Inhalt in Kürze
- Office 365 Advanced Threat Protection (ATP) heißt seit Ende 2020 Microsoft Defender for Office 365. Funktionen und Schutzprinzipien sind geblieben, der Leistungsumfang wurde deutlich erweitert.
- Zwei Pläne: Plan 1 (Safe Links, Safe Attachments, Anti-Phishing) ist in Microsoft 365 Business Premium enthalten, Plan 2 (zusätzlich Threat Explorer, Attack Simulator, Automated Investigation) steckt in Microsoft 365 E5 oder ist als Add-on buchbar.
- Laut BSI-Lagebericht 2025 ist E-Mail nach wie vor Angriffsvektor Nummer 1 — rund 90 % aller Cyberangriffe starten mit Phishing oder einem präparierten Anhang.
- Wir sehen in Hamburg täglich: Unternehmen zahlen für Defender, nutzen aber nur 20 % der Funktionen. Das Preset “Standard” reicht nicht — Policies müssen feingetunt werden.
- Praxis-Zeitplan: 2–3 Tage Grundkonfiguration, 2–4 Wochen Pilot-Phase, dann rollen wir auf alle Mailboxen aus.
Office 365 ATP heißt seit 2020 Microsoft Defender for Office 365. Plan 1 (Safe Links, Safe Attachments, Anti-Phishing) ab 2,00 €/User/Monat. Plan 2 (zusätzlich Threat Explorer, Automated Investigation, Attack Simulator) ab 5,00 €/User/Monat.
Wenn Sie “Office 365 Advanced Threat Protection” googeln, landen Sie bei einem Produkt, das seit fünf Jahren anders heißt. Microsoft hat ATP Ende 2020 in Defender for Office 365 umbenannt — inhaltlich sind die Funktionen dieselben, aber der Funktionsumfang ist massiv gewachsen. Dieser Guide bringt Sie auf den Stand 2026: Lizenzpakete, Kernfunktionen, Einrichtung in 7 Schritten, typische Fehler und was wir bei unseren Kunden in Hamburg in der Praxis sehen.
Was ist Office 365 Advanced Threat Protection (jetzt: Defender for Office 365)?
Microsoft Defender for Office 365 ist der Cloud-basierte E-Mail- und Collaboration-Schutz von Microsoft 365. Er schützt Postfächer, Teams, SharePoint und OneDrive vor Phishing, Business Email Compromise, Ransomware-Anhängen und bösartigen Links — sowohl bei Zustellung als auch nachträglich.
Der alte Name “Office 365 Advanced Threat Protection” (abgekürzt ATP) lebt bis heute in vielen Konfigurations-URLs, in alten Microsoft-Learn-Artikeln und in den Köpfen von IT-Admins weiter. Die Produktlogik ist dieselbe geblieben: Microsoft zieht seine Threat-Intelligence aus Milliarden täglich analysierter E-Mails, Endpoints und Cloud-Signalen und spielt diese Erkenntnisse in Echtzeit an Ihren Tenant aus.
Im Gegensatz zu einem klassischen Anti-Spam-Gateway (das vor Exchange Online sitzt und Mails prüft, bevor sie zugestellt werden) arbeitet Defender während und nach der Zustellung weiter: Jeder Klick auf einen Link wird in Echtzeit geprüft, jeder Anhang wird in einer Sandbox detoniert, und bereits zugestellte Mails können nachträglich aus Postfächern entfernt werden, wenn sich ihre Schädlichkeit erst später herausstellt.
