Attack Simulation Training Attack Simulation Training
Referenz für Planung, Durchführung, Automatisierung und Auswertung von Phishing- und Social-Engineering-Simulationen in Defender for Office 365 P2. Reference for planning, launching, automating, and measuring phishing and social-engineering simulations in Defender for Office 365 P2.
Erfordert in der Praxis Defender for Office 365 P2 oder ein Paket mit enthaltenem P2 Funktionsumfang. In practice this requires Defender for Office 365 P2 or a suite that includes the P2 feature set.
Techniken, Payloads, Landing Pages, Trainingsmodule, Berichte und Automatisierungen bilden den Betriebsrahmen. Techniques, payloads, landing pages, training modules, reports, and automations form the operating model.
Benutzerverhalten messbar machen, Risikogruppen erkennen und zielgerichtete Nachschulung auslösen. Make user behavior measurable, identify risk groups, and trigger targeted follow-up training.
Verwaltung erfolgt im Microsoft Defender Portal mit enger Kopplung an Defender XDR, Berichte und Schulungsinhalte. Administration happens in the Microsoft Defender portal with tight linkage to Defender XDR, reporting, and training content.
Attack Simulation Training ist primär ein Portal-Workflow. PowerShell und Graph helfen vor allem bei Zielgruppenvorbereitung, Auswertung und angrenzender Automatisierung. Attack Simulation Training is primarily a portal workflow. PowerShell and Graph are most useful for target preparation, reporting, and adjacent automation.
Überblick: Attack Simulation Training in Defender for Office 365 P2 Overview: Attack Simulation Training in Defender for Office 365 P2
Attack Simulation Training ergänzt technische E Mail Abwehr durch kontrollierte, sichere Simulationen. Administratoren testen, wie Benutzer auf Phishing, Schadsoftware, OAuth Freigaben und geschäftsprozessnahe Social-Engineering Lures reagieren. Attack Simulation Training complements technical email defenses with controlled, safe simulations. Administrators test how users react to phishing, malware, OAuth grants, and business-process oriented social-engineering lures.
Der Dienst koppelt Simulation, Lerninhalte und Reporting. Dadurch lässt sich nicht nur die Kompromittierungsrate messen, sondern auch nachvollziehen, welche Benutzer nach einer Kampagne trainiert wurden und welche Gruppen wiederholt auffallen. The service ties simulation, training content, and reporting together. That makes it possible not only to measure compromise rate, but also to see which users were trained after a campaign and which groups reoffend.
Für einen belastbaren Betrieb werden reale Angriffswege nachgebildet, Pilotwellen geplant, VIP und Break-Glass Konten ausgeschlossen und Ergebnisse mit organisatorischen Maßnahmen wie Meldeschaltflächen und Awareness Kommunikation verknüpft. For an operationally sound program, real attack paths are modeled, pilot waves are planned, VIP and break-glass accounts are excluded, and results are linked with organizational measures such as reporting buttons and awareness communication.
Programmbausteine Program building blocks
- Simulationstechniken bestimmen den Angriffsvektor und die gemessene Benutzeraktion. Simulation techniques define the attack vector and the measured user action.
- Payloads liefern Betreff, Absenderpersona, Anhänge und Links. Payloads provide subject, sender persona, attachments, and links.
- Landing Pages und Schulungen bilden die sichere Nachbildung der Benutzerreise. Landing pages and training provide the safe recreation of the user journey.
- Berichte und Automatisierungen schließen den Kreislauf aus Messung, Nachschulung und erneuter Überprüfung. Reports and automations close the loop of measurement, retraining, and revalidation.
Voraussetzungen und Betriebsmodell Prerequisites and operating model
Vor der ersten Simulation sollten Absenderdomänen, Kommunikationsplan, Helpdesk Prozesse, Ausnahmen für kritische Konten und Freigaberoutinen mit Security, HR und Legal abgestimmt sein. Before the first simulation, sender domains, communication plans, help desk processes, exceptions for critical accounts, and approval routines should be aligned with security, HR, and legal.
Eine gute Betriebsreife umfasst auch Datenqualität in Entra ID. Abteilungen, Länder, Rollen und Trainingsgruppen erleichtern segmentierte Kampagnen und reduzieren manuelle Arbeit. Good operational maturity also depends on data quality in Entra ID. Departments, countries, roles, and training groups simplify segmented campaigns and reduce manual effort.
| Voraussetzung Prerequisite | Warum wichtig Why it matters |
|---|---|
| Defender for Office 365 P2 Defender for Office 365 P2 | Nur P2 stellt Attack Simulation Training mit erweitertem Reporting und Training bereit. Only P2 exposes Attack Simulation Training with advanced reporting and training. |
| Saubere Zielgruppen Clean target groups | Gruppen nach Abteilung, Region oder Risikoprofil steuern Kampagnen präziser. Groups by department, region, or risk profile make campaigns more precise. |
| Kommunikationsplan Communication plan | Benutzer sollten wissen, wie echte Phishing Meldung funktioniert und warum Übungen stattfinden. Users should know how real phishing reporting works and why exercises are being run. |
| Ausschlusslisten Exclusion lists | Break-Glass, Incident Teams und Sonderpostfächer brauchen bewusste Behandlung. Break-glass accounts, incident teams, and special mailboxes need deliberate handling. |
| Messkriterien Measurement criteria | Klicks, Dateneingaben, Trainingsabschluss, Wiederholungstäter und Meldequote vorab definieren. Define clicks, submissions, training completion, repeat offenders, and report rate in advance. |
Alle Simulationstechniken All simulation techniques
Attack Simulation Training bietet mehrere Techniken, die unterschiedliche Angriffsphasen abbilden. Die Wahl sollte sich an realen Bedrohungen, dem Reifegrad der Benutzer und den gewünschten Messpunkten orientieren. Attack Simulation Training offers multiple techniques that model different attack phases. The choice should align with real threats, user maturity, and the measurement points you want to capture.
