Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen
Die 12 besten Phishing Tools für Phishing Simulationen - Phishing-E-Mail mit Warnsignalen
Security Awareness

Phishing Simulation Tools: Die 12 besten im Vergleich [2026]

Welches Phishing-Tool passt zu Ihrem Unternehmen? Gophish, Evilginx2, King Phisher & 9 weitere Tools im Vergleich - Open Source bis Enterprise.

Chris Wojzechowski Chris Wojzechowski Geschäftsführender Gesellschafter
Aktualisiert: 12. März 2026 20 Min. Lesezeit
IT-Grundschutz-Praktiker (TÜV) IT Risk Manager (DGI) § 8a BSIG Prüfverfahrenskompetenz Ausbilderprüfung (IHK)

TL;DR

Zwölf Phishing-Simulation-Tools stellt dieser Artikel vor - von Zphisher mit rund 30 vorgefertigten Vorlagen für Einsteiger bis hin zu Evilginx2, einem Man-in-the-Middle-Framework, das Sitzungscookies nutzt, um Zwei-Faktor-Authentifizierungen zu umgehen. Gophish bietet als quelloffenes Framework eine REST-API für strukturierte Kampagnen. Automatisierte Tools eignen sich besonders dann, wenn Budget oder Know-how für manuelle Szenarien fehlen - ersetzen jedoch keine professionelle, zielgerichtete Phishing-Simulation. Der Artikel hilft Ihnen, das passende Tool für Ihren Anwendungsfall zu identifizieren und dessen Grenzen realistisch einzuschätzen.

Diese Zusammenfassung wurde KI-gestützt erstellt (EU AI Act Art. 50).

Inhaltsverzeichnis (7 Abschnitte)

Phishing Simulationen gehören im Bereich der IT-Sicherheit als fester Bestandteil zu jeder Sicherheitsstrategie mit dazu. Das liegt ganz einfach daran, dass Phishing nach wie vor ein großes und ernst zu nehmendes Problem darstellt, durch das Firmen relativ einfach und schnell kompromittiert werden können. Die Phishing Simulation verschafft Ihnen hier Sicherheit und sensibilisiert die eigenen Mitarbeiter für das überaus wichtige Thema, denn am Ende kommt es vorwiegend auf die Sensibilisierung im eigenen Unternehmen an, um etwaige Angriffe zu verhindern. Nur wenn Mitarbeiter ganz genau wissen, was sie erwartet und womit sie es zu tun haben, können sie darauf vorbereitet sein und im Ernstfall korrekt reagieren. Dabei helfen Phishing Simulationen, die teilweise auch automatisch mit entsprechenden Tools durchgeführt werden können.

Einen umfassenden Überblick über alle Phishing-Methoden und Angriffsformen finden Sie in unserem Leitfaden Phishing-Angriffe erkennen und abwehren. Hintergrundinformationen zu Phishing-Begriffen bietet unser Phishing-Wiki-Artikel. Wenn Sie eine professionelle Phishing-Simulation für Ihr Unternehmen beauftragen möchten, erfahren Sie mehr unter Phishing-Simulation.

Was sind Phishing Simulationen?

An dieser Stelle möchten wir nicht erneut und detailliert darauf eingehen, was eine Phishing Simulation genau ist und wie selbige aufgebaut wird. In unserem Artikel »Was ist eine Phishing Simulation?« haben wir dies bereits getan und sind dabei tief in die Materie der Phishing Simulationen abgetaucht. Wer alle Details erfahren möchte, liest sich den verlinkten Artikel daher noch einmal genauer durch. Alle anderen bekommen hier nun noch einmal kurz und knapp erklärt, worum es sich bei den Phishing Simulationen handelt.

Im Grunde sind Phishing Simulationen nichts anderes als ein kontrollierter Angriff. Wir als Dienstleister übernehmen dabei die Rolle des Angreifers und versuchen, an die entsprechenden Daten zu gelangen. Wir simulieren also unterschiedliche Arten von Phishing-Angriffen und finden auf diese Weise heraus, ob im Unternehmen ein Risiko für erfolgreiche Phishing-Angriffe vorhanden ist.

