Erweiterung von Microsoft 365 E3 und E5 

Mit RIEDEL Enterprise Defense [R.E.D.] etablierte Technologieplattform zu integriertem Betriebsmodell für IT-Sicherheit upgraden

Microsoft 365 E3 und E5 gehören zu den am weitesten verbreiteten Enterprise-Plattformen, erfüllen jedoch unterschiedliche Rollen im Kontext der IT-Sicherheit. Während E3 eine solide Basis schafft und vor allem den Zugriff kontrolliert sowie grundlegende Schutzmechanismen bereitstellt, erweitert E5 diese Grundlage deutlich in Richtung Erkennung und Analyse von Bedrohungen. Funktionen wie Identity Protection, Endpoint Detection and Response und XDR ermöglichen eine wesentlich tiefere Sicht auf potenzielle Angriffe.

Trotz dieser Unterschiede haben beide Lizenzmodelle eine gemeinsame strukturelle Eigenschaft: Sie sind in erster Linie Technologieplattformen, keine vollständig integrierten Betriebsmodelle für IT-Sicherheit. Ereignisse werden erkannt, Risiken bewertet, doch die kontinuierliche Überwachung, Korrelation und Reaktion auf Vorfälle ist nicht automatisch Bestandteil des Gesamtsystems.

Genau hier setzt RIEDEL Enterprise Defense [R.E.D.] an. Die Plattform ergänzt bestehende Microsoft-Umgebungen um eine operative Sicherheitsschicht, die SIEM, XDR, UEBA und SOAR mit einem rund um die Uhr arbeitenden Security Operations Center verbindet. Damit verschiebt sich der Fokus von reiner Technologie hin zu einem aktiv betriebenen Sicherheitsmodell.

Microsoft E3: Zugriffskontrolle ohne tiefgehende Erkennung

Microsoft E3 konzentriert sich in seiner Standardausprägung auf die Steuerung von Zugriffen und die Durchsetzung grundlegender Sicherheitsrichtlinien. Identitäten werden über Entra ID P1 verwaltet, wobei Conditional Access und Multi-Faktor-Authentifizierung definieren, unter welchen Bedingungen auf Ressourcen zugegriffen werden darf. Der Endpunktschutz ist vorhanden, bleibt jedoch primär präventiv ausgerichtet und bietet keine umfassenden EDR-Funktionalitäten. Auch die E-Mail-Sicherheit ist in erster Linie auf das Filtern bekannter Bedrohungen ausgelegt.

Dieses Modell ist geeignet, um ein grundlegendes Sicherheitsniveau sicherzustellen, stößt jedoch an Grenzen, sobald Angriffe über die präventiven Schutzmechanismen hinausgehen. Es fehlt an Möglichkeiten zur übergreifenden Korrelation von Ereignissen, zur Erkennung von Verhaltensanomalien sowie zur strukturierten Reaktion auf Sicherheitsvorfälle.

Mit der Integration von RIEDEL Enterprise Defense [R.E.D.] verändert sich diese Ausgangslage grundlegend. Durch die Einführung eines zentralen SIEM werden Protokolldaten aus Endpunkten, Netzwerkkomponenten, Cloud-Diensten und Anwendungen zusammengeführt und im Kontext analysiert. UEBA ergänzt diese Sicht um eine Verhaltensperspektive, sodass Abweichungen vom normalen Nutzer- oder Systemverhalten erkannt werden können.

Auf Endpunktebene sorgt EDR+ für eine deutliche Erweiterung der Erkennungsfähigkeiten. Die Kombination aus einem Wazuh-basierten XDR-Agenten und Cisco Secure Endpoint verbindet detaillierte Telemetriedaten mit fortgeschrittener Bedrohungserkennung und automatisierten Reaktionsmöglichkeiten. Dieser Ansatz entspricht etablierten Architekturen im MDR-Umfeld, bleibt jedoch in seiner technischen Zusammensetzung transparent.

Ein wesentlicher Unterschied liegt im operativen Betrieb. Sicherheitsereignisse werden nicht mehr lediglich protokolliert, sondern kontinuierlich durch ein Security Operations Center SOC analysiert, priorisiert und bearbeitet. Automatisierte Reaktionen, gesteuert durch SOAR, stellen sicher, dass Vorfälle konsistent und zeitnah behandelt werden.

In der Kombination entsteht aus E3 eine Sicherheitsarchitektur, die nicht nur präventiv wirkt, sondern auch aktiv erkennt und reagiert.

Microsoft E5: Erweiterte Erkennung ohne operative Verankerung

Microsoft E5 erweitert die Sicherheitsfunktionen erheblich. Mit Entra ID P2 wird Identität zu einem dynamischen Risikofaktor, der kontinuierlich bewertet wird. Funktionen wie risikobasierte Authentifizierung und Privileged Identity Management erhöhen die Kontrolle über kritische Zugriffe.

Gleichzeitig liefern Defender for Endpoint Plan 2 und Defender for Office 365 Plan 2 eine deutlich tiefere Telemetrie sowie erweiterte Erkennungsmechanismen. Über Microsoft Defender XDR werden diese Signale miteinander verknüpft und in einen gemeinsamen Kontext gestellt.

Dennoch bleibt auch E5 davon abhängig, wie effektiv diese Informationen genutzt werden. Die Plattform erkennt verdächtige Aktivitäten und generiert qualitativ hochwertige Alerts, stellt jedoch nicht automatisch sicher, dass diese in Echtzeit analysiert oder in koordinierte Maßnahmen überführt werden.

