Phishing aus Outlook melden: Das empowsec Add-In im Detail

Marcus Chen··8 min read
Reporting a phishing email from Outlook

Die wirksamste Phishing-Abwehr in jeder Organisation ist kein Spam-Filter oder eine DNS-Richtlinie - es ist eine Person, die eine verdächtige E-Mail erkennt und etwas dagegen unternimmt. Aber Erkennen und Melden sind zwei verschiedene Verhaltensweisen, und die Lücke zwischen ihnen ist oft eine praktische: Melden fühlt sich wie Aufwand an, und Aufwand erzeugt Reibung. Das empowsec Outlook-Add-In wurde entwickelt, um diese Reibung vollständig zu beseitigen. Ein einziger Klick aus der E-Mail heraus, die die Person gerade betrachtet, genügt, um eine Meldung einzureichen - kein Weiterleiten, kein Kopieren von Headern, kein Öffnen eines separaten Tools.

Dieser Artikel erläutert, wie das Outlook-Add-In funktioniert, was passiert, wenn eine Person eine Simulation im Vergleich zu einer echten verdächtigen E-Mail meldet, wie Risikogutschriften vergeben werden, wie das Add-In installiert wird und wie Administratoren über Updates informiert werden.

Ein Klick direkt in Outlook

Das empowsec Outlook-Add-In fügt einen 'Phishing melden'-Button direkt in die Outlook-Oberfläche ein, verfügbar sowohl in der Desktop-Anwendung als auch in Outlook im Web. Der Button erscheint im Lesebereich oder Nachrichtenfenster, wenn eine Person eine beliebige E-Mail ansieht - die Aktion ist also genau in dem Moment verfügbar, in dem die Person entscheidet, dass sie etwas melden möchte.

Wenn die Person auf den Button klickt, erfasst das Add-In die E-Mail vollständig: die Header, die Routing-Informationen, Sender-Authentifizierungsdatensätze und Zeitstempel enthalten, die oft entscheidend sind um zu bestimmen, ob eine E-Mail legitim ist; sowie den Inhalt der Nachricht selbst, einschließlich aller referenzierten Links oder Anhänge. Diese vollständige Erfassung ermöglicht es dem Sicherheitsteam, die gemeldete E-Mail ordnungsgemäß zu analysieren, anstatt eine weitergeleitete Kopie zu erhalten, bei der möglicherweise einige der ursprünglichen Header-Daten entfernt oder verändert wurden.

Die Einreichung erfolgt sofort. Aus der Perspektive der Person ist die Erfahrung einfach: Sie sehen etwas Verdächtiges, klicken auf 'Phishing melden' und erhalten eine Antwort. Diese Antwort unterscheidet sich je nachdem, was die gemeldete E-Mail tatsächlich war.

Outlook - Posteingang
IT
VonIT Support <[email protected]> Lookalike-Domain
BetreffDringend: Ihr Passwort läuft heute ab
Ihr Kontopasswort ist abgelaufen. Klicken Sie sofort, um sich erneut zu authentifizieren und den Zugang zu Ihren Dateien nicht zu verlieren.
Phishing meldenLöschen
Der empowsec Add-In-Button erscheint direkt im Outlook-Lesebereich. Ein Klick erfasst die vollständige E-Mail und sendet sie zur Überprüfung - kein Weiterleiten oder zusätzliche Schritte erforderlich.

Sofortiges Feedback bei gemeldeten Simulationen

Wenn eine Person eine E-Mail meldet, die sich als empowsec Phishing-Simulation herausstellt, liefert das Add-In sofortiges positives Feedback. Die Person sieht eine Antwort im Add-In - etwa 'Gut erkannt - das war eine Simulation' - die bestätigt, dass sie den Test korrekt identifiziert hat. Dieses sofortige Feedback ist aus zwei Gründen wichtig.

