CONSULTING BRIEFING

22. Mai 2026 · boddenberg.de · IT-Consultancy Ulrich Boddenberg

NIS2: Defender XDR wird zum zentralen Audit-Werkzeug

Warum das Werkzeug, das in deiner M365-Lizenz längst mitläuft, plötzlich über deine NIS2-Nachweisfähigkeit entscheidet – und was dich der Irrglaube „wir haben doch Defender“ kosten kann.

Executive Summary

Kurz und schmerzlos: Der Stichtag, auf den alle gewartet haben, ist längst vorbei – und die meisten haben ihn verschlafen. Das deutsche NIS2-Umsetzungsgesetz ist seit dem 6. Dezember 2025 in Kraft. Ohne Übergangsfrist, ohne Schonzeit, ohne „das machen wir nächstes Quartal“. Die Pflicht zur Registrierung beim BSI lief am 6. März 2026 ab. Von geschätzten 29.500 betroffenen Unternehmen haben sich rund 11.500 gemeldet. Das sind 38,5 Prozent. Anders ausgedrückt: Knapp zwei Drittel der betroffenen Firmen stehen formal im Regen – viele, ohne es zu wissen.

Die spannende Frage lautet damit nicht mehr „Sind wir betroffen?“ (Antwort: höchstwahrscheinlich ja) und auch nicht mehr „Müssen wir uns registrieren?“ (Antwort: das hättest du im Februar fragen sollen). Die Frage 2026 ist: Kannst du im Ernstfall – Audit oder echter Vorfall – innerhalb von 24 Stunden belegen, dass deine Schutzmaßnahmen nicht nur auf einer PowerPoint-Folie existieren, sondern tatsächlich greifen?

Genau hier wird Microsoft Defender XDR interessant. Nicht als Antiviren-Häkchen, sondern als Beweismaschine: zeitgestempelte Incident-Timelines, automatisch protokollierte Containment-Aktionen, ein durchgängiger Audit-Trail. Dieses Briefing zeigt dir, warum das Werkzeug, das in vielen M365-E5-Lizenzen ohnehin mitläuft, plötzlich zum zentralen NIS2-Nachweisinstrument wird, wo die echten Chancen liegen – und an welchen Stellen du dir selbst ein Bein stellen kannst.

Worum geht es im Detail?

Fangen wir mit dem Teil an, den dir kein Vertriebler gern erklärt, weil er weh tut. NIS2 ist eine EU-Richtlinie. Eine Richtlinie wirkt nicht direkt, sie muss in nationales Recht gegossen werden. Die EU-Frist dafür war der 17. Oktober 2024. Deutschland hat diese Frist – sagen wir es diplomatisch – sehr großzügig interpretiert. Das NIS2-Umsetzungsgesetz, kurz NIS2UmsG, samt rundum erneuertem BSI-Gesetz wurde erst am 5. Dezember 2025 verkündet und trat einen Tag später in Kraft. Kein Übergangszeitraum. Die Pflichten gelten ab dem Tag nach der Verkündung. Punkt. Wer also noch auf einen „Stichtag im Herbst 2026“ wartet, wartet auf einen Zug, der den Bahnhof längst verlassen hat.

Der eigentliche Knaller steckt im Geltungsbereich. Bisher hatte das BSI rund 4.500 Betreiber kritischer Infrastrukturen auf dem Schirm. NIS2 schraubt diese Zahl auf etwa 29.000 bis 29.500 Unternehmen hoch – also ungefähr das Sechsfache. Betroffen sind längst nicht mehr nur Energieversorger und Großkliniken, sondern Maschinenbauer, IT-Dienstleister, Logistiker, Lebensmittelhersteller, die Abfallwirtschaft, Forschungseinrichtungen. Und – das ist der gemeine Teil – jedes Unternehmen muss selbst herausfinden und dokumentieren, ob es eine „wichtige“ oder eine „besonders wichtige Einrichtung“ ist. Es gibt keinen freundlichen Brief vom BSI mit „Herzlichen Glückwunsch, Sie sind dabei“. Wer nicht prüft, ist trotzdem betroffen – nur eben ahnungslos.

Abbildung 1: NIS2 in Deutschland – das Gesetz gilt seit Dezember 2025, der nächste Prüfstein ist der Nachweiszyklus 2027.

Inhaltlich verlangt § 30 des BSI-Gesetzes „geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen“. Das Wörtchen „wirksam“ ist entscheidend: Es reicht nicht, eine Richtlinie zu schreiben und abzuheften. Du musst zeigen, dass die Maßnahme tatsächlich funktioniert. Dazu gehören Risikomanagement, Vorfallsbehandlung, Lieferkettensicherheit, Zugriffskontrolle, Verschlüsselung, Backup – das gesamte Programm, mit fortlaufender Risikobewertung und Wirksamkeitsprüfung.

