Microsoft hat eine neue Funktion in Defender for Endpoint vorgestellt, die infizierte Rechner automatisch vom Netz trennt. Die Preview des „Automatic Device Isolation“ startete am 26. Mai 2026 und soll verhindern, dass Angreifer nach einem Einbruch quer durchs Unternehmen wandern.
Die Technologie erkennt hochriskante Schadaktivitäten und kappt die Verbindung des betroffenen Geräts zum Firmennetz – während eine sichere Leitung zum Microsoft-Defender-Dienst bestehen bleibt. So können Sicherheitsteams den Rechner weiter überwachen und forensische Analysen durchführen, ohne dass sich die Infektion ausbreitet.
Warum Cyberkriminelle gerade kleine und mittelständische Unternehmen ins Visier nehmen: Ein kostenloses E-Book zeigt, welche neuen Bedrohungen 2024 auf Sie zukommen – und wie Sie sich ohne großes Budget schützen. IT-Sicherheits-Leitfaden jetzt kostenlos herunterladen
Automatisierte Abwehr gegen laterale Bewegungen
Der Angriffsmethode des lateralen Bewegens kommt eine Schlüsselrolle zu: Sobald Angreifer einen ersten Zugang gefunden haben, navigieren sie durchs Netzwerk, um an sensible Daten zu gelangen oder ihre Privilegien auszuweiten. Die automatische Isolation soll genau diesen Schritt unterbinden.
Die Dringlichkeit solcher Maßnahmen untermauern aktuelle Zahlen. Eine Untersuchung von WatchGuard aus dem Mai 2026 zeigt: Rund 85 Prozent aller Cyberangriffe nutzen das Remote Desktop Protocol (RDP) für laterale Bewegungen. Ransomware-Operationen setzen zudem zunehmend auf Datenerpressung statt einfacher Verschlüsselung – die Geschwindigkeit der Eindämmung wird damit zum entscheidenden Faktor.
Doch die Automatisierung birgt auch Risiken. Das SANS-Institut warnt vor einer möglichen ADID-Attacke (Automatic Device Isolation Disabling), bei der Angreifer die Isolationsfunktion gegen sich selbst wenden könnten, um sämtliche Benutzerkonten lahmzulegen. Microsoft rät Unternehmen daher, die Funktion aktiviert zu lassen, aber die granularen Steuerungsmöglichkeiten zu nutzen, um Fehlalarme zu vermeiden.
Neue Bedrohungen durch Lazarus-Gruppe und KI-gestützte Malware
Parallel zur Einführung der neuen Abwehrmechanismen haben Sicherheitsanalysten eine hochgefährliche Malware-Kampagne der Lazarus-Gruppe entdeckt. Die nordkoreanische Gruppe setzt einen Remote Access Trojan namens RemotePE ein, der ausschließlich im Arbeitsspeicher läuft und kaum forensische Spuren auf der Festplatte hinterlässt.
Die Angriffskette beginnt mit Social Engineering über Plattformen wie Telegram und dem Einsatz gefälschter Planungssoftware. Analysen von Fox-IT zeigen, dass das Tool die Windows Data Protection API (DPAPI) zur Entschlüsselung nutzt – gezielt, um Sicherheitsüberwachungen zu umgehen.
Gleichzeitig integrieren staatlich gesteuerte Akteure zunehmend Künstliche Intelligenz in ihre Werkzeuge. Die iranische Gruppe Nimbus Manticore (auch als UNC1549 bekannt) hat zwischen Februar und April 2026 unter dem Codenamen „Operation Epic Fury“ die Luftfahrt- und Softwarebranche in den USA, Europa und dem Nahen Osten attackiert. Die Angreifer nutzten KI-gestützte Malware, darunter die Hintertür MiniFast, sowie SEO-Vergiftung, um Opfer auf gefälschte Installer für Kommunikationsplattformen wie Zoom zu locken.
KI-Risikomanagement und erweiterte Sicherheitsinfrastruktur
Microsoft reagiert auf die wachsende Bedrohungslage mit dem Aufbau eines spezialisierten AI Red Teams in Israel. Das Team unter der Leitung von Daniel Goltz soll KI-Systeme simulieren und Schwachstellen aufdecken, bevor Angreifer sie ausnutzen können. Der Schritt erfolgt vor dem Hintergrund eines dramatischen Anstiegs: Microsoft verzeichnet einen 80-prozentigen Zuwachs bei Datenlecks, die auf die Nutzung von KI-Tools durch Mitarbeiter zurückgehen. Das Unternehmen stockt seine Cybersicherheitsbelegschaft in Israel um rund 50 Stellen auf.
