Inhalt in Kürze
- Security Copilot ist Microsofts KI-Assistent für Security-Operations-Teams — er fasst Vorfälle zusammen, beantwortet Fragen in natürlicher Sprache und schlägt Reaktionen vor.
- Bezahlt wird in „Security Compute Units” (SCUs) — eine SCU kostet ca. 4 USD/Stunde, der Mindestbedarf von einer SCU rund um die Uhr ergibt rund 35.000 USD pro Jahr.
- Voraussetzung ist ein ernstzunehmender Microsoft-Security-Stack — ohne Defender for Endpoint, Defender for Identity oder Sentinel hat die KI keine Daten zum Auswerten.
- Für klassische KMU mit 20–80 Mitarbeitern lohnt der Einsatz heute selten — die meisten haben weder ein SOC-Team noch das nötige Lizenzpaket.
- Für Mittelständler ab ca. 250 Mitarbeitenden mit eigener IT-Sicherheit kann Security Copilot Triage-Zeiten halbieren — wir prüfen das gerne im Erstgespräch.
Cyberangriffe werden schneller und automatisierter. Security-Teams ertrinken in Alerts. Genau dort soll Microsoft Security Copilot ansetzen: Er analysiert Logs, übersetzt KQL-Abfragen, fasst Incidents in einem Absatz zusammen und schlägt Reaktionsschritte vor — alles in natürlicher Sprache. Klingt nach Game-Changer. Ist es auch — wenn man ihn füttern und bezahlen kann.
Wir bekommen die Frage in Hamburg zunehmend von Geschäftsführern: „Brauchen wir das?” Unsere ehrliche Antwort: meistens noch nicht. Hier der nüchterne Überblick.
Was Security Copilot tatsächlich macht
Security Copilot ist eine Plattform, kein Add-on im Defender-Portal. Sie zieht Daten aus dem Microsoft-Security-Stack (Defender XDR, Sentinel, Entra ID, Intune, Purview) und externen Quellen, dann lassen sich konkrete Fragen stellen — auf Deutsch:
- „Fasse mir den Vorfall #482 in drei Sätzen zusammen" — der Copilot liefert eine Klartext-Erklärung statt KQL-Wüste.
- „Welche Endgeräte haben in den letzten 24 Stunden ähnliche Indikatoren gezeigt?" — Cross-Korrelation über Defender und Sentinel.
- „Erstelle mir eine Incident-Response-Empfehlung" — strukturierter Ablaufplan inklusive Containment-Schritte.
- „Übersetze diese KQL-Query in natürliche Sprache" — Onboarding für Junior-Analysten.
- „Untersuche dieses verdächtige PowerShell-Skript" — Reverse-Engineering und Risikobewertung in Sekunden.
Die Inhalte stammen aus Microsofts globalem Threat-Intelligence-Pool und Ihren eigenen Daten. Was die KI nicht tut: selbstständig Aktionen ausführen. Das war den Microsoft-Architekten richtigerweise zu heikel.
Security Copilot ist ein Co-Pilot — kein Autopilot. Er liefert Vorschläge, der Mensch entscheidet. Wer das anders erwartet, wird enttäuscht. Wer es als Beschleuniger für ein bestehendes SOC-Team versteht, hat den Use Case begriffen.
Das SCU-Preismodell — der Kostentreiber
Microsoft hat Security Copilot bewusst nicht pro Nutzer lizensiert. Stattdessen: Security Compute Units (SCUs). Eine SCU stellt eine bestimmte Rechenkapazität bereit. Sie buchen mindestens eine SCU rund um die Uhr — Microsoft empfiehlt das als Untergrenze für „dependable performance”.
Konkret: 1 SCU × 24 Stunden × 365 Tage × 4 USD ≈ 35.040 USD pro Jahr (Quelle: Microsoft Security Copilot Pricing und SAMexpert SCU Guide). Pay-as-you-go-Overage liegt bei 6 USD/SCU. Plus die Microsoft-365-E5- oder Sentinel-Lizenzen, die sowieso vorhanden sein müssen.
Das ist eine klare SOC-Kalkulation, keine Mittelstands-SaaS. Microsoft positioniert Security Copilot als Werkzeug für reife Security-Teams — und Microsoft bestätigt das offen.
Voraussetzungen, die viele unterschätzen
Wir sehen es bei Erstgesprächen regelmäßig: Geschäftsführer hören „KI-Sicherheit von Microsoft” und denken an einen Schalter im Microsoft-365-Portal. So einfach ist es nicht. Vor Security Copilot gehört:
- Microsoft Defender for Endpoint auf allen Geräten ausgerollt — sonst keine Endpoint-Telemetrie.
- Microsoft Defender for Identity oder ein vergleichbares Identity-Produkt — für Anmelde-Anomalien.
- Microsoft Sentinel als SIEM — als Datendrehscheibe und Log-Aggregator.
- Microsoft 365 E5 oder vergleichbare Add-ons — sonst fehlen die meisten Datenquellen.
- Ein Team, das mit den Outputs arbeiten kann — entweder intern oder über einen Managed-Detection-Partner.
Ohne diese Basis bekommen Sie eine teure Plattform, die nichts zu sagen hat.
Lohnt sich Security Copilot für KMU?