Die Phishing Simulation ist am Ende also nichts anderes als ein simulierter Angriff, um Schwachstellen im Bereich Phishing zu finden und entsprechend aufzudecken.

Tools für Phishing Simulationen

Nun geht natürlich nichts über manuelle Szenarien und Tests. Im Sicherheitsbereich ist allgemein bekannt, dass vor allem händische und manuell durchgeführte Tests entsprechend zielgerichtet durchgeführt werden können und demnach auch entsprechend genaue Ergebnisse hervorbringen. Doch dennoch gibt es inzwischen eine Vielzahl an Tools, die dabei helfen können, solche Phishing Simulationen automatisiert stattfinden zu lassen.

Diese Tools können, je nach Anwendungsfall, eine große Hilfe bei Phishing Simulationen sein. Vor allem dann, wenn das Budget oder das Wissen für eine manuelle Phishing Simulation fehlt. In diesem Teil möchten wir Ihnen daher ein paar der gängigen Phishing Tools genauer vorstellen und ihren Einsatzzweck ein wenig erläutern.

Schnellübersicht: Alle Tools im Vergleich

ToolTypOpen SourceSchwierigkeitAktiv gepflegt
ZphisherOpen SourceEinsteiger
Evilginx2Open SourceExperten
GophishOpen SourceFortgeschrittene
HiddenEyeOpen SourceFortgeschrittene
Infosec IQFreemium / KommerziellEinsteiger
King-PhisherOpen SourceFortgeschrittene
LUCYKommerziellFortgeschrittene
Phishing FrenzyOpen SourceExperten
SEToolkitOpen SourceExperten
Simple Phishing ToolkitOpen SourceEinsteiger
SpearPhisherOpen SourceEinsteiger
SpeedPhish FrameworkOpen SourceExperten

1. Zphisher

Typ: Open Source Geeignet für: Einsteiger

Zphisher ist ein Phishing-Tool, das sich bewusst an Beginner und Neulinge richtet, die einen einfachen Einstieg in das Thema Phishing-Simulation suchen. Das Tool enthält rund dreißig vorgefertigte Phishing-Vorlagen für bekannte Plattformen und Dienste, mit denen sich automatisierte Testläufe schnell starten lassen.

Die Stärke von Zphisher liegt in seiner Zugänglichkeit: Die Installation ist unkompliziert, die Bedienung erfordert kaum tiefes technisches Vorwissen, und die integrierten Vorlagen decken gängige Szenarien wie gefälschte Login-Seiten für soziale Netzwerke und Webdienste ab. Tunneling-Dienste wie Ngrok sind direkt integriert, sodass das Tool auch ohne feste IP-Adresse betrieben werden kann.

Die Grenzen von Zphisher werden jedoch schnell sichtbar: Für professionelle oder zielgerichtete Phishing-Simulationen in Unternehmen ist das Tool kaum geeignet. Es fehlen Kampagnenverwaltung, Reporting-Funktionen und die Möglichkeit, individuelle Szenarien zu erstellen. Zphisher eignet sich daher am besten als Lernwerkzeug oder für erste Experimente in kontrollierten Testumgebungen - nicht als Grundlage einer ernsthaften Sicherheitsbewertung.

2. Evilginx2

Typ: Open Source Geeignet für: Experten

Das Phishing-Tool Evilginx2 bezeichnet sich selbst als Man-in-the-Middle-Framework und richtet sich ausdrücklich an erfahrene Sicherheitsforscher und Penetrationstester. Das Framework nutzt Sitzungscookies, um Anmeldedaten abzufangen - und zwar so, dass selbst Zwei-Faktor-Authentifizierungen umgangen werden können. Genau darin liegt die besondere Gefährlichkeit dieses Ansatzes.

