Microsoft 365 E5

M365 E5 ist das Komplettangebot für Unternehmen mit hohen Anforderungen an Sicherheit und Compliance. Würde man Defender XDR (12 USD), Entra P2 (9 USD), Purview (10 USD), Teams Phone (8 USD) und Power BI Pro (10 USD) einzeln kaufen, ergäbe sich eine Summe von ca. 49 USD; E3 (36 USD) plus diese Bausteine summierten sich auf 85 USD. E5 liefert das Paket für insgesamt 57 USD — ein Vorteil von über 35 %.

Defender XDR: Endpoint-, Office-, Identity- und Cloud-Apps-Schutz — die XDR-Plattform von Microsoft. Sie spielt im selben Segment wie Trend Vision One oder CrowdStrike Falcon.

Microsoft Purview: eDiscovery, Records Management, Insider Risk Management und Communication Compliance. Für regulatorische Audits unverzichtbar.

Mehrschichtige XDR-Telemetrie: Defender XDR korreliert Signale aus Endpoint (Defender for Endpoint Plan 2), E-Mail und Kollaboration (Defender for Office 365 Plan 2), Identität (Defender for Identity, ehemals Azure ATP) und Cloud Apps (Defender for Cloud Apps, vormals MCAS). Damit erkennt die Plattform mehrstufige Angriffe — etwa BEC mit anschließender lateraler Bewegung — die rein endpunktbasierte EDRs nicht sehen. Anwenderorganisationen reduzieren typischerweise die mittlere Erkennungszeit (MTTD) um über 60 % und die mittlere Reaktionszeit (MTTR) um über 70 %, sobald Defender XDR die Konsolidierung übernimmt. Microsoft Sentinel kann als SIEM darübergesetzt werden und nutzt für Microsoft-Quellen kostenlose Ingestion (E5 Sentinel Benefit, bis zu 5 MB pro Benutzer/Tag) — ein erheblicher TCO-Hebel im DACH-Markt, wo Sentinel-Ingestion-Kosten häufig die SOC-Budgets dominieren.

Purview Compliance Suite deckt die DSGVO-, GoBD-, MaRisk- und BAIT-Anforderungen ganzheitlich ab. Records Management klassifiziert Geschäftsunterlagen entlang von Aufbewahrungsfristen (z. B. 10 Jahre HGB, 30 Jahre für Personalakten), automatisiert die Löschung am Ende der Frist und liefert Audit-fähige Nachweise. eDiscovery (Premium) unterstützt Legal Holds, Custodian-Verwaltung sowie ML-gestützte Relevanzbewertung — wertvoll bei Rechtsstreitigkeiten, BaFin-Anfragen oder DSGVO-Auskunftsersuchen. Communication Compliance überwacht (im rechtlich zulässigen Rahmen) interne Kommunikation auf Insider-Trading-Indikatoren, Belästigung oder Datenexfiltration; in DACH-Banken und Versicherungen ist dies häufig MaRisk-relevant.

Insider Risk Management erkennt anomale Datenbewegungen wie Massendownloads vor einer Kündigung, Uploads in private Cloud-Speicher oder Zugriffe auf Bereiche außerhalb der Funktion. Algorithmische Risikobewertung berücksichtigt HR-Signale (Kündigung in Vorbereitung, Performance-Probleme), priorisiert Untersuchungen und respektiert dabei DSGVO-Grundsätze der Datenminimierung — Untersuchungsdaten werden pseudonymisiert dargestellt, bis ein Compliance Officer die Demaskierung freigibt. Speziell in DACH ist diese DSGVO-konforme Architektur entscheidend für die Akzeptanz bei Betriebsräten.

