Um Angriffssimulationen auf das Netzwerk auszuführen, sind spezielle Lizenzen von Microsoft 365 Defender notwendig. Mit diesen lassen sich Angriffe auf das Netzwerk simulieren, um das Verhalten der Anwender für den Ernstfall einschätzen zu können.
Durch die Simulation von Phishing-Angriffen, Ransomware-Attacken oder gezielten Einbruchsversuchen lernen Anwender, verdächtige Aktivitäten zu erkennen und angemessen zu reagieren.
(Bild: somyuzu - stock.adobe.com)
Angriffssimulationstrainings sind aus mehreren Gründen sinnvoll. Die Bedrohungen durch Cyberangriffe steigt weiter kontinuierlich an, insbesondere für Cloud-Dienste, die zentrale Knotenpunkte für Daten und Anwendungen darstellen. Diese Trainings ermöglichen es den Anwendern, reale Angriffsszenarien zu durchlaufen und ihre Reaktionsfähigkeit zu verbessern. Durch die Simulation von Phishing-Angriffen, Ransomware-Attacken oder gezielten Einbruchsversuchen lernen die Anwender, verdächtige Aktivitäten zu erkennen und angemessen zu reagieren. Dies fördert nicht nur das Bewusstsein für Sicherheitsrisiken, sondern stärkt auch die Sicherheitskultur innerhalb des Unternehmens. Zudem kann durch regelmäßige Trainings die Wirksamkeit bestehender Sicherheitsrichtlinien überprüft und angepasst werden. Somit tragen Angriffssimulationstrainings entscheidend dazu bei, die Resilienz gegenüber Cyberbedrohungen zu erhöhen und die Sicherheit von sensiblen Daten in Cloud-Umgebungen zu gewährleisten.
Microsoft bietet mit dem Microsoft 365 Defender Angriffssimulationstrainings für Anwender in Azure und Microsoft 365 an. Die Trainings lassen sich mit einem Assistenten in Microsoft 365 Defender starten. Diese Funktionen sind in Microsoft 365 A5/E5 oder Microsoft Defender for Office 365 Plan 2 enthalten. Die Angriffssimulationen lässt sich in Microsoft Defender direkt über die URL https://security.microsoft.com/attacksimulator erreichen. Die Angriffe erfordern die Zuordnung von Benutzern zu einer der folgenden Rollen in Microsoft 365:
Global Administrator
Security Administrator
Attack Simulation Administrators
Attack Payload Author
In Microsoft 365 Defender ist dieser Bereich über "Attack simulation training" bei "Email & collaboration" zu finden. Hier lassen sich über einen Assistenten Angriffe erstellen. Die dazu notwendigen Einstellungen sind bei "Simulations" zu fnden. Über "Launch a simulation" oder über "Simulation automations -> Create automation" lassen sich Angriffe durchführen.
Im unteren Bereich des Fensters sind verschiedene Vorlagen zu finden, mit denen sich die Angriffssimulationen starten lassen. Hier lassen sich jetzt verschiedene Angriffe starten. Beim Credential Harvesting wird versucht, Anmeldeinformationen von Benutzern zu sammeln, indem diese auf eine vertrauenswürdig erscheinende Website geleitet werden. Diese Website enthält Eingabefelder, in die Benutzer ihre Anmeldedaten eingeben sollen. Sobald der Benutzer seine Daten übermittelt, erhält der Angreifer Zugriff auf den Benutzernamen und das Kennwort.
Eine Schadsoftwareanlage ist eine schädliche Datei, die einer Nachricht beigefügt wird. Wenn der Benutzer diese Datei öffnet, wird beliebiger Code ausgeführt, der es dem Angreifer ermöglicht, das Gerät des Benutzers zu kompromittieren. Dieser Code kann verschiedene schädliche Aktivitäten ausführen, wie das Stehlen von Daten oder das Installieren weiterer Malware. Der Hybridtyp "Link in Anlage" für die Anmeldeinformationsernte kombiniert Elemente von Credential Harvesting und Schadsoftware. Hierbei fügt der Angreifer eine URL in eine E-Mail-Anlage ein. Die URL führt zu einer Website, die dem Verfahren des Credential Harvesting folgt, indem sie den Benutzer zur Eingabe seiner Anmeldeinformationen auffordert.