Evilginx2 ist der Nachfolger des bekannten Evilginx und bringt entscheidende Verbesserungen mit: Ein eigener HTTP- und DNS-Server sind bereits integriert, sodass keine externe nginx-Proxy-Konfiguration mehr notwendig ist. Die Konfiguration erfolgt über sogenannte Phishlets - YAML-basierte Konfigurationsdateien, mit denen sich Angriffe auf spezifische Dienste und Anmeldeseiten präzise abbilden lassen.

Wegen seiner Effektivität gegen moderne Authentifizierungsverfahren ist Evilginx2 ein wertvolles Werkzeug in Red-Team-Operationen und fortgeschrittenen Penetrationstests. Für den unbedarften Einsatz oder außerhalb eines klar definierten und rechtlich abgesicherten Testmandats ist Evilginx2 nicht geeignet. Die technische Komplexität ist hoch - die Einarbeitung erfordert fundierte Kenntnisse in Netzwerktechnik und Webprotokollen.

3. Gophish

Typ: Open Source Geeignet für: Fortgeschrittene

Mit dem Phishing-Tool Gophish, das über eine vollwertige REST-API betrieben wird, sind strukturierte und vielfältige Phishing-Kampagnen möglich. Das quelloffene Framework ist eines der meistgenutzten Werkzeuge im Bereich Phishing-Simulation und erfreut sich sowohl bei Sicherheitsforschern als auch bei IT-Abteilungen in Unternehmen großer Beliebtheit.

Die Stärke von Gophish liegt in seiner durchdachten Benutzeroberfläche: Innerhalb des Web-Interfaces lassen sich Phishing-Vorlagen mit einem vollwertigen HTML-Editor erstellen, Kampagnen planen und nach Zeitplan automatisch versenden. Das integrierte Tracking-System erfasst, wer eine E-Mail geöffnet hat, wer auf einen Link geklickt hat und wer Anmeldedaten eingegeben hat - und stellt diese Daten in übersichtlichen Dashboards dar.

Gophish läuft als einzelne ausführbare Binärdatei und ist für Windows, macOS und Linux verfügbar, was die Einrichtung erheblich vereinfacht. Die REST-API erlaubt die Integration in bestehende Security-Prozesse und CI/CD-Pipelines. Für Organisationen, die eine selbst gehostete, anpassbare Phishing-Simulationsplattform ohne Lizenzkosten suchen, ist Gophish eine hervorragende Wahl - allerdings setzt sinnvoller Einsatz ein gewisses Grundverständnis für E-Mail-Infrastruktur und SMTP-Konfiguration voraus.

Wenn Sie eine professionell durchgeführte Phishing-Simulation ohne eigenen Tool-Betrieb bevorzugen, bietet AWARE7 die Phishing-Simulation als Managed Service an.

4. HiddenEye

Typ: Open Source Geeignet für: Fortgeschrittene

HiddenEye beschreibt sich selbst als modernes Phishing-Tool, das über alle gängigen Werkzeuge für Social Engineering verfügt. Der Funktionsumfang ist deutlich breiter als bei reinen Phishing-Werkzeugen: Neben klassischen Phishing-Seiten unterstützt HiddenEye auch Keylogger-Funktionen und Informationssammelwerkzeuge für Social Engineering - und bietet damit ein umfassendes Set für offensive Sicherheitstests.

Besonders hervorzuheben sind die integrierten Tunneling-Dienste, die es ermöglichen, Phishing-Seiten ohne feste öffentliche IP-Adresse zu betreiben. HiddenEye unterstützt mehrere Tunnel-Anbieter gleichzeitig und bietet dabei verschiedene URL-Typen an. Darüber hinaus können Live-Angriffsdaten wie IP-Adresse, Geolocation, ISP, Land und weitere Informationen der Zielperson in Echtzeit eingesehen werden.

Für besonders aufwendige Phishing-Simulationen auf Unternehmensebene, bei denen mehrere Angriffsvektoren gleichzeitig bewertet werden sollen, ist HiddenEye ein leistungsfähiges Werkzeug. Die Komplexität und der Funktionsumfang machen es jedoch weniger geeignet für Einsteiger. Der Einsatz sollte ausschließlich in rechtlich klar abgesicherten Testszenarien mit ausdrücklicher Genehmigung des Auftraggebers erfolgen.