Nicht jede Technik passt zu jeder Population. Ein Pilot mit kleiner Zielgruppe hilft, Mailfluss, Proxy Verhalten, Meldeschaltflächen und Support Prozesse zu validieren. Not every technique fits every population. A pilot with a small audience helps validate mail flow, proxy behavior, reporting buttons, and support processes.
| Technik Technique | Beschreibung Description | Typische Einstellungen Typical settings |
|---|---|---|
| Credential Harvest Credential Harvest | Gefälschte Anmeldeseite zur Messung von Klick und Dateneingabe. Fake sign-in page to measure click and credential submission. | Branding, Landing Page, Weiterleitung, Training. Branding, landing page, redirect, training. |
| Malware Attachment Malware Attachment | Ungefährlicher Anhang simuliert Schadsoftware oder Makro Köder. Benign attachment simulates malware or macro lures. | Dateityp, Dateiname, Absender, Schulung. File type, file name, sender, training. |
| Link in Attachment Link in Attachment | Anhang enthält eingebetteten Link oder Call to Action. Attachment contains an embedded link or call to action. | Anhangsformat, Linktext, Zielseite, Tracking. Attachment format, link text, destination page, tracking. |
| Link to Malware Link to Malware | Link verweist auf simulierten Download oder malwareähnliche Aktion. Link points to a simulated download or malware-like action. | Downloadname, Zielseite, Click Tracking, Schulung. Download name, destination page, click tracking, training. |
| Drive-by URL Drive-by URL | Benutzer besucht eine gehostete Seite mit riskanter Aktion. User visits a hosted page with a risky action. | URL, Branding, Seite, Interaktionsschwelle. URL, branding, page, interaction threshold. |
| OAuth Consent Grant OAuth Consent Grant | Benutzer soll einer gefälschten App Berechtigungen erteilen. User is prompted to grant permissions to a fake app. | App Name, Publisher, Scopes, Zielgruppe. App name, publisher, scopes, audience. |
| How-to Guide How-to Guide | Schritt für Schritt Anleitung ahmt prozessnahe Manipulation nach. Step-by-step guidance mimics process-oriented manipulation. | Leitfaden, Persona, CTA, Abteilungskontext. Guide, persona, CTA, department context. |
Credential Harvest Credential Harvest
Credential Harvest simuliert eine gefälschte Anmeldeseite, auf der Benutzer scheinbar ihre Zugangsdaten eingeben. Die Technik eignet sich für Passwortablauf, Freigabeanforderungen und Dokumentzugriffe. Credential Harvest simulates a fake sign-in page where users appear to enter credentials. The technique is suited to password expiration, approval requests, and document access lures.
Gemessen werden Öffnen, Klick, Besuch der Seite und Dateneingabe, ohne echte Kennwörter zu speichern. Anschließend kann direkt Training oder eine Auflösungsseite angezeigt werden. It measures open, click, page visit, and data submission behavior without storing real passwords. Training or a resolution page can be shown immediately afterward.
Wichtige Einstellungen Important settings
- Anmeldeseite und Markenbild wählen, zum Beispiel Microsoft 365 oder organisationsnahe Optik. Choose the sign-in page and branding, such as Microsoft 365 or an organization-like look.
- Payload mit Absenderpersona, Betreff und Nachrichtenkontext verbinden. Link the payload to sender persona, subject, and message context.
- Weiterleitung nach Eingabe festlegen, etwa Lernseite oder neutrale Zielseite. Define the post-submission redirect, such as a learning page or neutral destination.
- Training automatisch für kompromittierte Benutzer zuweisen. Automatically assign training for compromised users.
Planungshinweise Planning notes
- Break-Glass und privilegierte Konten bewusst ausschließen oder separat behandeln. Exclude or separately handle break-glass and privileged accounts.
- Die Technik ist besonders wirksam mit vertrauten Marken und realistischen Formularfeldern. The technique is especially effective with familiar brands and realistic form fields.
- Ergebnisse mit MFA, Conditional Access und App Consent Richtlinien gemeinsam interpretieren. Interpret results together with MFA, Conditional Access, and app consent policies.
Malware Attachment Malware Attachment
Malware Attachment simuliert eine bösartige Datei wie Office Dokument, Archiv oder PDF. Der Anhang bleibt sicher, bildet aber die Benutzerentscheidung zum Öffnen einer Datei nach. Malware Attachment simulates a malicious file such as an Office document, archive, or PDF. The attachment remains safe but recreates the decision to open a file.
Die Technik ist nützlich für Rechnungen, Versandmeldungen, HR Dokumente oder interne Freigaben. Sie misst Vertrauen in Anhänge und Neugier auf ungeplante Dateien. The technique is useful for invoices, shipping notices, HR documents, or internal approvals. It measures trust in attachments and curiosity toward unexpected files.
Wichtige Einstellungen Important settings
- Dateityp, Dateiname und visuelle Anmutung passend zum Szenario festlegen. Choose the file type, file name, and visual style to fit the scenario.
- Absendername und Nachrichtentext auf den Geschäftsprozess abstimmen. Align sender name and message text with the business process.
- Festlegen, ob nach dem Öffnen eine Landing Page oder Training erscheint. Decide whether a landing page or training appears after the open.
- Anhangsformat mit Mailflow und Gateway Kontrollen abstimmen. Align attachment format with mail flow and gateway controls.
Planungshinweise Planning notes
- Geeignet für Makro ähnliche Verhaltensmuster und unerwartete Dateianfragen. Useful for macro-like behavior patterns and unexpected file requests.
- Helpdesk und SOC sollten Dateiname und Zeitfenster kennen. The help desk and SOC should know the file name and time window.
- Dateiname, Betreff und Geschichte sollten dieselbe plausible Story erzählen. The file name, subject, and story should tell the same plausible narrative.
Link in Attachment Link in Attachment
Link in Attachment verlagert den Köder in einen Anhang mit Button, QR Code oder Hyperlink. Benutzer öffnen zuerst die Datei und klicken dann auf den eingebetteten Verweis. Link in Attachment moves the lure into an attachment that contains a button, QR code, or hyperlink. Users open the file first and then click the embedded reference.
