Microsoft Security Copilot ermöglicht die KI-gestützt Analyse von Netzwerken auf Gefahren von Cyberattacken und Malware. Der KI-Assistent lässt sich mit einfachen Prompts bedienen, kann Netzwerke aber umfassend schützen.
Microsoft Security Copilot kann Wissens- und Erfahrungslücken bei Admins und Sicherheitsteams schließen und dabei helfen, auf Angriffe in kürzester Zeit zu reagieren.
(Bild: Alexander Limbach - stock.adobe.com)
Microsoft Security Copilot erweitert Sicherheits-Lösungen wie Microsoft Defender, Microsoft 365 Defender, Sentinel und auch Intune um KI-Funktionen. Sicherheitsteams können verschiedene Quellen an das System anbinden und über einen Chat nach Informationen suchen und Gegenmaßnahmen ergreifen. Parallel dazu kann der KI-Assistent natürlich automatisch Quellen analysieren und Gegenmaßnahmen oder Vorbereitungen gegen Cyberattacken treffen.
Komplexe Cyberattacken mit natürlicher Sprache und KI bekämpfen
Admins verwenden das System über Prompts, die sie in natürlicher Sprache eingeben können. Basis von Security Copilot ist Azure OpenAI Service. Die Analyse der Daten erfolgt daher in der Microsoft-Cloud. Das ist durchaus sinnvoll, da der Fokus der Sicherheits-Lösung auf den Schutz von Ressourcen in Microsoft 365 und Azure ausgerichtet ist, sowie auf PCs, die an Microsoft Intune angebunden sind. Die Benutzerkonten in AzureAD / EntraID sind dabei ebenfalls geschützt und lassen sich für Analysen heranziehen.
Das zugrundeliegende LLM von Security Copilot wurde von Microsoft speziell mit Security-Informationen trainiert, sodass dieses wesentlich effektiver arbeitet, als andere LLMs ohne ein solches Training, beispielsweise GPT-4. Dazu kommt die Optimierung der Antwortmöglichkeiten des LLM. Diese erstellt die Antworten unter dem Fokus Informationen mitzuteilen, die im Sicherheitsbereich für Security-Teams wichtig sind. Man könnte fast behaupten, dass Security Copilot ein neuer Mitarbeiter des Sicherheits-Teams ist, der speziell für die Analyse ausgebildet ist.
Deshalb kann Security Copilot Sicherheitsteams dabei unterstützen schneller und auf Basis fundierter Erkenntnisse auf Cyberattacken zu reagieren. Auch ungeübte Admins profitieren davon, genauso wie Profis in diesem Bereich, die von der Entlastung durch Security Copilot profitieren, sowie von den Werkzeugen wie der Analyse von verdächtigen Skripten und Code-Fragmenten. Es ist mit Security Copilot nicht mehr notwendig, Daten aus verschiedenen Systemen zusammenzuführen. Security Copilot kann durch die Verwendung von Prompts in natürlicher Sprache alle angebundenen Systeme durchsuchen und bei Gegenmaßnahmen unterstützen.
Security Copilot ermöglicht Reaktionen in Echtzeit
Grundsätzlich geht es bei Security Copilot vor allem darum, möglichst alle Quellen von sicherheitsrelevanten Systemen anzubinden und mit Machine Learning zu analysieren. Dadurch kann Security Copilot nicht nur auf eine umfassende Datenmenge zugreifen, deren Analyse für menschliche Nutzer kaum möglich ist, sondern kann diese Analyse auch in Echtzeit durchführen.
Dabei unterstützt Security Copilot auch unerfahrene Admins darin Angriffe zu erkennen und Gegenmaßnahmen zu ergreifen. Der Copilot ist darüber hinaus in der Lage komplexe Angriffe zu erkennen. Durch eine schnelle Zusammenfassung für das Security-Team ist es möglich auch komplexe und umfassende Angriffe zu identifizieren und die Zusammenhänge, die beteiligten Geräte, Benutzerkonten, Dienste und Abläufe des Angriffes schnell zu erfassen. Das ist ein wichtiger Faktor um schnell reagieren zu können und dabei die richtigen Schritte einzuleiten.
So kann Security Copilot bei einem Angriff reagieren
Eine Information kann zum Beispiel darin bestehen, dass Security Copilot das Sicherheits-Team über folgenden Beispiel-Angriff informiert: „Die Benutzer Markus Müller und Tobias Fischer haben am 24.02. um 17:30 eine Phishing-E-Mail mit dem Betreff „Gewinn abholen bekommen“. In der E-Mail war ein verdächtiger Link enthalten. Die Benutzer haben die Datei „gewinn.pdf“ am 24.02. um 17:31 heruntergeladen. Bei dem Vorgang wurde ein Skript ausgeführt und ein Payload auf den Rechnern pc3424 und pc2323 installiert“.