5. Infosec IQ

Typ: Freemium / Kommerziell Geeignet für: Einsteiger

Mit dem Infosec IQ Tool vom Anbieter Infosec Institute sind automatisierte Phishing-Risikotests und simulierte Phishing-Kampagnen auch ohne tiefes technisches Wissen möglich. Das Angebot richtet sich an Unternehmen, die Phishing-Simulationen mit integrierter Schulungskomponente kombinieren möchten - also nicht nur messen wollen, wie viele Mitarbeiter auf eine Phishing-Mail hereinfallen, sondern direkt gegensteuern wollen.

Die kostenlose Einstiegsvariante gibt einen guten ersten Eindruck, ist aber in Umfang und Funktionen begrenzt. Der volle Leistungsumfang erschließt sich erst mit PhishSim, dem kommerziellen Produkt des Anbieters. Dort stehen viele Phishing-Vorlagen zur Verfügung, die typische Angriffsszenarien abdecken - von gefälschten IT-Helpdesk-E-Mails bis hin zu simulierten Rechnungsanhängen. Ergänzt wird das Ganze durch einen Drag-and-drop-Builder für individuelle Phishing-E-Mails und automatisierte Lernmodule, die ausgelöst werden, wenn ein Mitarbeiter auf eine Simulation hereinfällt.

Infosec IQ eignet sich besonders für Unternehmen, die Phishing-Awareness-Programme ohne eigene technische Infrastruktur einführen möchten. Die Plattform übernimmt Hosting, Versand und Auswertung. Der Preis für die vollständige Plattform richtet sich nach der Nutzerzahl - konkrete Listenpreise sind auf Anfrage erhältlich.

6. King-Phisher

Typ: Open Source Geeignet für: Fortgeschrittene

King-Phisher ist ein quelloffenes Framework zur Durchführung realistischer Phishing-Simulationen mit dem Ziel, das Sicherheitsbewusstsein von Nutzern zu schärfen. Das Tool bietet eine vollständige Kontrolle über E-Mail-Inhalte und Serververhalten, was es besonders flexibel für unterschiedliche Szenarien macht.

King-Phisher besteht aus zwei Komponenten: einem Server, der die Infrastruktur für Phishing-Kampagnen bereitstellt, und einem Client mit grafischer Oberfläche, über die Kampagnen konfiguriert und gesteuert werden. Die Oberfläche ist funktional, wenn auch nicht besonders modern gestaltet - sie erfüllt jedoch ihren Zweck und macht alle wichtigen Einstellungen zugänglich. Unterstützt werden unter anderem individuelle E-Mail-Vorlagen mit WYSIWYG-Editor, Kampagnenverwaltung, detailliertes Tracking von Öffnungen und Klicks sowie eine Kampagnenauswertung mit Exportfunktion.

Die Stärke von King-Phisher liegt in seiner Vielseitigkeit: Es eignet sich sowohl für einfache Kampagnen als auch für komplexe, mehrstufige Phishing-Szenarien. Wer bereit ist, etwas Zeit in die Einarbeitung zu investieren, erhält ein leistungsfähiges Werkzeug für professionelle Phishing-Simulationen. Der Betrieb setzt Linux-Kenntnisse und ein Grundverständnis für E-Mail-Infrastruktur voraus.

7. LUCY

Typ: Kommerziell Geeignet für: Fortgeschrittene

LUCY ist eine vollwertige kommerzielle Social-Engineering-Plattform und geht damit weit über reine Phishing-Simulationen hinaus. Neben E-Mail-Phishing unterstützt LUCY auch SMS-Phishing (Smishing), Vishing-Vorlagen, physische Angriffssimulationen und Awareness-Schulungsmodule - alles in einer Plattform.