Entra ID P2 — Identity Protection und PIM: Identity Protection bewertet Anmeldungen risikobasiert (Reise mit unmöglicher Geschwindigkeit, anonyme IP, Leaked-Credentials-Match, atypisches Verhalten) und wendet Conditional Access-Antworten automatisch an. Privileged Identity Management (PIM) sorgt dafür, dass Administrationsrollen nicht permanent zugewiesen sind, sondern Just-in-Time mit Genehmigungsworkflow, Begründung und MFA aktiviert werden — eine Schlüsselkontrolle für ISO 27001, BSI IT-Grundschutz (ORP.4) und TISAX. Access Reviews automatisieren die periodische Rezertifizierung von Rollen, Gruppen und Anwendungszugriffen, was den Aufwand für die jährliche DSGVO-Berechtigungsrezertifizierung um 50–70 % senkt.

Teams Phone Standard mit Direct Routing ermöglicht den Wegfall traditioneller PBX-Systeme. Über Direct Routing werden die SIP-Trunks von Deutscher Telekom, Vodafone Business, Telefónica O2 (Deutschland), A1 (Österreich) oder Swisscom (Schweiz) zertifizierte SBCs (AudioCodes, Ribbon, Oracle) an Teams angebunden. Operator Connect ist die einfachere Variante, bei der Microsoft-zertifizierte DACH-Anbieter den SBC betreiben — die Einrichtung erfolgt aus dem Teams Admin Center. Sora Yazılım entwirft die Topologie, Failover und Survivable Branch Appliances für Filialen.

Power BI Pro ist im E5 inkludiert (separat ca. 10 USD/Benutzer). Self-Service-Analytics auf M365-Daten (SharePoint Lists, Excel, Dataverse), Anbindung von SAP, Salesforce und Snowflake — alles möglich. Für hohe Lasten oder Premium-Features (KI-Insights, Paginated Reports, Dataflows Gen2) wird Power BI Premium per Kapazität ergänzt; dies ist keine Pro-Userlizenz, sondern eine Pay-as-you-go-Tenant-Ressource.

Vergleich mit reinen Add-on-Bundles: Wer E3 betreibt und gezielt nachrüsten möchte, hat die Wahl zwischen E5 Security (Defender XDR plus Entra P2 plus Defender for Cloud Apps, ca. 12 USD), E5 Compliance (Purview, AIP P2, IRM, Communication Compliance, ca. 12 USD) und E5 eDiscovery and Audit. Kombiniert man Security + Compliance auf E3, kommt man auf ca. 60 USD — also teurer als der E5-Komplettpreis. Für Organisationen, die ohnehin alle Bausteine benötigen, ist E5 daher betriebswirtschaftlich klar überlegen.

Compliance-Mehrwert für regulierte Branchen: In Banken und Versicherungen unterstützt E5 die MaRisk-/BAIT-Anforderungen an Identitäts- und Zugriffsmanagement (IAM), Protokollierung und Datenklassifizierung. Im Gesundheitswesen (Krankenhäuser, MVZ, Apotheken) deckt es die zentralen DSGVO-Anforderungen für besondere Datenkategorien ab — kombiniert mit BSI-IT-Grundschutz-Profilen (B3S Krankenhaus, B3S Pflege). Bei kritischen Infrastrukturen (KRITIS) sind Defender XDR und Sentinel zentrale Bausteine zur Erfüllung der ITSiG-2.0-Pflichten gegenüber BSI.

Sora Yazılım E5-Rollout-Methodik: Wir starten mit einer Readiness-Bewertung der bestehenden Identitäts-, Endpoint- und E-Mail-Lage (Defender for Office 365 ist häufig schon aktiv, aber unzureichend konfiguriert). Defender XDR wird in einer Pilotgruppe (5–10 % der Endpunkte) aktiviert, Policies und Automation-Playbooks werden iterativ gehärtet. Purview-Etikettierung wird entlang einer 4-stufigen Klassifizierungsskala (Public/Internal/Confidential/Highly Confidential) eingeführt, mit automatischer Erkennung sensibler Inhalte (DSGVO-Personendaten, Kreditkartennummern, IBAN, Sozialversicherungsnummern). Entra ID P2 PIM wird zunächst für Tenant-Global-Admins und Privileged Roles aktiviert, danach für Anwendungsadministratoren. Teams Phone wird in Wellen ausgerollt — beginnend mit Pilotabteilungen, dann Filialen, abschließend Hauptniederlassung.

