Zum Inhalt springen
Binsfeld
Alle Beiträge
· 5 min Lesezeit

Cisco ESA vs. Microsoft Defender for O365

Wann lohnt sich die Cisco ESA, wann reicht Microsoft Defender for Office 365? Ehrlicher Vergleich aus 7+ Jahren produktiver ESA-Praxis.

Cisco ESA Microsoft Defender E-Mail-Security Vergleich

Die Frage hinter der Frage

In den letzten 18 Monaten höre ich diese Frage in jedem zweiten Erstgespräch mit größeren Mittelständlern: „Wir haben seit Jahren Cisco-ESA-Cluster im Betrieb, jetzt schiebt Microsoft mit Defender for Office 365 nach — sollen wir wechseln?"

Die ehrliche Antwort: Es kommt darauf an. Aber nicht im Berater-Klischee-Sinn, sondern in einem ganz konkreten, nachprüfbaren Sinn. Der Wechsel oder Verbleib hängt an drei Variablen: Lizenz-Konstellation, Filter-Tiefe-Anspruch und Compliance-Druck.

Dieser Beitrag ist kein Cisco-Verkaufstext und kein Microsoft-Hass. Ich administriere Cisco-ESA-Cluster seit 2018 produktiv, und ich habe genug Migrations-Projekte gesehen, in denen der Wechsel auf Defender die richtige Entscheidung war — und genug, in denen er teuer und unnötig war.

Wann Cisco ESA strukturell überlegen bleibt

1. Tiefe Filter-Logik mit produktiv-historischer Tuning-Substanz

Eine über Jahre tunte Cisco-ESA-Konfiguration hat oft Hunderte Content-Filter, Message-Filter und Custom-Reputations-Listen. Das ist in Defender for Office 365 nicht 1:1 abbildbar — Microsoft setzt stark auf KI-getriebene Erkennung statt auf granular konfigurierbare Filter-Bäume. Wer Filter-Tiefe gewohnt ist und braucht (Banking, Versicherung, Behörden, regulierte Branchen), verliert beim Wechsel an Kontrolle.

2. Heterogener Mail-Stack mit Nicht-Microsoft-Komponenten

Wenn Ihr Mail-Stack nicht zu 100 % auf Microsoft 365 läuft — sondern parallel On-Premise Exchange, Lotus-Notes-Reste, Linux-Mailrelays, oder externe Branchensoftware-Mailer — bleibt Cisco ESA als Gateway-vor-allem-Davor strukturell überlegen. Defender for Office 365 wird im O365-eigenen Datenpfad besonders stark; davor und daneben ist die Funktionalität dünner.

3. SMA-basierte Compliance-Reports und Forensik

Cisco SMA bietet zentralisiertes Reporting, Tracking und End-User-Quarantäne über mehrere ESA-Cluster hinweg. Wenn Compliance-Audits regelmäßige Mail-Forensik-Reports verlangen (BaFin-Audits, ISO-27001-Wiederholungs-Audits), ist die SMA-Reporting-Tiefe schwer zu ersetzen.

4. Gewachsene Operations-Kultur

Wenn Ihr internes IT-Team seit Jahren Cisco-ESA betreibt und das auch gut kann — der Migrations-Aufwand zu Defender ist nicht nur ein Tool-Wechsel, sondern ein Skill-Wechsel. Sechs Monate produktive Reibung sind realistisch. Das ist ein versteckter Migrations-Kostenfaktor.

Wann Microsoft Defender for Office 365 die richtige Wahl ist

1. Reines O365-Setup ohne Legacy-Mail

Wenn Ihre gesamte Mail-Infrastruktur in Microsoft 365 läuft, alle Postfächer in Exchange Online, kein On-Premise-Mailrelay mehr — dann ist Defender for Office 365 strukturell die ergonomischste Wahl, weil sie tief in den O365-Datenpfad integriert ist. Erkennung von Insider-Threats, Compromised-Account-Mustern und lateralen Phishing-Angriffen funktioniert hier deutlich besser als bei einer extern vorgeschalteten Cisco-ESA, die nur eingehende Mails sieht.

2. Lizenz-Konstellation passt sowieso schon

Wenn Sie Microsoft 365 E5 oder Microsoft 365 E5 Security lizenziert haben, ist Defender for Office 365 Plan 2 enthalten. Eine separate Cisco-ESA-Lizenz parallel ist dann redundant. In dieser Konstellation ist die Frage nicht „warum Defender", sondern „warum noch Cisco zusätzlich".