Das Web-Interface von LUCY ist funktionsreich, aber auch vergleichsweise komplex aufgebaut. Wer sich einmal eingearbeitet hat, profitiert von einem umfangreichen Werkzeugkasten: individualisierbare Phishing-Kampagnen, integrierte Lernmodule und Quizfragen zur Sensibilisierung, detaillierte Auswertungen und mehrstufige Kampagnenabläufe. Für Enterprise-Anwendungsfälle mit hohen Anforderungen an Berichterstattung, Compliance-Nachweise und individuelle Branding-Optionen ist LUCY eine sinnvolle Wahl.

Es gibt beziehungsweise gab eine Community-Version von LUCY, der volle Funktionsumfang ist jedoch den kostenpflichtigen Enterprise-Versionen vorbehalten. LUCY richtet sich damit klar an Unternehmen, die eine professionelle, dauerhaft betriebene Awareness-Plattform suchen - und nicht an Einzelpersonen oder kleine Teams mit begrenztem Budget. Als Plattform zur Sensibilisierung und für Awareness-Programme im größeren Umfang funktioniert LUCY stabil und zuverlässig.

8. Phishing Frenzy

Typ: Open Source Geeignet für: Experten

Phishing Frenzy ist ein in Ruby on Rails geschriebenes Open-Source-Framework, das primär für Penetrationstests konzipiert wurde - sich aber dank seines Funktionsumfangs auch für interne Phishing-Simulationen eignet. Die Plattform bietet eine webbasierte Oberfläche zur Verwaltung und Durchführung von Phishing-Kampagnen.

Besonders stark ist Phishing Frenzy im Bereich der Kampagnenauswertung: Das Tool ermöglicht die Erstellung sehr detaillierter und strukturierter Statistiken zu jeder Kampagne. Erfasst werden unter anderem Öffnungsraten, Klickraten, eingegebene Anmeldedaten und der zeitliche Verlauf der Reaktionen. Diese granularen Daten machen Phishing Frenzy attraktiv für Red Teams, die ihre Simulationen sorgfältig dokumentieren und auswerten müssen.

Die Einrichtung und Konfiguration von Phishing Frenzy ist anspruchsvoll: Die Installation einer Ruby-on-Rails-Umgebung, die Datenbankanbindung und die SMTP-Konfiguration setzen Erfahrung mit Linux-Serversystemen voraus. Für Einsteiger ist das Tool daher nicht geeignet. Für erfahrene Sicherheitsteams, die eine selbst gehostete Plattform mit guten Reporting-Funktionen suchen, ist Phishing Frenzy jedoch eine interessante Option.

9. SEToolkit

Typ: Open Source Geeignet für: Experten

Das SEToolkit - kurz SET - steht im Klartext für Social Engineer Toolkit und stammt aus dem Hause TrustedSec, entwickelt von Dave Kennedy. Das in Python geschriebene Werkzeug gilt als eines der bekanntesten und am weitesten verbreiteten Frameworks für Social Engineering im Bereich der offensiven IT-Sicherheit.

SET deckt ein breites Spektrum an Social-Engineering-Techniken ab: Im Bereich Phishing unterstützt das Tool den Versand von Spear-Phishing-E-Mails und die Durchführung von Massen-E-Mail-Kampagnen. Darüber hinaus ermöglicht es die Erstellung gefälschter Websites, Credential-Harvesting-Angriffe und die Einbindung von Exploit-Payloads in Dokumente - Funktionen, die weit über einfache Phishing-Simulationen hinausgehen.

Da das SEToolkit ausschließlich über die Kommandozeile bedient wird, setzt sein effektiver Einsatz umfangreiche Kenntnisse in Linux, Netzwerktechnik und Angriffstechniken voraus. Eine grafische Oberfläche ist nicht vorhanden. Das Tool ist daher nichts für Einsteiger - sondern klar für erfahrene Sicherheitsexperten und Penetrationstester positioniert, die SET in strukturierten Red-Team-Übungen oder autorisierten Sicherheitstests einsetzen. Weitere Informationen zu Phishing-Simulationen als Sicherheitsmaßnahme finden Sie auf unserer Leistungsseite.

