Einleitung
In der heutigen digitalen Landschaft ist E-Mail nach wie vor der primäre Angriffsvektor für Cyberkriminelle. Phishing-Angriffe entwickeln sich ständig weiter, werden raffinierter und stellen eine ernsthafte Bedrohung für Unternehmen jeder Größe dar. Microsoft 365 bietet mit seinen umfassenden Sicherheitsfunktionen, insbesondere dem **Microsoft 365 Defender** (ehemals Microsoft 365 Security & Compliance Center), leistungsstarke Tools zum Schutz vor solchen Bedrohungen. Ein zentraler Bestandteil dieses Schutzes ist die **Anti-Phishing-Richtlinie**, die verdächtige E-Mails identifiziert und gegebenenfalls in Quarantäne verschiebt.
Doch was passiert, wenn diese Quarantäne zu aggressiv oder nicht aggressiv genug ist? Wie stellen Sie sicher, dass wichtige E-Mails nicht im digitalen Nirwana verschwinden, während gleichzeitig schädliche Nachrichten effektiv abgefangen werden? Die Antwort liegt in der feinen Justierung der **Quarantäne Policy** innerhalb Ihrer Anti-Phishing-Richtlinien. Diese detaillierte Schritt-für-Schritt-Anleitung führt Sie durch den Prozess der Anpassung dieser Richtlinien, um eine optimale Balance zwischen Sicherheit und Benutzerfreundlichkeit zu erreichen.
Grundlagen der M365 Anti-Phishing und Quarantäne
Bevor wir ins Detail gehen, ist es wichtig, die Funktionsweise der **M365 Anti-Phishing-Richtlinien** und des Quarantäne-Mechanismus zu verstehen. Microsoft 365 Defender nutzt eine Vielzahl von Erkennungsmethoden, um Phishing-E-Mails, Spoofing-Angriffe, Impersonation und andere E-Mail-basierte Bedrohungen zu identifizieren. Wenn eine E-Mail als verdächtig eingestuft wird, kann die Anti-Phishing-Richtlinie verschiedene Aktionen auslösen, wie z.B. das Verschieben der E-Mail in den Junk-E-Mail-Ordner, das Blockieren der E-Mail oder eben das Verschieben in die **Quarantäne**.
Die Quarantäne ist ein sicherer Speicherort, in dem potenziell schädliche oder unerwünschte E-Mails isoliert werden, bevor sie den Posteingang des Benutzers erreichen. Für Endbenutzer bedeutet dies, dass sie möglicherweise wichtige oder fälschlicherweise blockierte E-Mails nicht sofort sehen. Hier kommt die **Quarantäne Policy** ins Spiel. Sie definiert nicht nur, *was* mit einer E-Mail passiert, wenn sie in Quarantäne landet, sondern auch, *wie* Benutzer mit diesen quarantänisierten Nachrichten interagieren können. Dazu gehören Aspekte wie Benachrichtigungen, die Möglichkeit zur Freigabe oder Anforderung der Freigabe und die Löschfrist für Nachrichten.
Warum eine Anpassung der Quarantäne Policy notwendig ist
Eine gut konfigurierte Anti-Phishing-Richtlinie ist entscheidend, aber eine Standardeinstellung ist selten für alle Organisationen optimal. Es gibt verschiedene Gründe, warum eine Anpassung der **Quarantäne Policy** unerlässlich sein kann:
1. **Falsch-Positive (False Positives)**: Manchmal werden legitime E-Mails fälschlicherweise als Phishing eingestuft und in Quarantäne verschoben. Dies kann zu Geschäftsunterbrechungen und Frustration bei den Benutzern führen. Eine fein abgestimmte Policy kann die Häufigkeit von **Falsch-Positiven** reduzieren.
2. **Benutzererfahrung und Produktivität**: Wenn Benutzer ständig den Überblick über ihre Quarantäne behalten müssen oder keine Benachrichtigungen über quarantänisierte Nachrichten erhalten, leidet die Produktivität. Eine verbesserte **Benutzererfahrung** ist hier das Ziel.
3. **Sicherheitsanforderungen**: Manche Organisationen haben strengere Sicherheitsanforderungen und möchten beispielsweise, dass Benutzer keine E-Mails selbst aus der Quarantäne freigeben können, sondern immer eine Genehmigung durch den Administrator erforderlich ist.
4. **Kommunikation und Transparenz**: Eine transparente Kommunikation darüber, welche E-Mails in Quarantäne sind und warum, schafft Vertrauen und Verständnis bei den Benutzern.
