Microsoft Defender Angriffssimulationstraining: Sicherheitsbewusstsein praxisnah stärken
Phishing, Malware und Social Engineering gehören weiterhin zu den häufigsten Einstiegspunkten für Cyberangriffe. Technische Schutzmassnahmen spielen eine entscheidende Rolle bei der Stärkung der Sicherheit, dennoch bleibt der menschliche Faktor oft eine zentrale Schwachstelle. Das Angriffssimulationstraining, eine Funktion von Microsoft Defender for Office 365, bietet eine praxisnahe Möglichkeit, das Sicherheitsbewusstsein der Benutzer zu fördern und die Sicherheitslage der Organisation nachhaltig zu stärken.
Mit Microsoft Defender Angriffssimulationstraining können realistische Angriffszenarien simuliert werden, ohne dass dabei die tatsächliche Sicherheit gefährdet wird. Durch das Nachstellen von Phishing-Angriffen lässt sich das Verhalten des Benutzers testen und gezielt schulen.
Dieser Beitrag zeigt, wie Microsoft Defender für Office 365 Angriffssimulationstraining eingesetzt wird, von den Voraussetzungen und der Lizenzierung bis hin zur Konfiguration von Simulationen und der Auswertung der Ergebnisse. Ziel ist es, die Sicherheit zu erhöhen und Benutzer für Cybersicherheit zu sensibilisieren.
Voraussetzungen und Lizenzierung
Lizenzen
Für die Nutzung von Microsoft Defender für Office 365 Angriffssimulationstraining ist einer der folgenden Pläne geeignet:
- Microsoft Defender für Office 365 Plan 2
- Microsoft 365 E5 Security
- Microsoft 365 E5
Eine Übersicht der Microsoft Lizenzpakete mit deren Features kann unter https://m365maps.com/ abgerufen werden.
Rollen
Microsoft Defender für Office 365 Angriffssimulationstraining benötigt die folgenden Rollen nach dem Prinzip der geringsten Rechte:
| Rolle | Berechtigung |
| Sicherheitsadministrator oder Administrator für Angriffssimulation | Einrichtung und Konfiguration von Angriffssimulationstraining, Verwaltung der Angriffssimulationen |
| Autor der Angriffsnutzdaten | Angriffsszenarien erstellen, die ein Administrator später auslösen kann |
Microsoft Exchange Online Postfächer
Für das Angriffssimulationstraining stellt Microsoft Exchange Online die notwendige E-Mail-Infrastruktur zur Verfügung. Microsoft Exchange Online benötigt keine weitergehende Konfiguration.
Microsoft Defender Angriffssimulationstraining konfigurieren
Eine Simulation ist eine kontrollierte Übung, bei der realistische Angriffsszenarien nachgestellt werden, um die Reaktion der Benutzer auf potenzielle Sicherheitsbedrohungen zu testen. Ziel ist es, Schwachstellen in der Sicherheitsstrategie zu identifizieren und das Sicherheitsbewusstsein zu fördern.
Simulationen werden im Microsoft Defender Portal erstellt.
Anmelden an Microsoft Defeder Portal (https://security.microsoft.com/) > E-Mail & Zusammenarbeit > Angriffssimulationstraining > Simulationen > Eine Simulation starten
Als nächstes wird das Verfahren ausgewählt, welches für die Simulation verwendet werden soll. In diesem Beispiel wird Diebstahl von Anmeldeinformationen verwendet.
Die vorgeschlagenen Möglichkeiten basieren auf dem MITRE ATT&CK-Framework, einer weltweit zugänglichen Wissensdatenbank zu Taktiken und Techniken von Angreifern, basierend auf realen Beobachtungen.
Diebstahl von Anmeldeinformationen
Eine E-Mail enthält einen Link zu einer gefälschten Website. Ziel ist es, dass die Zielperson dort Anmeldedaten eingibt, welche vom Angreifer abgegriffen werden.
Schadsoftwareanlage
Die Nachricht enthält eine Datei, die beim Öffnen schädlichen Code ausführen kann, beispielsweise ein Makro oder ein eingebettetes Skript.
Link in Anlage
Ein hybrides Szenario, bei dem ein Link nicht direkt in der Nachricht steht, sondern in einer beigefügten Datei eingebettet ist. Wird die Anlage geöffnet, wird der Link sichtbar und kann angeklickt werden.
Link zu Schadsoftware
Die eigentliche Schadsoftware befindet sich nicht im Anhang, sondern ist auf einer externen Dateiablage gehostet (z. B. SharePoint oder Dropbox). Die Nachricht enthält lediglich den Link zu dieser Datei.
Drive-by-URL
Ein Link führt zu einer manipulierten Website, die beim Aufruf versucht, im Hintergrund automatisch Schadcode auf dem System der Zielperson auszuführen.