Und dann ist da § 38, der Paragraf, bei dem es in der Geschäftsführung still wird. Die Geschäftsleitung muss die Sicherheitsmaßnahmen aktiv billigen und ihre Umsetzung überwachen. Persönlich. Die Verantwortung lässt sich nicht wegdelegieren – operative Aufgaben ja, die strategische Aufsicht nein. Obendrauf kommt eine Schulungspflicht: mindestens alle drei Jahre, mit dokumentierten Teilnehmern, Inhalten, Trainern und Dauer. Cybersicherheit ist damit endgültig vom Serverraum in den Vorstandsraum gewandert. Der Geschäftsführer haftet jetzt mit – und das fällt erfahrungsgemäß genau dann auf, wenn es zu spät ist.

Kommen wir zu dem Teil, der direkt dein Defender-Dashboard betrifft: die Meldekette. Bei einem erheblichen Sicherheitsvorfall hast du 24 Stunden für die Erstmeldung, 72 Stunden für eine detaillierte Meldung mit erster Ursachenanalyse und einen Monat für den Abschlussbericht mit Maßnahmen und Lehren. 24 Stunden klingen nach viel – bis du mitten in der Nacht einen Ransomware-Verdacht hast und niemand sagen kann, welche Systeme betroffen sind, wann es losging und was der Angreifer angefasst hat. Genau diese Frage entscheidet, ob deine 24-Stunden-Meldung ein fundierter Bericht oder ein peinliches „wir wissen es noch nicht“ wird.

Abbildung 2: Die NIS2-Meldekette und die Bausteine, die Defender XDR zu jeder Eskalationsstufe beisteuert.

Microsoft Defender XDR – das „X“ steht für Extended Detection and Response – ist kein Einzelprodukt, sondern das Dach über vier Sensoren, die viele Unternehmen über M365 E5 ohnehin lizenziert haben: Defender for Endpoint für Geräte, Defender for Identity für Active Directory und Entra ID, Defender for Office 365 für Mail und Kollaboration sowie Defender for Cloud Apps. Alles läuft im einheitlichen Defender-Portal zusammen. Microsoft zieht das konsequent durch: Selbst die Sentinel-SIEM-Arbeitsbereiche müssen aus dem Azure-Portal in genau dieses Defender-Portal umziehen – Endtermin ist der 31. März 2027.

Der entscheidende Punkt für NIS2: Defender XDR korreliert Millionen einzelner Signale zu wenigen Incidents mit hoher Aussagekraft. Aus „4.000 Alerts“ wird „ein Vorfall, der um 02:14 Uhr mit einer Phishing-Mail begann“. Über die automatische Angriffsunterbrechung – Automatic Attack Disruption – greift die Plattform selbsttätig ein: Sie isoliert kompromittierte Geräte vom Netzwerk, sperrt bösartige IP-Adressen und stoppt laterale Bewegung, während der Angriff noch läuft. Jede dieser Aktionen wird zeitgestempelt protokolliert; im Advanced Hunting steht dafür inzwischen die Tabelle DisruptionAndResponseEvents bereit. Ergänzt um die Security-Copilot-Agenten – Phishing-Triage, Threat Hunting, Incident-Queue-Assistent – entsteht ein lückenloser, vorlesbarer Vorfallsbericht. Das ist exakt die Sprache, die ein NIS2-Auditor hören will.

Abbildung 3: Defender XDR bündelt vier Signalquellen, korreliert sie und erzeugt die Audit-Evidenz, die NIS2 von dir verlangt.

Was sind Chancen? Was sind Risiken?

Die Chance ist greifbar, fast schon unfair günstig. Ein NIS2-Audit ist 2026 beweisgetrieben. Prüfer wollen – das ist die einhellige Erfahrung aus den ersten Vor-Audits in Deutschland, den Niederlanden und Österreich – keine Hochglanz-Policies sehen, sondern echte Spuren: Logs, Zeitstempel, Screenshots, dokumentierte Reaktionen. Defender XDR produziert genau das im laufenden Betrieb, ohne dass jemand parallel ein Audit-Word-Dokument pflegt. Die automatisch erzeugten Incident-Timelines sind zeitgestempelt, die Containment-Aktionen protokolliert, die Integration mit Microsoft Purview liefert den durchgängigen Audit-Trail. Für die 24-Stunden-Meldung heißt das: Du exportierst keinen Wunschzettel, sondern Fakten.

Zweite Chance: Konsolidierung. Wer NIS2 ernst nimmt, braucht ohnehin SIEM- und XDR-Telemetrie, Endpoint-Signale, Identitätsüberwachung und Cloud-Events. Statt fünf Werkzeuge von fünf Herstellern mit fünf Wartungsverträgen zu verkabeln, liefert die Defender-Plattform das aus einer Hand – und reduziert nebenbei die Alarmmüdigkeit, die in den Vor-Audits regelmäßig als Schwachstelle auffiel. Dritte Chance: das Board-Reporting. § 38 verlangt, dass die Geschäftsleitung die Wirksamkeit beurteilen kann. Ein Defender-XDR-Report mit der Aussage „X Angriffe automatisch unterbrochen, mittlere Reaktionszeit Y“ ist ein Aufsichtsinstrument, das auch ein Nicht-Techniker im Vorstand versteht – und unterschreibt.