Darüber hinaus schlägt Security Copilot vor die beiden betroffenen Geräte zu isolieren. Das können Admins direkt über eine Schaltfläche und einen Assistenten in der Oberfläche von Security Copilot durchführen. Außerdem kann Security Copilot Malware oder Skripte erkennen und analysieren. Das Ergebnis der Analyse steht ebenfalls in Sekunden zur Verfügung und ermöglicht es Admins schnell und richtig zu reagieren. Das Analysieren von Codefragmenten ist ebenfalls möglich. Alle Aktionen kann das System dokumentieren, sodass diese jederzeit nachvollziehbar sind.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Die bisher durchgeführten Aktionen und der Ablauf des Angriffes kann Security Copilot zusammenfassen und Kollegen oder Vorgesetzten zur Verfügung stellen, damit diese ebenfalls im Bilde sind. Außerdem könnte Security Copilot in diesem Beispiel erkennen, an welche internen Benutzer die gefährliche E-Mail noch gesendet wurde. Dadurch können Admins eingreifen, bevor eine Malware oder ein Skript Schaden anrichtet. Security Copilot erklärt außerdem in einzelnen Schritten, was das verdächtige Skripte oder das Code-Fragment durchführt.
Ein weiteres Beispiel für die Verwendung von Security Copilot ist das Zusammenfassen aktueller Informationen für Admins. Ein Mitarbeiter des Sicherheits-Teams kann im Security Copilot-Prompt zum Beispiel eingeben: „Erstelle eine Zusammenfassung des Sicherheits-Status aller angebundenen Systeme“ oder „Zeige mir eine Zusammenfassung der Zwischenfälle in Microsoft 365 Defender.“. Bestandteil von Security Copilot ist ein „Promptbook“ in dem Vorschläge für Prompts gespeichert sind, die sich mit einem Klick aufrufen lassen. Unternehmen können hier natürlich eigene Vorlagen für Prompts speichern.
Support bei Benutzern ist mit Security Copilot einfacher
Ein weiteres Beispiel ist der Einsatz von Security Copilot beim Benutzer-Support. Ein Support-Mitarbeiter, der ein Ticket bearbeitet, bei dem es um einen Benutzer geht, der sich nicht anmelden kann, könnte Security Copilot folgende Frage stellen: „Ist das Konto von Markus Müller aktuell gesperrt? Gibt es mit seinem ihm zugewiesenen PC Probleme oder sind Incidents aufgefallen?“. Das System kann darauf antworten und einen Chat aufbauen. So könnte der Support-Mitarbeiter noch fragen: „An welchen Systemen hat sich der Benutzer zuletzt angemeldet und waren die Anmeldungen erfolgreich?“. Der Phantasie und den Möglichkeiten sind hier kaum Grenzen gesetzt: „Ist das Benutzerkonto aktuell risikobehaftet?“. Direkt im Chatfenster lassen sich vorbereitete Analyse-Skripts ausführen, die zum Beispiel erkennen lassen, ob auf einem PC Malware vorhanden ist.
Security Copilot schließt Wissenslücken und erfasst alle relevanten Informationen für Sicherheitsvorfälle
Einfach ausgedrückt kann Security Copilot Wissens- und Erfahrungslücken bei Admins und Sicherheitsteams schließen und dabei helfen auf Angriffe in kürzester Zeit zu reagieren. Dazu kommen Automatismen und umfassende Dokumentationen von Cyberattacken, deren Folgen und den durchgeführten Gegenmaßnahmen. Security Copilot ist darüber hinaus in der Lage Reverse-Engineering-Maßnahmen durchzuführen. Auch das Zusammenfassen von CVEs ist möglich, die Recherche nach CVEs und Aktionen, die ein CVE erfordert.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/85/b5/85b5c69c5a6e6e5762a0c7c269261a43/0127916883v1.jpeg "Unternehmen haben ein Interesse daran, Angriffe zu stoppen, bevor sie passieren. Schließlich haben wir für böse Überraschungen keine Zeit. (Bild: © Dece Std - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/b8/0bb8f7990d17673a2e7cdc3a8c6a6eda/0129034359v2.jpeg "Angreifer erlangen Root-Zugriff auf Produkte von Cisco, indem sie manipulierte HTTP-Anfragen senden, die eine Sicherheitslücke ausnutzen. (Bild: pixabay)")