Office 365 ATP — Microsoft Defender for Office 365 — die Begriffe 2026
Wer im Jahr 2026 noch nach „Office 365 ATP” sucht, sucht ein Produkt, das es unter diesem Namen nicht mehr gibt. Microsoft hat das gesamte Defender-Portfolio Ende 2020 umbenannt und seitdem mehrfach neu sortiert. Damit Sie in Lizenz-Gesprächen, in der Admin-Konsole und in unseren Cybersecurity-Leistungen wissen, worüber Sie reden, hier die wichtigste Begriffsabgrenzung:
| Alter Name (bis 2020) | Heutiger Name (Stand 2026) | Was es schützt |
|---|---|---|
| Office 365 Advanced Threat Protection (ATP) Plan 1 | Microsoft Defender for Office 365 Plan 1 | E-Mail, Teams, SharePoint, OneDrive — präventiv (Safe Links, Safe Attachments, Anti-Phishing, ZAP) |
| Office 365 Advanced Threat Protection (ATP) Plan 2 | Microsoft Defender for Office 365 Plan 2 | Plan 1 + Detektion & Response (Threat Explorer, Attack Simulator, AIR, Campaign Views) |
| Microsoft Defender ATP (Endpoint) | Microsoft Defender for Endpoint | Endpoints (Windows, macOS, Linux, iOS, Android) — eigenes Produkt, nicht Teil von Office 365 |
| — (neu seit 2022) | Microsoft Defender for Business | Endpoint-Schutz für KMU bis 300 User; in Microsoft 365 Business Premium enthalten — ersetzt aber nicht Defender for Office 365 |
| Azure ATP | Microsoft Defender for Identity | On-Premises Active Directory + Identitäts-Signale |
Drei häufige Verwechslungen, die wir in unseren Microsoft-365-Beratungen sehen:
- „Wir haben Business Premium, also haben wir Defender.” Stimmt — aber nur Defender for Office 365 Plan 1 + Defender for Business (Endpoint). Plan 2 fehlt, und damit Threat Explorer und Attack Simulator.
- „Defender ist doch der Virenscanner.” Das ist Defender for Endpoint (oder Defender for Business). Defender for Office 365 schützt die E-Mail- und Collaboration-Schicht, nicht die Festplatte.
- „ATP existiert noch.” In Portal-URLs und alten Microsoft-Learn-Artikeln ja — als Produktname und Lizenz-Bezeichnung nein. Wer 2026 ein Angebot „mit ATP” bekommt, sollte nachfragen, was genau gemeint ist.
Hintergrund zur Endpoint-Abgrenzung haben wir in unserem Beitrag zu Microsoft Defender for Business zusammengefasst.
Exchange Online Protection (EOP) ist im Microsoft 365 Business Standard bereits enthalten und blockt klassischen Spam und bekannte Malware. Defender for Office 365 setzt oben drauf und fängt genau die Angriffe ab, gegen die EOP strukturell nicht gewinnen kann: Zero-Day-Malware, gezielte Phishing-Kampagnen, BEC und Spoofing.
ATP/Defender-Lizenz-Pakete: Was steckt wo drin?
Die Lizenz-Matrix ist der häufigste Stolperstein. Viele Mittelständler glauben, mit Microsoft 365 Business Standard hätten sie “Defender” — das ist falsch. Business Standard enthält nur EOP.
| Lizenz | EOP | Defender Plan 1 | Defender Plan 2 | Preis (ca., Stand 2026) |
|---|---|---|---|---|
| Microsoft 365 Business Basic | ✅ | ❌ | ❌ | ab ca. 5,60 € / User / Monat |
| Microsoft 365 Business Standard | ✅ | ❌ | ❌ | ab ca. 11,70 € / User / Monat |
| Microsoft 365 Business Premium | ✅ | ✅ | ❌ | ab ca. 20,60 € / User / Monat |
| Microsoft 365 E3 | ✅ | ❌ | ❌ | ab ca. 33,10 € / User / Monat |
| Microsoft 365 E5 | ✅ | ✅ | ✅ | ab ca. 54,70 € / User / Monat |
| Defender for Office 365 Plan 1 (Add-on) | — | ✅ | ❌ | ab ca. 1,90 € / User / Monat |
| Defender for Office 365 Plan 2 (Add-on) | — | ✅ | ✅ | ab ca. 4,20 € / User / Monat |
Preise gerundet, Stand April 2026 — offizielle Microsoft-Preisseite zum Zeitpunkt der Buchung prüfen. Aktuelle Lizenzdetails in der offiziellen Microsoft-Learn-Dokumentation zu Defender for Office 365.
Unsere Empfehlung für KMU in Hamburg und Norddeutschland:
- 5–25 Arbeitsplätze: Microsoft 365 Business Premium — deckt Plan 1 ab, inklusive Intune und erweitertem Identitätsschutz.
- 25–150 Arbeitsplätze mit erhöhtem Schutzbedarf (Kanzleien, Steuerberater, Medizintechnik, Logistik): Business Premium + Defender Plan 2 als Add-on oder direkt E5 — wegen Threat Explorer und Attack Simulator.
- Unter NIS-2-Regulierung: Plan 2 ist faktisch Pflicht, weil Sie ohne Automated Investigation und Threat Explorer keinen belastbaren Incident-Response-Prozess nachweisen können.
Mischlizenzen sind erlaubt und sinnvoll. Geschäftsführung, Finanzleitung, Einkauf und alle, die Zahlungen freigeben, bekommen Plan 2 (oder gleich E5). Der Rest fährt mit Business Premium. So drücken Sie die Lizenzkosten, ohne bei Hochrisiko-Postfächern zu sparen.