Damit werden zwei Entscheidungen gemessen: Vertrauen in den Anhang und Vertrauen in den darin enthaltenen Call to Action. Das ist nützlich für Portale, Formulare und Dokumentlinks. This measures two decisions: trust in the attachment and trust in the call to action inside it. It is useful for portals, forms, and document links.
Wichtige Einstellungen Important settings
- Anhangsformat wie PDF oder Office Datei sowie Linktext oder QR Code gestalten. Choose an attachment format such as PDF or Office and design the link text or QR code.
- Landing Page und Nachschulungsweg nach dem Klick definieren. Define the landing page and retraining path after the click.
- Tracking für Dateiöffnung und Linkklick im Reporting prüfen. Validate tracking for file open and link click in reporting.
- Nachricht, Anhang und Zielseite thematisch abstimmen. Align the message, attachment, and destination page thematically.
Planungshinweise Planning notes
- Sehr geeignet für Richtliniendokumente, Angebote, Rechnungen oder Signaturanforderungen. Well suited for policy documents, offers, invoices, or signature requests.
- Desktop und Mobile Clients im Pilot prüfen. Validate desktop and mobile clients in the pilot.
- Mit brandnahen Landing Pages steigt die Aussagekraft über Vertrauen. Brand-aligned landing pages increase insight into trust behavior.
Link to Malware Link to Malware
Link to Malware nutzt einen Link im Nachrichtentext, der zu einem simulierten Download oder einer malwareähnlichen Aktion führt. Die Datei selbst bleibt ungefährlich. Link to Malware uses a link in the message body that leads to a simulated download or malware-like action. The file itself remains harmless.
Diese Technik ist sinnvoll, wenn keine echten Anhänge verschickt werden sollen oder wenn Browser und Mobilgeräte im Mittelpunkt stehen. This technique is useful when you do not want to send real attachments or when browsers and mobile devices are the main focus.
Wichtige Einstellungen Important settings
- Downloadname, Dateiendung und Zielseite passend zum Geschäftsprozess definieren. Define the download name, file extension, and destination page to match the business process.
- Festlegen, ob direkt nach dem Klick trainiert wird oder erst eine Zwischenseite erscheint. Decide whether training appears immediately after the click or after an intermediate page.
- Safe Links, Proxy und Browser Schutzpfade im Pilot validieren. Validate Safe Links, proxy, and browser protection paths in the pilot.
- Absenderpersona und Linkdarstellung auf Update, Voicemail oder Versand abstimmen. Align sender persona and link presentation with update, voicemail, or shipping stories.
Planungshinweise Planning notes
- Die Technik testet primär Klickbereitschaft und Download Vertrauen. The technique primarily tests click willingness and download trust.
- Hilfreich für verteilte Belegschaften mit Browser und Mobilfokus. Helpful for distributed workforces with a browser and mobile focus.
- Im Reporting auf Muster mit anderen Link Lures achten. In reporting, compare the outcome with other link-based lures.
Drive-by URL Drive-by URL
Drive-by URL führt Benutzer auf eine gehostete Seite, die eine riskante oder neugierig machende Aktion nachbildet, etwa Dokumentabruf, Download oder Interaktion mit einer täuschend echten Webseite. Drive-by URL takes users to a hosted page that recreates a risky or curiosity-driven action such as document retrieval, a download, or interaction with a deceptive website.
Im Unterschied zu anhangsorientierten Szenarien steht hier der Webseitenbesuch im Vordergrund. Das passt gut zu QR Phishing und Collaboration Lures. Unlike attachment-focused scenarios, the web visit is central here. That fits QR phishing and collaboration lures well.
Wichtige Einstellungen Important settings
- Gehostete URL, Seitentitel und sichtbare Handlungsaufforderung festlegen. Set the hosted URL, page title, and visible call to action.
- Branding so anpassen, dass der Wechsel von der Nachricht auf die Seite plausibel bleibt. Adjust branding so the transition from message to page feels plausible.
- Messpunkt definieren, zum Beispiel Besuch allein oder zusätzlicher Download. Define the measurement point, such as visit only or an additional download.
- Training, Auflösung oder neutrale Umleitung nach Abschluss bestimmen. Choose training, resolution, or neutral redirect after completion.
Planungshinweise Planning notes
- Besonders gut für QR, Chat und externe Inhalte geeignet. Especially useful for QR, chat, and external-content scenarios.
- Bei strengen Web Proxys externe Seiten und Redirects vorab prüfen. Validate external pages and redirects in environments with strict web proxies.
- Hilft, Safe Browsing Gewohnheiten und Link Skepsis zu trainieren. Helps train safe browsing habits and link skepticism.
OAuth Consent Grant OAuth Consent Grant
OAuth Consent Grant simuliert eine Anwendung, die Benutzer um Microsoft 365 oder Graph Berechtigungen bittet. Das Szenario adressiert moderne Identitätsrisiken ohne Passwortabfrage. OAuth Consent Grant simulates an application asking users for Microsoft 365 or Graph permissions. The scenario addresses modern identity risks without asking for a password.
Die Technik ist wertvoll, wenn Self Service Integrationen, Low Code Apps oder App Zustimmungen im Tenant relevant sind. Sie sensibilisiert für übermäßige Berechtigungen. The technique is valuable when self-service integrations, low-code apps, or app consents matter in the tenant. It raises awareness for excessive permissions.
Wichtige Einstellungen Important settings
- Anwendungsname, Publisher Darstellung und Consent Bildschirm realistisch definieren. Define the application name, publisher view, and consent screen realistically.
- Geforderte Berechtigungsscopes passend zum Awareness Ziel auswählen. Choose permission scopes that match the awareness objective.
- Nur Zielgruppen einschließen, die tatsächlich App Zustimmungen sehen dürfen. Include only audiences that are actually allowed to grant app consent.