3. KMU mit kleinem IT-Team

Für ein 30-Personen-IT-Team mit drei Admins ist Cisco-ESA-Cluster-Betrieb Overkill. Defender for Office 365 ist deutlich näher am „set-and-forget"-Modus — was nicht heißt, dass es null Konfigurationsaufwand braucht, aber doch deutlich weniger als ESA.

4. Modernes UX und Threat-Hunting via Sentinel

Defender für O365 integriert sich nativ in Microsoft Sentinel und Defender XDR. Threat-Hunting über mehrere Datenquellen (E-Mail, Endpoint, Identity) ist hier ergonomischer als der äquivalente Workflow mit Cisco SMA + drittanbieter-SIEM.

Die ehrliche Mittelposition: Beide parallel betreiben

Eine in der Praxis häufige, aber selten als „Strategie" verkaufte Konstellation: Cisco ESA als externes Gateway vor Microsoft 365, Defender for Office 365 als zweite Verteidigungsschicht intern.

Vorteile:

  • Doppelte Filterung mit unterschiedlichen Threat-Intelligence-Quellen (Talos vs. Microsoft)
  • Cisco ESA fängt Massen-Phishing und Spam, Defender erkennt zielgerichtete Angriffe und Compromised Accounts
  • Bei Ausfall eines Systems läuft das andere weiter

Nachteile:

  • Doppelte Lizenzkosten (kann je nach Lizenz-Stack signifikant sein)
  • Doppelte Konfigurations-Pflege
  • Mögliche Doppel-Quarantänen (was End-User verwirrt)

In der Praxis sehe ich diese Konstellation überwiegend in regulierten Branchen — Banking, Versicherung, Pharma, Energieversorgung. Dort lautet die Compliance-Anforderung oft „Zwei unabhängige Sicherheitsschichten in der Mail-Kette". Da ist die Konstellation begründet.

Lizenzkosten — nüchtern gerechnet

Nüchterne Faustzahlen für ein 1.000-Postfach-Unternehmen (ungefähr, ohne Vertragsverhandlung):

  • Cisco Secure Email (ehemals ESA Cloud) oder Cisco Cloud Email Security: rund 30–50 € pro Postfach pro Jahr, je nach Feature-Paket und Vertragsvolumen
  • Microsoft Defender for Office 365 Plan 2 (Standalone): rund 60 € pro Postfach pro Jahr — ist aber in M365 E5 enthalten
  • Cisco ESA on-premise: Lizenz pro Box plus Support-Vertrag, häufig 5-Jahres-Vertrag mit Hardware-Refresh

Die wahre Kostenrechnung muss das interne Personal mitberechnen: Cisco-ESA-Administrationsaufwand pro Cluster vs. Defender-Konfigurationsaufwand. Hier verschwindet die scheinbare „Defender ist günstiger"-Rechnung oft schnell, wenn man Operations-Kosten mit einberechnet.

Migrations-Realität: 8–16 Wochen, nicht „eine Nacht"

Eine vollständige Ablösung von Cisco ESA hin zu Defender for Office 365 dauert in einem mittelgroßen Setup realistisch 8–16 Wochen:

  1. Wochen 1–2: Defender-Konfiguration aufsetzen, Filter-Logiken aus Cisco analysieren und in Defender abbilden
  2. Wochen 3–4: Schatten-Modus — beide Systeme parallel, Defender bewertet ohne aktiv zu blocken, Vergleich der Erkennungs-Raten
  3. Wochen 5–8: Schrittweiser MX-Wechsel pro Domain, Cisco-Reputation für ausgehende Mails muss übergeben werden
  4. Wochen 9–12: End-User-Schulungen, Quarantäne-Konzept-Wechsel, Helpdesk-Skripte aktualisieren
  5. Wochen 13–16: Cisco-Stilllegung, Vertragsende, finale Forensik-Übergabe

Wer sagt, das geht in einer Nacht, hat es noch nie gemacht.

Fazit

Die Cisco-vs.-Defender-Frage ist eine Konstellations-Frage, keine Produkt-Frage. Wer rein O365-basiert läuft und kleines IT-Team hat, fährt mit Defender besser. Wer Filter-Tiefe braucht, heterogene Mail-Pfade hat oder regulatorisch zur Defense-in-Depth verpflichtet ist, bleibt bei Cisco — oder fährt beide parallel.

Wenn Sie sich gerade mit dieser Entscheidung beschäftigen und eine unabhängige Einschätzung wollen — Erstgespräch ist kostenlos, ich bin als Cisco-Spezialist nicht reflexhaft pro-Cisco, sondern habe Migrations-Projekte in beide Richtungen begleitet.

Frage zum Artikel oder Beratungsbedarf?

Schreiben Sie kurz, woran Sie arbeiten — ich melde mich zurück.

Kontakt aufnehmen