Microsoft Defender ist 2026 in fast jedem AV-Test unter den Top 3 — und reicht trotzdem für die meisten Unternehmen nicht aus. Der Grund: Der kostenlose Defender in Windows 10/11 ist als Endgeräte-Schutz konzipiert, nicht als Unternehmenslösung. Was Sie 2026 wirklich brauchen, hängt von Ihrer Größe, Branche und NIS2-Pflicht ab. Praxis aus über 100 Endpoint-Projekten in Hamburger Mittelständlern.
Inhalt in Kürze
- Defender Free reicht für Privatnutzer und Selbstständige — solide Erkennung, integriert ins OS.
- Ab 5 Mitarbeitern braucht es Defender for Business (3 €/User/Monat oder in M365 Business Premium): zentrales Portal, EDR-Light, Threat Intelligence.
- NIS2-pflichtige Unternehmen brauchen Defender for Endpoint Plan 2 plus oft Microsoft Sentinel — wegen Logfile-Pflichten und Threat Hunting.
- Ein zweiter AV-Scanner parallel ist kein zusätzlicher Schutz, sondern erzeugt Probleme.
Was Defender wirklich kann — und was nicht
Der kostenlose Defender Antivirus in Windows 10 und 11 schneidet seit 2020 in jedem AV-Test zuverlässig sehr gut ab. Aktuelle Erkennungsraten liegen bei 99,8–100 % bei bekannter Malware und 99,5 % bei Zero-Day-Angriffen. Die Funktionen im Überblick:
- Echtzeit-Scan. Jede Datei wird vor Ausführung geprüft. Cloud-Anbindung an Microsoft Defender Smart Lookup für aktuelle Signaturen.
- SecureBoot-Integration. Verhindert Schadcode beim Hochfahren — bevor das eigentliche Windows lädt. Einzigartig durch Kernel-Tiefe.
- Kontrollierter Ordnerzugriff. Verhindert, dass nicht autorisierte Programme Dateien in geschützten Ordnern verändern. Ransomware-Schutz auf Datei-Ebene.
- Credential Guard. Trennt Anmeldedaten vom restlichen Speicher — schützt gegen Pass-the-Hash.
- Tamper Protection. Schadcode kann den Schutz nicht selbst abschalten, auch nicht mit Admin-Rechten.
Was Defender Free in Unternehmen nicht kann
- Zentrale Sicht. Sie sehen nicht, ob auf 30 Geräten gleichzeitig ein Vorfall läuft. Jeder PC ist eine Insel.
- EDR-Funktionen. Kein Threat Hunting, keine Forensik, kein Verhaltens-Tracking über mehrere Geräte.
- Reporting. Keine Compliance-Berichte für Audits, ISO 27001 oder NIS2.
- Patch-Management. Defender ist Antiviren-Tool, kein Update-Manager.
- Threat Intelligence. Keine Microsoft-Cloud-Telemetrie auf Tenant-Ebene.
Wer Defender Free im Unternehmen einsetzt und nach einem Vorfall die Forensik braucht — etwa für Cyber-Versicherung oder Anzeige — steht meist mit leeren Händen da. Logs werden lokal nicht ausreichend lange gespeichert, zentrale Auswertung ist nicht möglich.
Die drei Defender-Stufen für Unternehmen
Microsoft hat drei Produktstufen, die für Unternehmen relevant sind:
| Produkt | Zielgruppe | Preis | Funktionen |
|---|---|---|---|
| Defender Free | Privatpersonen, Selbstständige | 0 € | Basis-Schutz, lokal |
| Defender for Business | KMU 1–300 User | 3,00 €/User/Monat | + zentrales Portal, EDR-Light, Threat & Vulnerability Mgmt |
| Defender for Endpoint Plan 2 | Mittelstand & Enterprise | ~5,00 €/User/Monat | + Threat Hunting, Advanced Hunting, KQL, Auto Investigation |
In Microsoft 365 Business Premium (22 €/User/Monat) ist Defender for Business automatisch enthalten — zusammen mit Intune (Geräte-Management), Defender for Office 365 (E-Mail-Schutz), Conditional Access und einigen weiteren Sicherheitsfunktionen. Für die meisten Hamburger KMU ist das die wirtschaftlichste Stufe.
NIS2 — was 2026 für die meisten Unternehmen Pflicht wird
Mit NIS2 verschärfen sich die Anforderungen an Endpoint-Schutz erheblich. Die Richtlinie verlangt:
- Kontinuierliches Monitoring der IT-Systeme — nicht nur Logs, sondern aktive Bedrohungsanalyse.
- Incident-Response in 24 Stunden. Frühwarnmeldung an die zuständige Behörde innerhalb von 24 Stunden, voller Bericht in 72 Stunden.
- Logfile-Aufbewahrung nach branchenspezifischen Regeln, oft 6 Monate bis 2 Jahre.
- Patch- und Schwachstellen-Management. Dokumentierter Prozess, nicht nur „wir machen Updates".
- Geschäftsführer-Haftung. Verstöße können bis zu 10 Mio. Euro oder 2 % des weltweiten Umsatzes kosten — persönliche Haftung der Geschäftsführung.
Das Microsoft-eigene Trust Center zur NIS2-Compliance listet auf, welche Defender-Funktionen welche NIS2-Anforderungen abdecken. Kurz: Defender for Endpoint plus Microsoft Sentinel deckt einen Großteil ab — Defender for Business reicht für die einfacheren NIS2-Stufen.