5. **Rechtliche oder Compliance-Anforderungen**: In bestimmten Branchen oder Regionen können spezifische Anforderungen an die Handhabung von E-Mails und deren Speicherung bestehen, die eine Anpassung der Quarantänerichtlinien erforderlich machen.
Vorbereitung: Bevor Sie beginnen
Bevor Sie Änderungen an Ihren **M365 Anti-Phishing-Richtlinien** vornehmen, sollten Sie einige wichtige Punkte beachten:
* **Administratorrechte**: Stellen Sie sicher, dass Sie über die erforderlichen Berechtigungen im Microsoft 365 Defender Portal verfügen. In der Regel benötigen Sie die Rolle „Security Administrator” oder „Organisation Management”.
* **Auswirkungen verstehen**: Machen Sie sich bewusst, welche Auswirkungen Ihre Änderungen haben könnten. Eine zu lockere Policy kann das Sicherheitsrisiko erhöhen, während eine zu strenge Policy die Produktivität beeinträchtigen kann.
* **Kommunikation**: Informieren Sie Ihre Endbenutzer über bevorstehende Änderungen, insbesondere wenn diese ihre Interaktion mit Quarantäne-E-Mails betreffen. Schulungen können sinnvoll sein.
* **Testen**: Führen Sie Änderungen schrittweise durch und testen Sie sie idealerweise in einer Testumgebung oder mit einer kleinen Gruppe von Benutzern, bevor Sie sie organisationsweit anwenden.
Schritt-für-Schritt-Anleitung zur Anpassung der Quarantäne Policy
Folgen Sie diesen Schritten, um die Quarantäne Policy in Ihrer M365 Anti-Phishing Richtlinie anzupassen:
**Schritt 1: Zugriff auf das Microsoft 365 Defender Portal**
Öffnen Sie Ihren Webbrowser und navigieren Sie zum **Microsoft 365 Defender Portal**. Die URL lautet in der Regel `security.microsoft.com`. Melden Sie sich mit Ihren Administratoranmeldeinformationen an.
**Schritt 2: Navigieren zu den Anti-Phishing-Richtlinien**
Im linken Navigationsbereich des Defender Portals:
* Erweitern Sie den Bereich **E-Mail & Zusammenarbeit**.
* Klicken Sie auf **Richtlinien & Regeln**.
* Wählen Sie unter **Bedrohungsrichtlinien** die Option **Anti-Phishing** aus.
Sie sehen nun eine Liste Ihrer vorhandenen Anti-Phishing-Richtlinien. Es gibt in der Regel eine integrierte Richtlinie (Standard), die für alle Benutzer gilt, und möglicherweise zusätzliche benutzerdefinierte Richtlinien, die Sie erstellt haben.
**Schritt 3: Identifizieren und Bearbeiten der relevanten Anti-Phishing-Richtlinie**
Entscheiden Sie, welche Richtlinie Sie anpassen möchten:
* **Standardrichtlinie**: Klicken Sie auf die Richtlinie mit dem Namen „Office 365 AntiPhish Default” (oder ähnlich). Dies ist die globale Richtlinie.
* **Benutzerdefinierte Richtlinie**: Wenn Sie spezifische Richtlinien für bestimmte Benutzergruppen oder Abteilungen haben, wählen Sie die entsprechende benutzerdefinierte Richtlinie aus.
Klicken Sie auf die gewünschte Richtlinie, um deren Details anzuzeigen. In der Detailansicht klicken Sie auf **Schutz bearbeiten** (oder einen ähnlichen Link, der die Bearbeitung der Richtlinie ermöglicht).
**Schritt 4: Anpassen der Aktionen für Phishing-E-Mails**
Innerhalb des Bearbeitungsworkflows der Anti-Phishing-Richtlinie navigieren Sie zu den Einstellungen, die sich auf die Aktionen bei erkannten Bedrohungen beziehen. Dies sind oft Abschnitte wie „Aktionen” oder „Schutzmaßnahmen”.
Hier sehen Sie Optionen für verschiedene Arten von Phishing-Angriffen (z.B. Impersonation, Spoofing, allgemeine Phishing-Erkennung). Für jede dieser Bedrohungsarten können Sie eine Aktion festlegen, z.B.:
* Nachricht in den Junk-E-Mail-Ordner umleiten
* Nachricht unter Quarantäne stellen
* Nachricht löschen
* Nachricht an andere E-Mail-Adresse umleiten
Um die **Quarantäne Policy** anzupassen, stellen Sie sicher, dass für die relevanten Bedrohungsarten die Aktion **Nachricht unter Quarantäne stellen** ausgewählt ist.