Kernfunktionen von Defender for Office 365
| Funktion | Was sie tut | Plan 1 | Plan 2 |
|---|---|---|---|
| Safe Attachments | Öffnet Anhänge in einer isolierten Sandbox (Detonation), prüft auf Schadverhalten — blockiert Zero-Day-Malware, bevor sie zugestellt wird. Auch für SharePoint, OneDrive, Teams. | ✅ | ✅ |
| Safe Links | Rewritet alle Links in E-Mails und Office-Dokumenten; prüft beim Klick (Time-of-Click) gegen Threat Intelligence und blockt bösartige Ziele auch Tage nach Zustellung. | ✅ | ✅ |
| Anti-Phishing mit Mailbox-Intelligence | Erkennt Impersonation (Absender tarnt sich als Kollege/CEO/Geschäftsführer), Spoofing geschützter Domains, typische BEC-Muster. | ✅ | ✅ |
| Zero-Hour Auto Purge (ZAP) | Entfernt bösartige Mails nachträglich aus Postfächern, sobald sie als schädlich klassifiziert werden — auch bei bereits geöffneten. | ✅ | ✅ |
| Threat Explorer / Real-Time Detections | Forensik-Werkzeug für SOC und IT-Admins: Wer hat wann welche Phishing-Mail bekommen? Wie weit ist sie gelaufen? | ❌ | ✅ |
| Attack Simulator | Interne Phishing-Kampagnen gegen die eigene Belegschaft fahren — Awareness-Training mit echten Erkenntnissen, keine Schulung von der Stange. | ❌ | ✅ |
| Automated Investigation and Response (AIR) | Automatische Untersuchung auffälliger Mails, Empfehlung zur Remediation — entlastet kleine IT-Teams massiv. | ❌ | ✅ |
| Campaign Views | Gruppiert Einzelereignisse zu kohärenten Angriffskampagnen — erkennt gezielte Wellen gegen Ihre Organisation. | ❌ | ✅ |
Quelle: Microsoft Defender for Office 365 Service Description.
Zwei-Faktor-Authentifizierung ist der Schutz Nummer eins vor Ransomware. Kostet nichts, dauert 5 Minuten pro Mitarbeiter — und macht 99 % der Angriffe wirkungslos. Defender for Office 365 ist der Schutz Nummer zwei: Weil die restlichen 1 % genau die sind, die Sie nicht sehen, wenn sie kommen.
Jens HagelGeschäftsführer, hagel IT-Services GmbH
Einrichtung in 7 Schritten: So rollen wir Defender in Hamburg aus
- Bestand aufnehmen. Welche Lizenzen sind aktuell im Tenant? Welche Pläne hat welcher User? Wir prüfen das über das Microsoft-365-Admin-Center und dokumentieren den Ist-Stand.
- Preset-Policies aktivieren (Standard oder Strict). Microsoft liefert zwei geprüfte Policy-Pakete mit. Wir starten fast immer mit "Standard" auf allen Mailboxen — das ist vernünftig konfiguriert und blockt nicht die Buchhaltung.
- Safe-Attachment-Policy pro Empfängergruppe. Detonation-Modus "Block" für alle, "Dynamic Delivery" nur bei Vielmailern, die auf Anhänge warten können. DLP-abhängige Abteilungen gesondert konfigurieren.
- Safe-Links-Policy für Teams und Office-Apps mitziehen. Viele vergessen das — ein Teams-Link zu einem bösartigen Ziel wird sonst nicht geprüft. Wir aktivieren Safe Links explizit für Teams und OneDrive.
- Anti-Phishing mit Impersonation-Schutz konfigurieren. Geschäftsführung, Prokuristen und Buchhaltung als "geschützte Nutzer" eintragen, eigene Domain als "geschützte Domain". Das ist der entscheidende Schritt gegen CEO-Fraud.
- Pilot 2–4 Wochen mit 10 % der User. Nicht gleich auf alle 150 Mailboxen ausrollen. Wir starten mit IT + einer Abteilung, sammeln False-Positives, justieren nach.
- Ausrollen + Attack Simulator als Lackmustest. Nach dem Rollout fahren wir eine erste simulierte Phishing-Kampagne. Wer klickt, bekommt keinen Anpfiff, sondern eine Just-in-Time-Schulung direkt am Bildschirm.