Mehr zu NIS2: NIS2-Beratung Hamburg und NIS2 & Compliance Hamburg.
Ob Sie 5 oder 500 Mitarbeiter haben — einem KI-gesteuerten Massenangriff ist das völlig egal. Die verschlüsseln Sie automatisiert, einfach weil sie können. Deshalb braucht heute jedes Unternehmen einen Grundschutz.
Jens HagelGeschäftsführer, hagel IT-Services GmbH
Aus der Praxis: Drei typische Defender-Setups
Setup 1: Architekturbüro, 12 Mitarbeiter, kein NIS2
Microsoft 365 Business Premium für alle. Defender for Business eingerichtet, zentrales Portal, EDR-Reports einmal pro Quartal an die Geschäftsführung. Aufwand: 2 Tage Setup, danach 2 Stunden pro Monat. Kosten: 22 € pro User × 12 = 264 € pro Monat.
Setup 2: Logistikunternehmen, 65 Mitarbeiter, NIS2-relevant
Defender for Endpoint Plan 2 plus Microsoft Sentinel. Anbindung an unser Managed-Security-Team mit täglicher Sichtung der Alerts. Logfile-Aufbewahrung 12 Monate. Quartalsweise Compliance-Reports. Aufwand: Initial 4 Wochen, laufend 12 Stunden pro Monat. Kosten: ~7 € pro User Defender + Sentinel-Daten ~1.500 €/Monat.
Setup 3: Steuerkanzlei, 8 Mitarbeiter
Microsoft 365 Business Premium plus zusätzliches Awareness-Training und Phishing-Simulation. Defender for Business im Einsatz. Spezial: Wegen Steuerberater-Briefgeheimnis zusätzliche Verschlüsselung sensibler Mandantendaten in der Cloud. Mehr: IT-Dienstleister für Steuerberater & Kanzleien.
Über Weihnachten wurde bei uns alles verschlüsselt. Nur weil ich jede Woche eine externe Festplatte mit nach Hause genommen habe, hatten wir noch eine brauchbare Sicherung. Das war pures Glück.
Worauf wir bei der Defender-Einrichtung achten
Nicht alles ist out of the box optimal. Im Onboarding prüfen wir bei jedem Kunden:
- Tamper Protection aktivieren. Standardmäßig in Defender for Business an, aber prüfen.
- ASR-Regeln (Attack Surface Reduction) aktivieren — blockiert Office-Makros, JavaScript-Downloader, gefährliche WMI-Aufrufe.
- Cloud-Schutz auf „high" stellen. Liefert mehr Schutz, aber auch leicht mehr False Positives.
- Web-Schutz und SmartScreen aktivieren — auch in Edge und in Drittanbieter-Browsern via Erweiterung.
- Conditional Access Policies via Entra ID konfigurieren: MFA Pflicht, Gerätekonformität prüfen.
- Backup-Strategie zusätzlich — Defender allein ersetzt kein Backup. Ein verschlüsseltes Backup ist die letzte Verteidigungslinie.
Mehr Details: Microsoft 365 Sicherheit & DSGVO und Office 365 Advanced Threat Protection.
Zwei AV-Lösungen parallel — bitte nicht
Wir hören die Frage oft: „Mehr Schutz, wenn ich Defender plus Bitdefender parallel laufen lasse?” Antwort: Nein, das Gegenteil. Zwei Echtzeit-Scanner stören sich gegenseitig:
- Performance-Probleme (zwei Engines scannen jede Datei).
- False Positives (eine Engine blockiert die andere).
- System-Instabilitäten bis zu Bluescreens.
Microsoft erkennt Drittanbieter-AV automatisch und versetzt Defender in den Passive-Modus. Das ist gut — Sie können dann gezielt entscheiden, welche Engine produktiv läuft. Empfehlung: Defender, weil OS-integriert und 2026 in jedem Test sehr gut.
IT-Sicherheit ist Chefsache. Sprechen Sie mit uns.
15 Minuten. Kostenlos. Ihre aktuelle Sicherheitslage — ehrlich bewertet.
Erstgespräch buchen →Externe Quellen
- BSI-Lagebericht zur IT-Sicherheit in Deutschland — Aktuelle Bedrohungslage, jährlich vom BSI veröffentlicht.
- AV-Test Unternehmens-Antivirus-Tests — Unabhängige Erkennungstests, monatlich aktualisiert.
- Microsoft Defender for Business Übersicht — Offizielle Produktseite mit Funktionsvergleich.
Fazit — Defender ist gut, reicht aber selten allein
Microsoft Defender ist 2026 ein hervorragender Antiviren-Schutz. Für Unternehmen ab fünf Mitarbeitern reicht der kostenlose Defender Free aber nicht: Sie brauchen ein zentrales Portal, EDR-Funktionen und Reporting — das gibt es ab Defender for Business für 3 € pro User. Wer NIS2-pflichtig ist, braucht Defender for Endpoint Plan 2 und meistens auch Microsoft Sentinel.
Wir helfen Hamburger Mittelständlern, die richtige Defender-Stufe zu wählen, sauber zu konfigurieren und mit unserer 24/7-Bereitschaft zu überwachen. Mehr zu unseren Sicherheitsleistungen: Cybersecurity Hamburg und hagel one protect. Sie wollen wissen, wo Sie stehen? Rufen Sie uns unter 040 284 10 26-0 an oder schreiben Sie uns kurz — 15 Minuten reichen für einen ehrlichen Status.