Bei "Link zu Schadsoftware" wird eine Nachricht mit einem Link zu einer schädlichen Datei gesendet, die auf einem bekannten Dateifreigabedienst gehostet wird. Wenn der Benutzer den Link öffnet, wird die schädliche Datei heruntergeladen und ausgeführt. Dies ermöglicht es dem Angreifer, das Gerät des Benutzers zu kompromittieren und beliebigen Code auszuführen.
Die Drive-by-URL-Methode verwendet eine schädliche URL in einer Nachricht, die den Benutzer zu einer vertrauenswürdig aussehenden Website führt. Im Hintergrund wird jedoch schädlicher Code auf dem Gerät des Benutzers ausgeführt oder installiert, ohne dass der Benutzer davon Kenntnis hat. Diese Methode ermöglicht es Angreifern, das Gerät des Benutzers zu infizieren und zu kontrollieren.
Bei der OAuth-Zustimmungserteilung fordert eine bösartige URL den Benutzer auf, Berechtigungen für eine böswillige Azure-Anwendung zu erteilen. Wenn der Benutzer zustimmt, erhält die böswillige Anwendung Zugriff auf die Daten des Benutzers. Dies kann dazu führen, dass der Angreifer auf sensible Informationen zugreifen oder schädliche Aktionen im Namen des Benutzers durchführen kann.
Sind die Angriffsmethoden ausgewählt, geht es an die Auswahl der Payloads, welche die Angriffe nutzen sollen, beziehungsweise die Anmeldeseiten, die den Anwendern angezeigt werden sollen, wenn sie einen gefährlichen Link anklicken. Nach einem Klick auf einen Playload zeigt der Attack Simulator eine Vorschau an. Hier sollten die Texte und auch die Anmeldeseiten so angepasst werden, dass sie möglichst echt wirken.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Nach Auswahl der Angriffsmethode und der verwendeten Payloads für die Simulation, erfolgt die Auswahl der Benutzer, welche die E-Mails der Simulation erhalten sollen. Hier kann Attack Simulator allen Nutzer eine Angriffs-E-Mail schreiben oder nur einzelnen, die hier ausgewählt werden. Danach kann den Nutzern ein Training angeboten werden, wie sie in Zukunft vermeiden auf einen Angriff hereinzufallen. Attack Simulator schlägt den Nutzern ein Training vor, das sie nach dem Angriff durchlaufen können. Im Anschluss können weitere Einstellungen wie die Zeitplanung und die maximale Anzahl an gleichzeitigen Angriffen konfiguriert werden. Danach schaltet man die Simulation aktiv, die danach automatisch abläuft.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/03/03/0303ccc7d677075a1b793250917ada59/0129386519v1.jpeg "Das vertraute Admin-Werkzeug Notepad++ wurde zwischen Juni und Dezember 2025 zum Trojanischen Pferd: Die staatliche APT-Gruppe Lotus Blossom kaperte die Update-Infrastruktur für gezielte Spionage, während die Cybercrime-Bande Black Cat parallel gefälschte Download-Seiten streute. (Bild: © Art_spiral - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3d/50/3d50b128eef256952eb27e470befcf30/0129343775v1.jpeg "Autonome KI wird dieses Jahr die Sicherheitslandschaft prägen: Als Produktivitäts-Werkzeug, als Angriffs-Werkzeug und auch als Verteidigungs-Werkzeug. (Bild: © leszekglasner - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/fe/9afee73e7c4576e3987560387ed4a8c7/0129326905v1.jpeg "In Google Cloud Looker finden sich acht Sicherheitslücken, eine davon ist kritisch. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7c/75/7c754f68090dae4a979abbbd877ff774/0129310503v2.jpeg "Instant Messaging und Kollaborationstools werden zum Einfallstor für Cyberangriffe auf die Automobilindustrie. Sichere, DSGVO-konforme Kommunikation wird zur strategischen Notwendigkeit. (Bild: © sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/bb/c8bbb90768f2d69adb08e0d58bb90645/0128934085v1.jpeg "Beim DNS-Tunneling wird legitimer Namensauflösungsverkehr genutzt, um Daten verdeckt durch bestehende Netzwerkverbindungen zu übertragen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b1/48/b1482f56bc90441316f1aeb8da13f2fd/0128976654v1.jpeg "Acronis Archival Storage ermöglicht MSPs die langfristige Speicherung und Verwaltung selten abgerufener Daten. (Bild: Acronis)")
