februar dieses Jahr, vier Monate jetzt, aber der Rollout dauert natürlich
auch immer ein bisschen.
Das Tolle ist, dass dieses Feature zum einen in den MTO Plan 1 gekommen ist, also in den
Basic Plan, der jetzt auch mit der E3 dabei ist ab Juli.
Und das heißt, es können alle, die entweder den Plan jetzt schon haben, das Feature nutzen
oder die nur E3 haben, den Plan ab Westen Juli dieses Reporting nutzen.
Und das hilft dann auch nicht nur Microsoft zur Verbesserung der Spamfilter oder der
Threat Policy Scanner, sondern auch innerhalb der Organisation.
Auf was muss ich aufpassen?
Muss ich vielleicht bestimmte Sachen spenden oder eher restriktiver erst mal aktivieren?
Je nachdem, was eben in der Org vorfällt.
Genau, lass mich schauen, was wir hier noch haben.
Also Teams is the new phishing surface, ich glaube, das ist auch klar.
auch QR-Code phishing ist so ein Thema, was super oft vorkommt.
Hab ich da hier ein Slider dabei?
Nee, wir können aber trotzdem drüber reden.
ich meine, ihr kennt das ja.
QR-Codes sind überall.
Wenn ich hier irgendwo hingehe, ich hab zum Beispiel ein Auto zugelassen diese Woche, ja,
da kommt ein QR-Code per Mail.
Und...
Dieser QR-Code, den musst du dann echt so nehmen und hier irgendwo scannen und ich denke
mir auch, da ist weder eine digitale Signatur drin von einem Amt, also von der Regierung,
noch ist die E-Mail verschlüsselt, die dann nur an mich geht und keine andere abfangen
kann.
Und da mache ich mich schon auch noch mal Gedanken und sage, okay, eigentlich müsstest du
hier ein Reporting machen, weil das kann ja eigentlich jeder schicken.
Nur weil die E-Mail-Adresse oben drin steht, heißt das nicht, dass die E-Mail legitim ist.
Und da ist es auch das Problem, du gehst irgendwo
am Parkautomaten draußen, ist ein QR-Code.
Dann scan, mit Easy Park kannst du hier einfach die Sachen nutzen.
Ja, und oft ist es ja auch so, dass ich gar kein privates Handy mehr habe, sondern mein
Handy aus der Firma nehme für diese Sachen.
Läuft sie im Urlaub rum, scans, weil du deine Parkgebühren zahlen willst und es ist so
super einfach, da irgendwas drüber zu kleben, irgendwas zu fälschen.
Und genau deshalb ist es nochmal wichtig, MDO schützt auch vor QR-Code Phishing.
Also Microsoft geht hier rein.
scan diesen QR-Code, öffnet es wieder in der Sandbox und checkt wirklich, was ist denn im
Hintergrund da von diesem QR-Code?
Geht es zu einer Phishing-Side, zu einer malicious-Side?
Wird irgendwie was runtergeladen auf dieses Device?
Also auch wenn ihr mit dem Handy als persönlicher Benutzer diese Sachen nutzt, im echten
Leben, wie mit dem Parken zum Beispiel, dann seid ihr ebenfalls auch geschützt und falls
es malicious ist oder falls jemand diesen QR-Code manipuliert hat, seid ihr dann eben
hier geschützt mit Defender für Office 365 und so.
abgefahren irgendwie.
Also schon ein Riesenpaket, da die Ecke kommt irgendwie.
Jetzt sind wir ja in Microsoft, also in Torq M365, also sehr Microsoft affin, würde ich
sagen.
Ist dir denn irgendwie bekannt Dominik, ob die ...
Mitbewerbe am Markt, ob das jetzt die verschiedenen ...
Anti-Viren und Security-Hersteller Ähnliches bieten ...
und dann auch so eine native Integration in die ...
Microsoft Tools anbieten oder ist das dann doch wieder ...
...
ein Alleinstellungsmerkmal von Microsoft, weil sie eben die App liefern, die Infrastruktur
liefern, ...
etc.
pp.
Also gerade wenn wir jetzt auch solche Themen wie ...
QR-Code-Scanner nehmen als Beispiel.
bei anderen Herstellern tatsächlich auch, aber die Integration sieht immer unterschiedlich
aus tatsächlich.
Wenn ich schon Microsoft 365 Kunde bin, auch mit Thema OneDrive, SharePoint Teams und
diese ganzen Geschichten und ich diese Sachen exzessiv nutze, dann macht das natürlich
auch Sinn, dass ich die Microsoft Security Features mitnutze vor allem.
Das hilft nicht nur den User, weil es eben ein Ecosystem ist, sondern auch den Admin und
vor allem auch dem SoC die Dinge richtig zu behandeln und einfacher zu behandeln.
habe nicht 20
Tab Fenster auf in meinem Browser, ja, switch von Produkt A nach B, sammle diese Sachen
und dann nutze ich das.