- Nach der Interaktion sofort erklären, warum Consent Risiken schwer erkennbar sind. Explain immediately after the interaction why consent risks are hard to spot.
Planungshinweise Planning notes
- Mit Entra App Consent Richtlinien und Cloud App Governance abstimmen. Align with Entra app consent policies and Cloud App Governance.
- Die Gegenüberstellung harmloser und hochriskanter Scopes ist didaktisch stark. Contrasting harmless and high-risk scopes is powerful for learning.
- Trainiert moderne Identitätsangriffe jenseits klassischer Passwortseiten. Trains users against modern identity attacks beyond classic password pages.
How-to Guide How-to Guide
How-to Guide simuliert eine scheinbar legitime Schritt für Schritt Anleitung, die Benutzer zu einer Handlung verleiten soll, etwa Zahlungsdaten ändern, Portal öffnen oder Freigabeprozess auslösen. How-to Guide simulates an apparently legitimate step-by-step guide designed to persuade users into taking an action such as changing payment details, opening a portal, or triggering an approval process.
Die Technik deckt Business Process Fraud und autoritätsbasierte Social Engineering Muster ab. Sie eignet sich gut für Finance, HR und Operations. The technique covers business process fraud and authority-based social engineering patterns. It works well for finance, HR, and operations audiences.
Wichtige Einstellungen Important settings
- Leitfaden, Schritte, Call to Action und sichtbare Persona passend zum Prozess formulieren. Write the guide, steps, call to action, and visible persona to match the process.
- Zielseite oder Abschlussaktion wie Zahlungsportal oder Dokumentfreigabe festlegen. Define the destination page or final action such as a payment portal or document share.
- Abteilungsbezogene Varianten für Finance, HR oder Einkauf nutzen. Use department-specific variants for finance, HR, or procurement.
- Klare Nachschulung zu Rückrufverfahren und Vier Augen Prinzip einplanen. Plan clear retraining about callback procedures and four-eyes checks.
Planungshinweise Planning notes
- Ideal für BEC ähnliche Szenarien mit Fokus auf Prozessvertrauen. Ideal for BEC-like scenarios that focus on process trust.
- Der Nutzen steigt, wenn echte Freigabewege in der Nachschulung erklärt werden. Value increases when real approval paths are explained in retraining.
- Mit Fachbereichen abstimmen, damit Formulierungen glaubwürdig, aber sicher bleiben. Coordinate with business teams so wording remains believable yet safe.
OAuth Consent Grant sollte nur für Zielgruppen eingesetzt werden, die App Zustimmungen wirklich sehen. Sonst sinkt die Realitätsnähe und Benutzer werden unnötig verwirrt. OAuth Consent Grant should be used only for audiences that truly encounter app consent prompts. Otherwise realism drops and users are confused unnecessarily.
Payloads und vorhergesagte Kompromittierungsrate Payloads and predicted compromise rate
Payloads definieren Betreff, sichtbaren Absender, Nachrichtentext, Linkstruktur, Anhänge und thematische Geschichte. Gute Payloads orientieren sich an realen Angriffsmustern und bleiben technisch sicher. Payloads define subject, visible sender, message body, link structure, attachments, and thematic story. Good payloads mirror real attack patterns while remaining technically safe.
Microsoft stellt kuratierte Payloads bereit. Zusätzlich können Community Inhalte genutzt und eigene Payloads erstellt werden. Microsoft provides curated payloads. Community content can also be used, and custom payloads can be created.
Die vorhergesagte Kompromittierungsrate dient als Orientierungswert. Sie kombiniert historische Muster, Zielgruppencharakteristika und die Attraktivität des Köders, ersetzt aber keine fachliche Bewertung. The predicted compromise rate acts as an orientation value. It combines historical patterns, audience characteristics, and lure attractiveness, but it does not replace analyst judgment.
| Payload Quelle Payload source | Stärken Strengths | Governance Governance | Typischer Einsatz Typical use |
|---|---|---|---|
| Microsoft Payloads Microsoft payloads | Kuratiert, schnell einsetzbar, oft mehrsprachig. Curated, fast to deploy, and often multilingual. | Niedriger Review Aufwand, trotzdem lokale Richtlinien prüfen. Low review overhead, but still validate local policies. | Schnelle Standardkampagnen. Fast standard campaigns. |
| Community Payloads Community payloads | Breite Vielfalt an Ideen und Branchenbezug. Broad variety of ideas and industry context. | Qualität und Tonalität vor Einsatz prüfen. Review quality and tone before use. | Erweiterung des Szenariokatalogs. Expansion of the scenario catalog. |
| Custom Payloads Custom payloads | Maximale Nähe zu internen Prozessen und Marken. Maximum alignment with internal processes and brands. | Freigabe durch Security, Kommunikation und Fachbereiche einplanen. Plan approval by security, communications, and business owners. | Spezifische Finance, HR oder Operations Szenarien. Specific finance, HR, or operations scenarios. |
Faktoren für die vorhergesagte Kompromittierungsrate Factors behind predicted compromise rate
- Historisches Benutzerverhalten bei ähnlichen Simulationen. Historical user behavior in similar simulations.
- Nähe der Geschichte zum Arbeitsalltag der Zielgruppe. Closeness of the story to the audience work routine.
- Markenvertrauen und Glaubwürdigkeit von Absender, Landing Page und Betreff. Brand trust and credibility of sender, landing page, and subject.
- Saisonale oder prozessbezogene Relevanz wie Jahresabschluss oder Benefits Enrollment. Seasonal or process relevance such as year-end close or benefits enrollment.
- Reifegrad vorhandener Schulungen und technischer Kontrollen. Maturity of existing training and technical controls.
Eigene Payloads sollten vor dem Einsatz auf Tonalität, Datenschutz, Markenverwendung und Eskalationswirkung geprüft werden. Custom payloads should be reviewed before use for tone, privacy, brand usage, and escalation impact.
