Microsofts Sicherheitslösung Defender for Office 365 hat im vergangenen Jahr deutlich weniger gefährliche Bedrohungen durchgelassen als die Konkurrenz. Doch der Erfolg kommt nicht ohne Schattenseiten: Gleichzeitig musste der Konzern kritische Lücken in seinem KI-Assistenten Copilot und eine Zero-Day-Sicherheitslücke im Defender selbst schließen.
Deutlich weniger Fehlalarme als die Konkurrenz
Die Zahlen sprechen eine klare Sprache: Laut dem aktuellen Microsoft Defender Benchmark, der den Zeitraum vom vierten Quartal 2025 bis Anfang 2026 abdeckt, verpasste die integrierte Sicherheitslösung von Microsoft 59 Prozent weniger hochriskante Bedrohungen im Vorfeld der Zustellung als traditionelle Secure Email Gateways (SEGs) von Anbietern wie Mimecast und Proofpoint.
Konkret bedeutet das: Auf 1.000 Mitarbeiter kamen bei Defender lediglich 194 unerkannte Bedrohungen. Zum Vergleich: Mimecast verzeichnete 478 Fehlalarme, Proofpoint lag mit 483 sogar noch knapp darüber.
Rekord-Schäden durch Phishing: Warum immer mehr Unternehmen jetzt auf Awareness-Kampagnen setzen. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam schützen kann. In 4 Schritten zur erfolgreichen Hacker-Abwehr
Auch bei der nachträglichen Bereinigung zeigt Defender deutliche Fortschritte. Mittlerweile entfernt die Software 96,03 Prozent der schädlichen E-Mails, die bereits im Posteingang der Nutzer gelandet sind – ein gewaltiger Sprung gegenüber den früheren 45 Prozent.
Bemerkenswert: Die zusätzliche Integration externer Cloud-E-Mail-Sicherheitspartner (ICES) bringt kaum noch Mehrwert. Die Erkennungsrate für schädliche E-Mails verbessert sich dadurch um weniger als 0,05 Prozent, bei Spam um 0,68 Prozent.
Die Branche scheint umzudenken: Laut aktuellen Studien haben 87 Prozent der Cybersicherheitsverantwortlichen ihre traditionellen SEGs bereits ersetzt oder denken über einen Wechsel nach. Der Hauptkritikpunkt: Ältere Gateways fehlt die kontextbezogene Intelligenz, um moderne Bedrohungen wie Business Email Compromise (BEC) oder sogenanntes „Quishing“ – Phishing per QR-Code – zuverlässig zu erkennen.
Copilot-Lücke ermöglichte Datenklau
Doch während Microsoft mit seinen Erkennungsraten prahlt, musste das Unternehmen in den letzten Tagen gleich mehrere schwerwiegende Sicherheitslücken schließen. Am 16. Juni 2026 veröffentlichte der Konzern einen Patch für eine kritische Schwachstelle in Copilot für Microsoft 365, die den Namen „SearchLeak“ trägt.
Forscher von Varonis hatten den Angriffsvektor entdeckt: Über eine manipulierte URL gelang es Angreifern, durch eine sogenannte „Parameter-to-Prompt-Injection“ sensible Daten abzugreifen. Darunter fielen Zwei-Faktor-Authentifizierungscodes (2FA), E-Mails sowie Dokumente aus SharePoint und OneDrive.
Besonders perfide: Die Angreifer nutzten die Bing-Suche als „Trampolin“, um die Content Security Policy (CSP) des Browsers zu umgehen. Zwar schließt der Patch die konkreten Sicherheitslücken – darunter eine Race-Condition im Streaming-Rendering. Doch Sicherheitsexperten betonen, dass das grundlegende Problem, nämlich die Trennung von Anweisungen und Inhalten in großen Sprachmodellen, weiterhin ungelöst bleibt.
Zero-Day im Defender: Angreifer erlangen Systemrechte
Immer mehr Unternehmen werden Opfer von Cyberangriffen – diese Checkliste hilft Ihnen, es zu verhindern. Experten erklären im kostenlosen E-Book, wie Sie sich proaktiv absichern und Sicherheitslücken schließen. Kostenloses E-Book zum Schutz vor Cyberangriffen herunterladen
Erst am heutigen Mittwoch bestätigte Microsoft zudem, dass man an einem Sicherheitsupdate für eine Zero-Day-Lücke im Defender arbeite. Die Schwachstelle mit dem Codenamen „RoguePlanet“ (CVE-2026-50656) ermöglicht es Angreifern, über eine Race-Condition SYSTEM-Level-Rechte auf vollständig gepatchten Windows-10- und Windows-11-Systemen zu erlangen.
Ein Proof-of-Concept für diesen Exploit wurde bereits Anfang Juni von einem Sicherheitsforscher veröffentlicht. Das bedeutet: Theoretisch könnten Angreifer die Lücke jetzt schon ausnutzen, um sich vollständige Kontrolle über betroffene Systeme zu verschaffen.
FBI warnt vor KI-gestützten Phishing-Plattformen
Die Bedrohungslage wird zusätzlich durch hochentwickelte Phishing-as-a-Service-Plattformen (PaaS) verschärft, die gezielt Microsoft-365-Umgebungen angreifen. Das FBI warnte kürzlich vor der Plattform „Kali365“, die seit April 2026 aktiv ist. Sie nutzt KI-generierte Köder und automatisierte Vorlagen, um OAuth-Token zu stehlen und Multi-Faktor-Authentifizierung zu umgehen.
Forscher dokumentierten zudem das „EvilTokens“-Kit, das den OAuth-2.0-Geräteautorisierungs-Flow missbraucht. Diese Plattform wurde bereits im März 2026 gegen mehr als 340 Organisationen eingesetzt. Die Masche: Opfer werden auf eine legitime Microsoft-Anmeldeseite gelockt und geben dort einen Gerätecode ein – ohne zu wissen, dass sie damit Angreifern Zugriff auf ihre Konten gewähren.
Ein ähnlicher Trend namens „Device Code Phishing“ zielt seit Ende 2025 gezielt auf Steuerberatungskanzleien ab. Die Angreifer nutzen steuerbezogene Köder, um Nutzer zur Eingabe eines legitimen Gerätecodes zu bewegen – und erhalten so Zugang zu Kundenportalen und Steuerplattformen.
Sicherheitsexperten empfehlen Unternehmen, den Gerätecode-Flow über Conditional-Access-Richtlinien zu blockieren und OAuth-Anwendungsberechtigungen streng zu überwachen. Denn eines zeigt sich deutlich: Die Angreifer werden immer kreativer – und Microsofts Sicherheitslösungen müssen sich ständig neuen Herausforderungen stellen.