Erteilung einer Zustimmung in OAuth
Ein Angreifer nutzt eine legitime OAuth-Anfrage, um einer Anwendung übermässige Rechte zu erteilen. Die Zielperson wird dazu verleitet, der App Zugriff auf sensible Daten zu gewähren.
Anleitung
Dieses Verfahren dient nicht der Kompromittierung eines Kontos, sondern verfolgt ein didaktisches Ziel innerhalb einer Phishing-Simulation. Die simulierte Nachricht enthält gezielte Anweisungen, die darauf ausgelegt sind, dass die Empfängerin oder der Empfänger eine bestimmte Sicherheitsaktion durchführt, etwa das korrekte Melden einer verdächtigen E-Mail.
Name für die Simulation vergeben, z.B. M365_Link_Phishing_CredSteal
Phishing-Inhalt auswählen, welche simulierte E-Mail mit welchem Inhalt verschickt wird, z. B. eine angebliche Voicemail oder eine Paketbenachrichtigung. Im gezeigten Beispiel wurde eine Nachricht über ein angeblich volles Postfach ausgewählt.
Tipp: Beachtet die Sprache der Vorlage, nicht alle sind in Deutsch verfügbar.
Über den Bereich Mandantennutzlasten > Eine Nutzlast erstellen lässt sich im Microsoft Angriffssimulationstraining eigener Inhalt definieren. Die Erstellung individueller Nutzlasten wird in dieser Anleitung nicht behandelt.
Empfänger auswählen, es können alle Benutzer oder gezielt einzelne Benutzer oder Benutzergruppen ausgewählt werden.
Bei Bedarf können bestimmte Benutzer von der Simulation ausgeschlossen werden.
Sensibilisierungstraining für Benutzer auswählen, wenn sie während der Simulation auf eine simulierte, bösartige Nachricht reagieren, z. B. durch Klicken auf einen Link oder Öffnen einer Anlage.
- Microsoft-Training automatisch zuweisen (empfohlen)
Microsoft wählt auf Basis der Simulationsergebnisse passende Schulungsinhalte aus dem integrierten Katalog aus.
Trainingsinhalte manuell auswählen
Eigene Auswahl spezifischer Schulungsmodule aus dem Microsoft-Katalog.
Benutzerdefinierte Trainings-URL
Externe Lernressourcen einbinden
Kein Schulung
Training vollständig deaktivieren - Anzahl der Tage, bis der Benutzer das Training abgeschlossen haben muss
möglich sind 7 Tage, 15 Tage oder 30 Tage nach dem Ende der Simulation
Benachrichtigungsseite auswählen, welche den Benutzern angezeigt wird, wenn sie während der Simulation auf die E-Mail reagieren. Sie dient als Lernmoment und kann individuell angepasst werden.
- Benachrichtigungsseite auswählen
Eine Standardseite aus der Microsoft Bibliothek verwenden (Use landing pages from library) oder eine benutzerdefinierte URL zu hinterlegen (Use a custom URL), z. B. von externen Trainingsportalen - Indikatoren dem Benutzer mitteilen
Indikatoren dem Benutzer anzeigen, wie Phishing E-Mails identifiziert werden. - Layoutvorlage auswählen
Aus verschiedenen Layouts für die Benachrichtigungsseite auswählen. - Layout anpassen
Optional kann ein eigenes Logo hochgeladen werden. Zusätzlich wird die Standardsprache für die Anzeige der Seite festgelegt.
Tipp: beim Klick auf den Namen wird die Vorschau der Benachrichtigungsseite angezeigt.
Über den Bereich Landing Pages des Mandanten > Neu erstellen lässt sich eine eigene Benachrichtigungsseite definieren. Die Erstellung einer solchen Seite wird in dieser Anleitung nicht behandelt.
Benutzer aktiv über das Ergebnis der Simulation sowie über ausstehende Sensibilisierungstrainings informieren (1). Den Versandzeitpunkt (2) der Benachrichtigung individuell anpassen. Eine Vorschau der Nachricht (3) anzeigen.
Die Simulation kann entweder sofort oder geplant (1) gestartet werden. Eine Simulation dauert zwischen 2 und maximal 30 Tagen (2).
Zum Abschluss können die Angriffssimulationseinstellungen nochmals überprüft werden. Optional lässt sich eine Testnachricht an den aktuell angemeldeten Benutzer senden. Mit dem Absenden wird die Simulation gestartet.
Das Angriffssimulationstraining ist erfolgreich geplant. Assistent mit Fertig verlassen.
Das Microsoft Defender für Office 365 Angriffssimulationstraining erscheint in der Übersicht und wird durchgeführt.