Aber generell, die Hersteller machen das ja auch so, wenn jetzt irgendwie ein neuer Trend
kommt, ja, AI prompt injection, muss jedes CNAP zum Beispiel mit drin haben.
Wenn ich jetzt AWS Bedrock nutze, Microsoft Foundry, das ist einfach ein Standard.
Jedes Unternehmen adoptiert AI.
Und wenn ich die Sachen nicht drin habe, dann fällt der Hersteller echt hinter.
hinten raus und es ist super schwierig, wenn ich da nicht von Anfang an dabei bin, das
auch aufzuholen vernünftig.
die Hersteller sind da echt, ich würde sagen fast break even mit diesen Features.
gibt immer Unterschiede, wie aber die Sachen gehandhabt werden und auch das Defender XDA
Portal.
Einige von euch haben vielleicht schon auch die neue UI, wo das Menü jetzt versteckt ist
und ich nur noch drei Buttons habe.
Also das sieht richtig, richtig cool aus und
Microsoft macht da auch für die Visualisierung, dass diese ganz, es ist ja eine Armade an
Produkten jetzt mittlerweile, dass die perfekt ineinander zusammenspielt und ich eine gute
Übersicht habe über diese Reportings.
Das ist der Vorteil, würde ich sagen.
Ich glaube, auch das, was ganz häufig ein Problem ist, in Anführungsstrichen.
Dass die Leute nicht verstehen, was jetzt wie mit zusammenhängt, so diese Armada von
Produkten.
Ich ...
find's ganz gut, dass wir zumindest mal Purview rausgezogen bekommen haben.
Das ist, du grad mit den Damen und Herren sprichst, die das ganze Thema Purview machen.
Sie legen immer ganz viele Werte darauf.
Nein, das ist nicht Security.
Es spielt mit in die Richtung, aber es ist nicht Security.
Dass wir das über die Defender-Brand jetzt doch sehr deutlich haben, ist aus meiner Sicht
etwas, was sehr, gut ist.
Dann weiß ich, dass ich da eine Abtrennung zu den jeweiligen auch ...
Funktionen habe, dass ich weiß, ich habe ein Team, sich Security kümmern soll, dann sind
die zumindest, was die Microsoft Welt angeht, beim Defender gut aufgehoben.
Absolut und das ist auch ein gutes Stichwort, Michael.
kannst ja auch, also die DLP Alerts mit Pivot DLP und Information Security sind ja auch im
Defender Portal jetzt drin.
Und ich meine, was machen die Leute jetzt?
Es gibt Cloud, es gibt Cloud Cowork, es gibt Copilot, es gibt ChatGP.
Ich meine, die laden sich die Plugins runter, die Desktop Apps, hauen da die
Unternehmensdaten rein.
Hey, macht mir eine Summary oder macht mir eine coole Powerpoint-Präsentation.
laden das in den Webbrowser hoch und dann kommt auch wieder die N2 Global Secure Access
Geschichte zusammen.
Und ich kann ja hier auch im Netzwerk Traffic dann Perview oder DLP mit aktivieren und
dann sagen, okay, die Sachen, die gelabelt sind, lässt du nicht bei der JetGPT hoch.
Egal, ob das eine Desktop App oder eine Browser App ist.
Passiert das Dominik, ehrlich?
Ja.
Ich meine, ich mache das ja auch, Aber es ist extrem wichtig, dass das Unternehmen da
Bescheid weiß und auch weiß, wie mache ich die Sachen und wie verhinde ich das.
auch, ich muss ja auch nicht alle Dateien in Copilot indexieren, den Semantic Kernel
sozusagen oder Semantic Search.
Ich kann ja auch sagen, diese Sachen, die sind so highly confidential.
Völlig egal, wie meine Berechtigungsstrue, mein Labeling aussieht.
Die Sachen gibst du niemals dem User aus.
Es ist alles da.
Ich muss es nur eben richtig konfigurieren.
Und da vielleicht auch ein kleiner Tipp an all die Microsoft 365 Admins, sagen, jetzt uns
da reinzufuchsen, da haben wir keinen Bock drauf.
Wir haben keine Ahnung, ob unsere User das machen, ob sie es nicht machen.
Guckt einfach mal bei euch im Entro ID unter den App Registrations und schaut danach den
üblichen Schlagwörtern wie OpenAI, ChatGPT.
Schaut mal, was da so an Anwendungen registriert ist.
Ihr seht, wer es registriert hat, welche User das aktiv nutzen und dann werdet ihr schon
wissen und sehen.