Defender for Office 365 vs. Drittanbieter: Mimecast, Proofpoint, Barracuda
Wir werden regelmäßig gefragt: “Reicht Defender oder brauchen wir noch Mimecast/Proofpoint/Barracuda obendrauf?” Die ehrliche Antwort aus 20+ Jahren Praxis:
| Kriterium | Defender for Office 365 Plan 2 | Mimecast / Proofpoint / Barracuda |
|---|---|---|
| Zero-Day-Malware-Schutz | Sehr gut (Microsoft Threat Intelligence, Milliarden Signale/Tag) | Sehr gut (eigene Sandboxes, eigene Threat Intelligence) |
| Phishing / BEC | Sehr gut (Mailbox Intelligence, Campaign Views) | Sehr gut (oft minimal detailliertere Reports) |
| Native Integration M365 | Vollständig (Teams, SharePoint, OneDrive inklusive) | Teilweise, zusätzlicher Konfigurationsaufwand |
| Lizenzkosten (5 Jahre, 50 User) | Moderat (Plan 2 als Add-on ~2.520 €/Jahr) | Hoch (zusätzlich zur M365-Lizenz, typ. 3.000–6.000 €/Jahr) |
| Forensik / Threat Explorer | Sehr gut, in M365-Admin integriert | Sehr gut, eigene Konsole |
| Compliance Mehrhersteller | Single-Vendor-Risiko | Erfüllt Multi-Vendor-Anforderung |
| Lernkurve für IT-Team | Gering (gleiche Konsole wie M365) | Höher (separate Konsole, Schulung nötig) |
Unsere Praxis-Empfehlung: Für 90 % unserer Hamburger Mittelständler reicht Defender Plan 2 out-of-the-box. Wir ziehen Mimecast & Co. nur rein, wenn:
- regulatorische Mehrhersteller-Vorgaben bestehen (Finanzdienstleister, Versicherer mit DORA),
- komplexe DLP-Policies pro Mandant gefahren werden müssen (Kanzlei-Mandantengeheimnis getrennt),
- oder wenn bereits ein bestehender Vertrag mit sinnvollem Preis läuft.
Unser alter E-Mail-Filter hat uns monatlich 400 Euro gekostet, und trotzdem sind Phishing-Mails durchgekommen. Seit wir auf Defender umgestellt haben, sparen wir die Kosten — und der Schutz ist spürbar besser.
Zero-Hour Auto Purge und Incident Response
ZAP ist die Funktion, die den Unterschied macht zwischen “Wir hatten Glück” und “Wir haben den Angriff überstanden”. Szenario:
Am Montagmorgen um 7:42 Uhr kommt eine Phishing-Mail rein, die Microsofts Filter noch nicht kennt. Sie wird an 34 Mitarbeitende zugestellt. Um 9:15 Uhr erfährt Microsofts Threat Intelligence durch Signale aus anderen Tenants, dass die Kampagne läuft. ZAP greift rückwirkend in die Postfächer und verschiebt die Mails in Quarantäne — bei allen 34 Empfängern, auch wenn die Mail schon gelesen wurde.
Der Threat Explorer zeigt Ihnen anschließend:
- Wer die Mail geöffnet hat (Read Status),
- wer auf Links geklickt hat (Safe Links Block-Events),
- und ob schon Weiterleitungen an externe Adressen passiert sind.
Das ist die Basis für einen belastbaren Incident-Response-Prozess — und genau das, was die NIS-2-Richtlinie seit Oktober 2024 von regulierten Unternehmen verlangt. Wenn Sie unter NIS-2 & Compliance fallen, ist Plan 2 keine Kür, sondern Pflicht.
Typische Fehler beim Defender-Rollout (und wie wir sie vermeiden)
- Preset Standard aktivieren und es dabei belassen. Der Standard deckt nur die Basics ab. Ohne Impersonation-Schutz für Geschäftsführung + Domain ist Ihr CEO-Fraud-Risiko unverändert hoch.
- Safe Links für Teams vergessen. Die Angreifer wissen das. Ein Teams-Link zu einer gefälschten Login-Seite wird sonst komplett durchgewunken.
- Keine Quarantäne-Benachrichtigungen an User konfigurieren. Dann landen legitime Rechnungen und Angebote in der Quarantäne — und der Vertrieb ruft wütend bei der IT an.
- Allow-Lists (früher Safe Sender) inflationär pflegen. Jede pauschale Freigabe ist ein Loch. Lieber per User-Reported-Message nachziehen.