Landing Pages: Standard, Custom, Branding und URL Parameter Landing pages: default, custom, branding, and URL parameters
Landing Pages bilden die Benutzererfahrung nach einem Klick oder nach einer Dateneingabe. Sie können standardisierte Microsoft Seiten oder kundenspezifische Inhalte nutzen. Landing pages shape the user experience after a click or data submission. They can use standardized Microsoft pages or custom content.
Branding beeinflusst die Glaubwürdigkeit stark. Logos, Farben, Formulierungen und Weiterleitungen sollten bewusst gewählt werden und zur Zielgruppe passen. Branding strongly influences credibility. Logos, colors, wording, and redirects should be chosen deliberately and matched to the target audience.
| Landing Page Typ Landing page type | Beschreibung Description | Worauf achten What to watch |
|---|---|---|
| Default Landing Pages Default landing pages | Vorkonfigurierte Microsoft Seiten für Standard Szenarien. Preconfigured Microsoft pages for common scenarios. | Ideal für erste Pilotkampagnen. Ideal for first pilot campaigns. |
| Custom Landing Pages Custom landing pages | Eigene Texte, Grafiken und Prozessbezüge. Custom text, graphics, and process references. | Hosting, Datenschutz und Sprachqualität sauber steuern. Control hosting, privacy, and language quality carefully. |
| Branding Optionen Branding options | Logo, Farben, Überschriften, Formularelemente und Hinweise können angepasst werden. Logo, colors, headings, form elements, and hints can be tailored. | Zu starke Übertreibung kann Misstrauen erzeugen. Overdoing realism can trigger suspicion. |
| URL Parameter URL parameters | Parameter helfen bei Sprachumschaltung oder Kampagnen Kennzeichnung. Parameters help with language switching or campaign tagging. | Nur dokumentierte und bewusst ausgewertete Parameter verwenden. Use only documented and intentionally processed parameters. |
Typische Branding Elemente Typical branding elements
- Logo, Favicon und primäre Farbpalette passend zur Marke. Logo, favicon, and primary color palette aligned to the brand.
- Sprachversionen für lokale Regionen. Localized language versions for regional users.
- Umleitungsziel nach Abschluss wie Intranet oder Hilfeseite. Redirect target after completion such as intranet or help page.
- Konsequente Geschichte über E Mail, Anhang, Seite und Auflösung hinweg. Consistent story across email, attachment, page, and resolution.
https://contoso-awareness.example/landing?campaign=finance-q3&technique=credential-harvest&lang=de
Bei Custom Landing Pages können Query Strings für Sprachumschaltung, Kampagnenkennzeichen oder Abteilungsvarianten genutzt werden. With custom landing pages, query strings can be used for language switching, campaign identifiers, or department variants.
Simulationen: Wizard, Targeting, Scheduling, Benachrichtigungen und Start Simulations: wizard, targeting, scheduling, notifications, and launch
Der Erstellungsassistent führt durch Name, Technik, Payload, Landing Page, Zielgruppe, Training und Zeitplan. Ein sauberer Designprozess erhöht die Aussagekraft der Ergebnisse. The creation wizard guides you through name, technique, payload, landing page, target audience, training, and schedule. A disciplined design process increases result quality.
Targeting sollte nach Risiko und Reifegrad erfolgen. Üblich sind Pilotgruppen, besonders gefährdete Abteilungen, neue Benutzer und rotierende Stichproben. Targeting should be based on risk and maturity. Common audiences include pilot groups, high-risk departments, new users, and rotating samples.
| Wizard Schritt Wizard step | Zentrale Entscheidung Key decision | Empfehlung Recommendation |
|---|---|---|
| Name und Technik Name and technique | Welches Risiko und welcher Benutzerfehler gemessen werden soll. Which risk and user mistake should be measured. | Klare Kampagnennamen mit Welle und Quartal verwenden. Use clear campaign names with wave and quarter. |
| Payload und Landing Page Payload and landing page | Wie glaubwürdig die Geschichte wirkt. How believable the story feels. | Geschichte, Branding und Zielaktion strikt abstimmen. Keep story, branding, and target action aligned. |
| Targeting Targeting | Welche Benutzer oder Gruppen einbezogen werden. Which users or groups are included. | Mit Pilotgruppe beginnen und Ausschlüsse dokumentieren. Start with a pilot group and document exclusions. |
| Training Training | Ob und wann Schulung ausgelöst wird. Whether and when training is assigned. | Risikobasiert trainieren und Fristen realistisch setzen. Assign training based on risk and set realistic deadlines. |
| Zeitplan Schedule | Start, Enddatum, Zeitzonen und Verteilstreuung. Start, end date, time zones, and distribution spread. | Versand über mehrere Tage strecken. Spread delivery over multiple days. |
| Launch Launch | Letzte Validierung vor Aktivierung. Final validation before activation. | Testempfänger und Stakeholder Briefing sicherstellen. Ensure test recipients and stakeholder briefing. |
Targeting und Terminierung Targeting and scheduling
- Statische oder dynamische Entra ID Gruppen zur Segmentierung nutzen. Use static or dynamic Entra ID groups for segmentation.
- Privilegierte Konten, technische Postfächer und Incident Response Teams bewusst behandeln. Handle privileged accounts, technical mailboxes, and incident response teams deliberately.
- Zeitfenster an lokale Arbeitszeiten anpassen. Adapt the time window to local work hours.
- Benachrichtigungen an Helpdesk, SOC und Awareness Team vorab abstimmen. Coordinate notifications to the help desk, SOC, and awareness team in advance.
- Pilot und Hauptwelle trennen, damit Zustellbarkeit und Reaktion beobachtet werden können. Separate pilot and main wave so deliverability and reactions can be observed.
