Warum euer Security Awareness Training nicht ohne Simulation auskommt

– Ein Blick auf Microsofts integrierte Phishing- & Social Engineering-Tests –

Wenn wir ehrlich sind: Viele Awareness-Kampagnen fühlen sich an wie eine lästige Pflichtübung. Ein paar Videos hier, ein Quiz da – und am Ende bleibt wenig hängen. Doch spätestens seit Phishing-Angriffe dank generativer KI immer realistischer und personalisierter werden, müssen Unternehmen mehr tun, als nur auf Einsicht zu hoffen.
Was viele nicht wissen: Microsoft 365 E5 bringt mit dem „Attack Simulation Training“ ein extrem wirkungsvolles Tool direkt mit – ohne Zusatzkosten, ohne Drittanbieter.

Was ist „Attack Simulation Training“ eigentlich?
Es handelt sich um eine in Microsoft Defender for Office 365 Plan 2 (also in M365 E5 enthaltene) Lösung, mit der sich realistische Angriffsszenarien simulieren lassen:

– Phishing (Credential Harvesting, Link Clicks, Drive-by URLs)
– Malware Attachments
– Business Email Compromise (BEC)
– Payload Delivery über Office-Dokumente

Admins können gezielt Simulationen starten – z. B. in besonders gefährdeten Abteilungen oder Standorten. Die Resultate zeigen, wer klickt, wer meldet, wer ignoriert. Und: Bei einem Klick startet automatisch ein kontextbezogenes Mikrotraining, das genau erklärt, woran man den Angriff hätte erkennen können.

Besonders hilfreich ist die Möglichkeit, mehrere Szenarien in sogenannten Kampagnen zu bündeln – so lassen sich auch längere Trainingszeiträume abbilden, die Mitarbeitende nicht überfordern, aber schulen.

Warum ist das so wichtig?
Weil Security Awareness ohne Realitätscheck oft eine Illusion bleibt. In der Praxis erleben wir immer wieder: Die größten Risiken sitzen vor dem Bildschirm – und lassen sich nicht durch Policies allein absichern.

Was Attack Simulation Training leistet:
✅ Verhaltensdaten statt Bauchgefühl: Wer fällt auf was rein?
✅ Gezieltes Nachsteuern: Trainings nur da, wo es nötig ist.
✅ Risiko-Mapping pro Rolle oder Standort
✅ Verankerung durch Wiederholung und Kontext

Zusätzlich lassen sich individuelle Lernpfade auf Basis von Risikoverhalten ableiten. Ein Nutzer, der mehrfach in Tests klickt, kann gezielt mit zusätzlichen Trainingsmodulen angesprochen werden – ohne die gesamte Organisation zu belasten.

💬 „Die erste Kampagne ist immer ernüchternd. Die zweite wird besser. Und danach? Werden Security-Themen intern diskutiert – und das ist Gold wert.“ (Feedback eines Kunden aus dem Mittelstand)

Warum nutzt es trotzdem fast niemand?
Ehrlich? Weil es ein bisschen versteckt ist. Die Funktion liegt im Microsoft 365 Defender Portal unter „Email & Collaboration“ → „Attack Simulation Training“. Und sie wirkt auf den ersten Blick komplex – Templates, Payloads, Target Lists… Da zucken viele zurück.

Hinzu kommt: Oft fehlt schlicht der Projektverantwortliche. Awareness liegt irgendwo zwischen IT und HR – und niemand fühlt sich so richtig zuständig für die technische Umsetzung.

Mein Tipp aus der Praxis:
Starte mit einem einzigen Template, z. B. einem bekannten Credential Phishing-Szenario. Keine große Segmentierung, keine Nutzergruppen. Einfach mal ausprobieren – die Lernkurve ist flach, der Aha-Effekt groß.

Wer später mehr rausholen will, kann Simulationen automatisiert auf Risikobasierung, Benutzerrollen oder Zeiträume ausrollen – ähnlich wie ein E-Mail-Marketing Funnel, nur eben für Cybersecurity.

Fazit: Awareness ohne Simulation ist wie Autofahren ohne Praxisstunden
In einer Zeit, in der Angreifer KI einsetzen, um perfide und glaubwürdig aufzutreten, müssen wir aufhören, Security Training wie ein Compliance-Thema zu behandeln. Microsoft liefert euch ein Werkzeug mit, das Lernen durch Erleben ermöglicht – kosteneffizient, skalierbar und überraschend leicht zu integrieren. Attack Simulation Training ist kein Allheilmittel, aber ein realistischer, praxisnaher Baustein, um den Sicherheitskultur-Teppich nicht nur zu verlegen, sondern auch regelmäßig darauf zu laufen.

🚀 Also: Nicht nur über Phishing reden. Testet es. Simuliert es. Lernt daraus.