RIEDEL Enterprise Defense [R.E.D.] ergänzt E5 daher nicht primär auf der Ebene der Erkennung, sondern auf der operativen Seite. Das SIEM erweitert die Sichtbarkeit über das Microsoft-Ökosystem hinaus und integriert zusätzliche Datenquellen wie Netzwerkgeräte, Server und Drittanwendungen. UEBA verstärkt die Analyse, indem es Verhaltensmuster über verschiedene Systeme hinweg korreliert.

SOAR übernimmt die Orchestrierung von Reaktionen und stellt sicher, dass Maßnahmen systemübergreifend und standardisiert umgesetzt werden. Während Microsoft bereits Automatisierungsansätze bietet, geht [R.E.D.] hier einen Schritt weiter, indem es Prozesse über unterschiedliche Technologien hinweg koordiniert.

Entscheidend ist auch hier der kontinuierliche Betrieb durch das SOC. Sicherheitsereignisse werden nicht nur sichtbar gemacht, sondern aktiv bewertet, untersucht und – falls erforderlich – eskaliert oder eingedämmt. Dadurch wird E5 von einer leistungsfähigen Erkennungsplattform zu einer vollständig betriebenen Sicherheitslösung weiterentwickelt.

Microsoft Defender: Kontext

Microsoft Defender bildet den zentralen Sicherheitsbaustein innerhalb von E3 und E5, unterscheidet sich jedoch deutlich in seiner Ausprägung.

In einer E3-Umgebung ist Defender in erster Linie ein präventiver Schutzmechanismus. Defender fpr Endpoint Plan 1 konzentriert sich auf Antivirus, Exploit-Schutz und grundlegende Angriffserkennung. Dadurch werden bekannte Bedrohungen zuverlässig abgewehrt, es fehlt jedoch an der notwendigen Tiefe für Analyse und Nachverfolgung komplexer Angriffe.

Auch im Bereich E-Mail bleibt Defender in E3 eher oberflächlich. Bedrohungen werden gefiltert, aber nicht umfassend analysiert. Eine durchgängige Untersuchung von Angriffskampagnen oder eine strukturierte Incident Response ist nicht vorgesehen.

Mit E5 verändert sich die Rolle von Defender grundlegend. Defender for Endpoint Plan 2 erweitert den Endpunktschutz um vollständige EDR-Funktionalitäten, inklusive detaillierter Telemetrie, Angriffspfadanalyse und Threat Hunting.

Defender for Office 365 Plan 2 ermöglicht eine tiefgehende Analyse von Phishing-Kampagnen und E-Mail-Angriffen, während Defender for Identity und Defender for Cloud Apps zusätzliche Perspektiven auf Identitäts- und Cloud-basierte Bedrohungen liefern.

Diese Signale werden innerhalb von Microsoft Defender XDR zusammengeführt und korreliert, wodurch eine einheitliche Sicht auf Angriffe entsteht.

Trotz dieser Stärke bleibt Defender eine Erkennungsplattform. Es liefert hochwertige Alerts und Kontextinformationen, stellt jedoch nicht sicher, dass diese kontinuierlich überwacht oder konsequent bearbeitet werden. Der tatsächliche Sicherheitsgewinn hängt somit stark vom operativen Betrieb ab.

Positionierung von RIEDEL Enterprise Defense [R.E.D.] im Microsoft-Kontext

Das Zusammenspiel zwischen Microsoft-Lizenzen und [R.E.D.] lässt sich am besten als klare Aufgabenteilung beschreiben. Microsoft stellt die technologischen Grundlagen für Erkennung und Zugriffskontrolle bereit. RIEDEL Enterprise Defense [R.E.D.] sorgt dafür, dass diese Technologien kontinuierlich überwacht, sinnvoll korreliert und effektiv genutzt werden.

In einer E3-Umgebung bedeutet dies eine grundlegende Weiterentwicklung hin zu einer vollständigen Detection- und Response-Architektur. In einer E5-Umgebung liegt der Mehrwert vor allem darin, die vorhandenen Fähigkeiten zu operationalisieren und über die Microsoft-Welt hinaus zu erweitern.

Fazit

Microsoft E3 und E5 bieten jeweils leistungsfähige Sicherheitsfunktionen innerhalb ihres vorgesehenen Rahmens. E3 legt den Fokus auf Kontrolle und Basisschutz, während E5 die Erkennung und Analyse deutlich erweitert. Beide Ansätze bleiben jedoch ohne eine operative Sicherheitsschicht unvollständig.

RIEDEL Enterprise Defense [R.E.D.] ergänzt diese Lücke, indem es Technologien mit kontinuierlichem Betrieb verbindet. Es schafft Transparenz über Systemgrenzen hinweg, interpretiert Sicherheitsereignisse im Kontext und stellt sicher, dass auf Vorfälle strukturiert und zeitnah reagiert wird.

Für Unternehmen mit E3 bedeutet dies einen erheblichen Reifegewinn in der Sicherheitsarchitektur. Für Organisationen mit E5 stellt es sicher, dass die vorhandenen Möglichkeiten konsequent genutzt und in einen wirksamen Sicherheitsbetrieb überführt werden. In beiden Fällen entsteht eine robustere, reaktionsfähigere und ganzheitlichere Sicherheitsstrategie.