Defender for Endpoint Plan 2 — Funktionsumfang im Detail: Plan 2 enthält die vollständige EDR-Funktionalität (Endpoint Detection and Response) mit Behavior-based Detection, Advanced Hunting (KQL-basierte Abfragen über 30 Tage Telemetrie), Automated Investigation and Response (AIR) und Threat Experts (von Microsoft bereitgestellte Threat Hunters auf Anforderung). Für Server-Workloads (Windows Server 2012R2 und neuer, Linux RHEL/Ubuntu/SLES) wird die Microsoft Defender for Servers-Komponente via Azure Arc oder direkte Onboarding-Skripte aktiviert. Die Integration mit Microsoft Intune ermöglicht Compliance-basierte Conditional Access — kompromittierte Endpunkte werden automatisch aus dem Tenant-Zugriff entfernt. Im MITRE ATT&CK Evaluation 2024 erzielte Defender for Endpoint führende Detection-Coverage-Ergebnisse über alle 19 untersuchten APT-Techniken hinweg.

Defender for Identity — ehemals Azure ATP: Diese Komponente überwacht Active Directory Domain Controller und Microsoft Entra ID Connect Server auf identitätsbasierte Angriffe — Pass-the-Hash, Pass-the-Ticket, Golden Ticket, Skeleton Key, DCSync, DCShadow und Lateral Movement Pfade. Sensors werden auf Domain Controllern installiert und korrelieren Authentifizierungsereignisse mit ungewöhnlichen Anmeldeprofilen. Für DACH-Kunden mit hybriden Identitätsarchitekturen (lokales AD plus Entra ID) ist Defender for Identity unerlässlich, da reine Cloud-IAM-Werkzeuge keine On-Prem-Lateral-Movement-Signale sehen. Typischer Use Case: Erkennung eines Ransomware-Akteurs, der nach initialer Endpoint-Kompromittierung versucht, sich zu einem Domain Admin zu eskalieren — Defender for Identity warnt innerhalb von Minuten und liefert die genaue Kerberos-Ticketkette als forensisches Beweismittel.

Defender for Cloud Apps — CASB-Funktionen: Der Cloud Access Security Broker (CASB) entdeckt Shadow IT (Mitarbeiter-Nutzung nicht genehmigter SaaS-Anwendungen wie Dropbox, WeTransfer oder ChatGPT), bewertet diese Apps gegen einen 90-Punkte-Risiko-Score und ermöglicht Policy-basierte Blockaden über Defender for Endpoint oder Conditional Access. Für genehmigte SaaS-Anwendungen (Salesforce, ServiceNow, Workday, GitHub, Box) ermöglicht Defender for Cloud Apps Session Control mit Echtzeit-DLP — sensible Datei-Downloads werden blockiert, Sharing-Aktionen werden protokolliert, Anomalie-Erkennung warnt vor kompromittierten SaaS-Konten. In DACH ist dies kritisch für die DSGVO-Compliance bei Drittanbieter-Datenflüssen — Sora Yazılım dokumentiert die Verarbeitungstätigkeiten der erkannten SaaS-Apps im Verzeichnis nach Art. 30 DSGVO.

Microsoft Sentinel-Integration im E5-Kontext: Microsoft Sentinel ist die Cloud-native SIEM/SOAR-Plattform und kein direkter Bestandteil von E5; sie wird jedoch durch den E5 Sentinel Benefit mit kostenfreier Datenaufnahme aus Microsoft-Quellen (Defender XDR, Entra ID, M365 Audit) bis zu 5 MB pro Benutzer und Tag attraktiv. Für eine 1.000-Mitarbeiter-Organisation entspricht das einer Ingestion-Kostenersparnis von 12.000–15.000 EUR jährlich. Sentinel bietet darüber hinaus Connectors zu Fortinet, Cisco, Palo Alto, AWS, Google Cloud sowie über 350 weiteren Quellen und ergänzt damit den Microsoft-zentrischen Defender XDR um eine vollständige Multi-Vendor-SOC-Sicht. Sora Yazılım entwirft die Sentinel-Workspace-Architektur (Single-Region vs. Multi-Region, Data Retention, Long-Term Storage in Azure Data Explorer) und liefert ein Playbook-Set für automatisierte Response-Workflows.