Nüchtern betrachtet: für Unternehmen mit weniger als rund 250 Mitarbeitenden und ohne eigenes SOC selten. Die jährlichen Fixkosten plus E5-Lizenzen plus Sentinel-Datenkosten lassen sich kaum gegen den Nutzen rechnen. Stärkerer Hebel: ein solider Cybersecurity-Grundschutz mit MFA, Defender Business, modernem Backup und Awareness-Schulungen. Damit fängt man 80 Prozent der Angriffe ab — zu einem Bruchteil der Copilot-Kosten.
Bei KI-Tools sehen wir oft denselben Reflex: „Das ist von Microsoft, dann muss das gut für uns sein." Manchmal stimmt das. Bei Security Copilot heute meistens noch nicht. Erst die Hausaufgaben machen — MFA, Patch-Management, EDR, Backup. Dann reden wir über KI.
Jens HagelGeschäftsführer, hagel IT-Services GmbH
Anders bei Mittelständlern mit 250+ Mitarbeitenden, eigenem IT-Sicherheits-Team und ernsten Compliance-Anforderungen (NIS-2, Kritis, ISO 27001). Dort kann Security Copilot Triage-Zeiten messbar senken. Microsoft selbst gibt Studien-Werte von rund 30 Prozent schnellerer Bearbeitung an — die wir in Pilotprojekten plausibel sehen.
Ein Hamburger Mittelständler mit 350 Mitarbeitenden und eigenem 4-Personen-IT-Team testet Security Copilot seit Februar 2026. Der Befund nach 90 Tagen: Erstanalyse von Phishing-Reports von 18 Minuten auf 7 Minuten reduziert. Onboarding eines neuen Junior-Analysten — sechs Wochen schneller produktiv. Lohnt sich. Bei einem 25-Personen-Betrieb mit ausgelagerter IT? Nein.
Die ehrliche Alternative für KMU: Defender for Business + Managed Detection
Was Microsoft für KMU gemacht hat, heißt Microsoft Defender for Business und ist Bestandteil von Microsoft 365 Business Premium. Kein Security Copilot, aber automatische Untersuchungen, Antwortempfehlungen, EDR. In Kombination mit einem partnerseitigen Managed-Detection-Service (das übernehmen wir bei vielen unserer Kunden) liefert das pragmatische Sicherheit zu einem Bruchteil der Kosten.
Mehr dazu: Microsoft 365 Sicherheit & DSGVO und Security Tools Vergleich für Unternehmen 2026.
Datenschutz: Was passiert mit Ihren Daten?
Microsoft betont in der offiziellen Dokumentation, dass Kundendaten in Security Copilot nicht zum Training öffentlicher Modelle verwendet werden. Hosting erfolgt in der EU-Region (für EU-Kunden), die Verarbeitung läuft über die Microsoft Product Terms und den AVV (Auftragsverarbeitungsvertrag).
Für DSGVO-Compliance bedeutet das: AVV prüfen, in das Verzeichnis der Verarbeitungstätigkeiten aufnehmen, Zwecke und Empfänger dokumentieren. Standard für jedes Cloud-Werkzeug — kein Showstopper, aber kein Spielzeug.
Vergleich: Security Copilot vs. Microsoft 365 Copilot
| Merkmal | Microsoft 365 Copilot | Security Copilot |
|---|---|---|
| Zielgruppe | Alle Mitarbeitenden | Security-Teams / SOC |
| Lizenzmodell | pro Nutzer/Monat | Security Compute Units (SCU) |
| Listenpreis | ca. 28 €/User/Monat | ca. 4 USD/SCU/Stunde, min. 1 SCU 24/7 |
| Datenquellen | M365-Apps (Word, Excel, Teams, Outlook) | Defender, Sentinel, Entra, Intune |
| Use Case | Produktivität, Dokumente, Meetings | Incident-Response, Threat Hunting |
| Voraussetzung | M365 Business Standard / Premium | M365 E5 + Sentinel + Defender |
Auch lesenswert: Managed IT Services und unser Überblick zu IT-Sicherheit Trends 2026.
Aus dem Praxisalltag
Ich habe neun IT-Häuser angeschrieben. Nur drei haben ein Angebot geschickt, das ich als Nicht-ITler verstanden habe. hagel IT war eins davon.
So oder ähnlich klingt das Gespräch danach: „Was lohnt sich für uns wirklich?” Die ehrliche Antwort hängt von Ihrer Größe, Ihrer Branche und Ihrem aktuellen Reifegrad ab. Bei den meisten unserer Hamburger Kunden ist die Antwort heute: noch kein Security Copilot — aber dafür ein vernünftiger Defender-for-Business-Rollout, EDR-Monitoring, MFA überall und eine Awareness-Plattform.
Fazit: Hype filtern, Hausaufgaben machen
Microsoft Security Copilot ist beeindruckend — aber kein Pflicht-Tool für deutsche KMU. Wer eine eigene Security-Mannschaft hat und ein E5-Lizenzpaket fährt, sollte einen 90-Tage-Pilot fahren und die Triage-Zeiten messen. Alle anderen sind besser bedient mit einem soliden Grundschutz und einem Partner, der auswertet, alarmiert und reagiert.
Unsicher, was zu Ihrer Größe passt?
15 Minuten Erstgespräch. Wir schauen uns Ihre Microsoft-Lizenzierung an und geben eine ehrliche Einschätzung — ohne Verkaufsdruck.
Termin buchen →