Connect-MgGraph -Scopes "Group.Read.All","User.Read.All"
$group = Get-MgGroup -Filter "displayName eq 'Attack Simulation Pilot'"
Get-MgGroupMember -GroupId $group.Id -All |
Select-Object Id, AdditionalProperties
Simulation Automations Simulation automations
Simulation automations helfen, regelmäßige Kampagnen ohne ständige Neuerstellung zu betreiben. Das ist besonders nützlich für Awareness Programme mit fester Kadenz. Simulation automations help run recurring campaigns without constant recreation. This is especially useful for awareness programs with a fixed cadence.
Eine gute Automatisierung variiert Technik, Payload und Zielgruppe, damit Benutzer nicht nur auf Muster reagieren. Bedingungen und Ausschlüsse sollten trotzdem konsistent bleiben. A strong automation varies technique, payload, and audience so users do not respond only to patterns. Conditions and exclusions should still remain consistent.
| Automationsbaustein Automation element | Nutzen Purpose | Beispiel Example |
|---|---|---|
| Cadence Cadence | Regelmäßige Auslösung in festen Intervallen. Regular triggering at fixed intervals. | Monatliche Kampagne für Wissensarbeiter. Monthly campaign for knowledge workers. |
| Rotation Rotation | Wechsel zwischen Techniken oder Payload Familien. Rotation between techniques or payload families. | Q1 Credential Harvest, Q2 OAuth, Q3 Attachment. Q1 credential harvest, Q2 OAuth, Q3 attachment. |
| Conditions Conditions | Regeln für Auswahl, Ausschluss oder Nachschulung. Rules for selection, exclusion, or retraining. | Neue Benutzer nach 30 Tagen, Wiederholungstäter quartalsweise. New users after 30 days, repeat offenders quarterly. |
| Benachrichtigungspfad Notification path | Interne Stakeholder über Start und Abschluss informieren. Inform internal stakeholders about launch and completion. | Awareness Team erhält Wochenbericht nach jeder Welle. Awareness team receives a weekly report after each wave. |
Geeignete Bedingungen Useful conditions
- Onboarding Wellen für neue Mitarbeiter nach dem ersten Monat. Onboarding waves for new hires after the first month.
- Wiederholungskampagnen für Benutzer mit mehrfachem Fehlverhalten. Repeat campaigns for users with multiple risky actions.
- Saisonale Themen wie Steuerzeit oder Jahresabschluss. Seasonal themes such as tax season or year-end close.
- Abteilungsrotation, damit Finance, HR, Einkauf und IT unterschiedliche Lures sehen. Department rotation so finance, HR, procurement, and IT see different lures.
Auch automatisierte Kampagnen brauchen periodische Qualitätskontrollen. Prüfen Sie Kompromittierungsrate, Meldequote und Helpdesk Rückmeldungen mindestens je Quartal. Even automated campaigns need periodic quality review. Check compromise rate, report rate, and help desk feedback at least quarterly.
Training: Module, Kampagnen, Zuweisung, Fristen und Nachverfolgung Training: modules, campaigns, assignment, due dates, and tracking
Schulung ist der eigentliche Hebel zur Risikoreduktion. Module sollten auf die gezeigte Technik abgestimmt sein, damit Benutzer den Zusammenhang zwischen Fehlverhalten und Gegenmaßnahme verstehen. Training is the actual lever for risk reduction. Modules should map to the technique shown so users understand the relationship between the mistake and the countermeasure.
Kampagnen können Training nur für kompromittierte Benutzer auslösen oder allgemein für definierte Gruppen bereitstellen. Due Dates, Erinnerungen und Abschlussstatus machen das Programm messbar. Campaigns can assign training only to compromised users or more broadly to defined groups. Due dates, reminders, and completion status make the program measurable.
| Trainingsaspekt Training aspect | Was zu steuern ist What to control | Gute Praxis Good practice |
|---|---|---|
| Module Modules | Thema, Sprache, Dauer und Zielgruppe. Topic, language, duration, and audience. | Kurze Module für breite Kampagnen, tiefere Module für Wiederholungstäter. Use short modules for broad campaigns and deeper modules for repeat offenders. |
| Kampagnen Campaigns | Zuordnung von Simulation, Training und Berichten. Linkage of simulation, training, and reporting. | Pro Quartal klare Lernziele und Themenrotation festlegen. Define clear learning goals and theme rotation per quarter. |
| Zuweisung Assignment | Wer Training erhält und unter welchen Bedingungen. Who receives training and under which conditions. | Risikobasiert zuweisen statt pauschal. Assign based on risk instead of blanket assignment. |
| Fristen Due dates | Bis wann Training abgeschlossen sein soll. When training should be completed. | Fristen an Arbeitslast anpassen. Adapt due dates to workload. |
| Erinnerungen Reminders | Automatische Hinweise vor und nach Fälligkeit. Automated reminders before and after the due date. | Freundlich formulieren und mit Unterstützung kombinieren. Keep them friendly and support-oriented. |
| Completion Tracking Completion tracking | Status, Restanten und Nachweise für Management und Compliance. Status, outstanding items, and evidence for management and compliance. | Abschlussraten mit Simulationsergebnissen zusammen auswerten. Evaluate completion rates together with simulation outcomes. |
Trainingszuordnung sinnvoll gestalten Design training assignment deliberately
- Kurze Mikrotrainings nach Erstverstoß, umfangreichere Module nach wiederholtem Fehlverhalten. Use short micro-trainings after a first failure and longer modules after repeated behavior.
- Sprachversionen und Barrierefreiheit für internationale Belegschaften berücksichtigen. Consider localized versions and accessibility for international workforces.
- Abschlussdaten von Performance Reviews trennen, wenn Lernkultur im Vordergrund stehen soll. Separate completion data from performance reviews when learning culture should lead.
- Erfolg nicht nur am Abschluss, sondern auch an sinkenden Kompromittierungsraten messen. Measure success not only by completion but also by reduced compromise rates.
Reporting und Auswertung Reporting and analysis
Die Reporting Ebene liefert Management Überblick und operative Details. Sie zeigt, welche Kampagnen funktionierten, welche Gruppen besonders gefährdet sind und ob Training messbar hilft. The reporting layer provides management overview and operational detail. It shows which campaigns worked, which groups are most at risk, and whether training measurably helps.
