Cyberdise AG

Microsoft Defender Attack Simulator: Stärken, Schwächen und die Realität von Security Awareness

Veröffentlichungsdatum:

  • 11. Juni 2026
Two men holding shields labeled MS and BDE deflecting phishing attacks, illustrating the strengths and weaknesses of Microsoft Defender Attack Simulator

Reicht der Microsoft Defender Attack Simulator aus?

Microsoft Defender for Office 365 enthält eine eigene Plattform für Phishing-Simulationen und Awareness: das Attack Simulation Training. Weil es tief in Microsoft 365 integriert ist, gehen viele Organisationen automatisch davon aus, dass es die logische Wahl für Phishing-Simulationen und Mitarbeiter-Awareness ist.

Und ehrlich gesagt: In einigen Bereichen ist der Microsoft Defender Attack Simulator sehr gut.

Aber es gibt auch eine andere Seite, die Organisationen verstehen sollten, bevor sie spezialisierte Awareness-Plattformen vollständig ersetzen.

Dieser Artikel ist bewusst ausgewogen. Es gibt klare Vorteile — aber auch strukturelle Einschränkungen, die in größeren oder reiferen Sicherheitsumgebungen sehr schnell sichtbar werden.


Die starke Seite des MSFT Defender Attack Simulators

Beginnen wir mit den Vorteilen dieser Lösung, die nicht zwingend Alleinstellungsmerkmale sind, da andere Anbieter ähnliche Funktionen oder Vorteile bieten können:

  • Tiefe Microsoft-365-Integration — und kostenlos
  • Schnellere operative Reaktion
  • SOAR- und Automatisierungsfunktionen
  • Kombinierte Endpoint- und E-Mail-Sichtbarkeit
  • Geringere Komplexität für bestehende Microsoft-Kunden
  • Zentralisierte Security Operations — allerdings stets innerhalb einer Domain


1. Tiefe Microsoft-365-Integration — und kostenlos bei E5

Das ist der größte offensichtliche Vorteil und auch der Hauptgrund, warum sich viele Organisationen dafür entscheiden. Das Defender-Ökosystem ist natürlich eng mit M365, Exchange Online, Defender for Endpoint, Active Directory / Entra ID, Microsoft Sentinel und den Microsoft-Security-Incidents verbunden. Security-Teams können fast alles aus einem Ökosystem heraus steuern, statt mehrere unverbundene Produkte zu verwalten. Und mit der passenden Lizenz ist es „kostenlos“ enthalten.

2. Schnellere operative Reaktion

Wenn eine bösartige Domain, ein Absender oder eine URL blockiert werden muss, können Microsoft-Umgebungen oft extrem schnell reagieren.

Statt zwischen mehreren Hersteller-Konsolen zu wechseln, können Administratoren:

  • untersuchen, blockieren, automatisieren, in Quarantäne verschieben und überwachen

aus einer weitgehend einheitlichen Sicherheitsumgebung heraus. Bei aktiven Vorfällen zählt operative Geschwindigkeit — gerade in Zeiten schneller KI-gesteuerter Angriffe.

3. Native SOAR- und Automatisierungsfunktionen

Eine Stärke des Microsoft-Ökosystems ist die Möglichkeit der Automatisierung.

Organisationen können automatisch auf gemeldete Phishing-Mails, bösartige Indikatoren, verdächtige Nachrichten und natürlich auch Nutzermeldungen über den Phish-Button reagieren. Der Admin kann automatisierte Aktionen einrichten wie:

  • E-Mail-Rückruf
  • Postfach-Bereinigung
  • Eskalation von Vorfällen
  • Automatisierte Remediation-Workflows

Dieses Maß an nativer Integration ist für die meisten externen Awareness-Anbieter schwer zu replizieren.

4. Kombinierte Endpoint- und E-Mail-Sichtbarkeit

Phishing-Angriffe enden nicht bei der E-Mail. Die Kombination mit Defender for Endpoint verschafft Microsoft einen Vorteil, weil Organisationen Folgendes korrelieren können:

  • E-Mail-Aktivität
  • Endpoint-Aktivität
  • Browser-Verhalten
  • Bösartige Verbindungen
  • Identitätsereignisse

5. Geringere Komplexität für bestehende Microsoft-Kunden

Für Organisationen, die bereits auf Microsoft-Sicherheitstechnologien standardisiert sind, reduziert der Defender Attack Simulator zusätzlichen operativen Aufwand — sie bekommen alles aus einer Hand.

Das bedeutet:

  • weniger Lieferantenmanagement
  • weniger Integrationen
  • weniger externe Plattformen
  • einfachere Lizenzabstimmung

Für manche Organisationen kann diese Einfachheit ein Vorteil sein.