**Wichtig**: Unter dieser Aktion finden Sie in der Regel ein Dropdown-Menü oder einen Link, um die **Quarantänerichtlinie** auszuwählen, die auf diese Nachrichten angewendet werden soll. Dies ist der kritische Punkt, an dem Sie die Interaktion der Benutzer mit der Quarantäne definieren.
**Schritt 5: Auswählen oder Erstellen einer Quarantänerichtlinie**
Hier haben Sie zwei Optionen:
**Option A: Eine vorhandene Quarantänerichtlinie auswählen**
Microsoft 365 Defender bietet einige integrierte Quarantänerichtlinien (z.B. „AdminOnlyAccessPolicy”, „DefaultFullAccessPolicy”, „QuarantineDefault”). Wählen Sie diejenige aus, die Ihren Anforderungen am besten entspricht.
* `AdminOnlyAccessPolicy`: Nur Administratoren können die Nachricht überprüfen und freigeben. Benutzer erhalten keine Benachrichtigungen und können keine Aktionen durchführen.
* `DefaultFullAccessPolicy` (oder `QuarantineDefault`): Benutzer können ihre quarantänisierten Nachrichten selbst überprüfen, freigeben oder eine Freigabe anfordern und erhalten Benachrichtigungen.
* `NoAccessPolicy`: Benutzer können quarantänisierte Nachrichten nicht sehen, löschen oder freigeben. Nur Admins können das.
**Option B: Eine benutzerdefinierte Quarantänerichtlinie erstellen (Empfohlen für feine Kontrolle)**
Wenn die integrierten Richtlinien nicht ausreichen, können Sie eine eigene Richtlinie erstellen:
1. Klicken Sie im Dropdown-Menü der Quarantänerichtlinien-Auswahl (oder manchmal direkt in den „Richtlinien & Regeln” -> „Bedrohungsrichtlinien”) auf den Link **Quarantänerichtlinien** verwalten oder erstellen. Sie werden zu einem neuen Bereich im Defender Portal weitergeleitet.
2. Klicken Sie dort auf **Benutzerdefinierte Richtlinie hinzufügen**.
3. **Name der Richtlinie**: Geben Sie einen aussagekräftigen Namen für Ihre neue **Quarantänerichtlinie** ein (z.B. „MeineBenutzerdefinierteQuarantänePolicy”).
4. **Benutzerzugriff auf Quarantäneobjekte**: Hier definieren Sie, welche Aktionen Endbenutzer mit ihren quarantänisierten Nachrichten durchführen können.
* **Kein Zugriff auf Self-Service-Quarantäne**: Benutzer können keine ihrer quarantänisierten Nachrichten anzeigen oder bearbeiten. Nur Administratoren haben Zugriff. Dies ist die sicherste Option, erfordert aber mehr Admin-Aufwand.
* **Eingeschränkter Zugriff**: Benutzer können ihre quarantänisierten Nachrichten anzeigen, löschen und eine Freigabe beantragen, aber nicht direkt selbst freigeben. Eine gute Balance zwischen Sicherheit und Benutzerfreundlichkeit.
* **Vollständiger Zugriff**: Benutzer können ihre quarantänisierten Nachrichten anzeigen, löschen und selbst freigeben. Diese Option bietet die höchste Benutzerfreundlichkeit, birgt aber ein höheres Risiko, wenn Benutzer versehentlich Phishing-E-Mails freigeben.
5. **Benachrichtigungen**: Hier konfigurieren Sie, ob und wie Benutzer über neue quarantänisierte Nachrichten informiert werden.
* **Quarantänebenachrichtigungen aktivieren**: Aktivieren Sie diese Option, damit Benutzer E-Mails erhalten, die sie über neue Nachrichten in Quarantäne informieren.
* **Häufigkeit**: Legen Sie fest, wie oft Benachrichtigungen gesendet werden sollen (z.B. stündlich, täglich).
* **Sprache**: Wählen Sie die Sprache für die Benachrichtigungen.
* **Absenderadresse und -name**: Passen Sie die Absenderadresse und den Namen der Quarantänebenachrichtigungen an, um die Glaubwürdigkeit zu erhöhen (z.B. `[email protected]`, „Sicherheitszentrale Ihrer Firma”).
* **Logo und Branding**: Sie können Ihr Firmenlogo und einen individuellen Haftungsausschluss hinzufügen, um die Benachrichtigungen professioneller und vertrauenswürdiger zu gestalten.
6. **Review und Erstellen**: Überprüfen Sie alle Einstellungen und klicken Sie auf **Erstellen** oder **Senden**, um die neue Quarantänerichtlinie zu speichern.