- Attack Simulator nie ausrollen. Ohne Phishing-Simulation haben Sie keinen Beleg, wie wach Ihre Belegschaft wirklich ist — und können nirgends zeigen, dass Sie Awareness-Training betreiben (NIS-2, ISO 27001).
- Keine monatliche Policy-Review. Microsoft erweitert Defender monatlich. Wer die Policies einmal aufsetzt und nie wieder anfasst, verschenkt die Hälfte des Produkts.
- Plan 1 für Geschäftsführung akzeptieren. Ohne Threat Explorer sehen Sie im Ernstfall nicht, wohin eine Kampagne gelaufen ist. Für Schlüsselpersonen immer Plan 2.
Wir sehen bei Neukunden regelmäßig, dass Defender lizenziert, aber nicht aktiviert ist — die User-Zuweisung in der Microsoft-365-Lizenz-Verwaltung fehlt. Erste Prüfung im Admin-Center: Security > Policies & rules > Threat policies. Wenn dort "No policies" steht, ist Ihr Defender Schmuck am Nachthemd.
Checkliste: Defender for Office 365 richtig einführen
- Lizenz-Audit. Welcher User hat welchen Plan? (Microsoft 365 Admin Center → Billing → Licenses)
- MFA + Conditional Access. Ohne saubere Identität ist Defender nur die halbe Miete — [Modern Workplace mit Microsoft 365](/cloud/modern-workplace-microsoft-365-hamburg "Modern Workplace Microsoft 365 — Intune, MFA, Defender aus Hamburg") ist der Unterbau.
- Preset-Policy "Standard" aktivieren. Auf alle Mailboxen.
- Impersonation-Liste: Geschäftsführung, Prokuristen, Buchhaltung + eigene Domain als geschützt markieren.
- Safe Links für Teams + Office aktivieren. Nicht nur E-Mail.
- Quarantäne-Benachrichtigung pro User tagesaktuell.
- Attack Simulator: erste Kampagne nach 4 Wochen, dann quartalsweise.
- Threat Explorer einmal pro Woche sichten (oder monitored Service buchen).
- Backup & Recovery trotzdem einrichten — Defender verhindert keinen Ransomware-Schaden, wenn eine Mail doch durchkommt. Unsere Empfehlung: [Backup & Recovery als Managed Service](/leistungen/backup "Backup & Recovery Hamburg — tägliches Monitoring, getestete Restores").
- Monatliche Review aller Policies — Microsoft ändert Defaults.
Defender richtig eingerichtet oder nur lizenziert?
15 Minuten. Kostenlos. Wir prüfen Ihren Tenant und sagen ehrlich, wo Sie stehen.
Erstgespräch buchen →Was Sie heute tun können
- Lizenz-Check (10 Minuten): Admin-Center → Billing → Licenses → prüfen, ob Plan 1 oder 2 zugewiesen ist.
- Policy-Check (15 Minuten): Security-Portal → Email & collaboration → Policies & rules → Threat policies. Sind "Standard" oder "Strict" als Preset aktiv?
- Impersonation-Liste ergänzen (30 Minuten): Anti-Phishing-Policy öffnen, Geschäftsführer + Domain eintragen.
- Pilot-Kampagne planen (2 Stunden): Attack Simulator → Templates → "Credential Harvest" auf 10 User. Baseline für Awareness.
- Externen Sicherheits-Check buchen: Wenn Sie nicht sicher sind, ob Ihr Defender richtig läuft — wir prüfen das kostenlos im Erstgespräch.
Fazit: Defender ist kein Selbstläufer, aber jeden Euro wert
Defender for Office 365 ist 2026 das beste native E-Mail- und Collaboration-Sicherheits-Paket, das Sie für einen Microsoft-365-Tenant kaufen können — wenn es richtig konfiguriert ist. Die Realität in den meisten KMU: lizenziert, halb konfiguriert, nie getuned. Damit zahlen Sie für einen Schutz, den Sie nicht bekommen.
Unser Ansatz bei hagel IT-Services in Hamburg: sauberer Rollout in 7 Schritten, 4-wöchiger Pilot, monatliche Policy-Review im Rahmen unserer Cybersecurity und Managed Security Leistungen. Festpreis, kein Stundenspiel.
Defender-Check für Ihren Tenant in Hamburg?
Wir prüfen Ihren Microsoft-365-Tenant auf 20 Defender-Kern-Einstellungen und sagen Ihnen in 15 Minuten, was fehlt. Kostenlos, ohne Vertriebsdruck.
Erstgespräch buchen →