Besonders wertvoll sind Drilldowns auf Benutzer, Gruppen und Wiederholungstäter. So lassen sich technische und organisatorische Maßnahmen gezielt priorisieren. Drilldowns to users, groups, and repeat offenders are especially valuable. They help prioritize technical and organizational actions with precision.
| Bericht Report | Fragen, die beantwortet werden Questions answered |
|---|---|
| Übersicht Overview | Wie viele Simulationen liefen, welche Techniken genutzt wurden und wie sich die Kompromittierungsrate entwickelt. How many simulations ran, which techniques were used, and how compromise rate is trending. |
| Benutzerdetails User details | Welche Personen geöffnet, geklickt, Daten eingegeben, gemeldet oder Training abgeschlossen haben. Which people opened, clicked, submitted data, reported, or completed training. |
| Wiederholungstäter Repeat offenders | Welche Benutzer mehrfach in verschiedenen Kampagnen oder Techniken auffällig wurden. Which users repeatedly failed across campaigns or techniques. |
| Trainingsabschluss Training completion | Wie viele zugewiesene Module fristgerecht abgeschlossen wurden und wo Restanten bestehen. How many assigned modules were completed on time and where gaps remain. |
| Impact Metriken Impact metrics | Ob Meldequote steigt, Klickrate sinkt und Hochrisikogruppen gezielt verbessert werden. Whether reporting rate is increasing, click rate is falling, and high-risk groups are improving. |
Nützliche Metriken Useful metrics
- Kompromittierungsrate je Technik, Payload Familie, Abteilung und Region. Compromise rate by technique, payload family, department, and region.
- Phishing Meldungen über Benutzer Buttons im Verhältnis zu Klick und Öffnungsdaten. Phishing reports from user buttons compared with click and open data.
- Durchschnittliche Zeit bis zum Training und Trainingsabschluss. Average time to assignment and completion.
- Risikoverlauf von Wiederholungstätern über Quartale hinweg. Risk trend of repeat offenders across quarters.
- Abgleich mit realen Vorfällen, um Awareness Investitionen auf relevante Muster zu lenken. Correlation with real incidents to focus awareness investment on relevant patterns.
Benutzer mit mehrfachen Fehlhandlungen brauchen oft nicht nur Training, sondern auch bessere Warnhinweise, Prozessklarheit oder technische Leitplanken. Users with repeated failures often need not only training, but also better warnings, clearer processes, or stronger technical guardrails.
Endbenutzererfahrung und Phishing Meldeschaltflächen End-user experience and phishing reporting buttons
Eine gute Übung endet nicht beim Klick. Benutzer sollten wissen, wie sie verdächtige Nachrichten melden, welche Rückmeldung sie danach erhalten und wie sichere Verifikation im Alltag aussieht. A strong exercise does not end at the click. Users should know how to report suspicious messages, what feedback follows, and what safe verification looks like in daily work.
Die Meldeerfahrung mit Report Message oder Report Phishing Add-ins ist ein wichtiger Gegenpol zur Kompromittierungsmessung. Hohe Klickraten bei steigender Meldequote können trotzdem Lernfortschritte zeigen. The reporting experience with Report Message or Report Phishing add-ins is an important counterbalance to compromise measurement. High click rates paired with rising report rates can still show learning progress.
Benutzerreise User journey
- Benutzer sieht eine realistische Nachricht und entscheidet über Öffnen, Klicken oder Melden. The user sees a realistic message and decides whether to open, click, or report it.
- Nach riskanter Aktion erscheint eine Landing Page oder ein Trainingshinweis. After a risky action, a landing page or training prompt appears.
- Bei einer Meldung sollte positives Feedback das Meldeverhalten verstärken. A report should ideally be followed by positive feedback that reinforces reporting behavior.
- Helpdesk und SOC sollten vorbereitet sein, falls Benutzer Fragen stellen oder echte Vorfälle melden. The help desk and SOC should be prepared in case users ask questions or report real incidents.
Meldeschaltflächen organisatorisch nutzen Use reporting buttons operationally
- Schaltflächen in Outlook und mobilen Clients sichtbar machen und ihre Nutzung erklären. Make buttons visible in Outlook and mobile clients and explain their use.
- Meldedaten in Incident und Mailflow Prozesse integrieren. Integrate report data into incident and mail flow processes.
- Rückmeldungen aus Meldungen nutzen, um künftige Simulationen und Schutzregeln zu verbessern. Use feedback from reports to improve future simulations and protection rules.
Berechtigungen und Rollen Permissions and roles
Attack Simulation Training sollte mit minimal erforderlichen Rechten betrieben werden. Getrennte Rollen für Kampagnenbetrieb, Payload Entwicklung und reine Einsicht reduzieren Risiken. Attack Simulation Training should be operated with the least privilege necessary. Separate roles for campaign operations, payload development, and read-only access reduce risk.
| Rolle Role | Typische Aufgaben Typical tasks | Governance Hinweis Governance note |
|---|---|---|
| Attack Simulation Admin Attack Simulation Admin | Simulationen erstellen, starten, auswerten und Trainingszuordnung verwalten. Create, launch, analyze simulations, and manage training assignment. | Nur an Awareness oder Security Operatoren mit Freigabeverantwortung vergeben. Grant only to awareness or security operators with approval responsibility. |
| Payload Author Payload Author | Eigene Payloads, Anhänge und zugehörige Inhalte entwerfen oder pflegen. Design or maintain custom payloads, attachments, and related content. | Mit Kommunikationsrichtlinien und Review Prozess koppeln. Pair with communication guidelines and a review process. |
| Payload Reader Payload Reader | Vorhandene Payloads einsehen, vergleichen und für Governance prüfen. View existing payloads, compare them, and review them for governance. | Gut geeignet für Auditoren und Fachfreigaben ohne Änderungsrecht. Well suited for auditors and business approvers without edit rights. |
Rollentrennung in der Praxis Practical separation of duties
- Kampagnenbetrieb und Fachfreigabe sollten nicht immer bei derselben Person liegen. Campaign operations and business approval should not always sit with the same person.