Microsoft Defender Angriffssimulationstraining Ergebnisse und Berichterstattung
Das Microsoft Defender für Office 365 Angriffssimulationstraining stellt umfassende Auswertungsberichte bereit. Diese stehen nicht erst nach Abschluss der Simulation zur Verfügung, sondern bereits unmittelbar nach dem Start. Während der gesamten Laufzeit werden die Berichte kontinuierlich aktualisiert und liefern so stets aktuelle Einblicke.
Die Berichte können direkt im Microsoft Defender Portal eingesehen werden. Dazu die Simulation unter Microsoft Defeder Portal (https://security.microsoft.com/) > E-Mail & Zusammenarbeit > Angriffssimulationstraining > Simulationen aufrufen.
Unter Melden (1) werden die Ergebnisse der laufenden Angriffssimulation dargestellt. Die Ansicht zeigt unter anderem den Zustellstatus der Phishing-Nachricht (2), das gesamte Nutzerverhalten wie das Klicken auf Links oder die Eingabe von Anmeldedaten (3), sowie den aktuellen Stand des zugewiesenen Sensibilisierungstraining (4). Im Bereich Auswirkungen der Simulation (5) ist ersichtlich, wie viele Benutzer kompromittiert und ob verdächtige Aktivitäten gemeldet wurden.
Unter Benutzer (1) werden die Teilnehmer des Angriffssimulationstrainings mit dem jeweilig aktuellen Status aufgeführt. Die Übersicht zeigt, ob ein Benutzer kompromittiert (2) wurde, die Nachricht gemeldet (3) hat und wie der Sensibilisierungstrainingsstatus (4) ist. Weitere Informationen geben Aufschluss über Zustellprobleme (5) der E-Mail. Unter Weitere Aktionen (6) wird aufgeführt, welche Interaktionen mit der Nachricht erfolgt sind. So zum Beispiel das Klicken auf einen Link, das Löschen oder das Melden der E-Mail. So lässt sich auf einen Blick erkennen, welche Benutzer auf die Simulation reagiert haben und ob entsprechendes Sensibilisierungstraining erforderlich ist.
Phishing-Simulation aus Sicht der Benutzer
Beispiel Phishing-Mail im Posteingang
Im Rahmen des Microsoft Defender für Office 365 Angriffssimulationstraining erhalten die Benutzer eine täuschend echt gestaltete E-Mail direkt in den Posteingang.
Die Nachricht orientiert sich in Aufbau, Sprache und Absenderdetails an realen Phishing-Versuchen. Ziel ist es, das Erkennen von Bedrohungen im Arbeitsalltag praxisnah zu trainieren, ohne Vorwarnung und unter realistischen Bedingungen.
In diesem Beispiel handelt es sich um eine Benachrichtigung über ein angeblich volles Postfach.
Klickt der Benutzer auf den Link Storage Limits und meldet sich mit seinem Benutzernamen und Passwort an, wird eine Hinweisseite angezeigt, die auf die laufende Angriffssimulation aufmerksam macht.
Der Benutzer erhält eine E-Mail, die ihm das entsprechende Sensibilisierungstraining zuweist.
E-Mail als Phishing melden
Wird die verdächtige Nachricht vom Benutzer erkannt, kann sie direkt über die integrierte Schaltfläche im E-Mail-Client als Phishing gemeldet werden. Diese Funktion steht in Microsoft Outlook standardmässig zur Verfügung. Das Melden von Phishing-Mails ist nicht nur Bestandteil des Trainings, sondern ein wichtiger Schritt zur Stärkung der Sicherheitskultur im Unternehmen.
Melden > Phishing melden
In der Auswertung des Microsoft Defender für Office 365 Angriffssimulationstraining wird das Melden einer Phishing-E-Mail durch den Benutzer angezeigt. Für den Benutzer sind damit keine weiteren Schritte erforderlich, es wird kein zusätzliches E-Mail mit einem Sensibilisierungstraining versendet.
Zugriff auf Sensibilisierungstraining
Sobald ein Benutzer auf einen Sensibilisierungstraining-Link klickt wird automatisch das Trainingscenter geöffnet. Hier erwarten den Benutzer interaktive Inhalte, die anschaulich erklären, wie echte Bedrohungen erkannt und vermieden werden können. Das Training ist bewusst kurz gehalten und vermittelt dennoch alle wichtigen Sicherheitsgrundlagen effizient und praxisnah.
Das Sensibilisierungstraining beginnt mit einem Klick auf Start.
Neue Inhalte, praxisnah erklärt: Wer nichts verpassen möchte, bleibt über LinkedIn und Bluesky stets informiert.
Kein Marketing, kein Lärm, nur Inhalt. Wenn dieser Beitrag hilfreich war, sorgt ein Kaffee für das herrliche Aroma beim Schreiben.