Wer hat so seinen OneDrive, tatsächlich mit Shared GPT connectet und nutzt, ...
obwohl es eigentlich gar nicht erlaubt ist.
Das hat schon so manchem Kunden geholfen zu verstehen, ...
wie diese neue Welt mit LLMs und AI funktioniert ...
und dass man vielleicht dann doch überlegen sollte, ...
ob es eine gute Idee ist, jedem User das Recht zu geben, ...
eine App Registration durchzuführen ...
und seinen OneDrive mit wem auch immer da draußen zu connecten und einen Zugriff zu
erteilen.
Ja, ich glaube, werden einige, wenn ihr da noch nicht seid, große Augen machen, auch was
für ganz spannende Tools da alles mit reinkommen.
Und ihr seid ja nicht in der Situation, dass ihr völlig aufgeschmissen seid.
Ihr könnt ja einen Genehmigungsprozess quasi dahinter stellen.
Also gerade was App Registrations angeht, sind wir ja an dem Punkt, wo jeder durchaus auch
die Anfrage stellen kann, dann einen Businessgrund dazu angeben sollte.
Ich sehe regelmäßig solche Anfragen bei Kunden, wo dann drin steht, brauche ich zum
Arbeiten.
Das ist, je nachdem, was es für ein Tool ist, schwierig nachzuvollziehen.
Aber das hilft zumindest, dass ihr in der Organisation Kontrolle darüber habt.
Und dann würde es im Zweifelsfall auch reichen, wenn das Tool passt, wenn die
Berechtigungen passen.
Auch das finde ich super.
Ich sehe dann, welche Berechtigungen da mit einhergehen.
dann kann ich auch da die Registration einfach genehmigen, weil es unkritische
Informationen sind oder ich habe ein Standard Set, was ich auch als unkritische
Informationen einstellen kann.
Also App Registration ist auch nochmal etwas, was da sehr viel mit reinbringt.
Ja, ich glaube, das Security-Feld ist sehr, sehr groß.
Ich glaube, da gibt es ganz unterschiedliche auch Angriffsszenarien und ich finde es
sehr cool, dass wir mit dem Defender dahinter mehr haben als ein ganz dummes
Virenscanner-Tool.
Also ganz tool.
Ich vor 20 Jahren tatsächlich täglich Virenpattern ausgerollt.
Das heißt, zu sehen, da für ein Wandel ist von dem, was wir am Anfang noch hatten bei
Windows 95 und ein Virenscanner drauf.
dann in Richtung Defender zu schauen.
Das ist schon gigantisch, was da geht.
Krass.
Gut, habt ihr zwei noch ein Thema, was ihr unbedingt loswerden wollt in dem Kontext
Security, Defender?
So, tockt nicht, außer recht herzlichen Dank, Dominik, für den Einblick.
Ich glaube, wir hatten tatsächlich Defender in der Ausprägung noch nicht im Talk M365,
deswegen fand ich es toll, als du zugesagt hast, dass du dabei bist.
Vielleicht wird es ein Kickoff zu regelmäßig mal Updates zur Defender oder so, schauen wir
mal.
Und ich fand es sehr gut und informativ, was du heute mitgebracht hast.
Vielen Dank.
dass ich es beisahen durfte und ich super gerne, also das war ja heute nur ein ganz
kleiner Teil von Defender für Office 365.
Es gibt ja nochmal, das sind jetzt vier andere glaube ich, Identity Endpoint Cloud Apps
und wir ja auch Defender in der Cloud, da ist ein Azure, GCP, AWS, Agent 365 ist auch ein
Thema.
Da kommt viel glaube ich und das wird richtig gut.
Es wird aber auch anspruchsvoll und auch stressig.
abzudaten zu bleiben und die Sachen auch echt zu sagen, wie sicher ich meine Organisation
ab mit diesen ganzen neuen Themen, kommen und welche Produkte brauche ich eigentlich
dafür, das umzusetzen.
Und dafür gibt es ja auch einige Beratungsfirmen am Markt, die da mithelfen können.
wenn ihr selbst ein bisschen überfordert seid, dann schaut euch was es für Unternehmen
gibt, die in dem Bereich sind und mit denen ihr dann auch mal in die Diskussion geht, wie
ihr diese ganzen Themen drumherum mit aufbaut.
Also nicht bloß ich kriege einen Alarm, sondern wie gehe ich damit um?
Und dann, ich halte das für ein schönes Schlusswort.
nochmal Werbung für den Beratermarkt zu machen.
Und damit würde ich sagen, immer, teilt das Video gerne mit allen, die schon mal mehr über
Verteidigung wissen wollten.
Und natürlich mit Hund, Katze, Maus, Oma, Opa, Onkel, Tante.
Und nochmals auch von meiner Seite herzlichen Dank, Dominik.
glaube, auch.
Bis bald.
Ciao.