**Schritt 6: Zuweisen der benutzerdefinierten Quarantänerichtlinie zur Anti-Phishing-Richtlinie**
Nachdem Sie Ihre benutzerdefinierte Quarantänerichtlinie erstellt haben, kehren Sie zum Bearbeitungsworkflow Ihrer Anti-Phishing-Richtlinie (Schritt 4) zurück. Wählen Sie im Dropdown-Menü für die **Quarantänerichtlinie** nun Ihre neu erstellte Richtlinie aus.
**Schritt 7: Überprüfen und Speichern der Anti-Phishing-Richtlinie**
Gehen Sie die restlichen Einstellungen der Anti-Phishing-Richtlinie durch, um sicherzustellen, dass alles Ihren Anforderungen entspricht. Wenn Sie mit allen Änderungen zufrieden sind, klicken Sie auf **Speichern** oder **Senden**, um die Änderungen an der Anti-Phishing-Richtlinie zu übernehmen. Es kann einige Minuten dauern, bis die Änderungen wirksam werden.
**Schritt 8: Testen der Änderungen**
Es ist entscheidend, die vorgenommenen Änderungen zu testen.
* **Test-E-Mails**: Senden Sie Phishing-Test-E-Mails (z.B. mithilfe von Safe Links oder Spoofing-Tests, falls verfügbar und sicher) an eine Testgruppe oder sich selbst, um zu sehen, ob die Nachrichten korrekt in Quarantäne verschoben werden.
* **Benutzererfahrung**: Überprüfen Sie, ob die Quarantänebenachrichtigungen wie erwartet ankommen und ob Benutzer die in Ihrer Quarantänerichtlinie festgelegten Aktionen ausführen können (z.B. Freigabe anfordern, selbst freigeben).
* **Administrator-Sicht**: Prüfen Sie im Defender Portal unter **E-Mail & Zusammenarbeit** -> **Quarantäne**, ob die quarantänisierten Nachrichten korrekt angezeigt werden und ob Sie als Administrator die gewünschten Aktionen durchführen können.
Best Practices und Überlegungen
* **Kontinuierliche Überwachung**: Die Bedrohungslandschaft ändert sich ständig. Überprüfen und passen Sie Ihre **Anti-Phishing-** und **Quarantäne-Richtlinien** regelmäßig an, um den Schutz aktuell zu halten.
* **Benutzeraufklärung**: Informieren und schulen Sie Ihre Benutzer darüber, wie sie mit Quarantänebenachrichtigungen umgehen sollen, worauf sie achten müssen und wie sie verdächtige E-Mails melden können. Eine gut informierte Belegschaft ist Ihre beste Verteidigungslinie.
* **Balance zwischen Sicherheit und Produktivität**: Streben Sie nach einer optimalen Balance. Zu strenge Richtlinien können die Arbeit behindern, zu lockere Richtlinien können die Sicherheit gefährden. Hören Sie auf das Feedback Ihrer Benutzer.
* **Berichterstellung und Analyse**: Nutzen Sie die Berichtsfunktionen im Microsoft 365 Defender Portal, um Einblicke in Quarantäneaktivitäten, Erkennungsraten und **Falsch-Positive** zu erhalten. Dies hilft Ihnen, fundierte Entscheidungen für zukünftige Anpassungen zu treffen.
* **Achtung bei globalen Änderungen**: Änderungen an der Standardrichtlinie wirken sich auf alle Benutzer aus. Seien Sie hier besonders vorsichtig. Erwägen Sie die Erstellung benutzerdefinierter Richtlinien für spezifische Gruppen, wenn unterschiedliche Anforderungen bestehen.
* **Dokumentation**: Dokumentieren Sie alle vorgenommenen Änderungen an Ihren Richtlinien, einschließlich des Datums, des Grundes und der erwarteten Auswirkungen. Dies ist für Audits und die Nachvollziehbarkeit unerlässlich.
Fazit
Die Anpassung der **Quarantäne Policy** in den M365 Anti-Phishing-Richtlinien ist ein kritischer Schritt zur Optimierung Ihrer E-Mail-Sicherheit und zur Verbesserung der **Benutzererfahrung**. Durch die sorgfältige Konfiguration dieser Einstellungen können Sie sicherstellen, dass Ihre Organisation effektiv vor Phishing-Angriffen geschützt ist, während gleichzeitig der reibungslose Ablauf des Geschäftsbetriebs gewährleistet wird. Mit dieser **Schritt-für-Schritt-Anleitung** sind Sie bestens gerüstet, um Ihre Schutzmechanismen proaktiv zu verwalten und auf die spezifischen Bedürfnisse Ihres Unternehmens abzustimmen. Bleiben Sie wachsam, passen Sie an und schützen Sie Ihre digitale Kommunikation!