[English]Wie schlägt sich der Microsoft Defender eigentlich im Vergleich zu ICES-Lösungen von Drittanbietern zum Schutz von Microsoft Office 365? Die ICES-Lösungen können ja in Microsoft Defender for Office 365 integriert werden. Die Tage ist mir eine Übersicht Microsoft mit einem Vergleich untergekommen.
ICES-Ökosystem für Microsoft Defender for Office 365
Das Kürzel ICES steht für Integrated Cloud Email Security. Microsoft hat im Defender for Office 365 (MDO) die Möglichkeit geschaffen, Sicherheits-Systeme von E-Mail-Sicherheitsanbietern zu integrieren. Die Integration unterstützt eine mehrschichtige Verteidigungsstrategie.
Es ermöglicht Kunden von Nischenfunktionen externer Partner zu profitieren und eine einheitliche Benutzeroberfläche im Microsoft Defender-Portal zu gewährleisten. Die Integration ermöglicht das Anzeigen und Verwalten von in Quarantäne befindlichen E-Mails von Defender for Office 365 und Nicht-Microsoft-Anbietern in einer einzigen Benutzeroberfläche.
Die Vorteile dieses ICES-Ökosystems werden von Microsoft hier beschrieben. Zudem gibt es einen Techcommunity-Beitrag Introducing the Microsoft Defender for Office 365 ICES vendor ecosystem vom 17. Juni 2025, der die Ideen hinter dem Konzept beschreibt.
Vergleich der ICES E-Mail-Sicherheitslösungen
Zum 17. Juli 2025 hat Microsoft eine Übersicht mit dem Titel Transparency on Microsoft Defender for Office 365 email security effectiveness veröffentlicht, in dem Transparenz über die Wirksamkeit von Microsoft Defender für die E-Mail-Sicherheit von Office 365 hergestellt werden soll. Ich bin vor einer Woche über nachfolgenden Tweet auf diesen Artikel gestoßen.
Im Artikel werden die Interaktion des Microsoft Defender for Office 365 mit Drittanbieter E-Mail-Sicherheitsfeatures wie SEG (E-Mail-Gateway) von Anbietern wie Barracuda, Hornet Security, etc. sowie ICES-Anbietern (Integrated Cloud Email Security) wie Check Point Harmony, Cisco etc. vorgestellt, das gemeinsame Dashboard zur Verwaltung gestreift und eine Liste diverser Anbieter präsentiert.
Der Artikel geht auch auf Benchmarking der diversen Anbieter im Vergleich zum Microsoft Defender for Office 365 (MDO) ein. Microsoft hat sieben SEG-Anbieter und Microsoft Defender für Office 365 einem Benchmarking unterzogen.
Secure Email Gateway (SEG) Vendor Benchmark Data
Diese Analyse ergab, dass Defender for Office im Vergleich mit anderen Lösungen die wenigsten Bedrohungen übersieht (siehe obiges Bild).
Da Unternehmen mehrschichtige Sicherheitsstrategien anwenden, werden ICES-Produkte (Integrated Cloud Email Security) nach dem Microsoft Defender für Office 365 ausgeführt und dienen als zweiter Filter. Diese Lösungen bieten zusätzliche Erkennungsebenen, die sich auf bestimmte Bedrohungsarten oder Benutzerverhaltensmuster konzentrieren.
Die Analyse Microsofts zeigt, dass die Kombination von ICES-Produkten mit Defender für Office 365 mit einer durchschnittlichen Verbesserung von 20 % die größte Wirkung bei der Erkennung von SPAM- oder Massen-E-Mails erzielt. Bei bösartigen Nachrichten und Spam betrug die durchschnittliche Verbesserung bei allen untersuchten Anbietern 0,30 % (Erkennung von bösartigen Nachrichten) und 0,51 % (Erkennung von Spam). Einzelheiten zu den einzelnen Anbietern finden Sie auf der Benchmarking-Website.
MVP: 2013 – 2016
naja als eine Studie von Microsoft selbst… maximal so viel wert wie Klopapier!
Es ist ein Kinderspiel, einen solchen Scanner zu bauen, der garantiert 100% der unerwünschten Emails erkennt, und das noch mit minimalen Rechenaufwand. Die Angabe, wieviele Bedrohungen erkannt wurden, ist daher ohne die gleichzeitige Angabe der Anzahl der „false positives" komplett nutzlos.
> Es ist ein Kinderspiel, einen solchen Scanner zu bauen, der garantiert 100% der unerwünschten Emails erkennt, und das noch mit minimalen Rechenaufwand. <
Ja klar; ein Samstag Nachmittag, 200 Zeilen PowerShell und der Käse ist gefressen.
Oder was meinten Sie?
Typischer Microsoft-Report, der die Nachteile verschweigt :-)
Das Problem beim MDO ist die wirklich horrend hohe Zahl von false positives. Da war man als Admin schon mal 1h pro Tag nur mit Sichtung der Quarantäne beschäftigt (bei ca. 700 Mitarbeitern). Jetzt sind wir bei Hornet und das ganze läuft wesentlich besser. Es kommen so ca. 1-2 Phishing-Mails im Monat durch, die dann von den Benutzern als "verdächtig" gemeldet werden bzw. von den nachgelagerten Sicherheitsschichten (Webfilter) erkannt werden.
Ich habe lieber false positive als 1-2 die durch kommen. Brauche aktuell 15-30 Minuten pro Tag für über 3k Mailboxen.
Being uns arbeitet der MDO sehr gut. Vermutlich kommt es auf Training und den granularen Einstellungen an.