Erstens schließt es den Kreislauf der Simulation auf eine Weise, die das gewünschte Verhalten verstärkt. Eine verdächtige E-Mail zu melden ist genau das, was das Sicherheitsbewusstseinsprogramm zu fördern versucht, und positive Bestätigung im Moment der Handlung ist die wirksamste Methode zur Verstärkung einer Gewohnheit. Wenn eine Person eine Simulation meldet und keine Antwort erhält oder eine allgemeine Bestätigung ohne Hinweis darauf, ob sie richtig lag, geht der Verstärkungswert der Handlung verloren. Das sofortige Feedback verwandelt die Meldung in einen Moment positiver Anerkennung.

Zweitens verhindert es Verwirrung. Ohne eine klare Antwort könnte eine Person, die gerade eine Simulation gemeldet hat, unsicher sein, ob sie das Richtige getan hat, ob der Button funktioniert hat oder ob sie noch etwas tun muss. Die Bestätigung löst all das sofort und gibt der Person Vertrauen in den Melde-Workflow.

Das Melden einer Simulation bringt der Person auch eine positive Risikogutschrift: 5 Punkte werden von ihrem Risiko-Score abgezogen. Dies verbindet die Meldeaktion direkt mit der Risiko-Scoring-Engine, die das Sicherheitsverhalten in der gesamten Organisation verfolgt. Mit der Zeit bauen Mitarbeitende, die die Gewohnheit entwickeln, verdächtige E-Mails konsistent zu melden - ob Simulationen oder echte Bedrohungen - eine Aufzeichnung positiven Sicherheitsverhaltens auf, die sich in einem niedrigeren Risiko-Score widerspiegelt.

Risikogutschrift für das Melden echter Phishing-Mails

Wenn eine Person eine E-Mail meldet, die keine Simulation ist - eine tatsächlich verdächtige E-Mail von außerhalb der Organisation - geht die Meldung zur Analyse in die Admin-Überprüfungswarteschlange. Das Sicherheitsteam kann dann die erfassten Header und Inhalte prüfen, die E-Mail klassifizieren und bestimmen, ob sie eine echte Bedrohung darstellt. Wenn sie als echtes Phishing bestätigt wird, erhält die meldende Person eine positive Risikogutschrift von 8 Punkten - das höchste einzelne positive Ereignis in der Risiko-Scoring-Engine.

Dieser höhere Gutschriftswert für echte Phishing-Meldungen spiegelt den realen Wert der Handlung wider. Eine Person, die eine tatsächliche Phishing-E-Mail identifiziert und meldet, hat direkt zur Bedrohungstransparenz der Organisation beigetragen. Sie hat möglicherweise eine Anmeldedaten-Ernte oder Malware-Zustellung verhindert, auf die andere Kollegen hereingefallen wären, und sie hat dem Sicherheitsteam ein Muster übergeben, das zur Verbesserung der Abwehr genutzt werden kann.

Die Kombination aus positiver Gutschrift sowohl für Simulations- als auch für echte Meldungen schafft einen konsistenten Anreiz: Melden ist immer die richtige Antwort und wird immer belohnt. Mitarbeitende müssen nicht wissen, ob eine E-Mail echt oder eine Simulation ist, um die richtige Entscheidung zu treffen; sie melden einfach alles, was verdächtig aussieht, und das System erledigt den Rest.

1Admin lädt das Manifest von der empowsec Add-In-Einstellungsseite herunter.
2Bereitstellung über das Microsoft 365 Admin Center oder Exchange-Administration, gezielt auf die relevanten Benutzer oder Gruppen.
3Der Button 'Phishing melden' erscheint in Outlook Desktop und Outlook im Web für alle bereitgestellten Benutzer.
Der dreistufige Add-In-Installationsprozess: Manifest herunterladen, über das Microsoft 365 Admin Center bereitstellen und der Button steht allen Zielbenutzern sowohl in Outlook Desktop als auch im Web zur Verfügung.