:quality(80)/p7i.vogel.de/wcms/d9/5d/d95db308f21105edf9003cfc42f866e2/0128657338v2.jpeg "Die Hackergruppe Ashen Lepus ist durch ihre Spionageaktivitäten motiviert, die auf das Sammeln sensibler Informationen aus Regierungsstellen und diplomatischen Einrichtungen im Nahen Osten abzielen, wobei sie zunehmend auch ihre Ziele auf andere Regionen, einschließlich Europa, ausdehnt. (Bild: Midjourney / Paula Breukel / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/41/31/4131a45084a47e14cf5abac95b596231/0128075274v1.jpeg "Echtzeiteinblicke in aktive Netzwerkverbindungen: WhoIsConnectedSniffer und, oder wie in dem Fall hier, Sniffnet liefern Administoren eine präzise Übersicht über Geräte und Datenverkehr. (Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/02/81/02817f46ea84a6cb411406cc3d0ddc17/0128648824v2.jpeg "KI-gestützte Angriffe ermöglichen es Cyberkriminellen, ihre Angriffsmethoden durch automatisierte Malware-Entwicklung und raffinierte Social-Engineering-Taktiken zu optimieren und jede Phase ihrer Angriffe zu beschleunigen, was das Reaktionsfenster für Verteidiger drastisch verkürzt. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/a4/95/a495b3f6cd1fa2bd22d1c1ff3c4f4104/0128522811v1.jpeg "Souveräne Cloud-Infrastrukturen sollen der öffentlichen Verwaltung Kontrolle, Sicherheit und digitale Handlungsfähigkeit über kritische Daten sichern. (Bild: © Anca - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/18/47/18475a0050ccbb07a3717ca5968b7e50/0129075506v1.jpeg "Viele Solaranlagen hängen mit schwachen Passwörtern am Internet; NIS 2 bringt Haftung, aber verbindliche Standards für Zugriffskontrolle und Updates fehlen noch. (Bild: SolarEdge)")
:quality(80)/p7i.vogel.de/wcms/74/a3/74a32ab50064418130cd1cd627ab666e/0128576134v1.jpeg "Extreme Herausforderungen, sicher gespeichert: Flexxon enthüllt X-Mask Pro, eine laut Hersteller zuverlässige Speicherlösung für kritische Industrien. (Bild: © Cedric - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/71/6d/716df686b73c0f960dd9478cade83bd6/0129087137v1.jpeg "Mit dem Auslaufen von SAP ECC rücken auch Security-Abhängigkeiten wie SAP GRC stärker in den Fokus, vor allem bei Notfallzugriffen und Rollenverwaltung in produktiven S/4HANA-Umgebungen. (Bild: © Starmarpro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/cc/df/ccdf983e4b47b1a7895509210d721d8c/0129059286v1.jpeg "Waren 2025 Speaker bei der ISX (v.l.n.r.): Georgia Voudoulaki beim Think Tank, Lukas Wagner und Leonard Bunjaku bei ihren Vorträgen (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/df/23/df2362f0d3189fad6526101fa3d511b4/0116753338.jpeg "ChatGPT kann nicht nur nette Texte schreiben, das KI-Tool kann sogar Admins dabei helfen, komplexe Protokolldateien und Firewall-Logs zu analysieren und sogar Phishing-E-Mails erkennen. (Bild: Supatman - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1d/84/1d8482e3b6add504db6314932fd4a36e/0117522782.jpeg "Skripte mit Security Copilot analysieren.(Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/4b/fb/4bfb5d1d57a72d8df521733e81e81077/0117522783.jpeg "Security Copilot kann umfassende Analysen zu Incidents zusammenfassen und weitere Opfer identifizieren.(Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/90/5b/905bfe77251a65e91b1ccf1925fdfca3/0117522790.jpeg "Aktionen in Security Copilot definieren.(Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/d4/b0/d4b0d0265e5297c9e9e1e10138ae137c/0117522784.jpeg "Security Copilot verfügt über zahlreiche Plugins, um sich mit weiteren Systemen zu verbinden.(Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/b1/16/b11694ff57e5b77b1d1e53d21be6a5c8/0113376989.jpeg "Die OWASP Top 10 für LLM ermöglichen es Unternehmen und Organisationen, die mit diesen Modellen arbeiten, frühzeitig Sicherheitsrisiken und -probleme bei KI zu erkennen, zu bewerten und zu behandeln. (Bild: 3dkombinat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ed/9a/ed9a501b527c1c4167381f9165c6e98f/0115090238.jpeg "Superintelligenzen oder starke KIs mögen unsere Zukunft sein – bis es aber so weit ist, liegt die Verantwortung bei uns: Wir müssen entscheiden, wie wir mit diesen Technologien umgehen. (Bild: SVasco - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/94/0194419cf900e7de52f6d9cf21e1c83d/0110983947.jpeg "Ergebnisse des Sophos-Reports zeigen: ChatGPT könnte als nützlicher Security-Co-Pilot fungieren. (Bild: Dave - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fb/22/fb22b335a6e9505750452f10ade85398/0124653767v1.jpeg "So nutzen Sie Microsoft Defender for Business Server im lokalen Rechenzentrum für Windows- und Linux-Server. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f2/3c/f23c3cb20b569c7839fe6be7a6df2e48/0124169347v2.jpeg "Obwohl das Risiko von Hacker-Angriffen stetig wächst, verfügen immer noch rund 40 Prozent der KMU über keinen angemessenen IT-Security-Schutz. (Bild: Maria Mikhaylichenko - stock.adobe.com)")