:quality(80)/p7i.vogel.de/wcms/ea/2a/ea2a4f09c857d29ce37567bf2467ab3c/0129353618v1.jpeg "Ein umfassendes und automatisiertes Update-Management schützt Unternehmen vor wachsenden Cyberbedrohungen. (Bild: Freepik)")
:quality(80)/p7i.vogel.de/wcms/d8/3f/d83fb3f1382c7a4597fac1bfcfc5087b/0129166059v2.jpeg "Nach diversen Spionage-Aktivitäten gegen WhatsApp-Nutzer führt der Anbieter mit den „strengen Kontoeinstellungen“ neue Sicherheitsfunktionen ein. (Bild: © ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/2d/032d6a97078ed8b14c380b4cfb0125cd/0129257875v2.jpeg "Die beliebteste Passwortwahl hat sich kaum geändert, während Cyberkriminelle immer ausgeklügeltere Methoden entwickeln, um in Konten und Daten einzudringen. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/21/d1/21d1c191d71d4c5e11c33df897f23005/0129068361v1.jpeg "Symbolbild: Mehrstufige Perimetersicherung mit Zaun, Zutrittskontrolle und Videoüberwachung zählt zu den Basismaßnahmen, um kritische Rechenzentrumsstandorte vor unbefugtem Zugriff zu schützen. (Bild: Midjourney / Paula Breukel / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/49/0b/490b69d49b5f8357e4527f94f04b6c71/0129264740v2.jpeg "Datensicherheit in Unternehmen: Ransomware, Phishing und Malware sollten lieber draußen bleiben. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ed/fc/edfc9a4e47a59025d696bc5869996713/0129337775v2.jpeg "Unternehmen sollten sich am Safer Internet Day engagieren, um das Bewusstsein für Online-Sicherheit zu stärken, ihre Expertise in der Cybersicherheit zu demonstrieren und gleichzeitig von einem erhöhten Vertrauen der Kunden profitieren. (Bild: © highwaystarz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/cf/82/cf82e72b5f769dbf4fb8472f057544e7/0119076624v1.jpeg "Beschreibung von Angriffen des Microsoft 365 Defender Attack Simulator.(Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/b8/e5/b8e5f7fa3ce7b121fa748722c39d1dff/0119076623v1.jpeg "Erstellen einer neuen Automatisierung für eine Angriffssimulation.(Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/f2/fe/f2fe080cb7cdd2732e4939523fbeadbd/0119076631v1.jpeg "Auswahl der Angriffsform, welche die Simulation nutzen soll.(Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/57/a4/57a452e491923b8a11c8209c43a9dadd/0119076626v1.jpeg "Zu jedem Angriff gehören einer oder mehrere Payloads, die simuliert werden sollen.(Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/d2/d8/d2d832a924f918a905d614e46033e6ad/0115880823v3.jpeg "Fast jedes Unternehmen ist schon einmal Ziel von Phishing-Angriffen geworden. Firmen sollten also unbedingt ihre Mitarbeiter auf Phishing-Attacken vorbereiten. Dazu gibt es Lösungen, die wir in diesem Beitrag vorstellen. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f4/1e/f41e565c5a48fd32459e72dc05aa0af6/0117932860.jpeg "Spam ist bei Business-E-Mails leider noch immer allgegenwärtig. Umso wichtiger, dass Unternehmen zum Schutz Ihrer Mitarbeiterinnen und Mitarbeiter eigene Antispam-Regeln für den Einsatz mit Microsoft 365 definieren. (Bild: Production Perig - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/80/26/80265994f085266e897ba57fed424cd6/0118125643.jpeg "In Microsoft Defender 365 können Admin Antiphishing-Richtlinien erstellen, mit denen die Nutzer vor Phishing-Angriffen geschützt werden. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/02/6b/026b8e74ab52a461200667f858d3512e/0124726704v2.jpeg "PDF-Dateien sind weiterhin die meistgenutzten bösartigen Anhänge mit einem Anteil von 36 Prozent. Neu und bemerkenswert ist jedoch der rasante Anstieg von SVG-Dateien auf 34 Prozent. (Bild: © Joerg Habermeier - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/66/82/66823f0785b0ad041cdc81eb864b3a9f/0124884590v2.jpeg "Die Analyse der aktuellen TA406-Kampagne gegen die Ukraine unterstreicht, wie flexibel und zielgerichtet staatlich unterstützte Hackergruppen nicht nur aus Nordkorea mittlerweile agieren. (Bild: © Vitalii - stock.adobe.com)")