6. Zentralisierte Security Operations

Security-Teams bevorzugen oft zentralisierte Sichtbarkeit statt fragmentierter Werkzeuge. Microsoft Defender als Ganzes erlaubt Administratoren die Kombination von:

  • Incidents
  • Awareness-Kampagnen
  • Alerts
  • Endpoint-Telemetrie
  • E-Mail-Analyse
  • Automatisierung

innerhalb eines umfassenderen Sicherheitsökosystems. Wer Teil einer Organisation ist, die die Größe, Struktur und die passende Systemlandschaft hat, für den ist diese operative Konsolidierung ein Vorteil.

Zwischenfazit: Die Stärke des Microsoft Attack Simulators liegt in seiner Integration in den Microsoft-Defender-Stack, insbesondere mit Microsoft Sentinel.

Advantage of Defender attack simulator VS Challenges with working on it

Die schwache Seite des Microsoft Defender Attack Simulators

Zur Erinnerung: Der hier beschriebene Ansatz konzentriert sich auf die Verbesserung des Risikoverhaltens von Mitarbeitenden und auf das von Microsoft dafür angebotene Produkt „Attack Simulator“. Wir haben bei der Nutzung folgende Herausforderungen identifiziert:

  • Kein geschlossener Lernkreislauf
  • Hoher Aufwand für Operatoren
  • Begrenzter Realismus der Simulationen
  • Schwaches Reporting zum Verhalten
  • Kein Domain-Management und keine Domain-Kontrolle
  • Kein MSSP-/Multi-Tenant-Modell
  • Eingeschränktes Trainingssystem
  • Keine Local-Cloud- oder On-Premises-Wahl

1. Kein geschlossener Lernkreislauf

Eine der größten Schwächen ist das Fehlen eines echten verhaltensbasierten Closed-Loop-Lernmodells.

Die meisten Phishing-Simulationen enden nach:

  • Klick-Erkennung
  • Eingabe von Zugangsdaten
  • einfacher Nutzerzuordnung

Nachhaltige Awareness-Verbesserung erfordert jedoch:

  • kontinuierliches adaptives Lernen
  • Lernverstärkung
  • verhaltensbezogene Wiederholung
  • individuelles, kontextbezogenes Training und anspruchsvolle Übungen
  • eigene Angriffsdomains
  • langfristige Lernzyklen

Ohne das laufen Phishing-Simulationen Gefahr, zu repetitiven Compliance-Übungen zu werden statt zu echten Systemen zur Verhaltensverbesserung.

2. Hoher Aufwand für Operatoren

Obwohl Microsoft technisch gut integriert, kann der Awareness-Betrieb selbst weiterhin erheblichen manuellen Aufwand erfordern.

Besonders in größeren Umgebungen sind:

  • Kampagnenmanagement
  • Zielgruppensteuerung
  • Terminplanung
  • Interpretation des Reportings
  • Trainingskoordination
  • Klonen von Kampagnen über mehrere AD-Tenants hinweg

zeitaufwendig. Dedizierte Awareness-Plattformen sind für den Awareness-Betrieb selbst oft deutlich besser optimiert.

3. Begrenzter Realismus der Simulationen

Moderne reale Phishing-Angriffe nutzen zunehmend KI-generierte Sprache, geschäftlichen Kontext, Lieferanten-Imitation, personalisierte Kommunikation und mehrstufige Interaktion.

Viele Kampagnen des Defender Attack Simulators wirken im Vergleich zu modernen realen Phishing-Kampagnen noch relativ standardisiert. Sie basieren weiterhin auf Vorlagen mit einfacher Anpassung und bieten begrenzte Personalisierung.

Diese Realismus-Lücke wird immer wichtiger, je besser die Angreifer werden.

4. Schwaches Reporting zum Verhalten

Im Microsoft Defender AST konzentriert sich das Reporting auf Klickraten und Kompromittierungsraten. Klickraten allein sind keine Verhaltensintelligenz. Organisationen brauchen Sichtbarkeit über:

  • Meldeverhalten
  • Zögerungsmuster
  • Wiederholungsverhalten
  • Lernfortschritt
  • risikobasierte Nutzergruppen
  • langfristige Awareness-Trends

Das Microsoft-Reporting ist funktional, aber im Vergleich zu spezialisierten Awareness-Analytics-Plattformen relativ begrenzt.