Installation über das Office-Add-In-Manifest

Das empowsec Outlook-Add-In wird über das standardmäßige Office-Add-In-Manifest-System installiert, das denselben Mechanismus verwendet, den alle legitimen Office-Add-Ins nutzen. Dies bedeutet, dass der Installationsprozess einem vertrauten, von Administratoren kontrollierten Workflow folgt, für den die meisten Microsoft 365-Umgebungen bereits Prozesse haben.

Das Add-In-Manifest wird über das Microsoft 365 Admin Center oder über die Exchange-Administration bereitgestellt, was eine zentrale Kontrolle darüber ermöglicht, welche Benutzer oder Gruppen das Add-In erhalten. Diese zentrale Bereitstellung bedeutet, dass Mitarbeitende nichts selbst installieren müssen: Der Button erscheint einfach in ihrer Outlook-Oberfläche, nachdem der Administrator die Bereitstellung abgeschlossen hat. Es ist keine Endbenutzeraktion erforderlich, was eine häufige Einführungsbarriere beseitigt und eine konsistente Abdeckung in der gesamten Organisation sicherstellt.

Die zentrale Bereitstellung bedeutet auch, dass das Add-In gleichzeitig für die gesamte Organisation ausgerollt werden kann, anstatt Mitarbeitende zu bitten, es einzeln zu installieren. Für große Organisationen ist das wichtig: Ein Melde-Button, den nur manche Mitarbeitende installiert haben, ist weniger nützlich als einer, der allen zur Verfügung steht.

Add-In-Versionsbenachrichtigungen für Administratoren

empowsec benachrichtigt Administratoren, wenn eine neue Version des Outlook-Add-Ins verfügbar ist. Dies stellt sicher, dass die Organisation auf einem aktuellen Release bleiben kann, ohne dass Administratoren manuell nach Updates suchen müssen. Wenn eine neue Version veröffentlicht wird, erhält der Admin eine Benachrichtigung, und das Add-In-Manifest kann aktualisiert und über denselben Microsoft 365 Admin Center-Prozess wie bei der Erstinstallation erneut bereitgestellt werden.

Das Add-In aktuell zu halten ist über bloße neue Funktionen hinaus wichtig. Updates können Kompatibilitätsverbesserungen für neue Versionen von Outlook oder Microsoft 365, Änderungen an der Office-Add-In-Plattform oder sicherheitsbezogene Aktualisierungen der Einreichungsverarbeitung umfassen. Ein benachrichtigungsgesteuerter Aktualisierungsprozess stellt sicher, dass diese Verbesserungen die Organisation zeitnah erreichen, ohne dass das Sicherheitsteam einen separaten Release-Feed überwachen muss.

Tipp
Informieren Sie Mitarbeitende bei der Einführung über den Melde-Button und erneut nach jeder Phishing-Simulationskampagne - Mitarbeitende, die wissen, dass der Button existiert, sind bei einem echten Verdacht viel wahrscheinlicher bereit, ihn zu nutzen.

Was das für Ihr Team bedeutet

  • Ein-Klick-Meldung direkt aus Outlook Desktop und Web entfernt die Reibung, die Mitarbeitende daran hindert, verdächtige E-Mails zu melden, auch wenn sie sie erkennen.
  • Vollständige E-Mail-Erfassung - Header und Inhalt - gibt dem Sicherheitsteam die vollständigen Informationen, die es für die Analyse benötigt, und keine weitergeleitete Kopie, bei der kritische Header-Daten verloren gegangen sein könnten.
  • Sofortiges positives Feedback bei Simulationsmeldungen verstärkt das Meldeverhalten genau im richtigen Moment und macht die Gewohnheit nachhaltiger.
  • Risikogutschriften von 5 Punkten für Simulationsmeldungen und 8 Punkten für echte Phishing-Meldungen verbinden das Melden direkt mit der Risiko-Scoring-Engine und machen das Verhalten Teil der Sicherheitsaufzeichnung einer Person.
  • Manifest-basierte Bereitstellung über das Microsoft 365 Admin Center stellt den Button allen Benutzern zur Verfügung, ohne dass eine individuelle Installation erforderlich ist, und gewährleistet eine konsistente Abdeckung.
Share: