Microsoft setzt auf autonome KI-Agenten für die Cybersicherheit

Die Unternehmenssicherheit steht vor einem grundlegenden Wandel. Microsoft integriert zunehmend autonome KI-Fähigkeiten in seine Flaggschiff-Produkte und konsolidiert seine Plattformen. Eine zentrale Änderung trat diese Woche in Kraft: Die alte Warnfunktion für sensible Daten auf Endgeräten im Microsoft Defender-Portal wurde abgeschaltet. Unternehmen müssen nun verbindlich auf Microsoft Purview Data Loss Prevention (DLP) umstellen. Diese strategische Neuausrichtung wurde auf der RSA Conference 2026 bekräftigt, wo Microsoft eine Roadmap für agentenbasierte KI und autonome Sicherheitsabläufe vorstellte.

Da die automatisierte Überwachung sensibler Daten nun verbindlich über Purview DLP erfolgt, rückt die Einhaltung gesetzlicher Dokumentationspflichten noch stärker in den Fokus. Mit dieser kostenlosen Excel-Vorlage erstellen Sie Ihr Verarbeitungsverzeichnis nach Art. 30 DSGVO rechtssicher und vermeiden Bußgelder von bis zu 2 % des Jahresumsatzes. Kostenlose Excel-Vorlage für das Verarbeitungsverzeichnis herunterladen

Agentic AI: KI-Agenten werden zur Sicherheitsarchitektur

Microsoft vollzieht einen strategischen Schwenk hin zur sogenannten agentischen Sicherheit. KI-Agenten werden nicht länger nur als zu schützende Anwendungen, sondern als zentrale schicht der Sicherheitsarchitektur behandelt. Kernstück dieser Vision ist Microsoft Agent 365, eine zentrale Steuerungsebene für die Verwaltung aller KI-Agenten im Unternehmen. Ab dem 1. Mai 2026 allgemein verfügbar, vereint es Funktionen aus Defender, Entra und Purview, um den Zugriff von Agenten zu kontrollieren und das ungewollte Teilen von Daten zu verhindern.

Für Security Operations Center (SOCs) erweitert Microsoft sein Security Copilot-Ökosystem. Ein neuer Security Analyst Agent soll ab dem 26. März in der öffentlichen Vorschau helfen, verborgene Risiken im Defender-Portal aufzudecken. Zudem automatisiert ein Security Alert Triage Agent die Analyse und Priorisierung von Massenwarnungen – zunächst für Phishing, bald auch für Cloud- und Identitätswarnungen. Diese autonomen Agenten sollen echte Bedrohungen vom Hintergrundrauschen unterscheiden und nachvollziehbare Entscheidungen liefern.

Identität und Collaboration im Fokus der Angriffsabwehr

Da Identitäten zur größten Angriffsfläche geworden sind, hat Microsoft seine Identity Threat Detection and Response (ITDR)-Funktionen erneuert. Der durchschnittliche Mitarbeiter hat heute über 21 verschiedene Konten. Ein aktualisiertes Dashboard in Microsoft Defender bietet nun eine einheitliche Risikobewertung für alle Kontotypen, indem es Signale aus Entra und Defender zusammenführt.

Gleichzeitig rüstet Microsoft Teams gegen Voice-Phishing („Vishing“) auf. Neue Echtzeit-Warnungen für Nutzer und Untersuchungswerkzeuge für SOCs sollen Social-Engineering-Angriffe vereiteln. Diese Signale sind in das Defender XDR-Framework (Extended Detection and Response) integriert. So können Angriffe von einem verdächtigen Anruf bis zur lateralen Bewegung im Netzwerk verfolgt werden.

Purview DLP wird Pflicht – Portal-Konsolidierung schreitet voran

Die Abschaltung der alten Warnfunktionen im Defender-Portal am 23. März ist eine kritische operative Änderung. Für alle Warnungen, Durchsetzungsmaßnahmen und Untersuchungen sensibler Daten auf Endpunkten ist nun Microsoft Purview DLP verpflichtend. Bestehende Defender-Richtlinien generieren keine Benachrichtigungen mehr. Diese Konsolidierung soll die Datenverwaltung in Purview bündeln, während Defender für die Bedrohungserkennung zuständig bleibt.

Parallel kämpft Microsoft gegen die „Portal-Müdigkeit“. In Updates zwischen dem 20. und 23. März wurde die Vorschau von Microsoft Defender for Cloud im Haupt-Defender-XDR-Interface ausgeweitet. Sicherheitsteams können so Cloud-Posture-Management, Container-Sicherheit und Endpunkterkennung in einer einzigen Oberfläche einsehen – ein großer Vorteil bei der Incident Response.

Cloud-Schutz und Resilienz werden ausgeweitet

Die technischen Fähigkeiten der Defender-Suite wurden erweitert, um Multi-Cloud-Umgebungen besser abzudecken. Dazu gehören verbesserter Container-Schutz mit Echtzeit-Laufzeutz und die Ausweitung des Posture-Managements auf AWS und Google Cloud. Ab April 2026 sind entsprechende Vorschauen geplant.

Für mehr Infrastruktur-Resilienz stellt Microsoft in Entra neue Funktionen vor. „Entra Backup and Recovery“ (aktuell in Vorschau) ermöglicht die automatisierte Sicherung von Verzeichnisobjekten für eine schnelle Wiederherstellung. Ein neues Entra Tenant Governance-Tool hilft dabei, nicht verwaltete oder „Schatten“-Mandanten aufzuspüren, um konsistente Sicherheitsrichtlinien durchzusetzen.

Während Microsoft neue Funktionen zur Absicherung autonomer Agenten einführt, schafft die EU mit dem seit August 2024 geltenden AI Act bereits den rechtlichen Rahmen für den KI-Einsatz. Dieser kostenlose Leitfaden erklärt verständlich die neuen Kennzeichnungspflichten und Risikoklassen, damit Ihr Unternehmen alle Fristen der KI-Verordnung einhält. Gratis E-Book zur EU-KI-Verordnung sichern

Marktanalyse: Vom Punktprodukt zur geschlossenen Architektur

Beobachter deuten Microsofts Weg als Abkehr von isolierten Punktprodukten hin zu einer geschlossenen, Ende-zu-Ende-Sicherheitsarchitektur. Durch die Integration von KI-Agenten direkt in den SOC-Workflow adressiert der Konzern den chronischen Fachkräftemangel und die Warnmüdigkeit. Der Wechsel zu agentischer KI gilt als notwendige Evolution, während Angreifer selbst zunehmend automatisierte Tools nutzen.

Die Verlagerung der Datenwarnungen zu Purview DLP unterstreicht zudem die Reifung des Microsoft-365-Sicherheitsökosystems. Defender bleibt das Werkzeug zur aktiven Bedrohungsabwehr, während Purview zur zentralen Instanz für Daten-Governance und Compliance avanciert. Diese klare Arbeitsteilung soll Abläufe optimieren, erfordert aber einmalige Anpassungen für Unternehmen.

Ausblick: Rollout autonomer Features und weitere Integration

Die kommenden Monate werden von der Einführung der angekündigten autonomen Funktionen geprägt sein. Nach der Vorschau des Security Analyst Agent am 26. März folgen weitere Updates bis zur allgemeinen Verfügbarkeit von Agent 365 im Mai. Microsoft wird zudem seine Secure Score-Empfehlungen an neue Bedrohungen anpassen.

Wann immer neue autonome Features eingeführt werden, bleibt der Fokus auf der perfekten Defender-XDR-Erfahrung. Sicherheitsverantwortliche sollten die neuen agentischen Fähigkeiten testen und die Migration zu Purview DLP abschließen. Die Integration KI-generierter Playbooks in Sentinel, die die Erstellung von Automatisierungs-Workflows per Konversation ermöglicht, könnte zum Standard für SOCs werden, die ihre Reaktionsfähigkeit ohne Personalaufwuchs skalieren wollen.

boerse | 68970631 |