DSGVO-Vorlagen in Purview Information Protection: Microsoft liefert vorgefertigte Sensitive Information Types (SITs) für DACH-spezifische Datenformate: Deutsche Sozialversicherungsnummer (12-stellig), Österreichische Sozialversicherungsnummer (10-stellig), Schweizer AHV-Nummer (13-stellig), Deutsche Steuer-ID (11-stellig), Personalausweis-Nummer, IBAN (DE/AT/CH-Präfixe), Kreditkartennummern (PCI-DSS), KFZ-Kennzeichen und Patient Identifiers (für Krankenhäuser). Auto-Labeling-Policies durchsuchen vorhandene SharePoint-Sites, OneDrive-Ordner und Exchange-Postfächer und etikettieren Treffer automatisch. Für hochregulierte Datensätze (z. B. besondere Datenkategorien nach Art. 9 DSGVO — Gesundheitsdaten, Religion, politische Ansichten) richtet Sora Yazılım Just-in-Time-Justification-Workflows ein — Anwender müssen vor dem Öffnen einen Geschäftszweck angeben, der protokolliert wird.

Long-Term Retention und GoBD-Konformität: Für die GoBD-konforme Aufbewahrung von Geschäftsunterlagen (10 Jahre für Handelsbücher, Inventare, Bilanzen, Buchungsbelege; 6 Jahre für Handels- und Geschäftsbriefe) bietet Purview Records Management dedizierte Record Labels. Diese Labels markieren Inhalte als unveränderlich (Immutable Records); selbst Tenant-Administratoren können diese Inhalte nicht vor Ablauf der Aufbewahrungsfrist löschen. Disposition Review erlaubt am Ende der Frist eine vier-augen-geprüfte Vernichtung mit revisionsfähigem Audit-Trail. In Kombination mit GoBD-zertifizierten Archivlösungen (CodeTwo, AvePoint, Veritas Enterprise Vault) entsteht ein vollständig auditierbares Archivierungssystem, das BMF-Prüfungen standhält.

Teams Phone Skalierungspatterns für DACH-Großunternehmen: Für Konzerne mit 5.000+ Mitarbeitenden empfiehlt Sora Yazılım eine geographische Aufteilung: Calling Plan für Deutschland (Microsoft Calling Plan unterstützt deutsche Rufnummern, inkl. ortsgebundener Vorwahlen), Direct Routing für Filialen mit bestehenden SIP-Trunks und Operator Connect für Standorte mit lokalen Mobilfunkanbietern. Survivable Branch Appliances (SBA) — z. B. AudioCodes Mediant 800 oder Ribbon SBC Edge — werden in Filialen mit unzuverlässiger Internet-Anbindung installiert; bei Ausfall der Cloud-Verbindung können lokale Telefonie und Notrufe weiter geführt werden. Für Contact-Center-Anforderungen integriert Sora Yazılım Teams Phone mit Microsoft Dynamics 365 Customer Service oder mit Drittanbietern wie Anywhere365 — eine native Teams-CCaaS-Lösung mit Skill-Based Routing, IVR, Wallboards und Quality Management.

BSI IT-Grundschutz-Mapping: M365 E5 deckt zahlreiche Bausteine des BSI IT-Grundschutz-Kompendiums ab. OPS.2.2 Cloud-Nutzung wird durch die EU Data Boundary und das BSI C5-Testat von Microsoft Azure (jährlich erneuert) erfüllt. ORP.4 Identitäts- und Berechtigungsmanagement wird durch Entra ID P2 PIM, Access Reviews und Conditional Access abgedeckt. NET.1.2 Netzkommunikation Cloud wird durch das Microsoft Global Network (Express Route Anbindungen aus Frankfurt, Wien und Zürich) ergänzt. DER.2.1 Behandlung von Sicherheitsvorfällen wird durch Defender XDR Incident Response und Microsoft Sentinel Playbooks umgesetzt. Sora Yazılım liefert eine Grundschutz-Mapping-Matrix, die als Beleg für BSI-Audits und ISO-27001-Zertifizierungen dient.