5. Kein Domain-Management und keine Domain-Kontrolle

Anspruchsvolle Phishing-Simulationsprogramme erfordern oft:

  • dedizierte Phishing-Domains
  • Management der Domain-Reputation
  • Kontrolle über Landing-Pages
  • Verwaltung der Absender-Infrastruktur
  • erweiterte Kampagnenanpassung

Der Microsoft Defender Attack Simulator bietet in diesem Bereich nur begrenzte Flexibilität. Sobald das Awareness-Programm einer Organisation die Anfangsphase verlassen hat, wird das zu einem ernsthaften Problem. Die Verwendung statischer Phishing-Simulationsdomains macht die Kampagnen wirkungslos und unrealistisch.

6. Kein MSSP-/Multi-Tenant-Modell

Das ist eine erhebliche Einschränkung für:

  • Unternehmen mit mehreren AD-Domains oder LDAPs
  • MSSPs
  • Managed-SOC-Anbieter
  • Sicherheitsanbieter mit mehreren Kunden

Microsofts Awareness-Tooling ist primär auf den Betrieb einzelner Tenants ausgelegt. Groß angelegtes Multi-Tenant-Awareness-Management gehört nicht zu seinen Stärken. Dieser Mangel treibt den Aufwand für Operatoren in jeder Phase einer Awareness-Aktivität in die Höhe — vom Aufsetzen über das Reporting bis zur Verbesserung.

7. Eingeschränktes Trainingssystem

Awareness ist mehr als Phishing-Simulation. Im Microsoft Defender basiert das Training auf integrierten Modulen mit begrenzten Anpassungsmöglichkeiten.

Der Defender Attack Simulator bleibt stark simulationsfokussiert. Das breitere Bildungsökosystem ist relativ begrenzt.

8. Keine Local-Cloud- oder On-Premises-Flexibilität

Der Microsoft Defender Attack Simulator läuft ausschließlich in der Microsoft-Cloud. Organisationen mit hybrider Infrastruktur, regulatorischen Einschränkungen, Local-Cloud-Anforderungen oder On-Premises-Abhängigkeiten stoßen bestenfalls auf „Einschränkungen“.

Der Microsoft Defender Attack Simulator ist naturgemäß für Microsoft-Cloud-zentrierte Umgebungen optimiert.

9. Defender SAT allein wird schlechtes Risikoverhalten nie lösen

Das ist nicht nur ein Microsoft-Problem — es betrifft große Teile der Awareness-Branche.

Die Erzählung, dass geschulte Nutzer allein Phishing-Angriffe stoppen, ist unrealistisch. Ohne starke technische Kontrollen wie:

  • Fortschrittliche E-Mail-Filterung
  • Endpoint-Schutz
  • Browser-Sicherheit
  • Identitätsschutz
  • Automatisierte Erkennungautomated detection

wären Nutzer natürlich völlig überfordert. Gerade bei KI-generiertem Phishing wird technische Erkennung wieder wichtiger, nicht unwichtiger. Dennoch: Technologische Schutzmaßnahmen lassen sich über Systeme schneller umsetzen. Gesundes Risikoverhalten bei Menschen zu fördern ist dagegen ein deutlich langwierigeres Unterfangen — und konventionelle bzw. falsch verstandene Awareness hilft dabei nicht.

Zusammenfassung: Vor- und Nachteile im Überblick

Vorteile Microsoft AST

  • Tiefe Microsoft-365-Integration
  • Native SOAR-Automatisierung
  • Schnellere operative Workflows
  • Einheitliche Security-Sichtbarkeit
  • Korrelation von Endpoint und E-Mail
  • Geringere operative Komplexität
  • Zentralisierte Administration

Einschränkungen Microsoft AST

  • Kein geschlossener Lernkreislauf
  • Hoher Aufwand für Operatoren
  • Begrenzter Realismus der Simulationen
  • Schwaches Reporting zum Verhalten
  • Kein Domain-Management und keine Domain-Kontrolle
  • Kein MSSP-/Multi-Tenant-Modell
  • Eingeschränktes Trainingssystem
  • Keine Local-Cloud- oder On-Premises-Option
  • Konventionelle Awareness reicht nicht aus

Fazit

Der Microsoft Defender Attack Simulator ist innerhalb des Microsoft-Ökosystems operativ stark. Organisationen sollten Phishing-Simulationen jedoch nicht mit vollständiger Security-Awareness-Reife und Menschen mit gutem Risikoverhalten verwechseln.

Es liegt an der beschaffenden Organisation zu entscheiden, welche Aspekte der Cybersicherheit für sie Priorität haben. Fakt ist: Im Zeitalter der KI sind Angriffe deutlich raffinierter und erfolgen deutlich schneller. Die technologische Seite werden Unternehmen jedoch schneller kontrollieren und beherrschen können — beim Menschen ist das ein wesentlich langwierigeres Unterfangen.

Enjoyed reading? Subscribe to our blog!

    Andere Ressourcen