Jetzt der schwarze Kaffee. Risiko Nummer eins: Ein Werkzeug ist keine Compliance. Defender XDR direkt aus der Schachtel ist nicht auditfertig. Die Standardkonfiguration hält nicht automatisch die Aufbewahrungsfristen vor, die ein Prüfer sehen will. Und ein abgeschaltetes oder über Ausnahmen durchlöchertes Attack-Disruption ist im Audit schlimmer als gar keins – es dokumentiert nämlich, dass du die Fähigkeit hattest und nicht genutzt hast. Das ist die Sorte Befund, die ein Auditor mit einem kleinen, gemeinen Lächeln notiert.

Risiko Nummer zwei: Einige der schönsten Funktionen – die Netzwerk-Isolation kompromittierter Geräte, die Contain-IP-Richtlinie für nicht verwaltete Geräte – tragen noch das Etikett „Preview“. Preview heißt: Microsoft kann Verhalten und Verfügbarkeit ändern. Wer seine Notfallarchitektur darauf aufbaut, sollte das wissen und im Notfallplan vermerken. Risiko Nummer drei, das teuerste: Das Tool ersetzt nicht den Menschen. NIS2 verlangt ausdrücklich eine rund um die Uhr besetzte Überwachung. Defender XDR unterbricht Angriffe automatisch, aber jemand muss um 03:00 Uhr die Meldung lesen, bewerten und die 24-Stunden-Uhr starten. Genau hier zeigten die Vor-Audits die größte Lücke: SIEM vorhanden, durchgängige SOC-Abdeckung nicht.

Was müssen wir jetzt schon vorbereiten?

Schluss mit Theorie, hier die To-do-Liste, die du noch diese Woche anfangen kannst. Erstens: Klassifizierung dokumentieren. Halte schriftlich fest, ob ihr eine wichtige oder eine besonders wichtige Einrichtung seid – mit Begründung. Falls die Registrierung beim BSI noch fehlt: sofort nachholen. Die Gnadenfrist des BSI ist keine Einladung zum Trödeln, sondern eine kurze Galgenfrist mit Preisschild.

Zweitens: Attack Disruption scharf schalten. Prüfe, ob die automatische Angriffsunterbrechung aktiv ist und welche Assets per Ausnahme ausgenommen wurden. Jede Ausnahme braucht eine Begründung, die du einem Prüfer vorlegen kannst. Drittens: Aufbewahrung konfigurieren. Lege fest, wie lange Incident-Daten, Advanced-Hunting-Logs und Purview-Audit-Einträge vorgehalten werden. Beweise, die nach 30 Tagen gelöscht sind, helfen im Audit nicht – und der Abschlussbericht ist erst nach einem Monat fällig.

Viertens – und das ist der Kern dieses Briefings: Verprobe es. Setze dich mit dem Team an einen Tisch und spiele ein konkretes Incident-Szenario durch, zum Beispiel einen Ransomware-Verdacht auf einem Fileserver. Erzeuge daraus einen echten Defender-XDR-Report und lege ihn neben die NIS2-Meldepflichten: Hättest du nach 24 Stunden eine belastbare Erstmeldung? Nach 72 Stunden eine Ursachenanalyse? Diese Übung kostet einen Nachmittag und zeigt dir schonungslos, wo deine Nachweisfähigkeit hakt – bevor es ein Auditor oder ein echter Angreifer tut.

Fünftens: Geschäftsleitung schulen und das Ganze dokumentieren – Teilnehmer, Inhalt, Datum, Trainer. Ohne Nachweis hat die Schulung im Sinne von § 38 nicht stattgefunden. Sechstens: Den Sentinel-Umzug ins Defender-Portal terminieren, mit Puffer vor dem 31. März 2027 – nicht in der Woche vor dem Audit. Siebtens: die Lieferkette. Registrierte Unternehmen müssen ihre Dienstleister prüfen, und genau dieselbe Frage werden deine Kunden dir stellen. Wer hier sauber aufgestellt ist, gewinnt Aufträge; wer nicht, fliegt aus Ausschreibungen – ganz ohne Bußgeldbescheid.

Fazit in einem Satz: NIS2 belohnt 2026 nicht den, der die schönste Richtlinie im Schrank hat, sondern den, der auf Knopfdruck beweisen kann, dass sie funktioniert. Defender XDR ist dafür ein erstaunlich gutes Werkzeug – vorausgesetzt, du konfigurierst es, besetzt es mit Menschen und verprobst es, statt es nur zu lizenzieren und zu hoffen.