- Custom Payloads profitieren von einem Vier Augen Prinzip. Custom payloads benefit from a four-eyes review.
- Leserechte für Management und Revision verbessern Transparenz ohne unnötige Änderungsrechte. Read-only rights for management and audit improve transparency without unnecessary write access.
PowerShell und Graph API PowerShell and Graph API
Für Attack Simulation Training existiert in der Praxis kein breit genutzter öffentlicher End to End Verwaltungsweg, der den gesamten Lebenszyklus von Payloads, Landing Pages und Kampagnen vollständig per PowerShell abbildet. Der primäre Bedienpfad bleibt daher das Defender Portal. In practice, there is no broadly used public end-to-end management path that fully handles the lifecycle of payloads, landing pages, and campaigns in PowerShell. The primary operating path therefore remains the Defender portal.
Trotzdem sind PowerShell und Microsoft Graph sehr nützlich für vorbereitende und flankierende Aufgaben wie Zielgruppenermittlung, Ausnahmen, Benutzerattribute und Export angrenzender Security Daten. Even so, PowerShell and Microsoft Graph are very useful for preparatory and adjacent tasks such as audience discovery, exclusions, user attributes, and export of related security data.
| Bereich Area | Schnittstelle Interface | Hinweis Note |
|---|---|---|
| Zielgruppenaufbereitung Target preparation | Microsoft Graph PowerShell Microsoft Graph PowerShell | Geeignet für Gruppen, Benutzerattribute und Segmentierung. Suitable for groups, user attributes, and segmentation. |
| Empfänger und Mailobjekte Recipients and mail objects | Exchange Online PowerShell Exchange Online PowerShell | Hilfreich für Ausschlüsse wie Shared Mailboxes oder bestimmte Empfängertypen. Helpful for exclusions such as shared mailboxes or specific recipient types. |
| Security Kontext Security context | Graph Security APIs Graph Security APIs | Nützlich für angrenzende Incidents oder Korrelation, nicht primär für Kampagnenerstellung. Useful for adjacent incidents or correlation, not primarily for campaign creation. |
| Simulation Authoring Simulation authoring | Portal Portal | Payload, Landing Page und Wizard Workflow werden typischerweise dort verwaltet. Payload, landing page, and wizard workflow are typically managed there. |
Microsoft entwickelt Schnittstellen laufend weiter. Prüfen Sie vor einer Automatisierung immer die aktuelle Dokumentation, Lizenzen und unterstützten Endpunkte im Tenant. Microsoft evolves interfaces continuously. Before automating, always verify current documentation, licensing, and supported endpoints in your tenant.
Connect-MgGraph -Scopes "Group.Read.All","User.Read.All"
Get-MgUser -Filter "department eq 'Finance'" -All |
Select-Object DisplayName, UserPrincipalName, Department
Connect-ExchangeOnline
Get-EXORecipient -ResultSize Unlimited |
Where-Object { $_.RecipientTypeDetails -eq 'UserMailbox' } |
Select-Object DisplayName, PrimarySmtpAddress, Department
Connect-MgGraph -Scopes "SecurityIncident.Read.All"
Invoke-MgGraphRequest -Method GET -Uri "https://graph.microsoft.com/v1.0/security/incidents?$top=10"
Betriebliche Checkliste Operational checklist
Eine kurze Checkliste hilft, Kampagnen reproduzierbar und sicher zu betreiben. Sie eignet sich auch als Freigabebogen vor jedem Start. A short checklist helps run campaigns reproducibly and safely. It also works as a release checklist before each launch.
- Technik und Lernziel definiert. Technique and learning objective defined.
- Payload auf Tonalität, Marke und Datenschutz geprüft. Payload reviewed for tone, branding, and privacy.
- Landing Page und Sprache validiert. Landing page and language validated.
- Zielgruppe, Ausschlüsse und Pilotwelle bestätigt. Audience, exclusions, and pilot wave confirmed.
- Helpdesk, SOC und Stakeholder informiert. Help desk, SOC, and stakeholders informed.
- Trainingspfad und Fälligkeitslogik abgestimmt. Training path and due date logic aligned.
- Meldebuttons und Benutzerkommunikation verfügbar. Reporting buttons and user communication available.
- Berichtsmetriken und Nachverfolgung geplant. Report metrics and follow-up plan prepared.
- Review Termin nach Abschluss reserviert. Post-campaign review meeting scheduled.
Kurze FAQ Quick FAQ
Wann ist eine Technik zu aggressiv für eine Pilotgruppe? When is a technique too aggressive for a pilot group?
Wenn Fachbereiche den Prozess kaum kennen, kritische Zeitfenster laufen oder Support und Eskalation unverhältnismäßig belastet würden, sollte mit einer einfacheren Variante begonnen werden. If business teams barely know the process, critical time windows are active, or support and escalation would be overburdened, start with a simpler variant.
Sollten alle Benutzer dasselbe Training erhalten? Should all users receive the same training?
Nein. Unterschiedliche Rollen, Länder, Reifegrade und Fehlermuster sprechen für segmentierte Trainingspfade. No. Different roles, countries, maturity levels, and mistake patterns justify segmented training paths.
Wie werden Wiederholungstäter sinnvoll behandelt? How should repeat offenders be handled?
Eine Mischung aus gezielter Nachschulung, engmaschigerer Simulation und technischen Leitplanken funktioniert meist besser als reine Eskalation. A combination of targeted retraining, more frequent simulation, and technical guardrails usually works better than escalation alone.
Wie eng muss Security mit Awareness zusammenarbeiten? How closely should security and awareness work together?
Sehr eng. Security kennt reale Angriffsmuster, Awareness kennt Lernwirkung und Kommunikation. Very closely. Security understands real attack patterns, while awareness understands learning impact and communication.