SchwachstellenCloud-SicherheitHackerangriffe

Microsoft Defender isoliert gehackte Geräte jetzt automatisch – Netzwerk-Schutz wird erweitert

Von CyberDeutsch Redaktion
Microsoft Defender isoliert gehackte Geräte jetzt automatisch – Netzwerk-Schutz wird erweitert
Zusammenfassung

Microsoft erweitert die Sicherheitsfähigkeiten von Defender for Endpoint um eine automatische Isolierungsfunktion für kompromittierte Geräte. Die neue Funktion, die derzeit in der Vorschauphase verfügbar ist, soll als Teil der automatischen Angriffsunterbrechung fungieren und Angreifer daran hindern, sich lateral durch Unternehmensnetzwerke zu bewegen. Wird ein Endpunkt als kompromittiert erkannt, wird das betroffene Gerät automatisch vom Netzwerk getrennt, behält aber weiterhin die Verbindung zu Microsoft Defender for Endpoint, um weiterhin überwacht zu werden. Dies reduziert das Risiko von Datenverlust, Ransomware-Verbreitung und weiterer Kompromittierung. Für deutsche Unternehmen und Behörden, die Microsoft Defender einsetzen, bedeutet dies einen erweiterten Schutz gegen Cyberangriffe, ohne dass IT-Teams manuell eingreifen müssen. Besonders in kritischen Infrastrukturen und bei sensiblen Datenbeständen könnte diese automatisierte Reaktion auf Bedrohungen wertvoll sein. Sicherheitsverantwortliche können Geräte nach der Untersuchung wieder freigeben, was Flexibilität bei der Incident Response bietet.

Die neue Isolationsfunktion in Microsoft Defender for Endpoint markiert einen wichtigen Schritt in der automatisierten Angriffsabwehr. Wenn ein Endgerät als kompromittiert erkannt wird, erfolgt die Netzwerk-Isolation nun ohne manuelle Intervention – eine entscheidende Beschleunigung, die Angreifern weniger Zeit für laterale Bewegungen lässt.

Wie Microsoft erklärt, bleibt das isolierte Gerät mit dem Defender-Service verbunden und wird kontinuierlich überwacht. Das ermöglicht es Sicherheitsteams, weiterhin Daten zu sammeln und Indikatoren für Kompromittierung zu analysieren. Die Isolation kann jederzeit manuell aufgehoben werden – sobald Sicherheitsoperatoren die erforderlichen Maßnahmen zur Risikominderung abgeschlossen haben.

Diese Funktion ist Teil einer umfassenden Strategie, die Microsoft seit Jahren ausrollt. Bereits 2022 ermöglichte das Unternehmen die manuelle Isolation von Windows-Geräten. Im Januar 2023 folgte eine Test-Phase für Linux-Geräte, die im Oktober 2023 in Produktion ging. Parallel entwickelt Microsoft auch die Möglichkeit, kompromittierte Benutzerkonten automatisch zu isolieren – ein Ansatz gegen sogenannte “Hands-on-Keyboard”-Ransomware-Angriffe.

Zusätzlich testet Microsoft aktuell eine weitere Funktion, die automatisch Datenverkehr zu und von unbekannten Windows-Endpoints blockiert. Das Ziel: Angreifer sollen keine anderen Geräte im Netz erreichen können.

Auch die Scanning-Funktionalität wird erweitert. Security-Administratoren können künftig Antivirus-Scans auf Linux-Systemen zeitlich planen – mit Optionen für schnelle Scans, intervallbasierte Scans und vollständige wöchentliche Scans. Dabei lassen sich Low-Priority-Ausführungen und zufällige Startzeiten konfigurieren.

Für deutsche Unternehmen und öffentliche Einrichtungen, die Defender for Endpoint nutzen, ergeben sich daraus klare Vorteile: Automatische Isolation reduziert die Reaktionszeit bei Sicherheitsvorfällen – ein Faktor, der bei der Bewertung von Compliance-Anforderungen (etwa nach BSI-C5-Standard oder IT-Grundschutz) relevant ist. Die kontinuierliche Überwachung isolierter Geräte unterstützt zudem Forensik und Incident-Response-Prozesse.

Allerdings sollten Sicherheitsteams die Automatisierung regelmäßig überprüfen und falsch-positive Isolationen minimieren. Die neue Funktion ist derzeit auf verwaltete Windows-Workstations beschränkt und erfordert eine entsprechende Defender for Endpoint-Lizenzierung.

Ähnliche Artikel