Auch die Kerninfrastruktur wird überarbeitet. Ende April 2025 kündigte Microsoft die Einstellung der Virtualization-Based Security (VBS) Enclaves in älteren Windows-Versionen wie Windows 11 23H2 und Windows Server 2022 an. Die Funktionen bleiben in neueren Versionen wie Windows 11 24H2 und Windows Server 2025 erhalten. Zudem wird die UWP Map Control zugunsten von Azure Maps eingestellt.
Die Dringlichkeit regelmäßiger Updates unterstrich Microsoft am 26. Mai 2026 mit einem Patch für eine hochriskante Sicherheitslücke in SharePoint. Die Schwachstelle CVE-2026-45659 betrifft mehrere SharePoint-Server-Versionen, darunter die Subscription Edition sowie die Versionen 2019 und 2016. Authentifizierte Angreifer könnten beliebigen Code auf dem Server ausführen und das gesamte System kompromittieren.
Neue KI-Gesetze und veränderte Cyberrisiken fordern Unternehmen zunehmend heraus. Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt kennen müssen, um ihre IT-Sicherheit langfristig zu stärken. Jetzt Gratis-Report für Unternehmer sichern
Regulatorischer Druck und neue Phishing-Wellen
Die Anforderungen an Sicherheitsteams steigen nicht nur technisch, sondern auch regulatorisch. Indiens CERT-In hat Ende Mai 2026 eine strenge 12-Stunden-Frist für Patches bei bekannten, aktiv ausgenutzten Schwachstellen eingeführt. Unternehmen müssen Sicherheitsvorfälle innerhalb von sechs Stunden melden und einen gestaffelten Patch-Zeitplan einhalten: einen Tag für kritische externe Lücken, drei Tage für kritische interne Schwachstellen und fünf Tage für schwerwiegende Probleme.
Während Unternehmen mit der schnellen Patch-Pflicht kämpfen, finden Angreifer neue Wege, etablierte Sicherheitsmaßnahmen wie die Multi-Faktor-Authentifizierung (MFA) zu umgehen. Das FBI warnte am 26. Mai 2026 vor einer Phishing-as-a-Service-Plattform namens Kali365. Die Plattform zielt auf Microsoft-365-Nutzer ab und nutzt einen legitimen Gerätecode-Fluss, um OAuth-Token zu stehlen. Indem Nutzer dazu gebracht werden, einen Code auf einer echten Microsoft-Seite einzugeben, erhalten Angreifer dauerhaften Zugriff auf E-Mails, Microsoft Teams und OneDrive-Konten – und umgehen so den MFA-Schutz.
Doch nicht alle Angriffe sind erfolgreich. Das Sicherheitsunternehmen NEC XON konnte kürzlich einen Ransomware-Angriff auf eine globale Personalvermittlungsfirma mit Palo Alto Networks Cortex XDR verhindern. Das KI-gestützte System erkannte verdächtige Enumeration-Aktivitäten in der demilitarisierten Zone (DMZ) des Netzwerks, blockierte automatisch die IP-Adresse des Angreifers und unterband die Command-and-Control-Kommunikation – bevor Daten verschlüsselt oder gestohlen werden konnten.
Ausblick: Autonome Sicherheitsoperationen als neue Normalität
Der Start der automatischen Geräteisolierung in Microsoft Defender markiert einen Wendepunkt. Während Angreifer wie die Lazarus-Gruppe dateilose Malware verfeinern und iranische Akteure KI für effektiveres Social Engineering nutzen, schrumpft das Zeitfenster für menschliche Eingriffe in der Cyberabwehr.
Unternehmen werden zunehmend auf EDR-Lösungen setzen, die Künstliche Intelligenz zur Echtzeit-Erkennung und -Blockierung von Bedrohungen nutzen. Der Erfolg dieser Werkzeuge wird davon abhängen, ob Sicherheitsteams die Balance zwischen aggressiver Automatisierung und Geschäftskontinuität finden – insbesondere, da Aufsichtsbehörden wie CERT-In immer schnellere Reaktionszeiten fordern. Für Administratoren bleibt die sofortige Umsetzung granularer Steuerungsmöglichkeiten für neue Automatisierungsfunktionen und die Einschränkung riskanter Authentifizierungsabläufe oberste Priorität.