ISO 27001:2022 und TISAX-Vorlagen: Microsoft 365 E5 erfüllt die Mehrheit der 93 Annex-A-Kontrollen aus ISO 27001:2022. Sora Yazılım kartiert die Kontrollen auf konkrete M365-Konfigurationen und liefert das Statement of Applicability (SoA) sowie die Risikobehandlungsdokumentation. Für TISAX (Trusted Information Security Assessment Exchange — der Automotive-Standard im VDA) erfüllen E5-Bausteine wie Information Protection, Privileged Access Workstations (PAW) und Conditional Access die zentralen prototype-Anforderungen. Automotive-Lieferanten in DACH nutzen E5 als Plattform-Standard, um TISAX-Label AL2 und AL3 zu erreichen.

Microsoft Defender for Office 365 Plan 2 — vertiefte Funktionen: In E5 enthalten, bietet Plan 2 gegenüber Plan 1 die Erweiterungen Threat Trackers (Microsoft-kuratierte Echtzeit-Bedrohungsfeeds zu aktuellen Kampagnen wie ChatGPT-Phishing oder QR-Code-Quishing), Threat Explorer (interaktive Suche über alle E-Mail-Flüsse der letzten 30 Tage), Automated Investigation and Response (AIR) mit 7 vorgefertigten Playbooks (User-reported Phishing, URL Click Verdict, Soft Delete von Schadmail aus Postfächern, Compromised User), Attack Simulation Training (Phishing-, Spear-Phishing-, Drive-by-URL-, Credential-Harvest-Simulationen mit über 30 Templates und Microsoft-bereitgestelltem Schulungs-Content auf Deutsch). In DACH-Banken und Versicherungen ist Attack Simulation Training oft Bestandteil der jährlichen MaRisk-Awareness-Programme.

Geschäftsmodell und CSP-Optimierung: Microsoft 365 E5 ist über CSP (Cloud Solution Provider, Sora Yazılım), EA (Enterprise Agreement für 500+ Seats) und MCA-E (Microsoft Customer Agreement Enterprise) verfügbar. CSP bietet monatliche Abrechnung, Wechsel zwischen Plänen innerhalb des Vertragsjahres und Zugang zu Sora-Yazılım-Service. Für Großkunden mit langer Planungs-Horizonte ist EA mit 3-Jahres-Bindung und Volumenrabatten oft wirtschaftlicher. Sora Yazılım führt eine vergleichende Total-Cost-of-Ownership-Analyse über 3 Jahre durch, einschließlich Storage-Erweiterungen, Power BI Premium Capacity und Defender-Add-ons, und empfiehlt das geeignete Vertragsmodell.

Migration von E3 auf E5 — Vorgehensmodell: Bestandskunden auf E3 migrieren auf E5, um die ausgewachsenen Sicherheits- und Compliance-Funktionen zu nutzen. Sora Yazılım empfiehlt eine 5-stufige Migration über 16 Wochen: Woche 1–2 Lizenzupgrade-Vereinbarung und Pilot-Auswahl (z. B. IT-Abteilung), Woche 3–6 Defender XDR Aktivierung und Policy-Härtung, Woche 7–10 Purview-Klassifizierung mit Auto-Labeling, Woche 11–13 Entra ID P2 PIM und Identity Protection Rollout, Woche 14–16 Teams Phone Migration mit Number Porting. Während der Migration bleibt der bestehende E3-Schutz aktiv; E5-Komponenten werden parallel aktiviert und nach Validierung produktiv geschaltet. Rollback-Plan zu E3 bleibt jederzeit verfügbar.