Microsoft Intune: Im Fokus von Cyberangriffen und neuen KI-Regeln

Die Verwaltung von Microsoft-365-Apps steht vor einem Wendepunkt. Dringende Sicherheitswarnungen US-amerikanischer Behörden und eine strategische Kehrtwende bei der KI-Einführung machen Microsoft Intune zum zentralen Schauplatz für IT-Sicherheit und Produktivität. Diese Woche überschlugen sich die Ereignisse.

US-Behörden warnen nach Angriff auf Intune

Die Lage ist ernst. Nach einem schweren Cyberangriff auf den Medizintechnik-Konzern Stryker am 11. März haben US-Sicherheitsbehörden eine dringende Warnung herausgegeben. Laut dem Bericht von CISA und dem FBI nutzte eine mutmaßlich mit dem Iran verbundene Hackergruppe namens Handala einen kompromittierten Intune-Administrator-Account. Die Angreifer erstellten einen neuen globalen Admin und setzten Intunes eigene Verwaltungsfunktionen für einen verheerenden Wiper-Angriff ein. Dabei wurden Daten von Zehntausenden Firmengeräten gelöscht – Schätzungen gehen von bis zu 200.000 betroffenen Endgeräten aus.

Der aktuelle Angriff auf Intune-Schnittstellen verdeutlicht, dass viele deutsche Unternehmen unzureichend auf gezielte Cyberattacken vorbereitet sind. Dieser kostenlose Leitfaden unterstützt Geschäftsführer und IT-Verantwortliche dabei, ihre Sicherheitsstrategie mit einfachen Maßnahmen effektiv zu stärken. IT-Sicherheit stärken ohne teure neue Mitarbeiter einzustellen

Die Botschaft der Behörden ist klar: Unternehmen müssen ihre Endpoint-Management-Systeme sofort härten. Die zentralen Empfehlungen lauten: strikte Rechtebeschränkung (Least Privilege) für Admin-Rollen in Intune und die Durchsetzung von phishing-resistenter Multi-Faktor-Authentifizierung über Microsoft Entra ID. Für kritische Aktionen wie Geräte-Wipes soll künftig die Zustimmung mehrerer Administratoren erforderlich sein.

Microsoft stoppt automatische KI-Installation

Parallel zum Sicherheitsalarm vollzieht Microsoft eine bemerkenswerte strategische Wende. Das Unternehmen hat den automatischen Rollout der KI-Anwendung Microsoft 365 Copilot für Windows gestoppt. Ursprünglich sollte die App automatisch auf berechtigte Geräte gespielt werden und ein Icon im Startmenü platzieren.

Doch diese Zeiten sind vorbei. Ab sofort müssen IT-Abteilungen die Installation von Copilot manuell über Microsoft Intune steuern. Nur so können sie gestaffelte Rollouts durchführen, bestimmte Gerätegruppen anvisieren und sicherstellen, dass die Einführung der KI-Tools den internen Sicherheitsrichtlinien entspricht. Die automatische Installation ist vorerst global ausgesetzt – eine Ausnahme bildet der Europäische Wirtschaftsraum. Für IT-Administratoren bedeutet dies mehr Kontrolle, aber auch mehr Aufwand.

Während die manuelle Steuerung von KI-Rollouts die IT belastet, setzt die neue EU-KI-Verordnung bereits verbindliche rechtliche Rahmenbedingungen für den Einsatz solcher Systeme. Erfahren Sie in diesem kompakten Gratis-E-Book, welche Kennzeichnungspflichten und Risikoklassen Ihr Unternehmen jetzt kennen muss. EU-KI-Verordnung kompakt: Endlich verständlich erklärt, welche Pflichten für Ihr Unternehmen gelten

Neue Funktionen für mehr Sicherheit und Automatisierung

Als Antwort auf die wachsenden Anforderungen erweitert Microsoft die Fähigkeiten von Intune. Am 20. März kündigte das Unternehmen Verbesserungen beim Enterprise Application Management (EAM) an. Ein Schwerpunkt liegt auf der Integration mit Windows Autopilot.

Ab April 2026 sollen während der Autopilot-Provisionierung über Intune bereitgestellte Apps automatisch als vertrauenswürdig gekennzeichnet werden. Das vereinfacht die strikte Anwendungskontrolle erheblich. Ab Juli folgt dann die allgemeine Verfügbarkeit von automatischen EAM-Updates. Diese Funktion soll das manuelle Verpacken von App-Paketen überflüssig machen und sicherstellen, dass kritische Microsoft-365-Apps stets auf dem neuesten Stand sind.

Intune: Vom Verwaltungs- zum Angriffswerkzeug

Die aktuellen Entwicklungen zeigen einen besorgniserregenden Trend auf. Endpoint-Management-Systeme wie Intune sind nicht länger nur Werkzeuge für Administratoren – sie sind zu primären Angriffszielen geworden. Der Stryker-Vorfall beweist: Angreifer zielen nicht mehr nur auf einzelne Geräte, sondern auf die zentralen Identitäts- und Management-Plattformen, die sie kontrollieren. Das Ziel ist reine Betriebsstörung, nicht finanzielle Erpressung.

Für IT-Abteilungen wird der Balanceakt immer schwieriger. Sie müssen einerseits moderne Produktivitätstools wie Copilot sicher bereitstellen und andererseits die Infrastruktur, über die diese Tools verteilt werden, maximal absichern. Die Rücknahme der automatischen Copilot-Updates ist eine direkte Reaktion auf den wachsenden Druck nach granularer Kontrolle.

Was jetzt auf IT-Abteilungen zukommt

Die Zukunft des Microsoft-365-Managements über Intune wird von strengerer Governance geprägt sein. Unternehmen sind aufgefordert, ihre RBAC-Konfigurationen in Intune umgehend zu überprüfen. Ab dem 1. April 2026 führt Microsoft zudem eine verbindliche Multi-Faktor-Authentifizierung für alle Partner-Center-APIs ein.

Intune festigt seine Position als zentrale Steuerungsebene für Windows-Geräte. Für Administratoren bedeutet dies eine Anpassung an cloud-native Workflows, bei denen jede App-Bereitstellung hochautomatisiert für den Endanwender, aber gleichzeitig rigoros gegen Angriffe gesichert sein muss. Die Ära des bequemen "Set-and-Forget" ist endgültig vorbei.

boerse | 68955030 |