10. Simple Phishing Toolkit

Typ: Open Source Geeignet für: Einsteiger

Beim Simple Phishing Toolkit ist vor allem eine Funktion besonders interessant: die Möglichkeit, Nutzer nach einer Phishing-Simulation automatisch auf eine vorbereitete Landing Page weiterzuleiten. Wer in der Simulation auf einen Link geklickt hat, landet direkt auf einer Seite, die über den simulierten Angriff aufklärt und erste Hinweise zur Erkennung von Phishing-E-Mails gibt. Auf diese Weise lassen sich Simulation und Schulung sinnvoll miteinander verbinden.

Darüber hinaus ermöglicht das Tool, Nutzer, die in einer Kampagne auf eine Phishing-E-Mail hereingefallen sind, gesondert zu markieren und in der Folge gezielt anzusprechen - etwa mit weiterführenden Schulungsmaßnahmen. Das ist konzeptionell ein guter Ansatz, der die reine Messung von Klickraten um eine Lernkomponente ergänzt.

Die entscheidende Einschränkung: Das Simple Phishing Toolkit wird nicht mehr aktiv weiterentwickelt. Offene Sicherheitslücken werden nicht gepatcht, neue Angriffsmuster werden nicht aufgenommen, und die Kompatibilität mit aktuellen Serversystemen ist nicht garantiert. Für den produktiven Einsatz in einem Unternehmen können wir das Tool daher nicht empfehlen. Es gehört dennoch in diese Liste, weil es mit seiner Kombination aus Simulation und sofortiger Schulung einen konzeptionellen Ansatz verfolgt, der in moderneren Plattformen aufgegriffen wurde.

11. SpearPhisher

Typ: Open Source Geeignet für: Einsteiger

SpearPhisher ist ein Phishing-Tool, das einst von TrustedSec mit einem klaren Ziel entwickelt wurde: die Erstellung von Phishing-E-Mails so einfach zu machen, dass sie auch ohne tiefes technisches Know-how möglich ist. Im Gegensatz zu den meisten anderen Tools in dieser Liste ist SpearPhisher ein Windows-basiertes Programm mit grafischer Benutzeroberfläche - und damit auch für Nicht-Techniker zugänglich.

Die Oberfläche von SpearPhisher ist bewusst einfach gehalten: Ein WYSIWYG-HTML-Editor ermöglicht die schnelle Erstellung optisch überzeugender Phishing-E-Mails, ohne dass HTML-Kenntnisse erforderlich wären. Das Tool kümmert sich um den Versand und erlaubt es, gezielte Spear-Phishing-E-Mails an einzelne Personen oder kleine Gruppen zu schicken.

SpearPhisher eignet sich gut für schnelle, unkomplizierte Tests - etwa wenn ein CEO oder ein IT-Verantwortlicher ohne externe Unterstützung prüfen möchte, ob einzelne Mitarbeiter für Spear-Phishing-Angriffe anfällig sind. Für komplexe, groß angelegte Kampagnen mit strukturiertem Reporting ist SpearPhisher hingegen nicht konzipiert. Wer mehr benötigt, sollte auf Gophish oder eine kommerzielle Plattform zurückgreifen.

12. SpeedPhish Framework (SPF)

Typ: Open Source Geeignet für: Experten

Das SpeedPhish Framework wurde ursprünglich als Pentesting-Tool entwickelt - bringt aber eine Reihe von Funktionen mit, die auch für Phishing-Kampagnen nützlich sind. Das in Python geschriebene Framework ermöglicht es, Phishing-Angriffe gegen mehrere Ziele gleichzeitig durchzuführen und E-Mail-Adressen automatisiert zu sammeln.

SPF legt den Fokus auf Geschwindigkeit und Automatisierung: Kampagnen können schnell aufgesetzt und gegen mehrere Zielpersonen oder Organisationen gleichzeitig gestartet werden. Die integrierten Phishing-Vorlagen decken gängige Angriffsszenarien ab. Gleichzeitig erlaubt das Framework individuelle Anpassungen, um spezifische Szenarien abzubilden.

Auch wenn SPF in erster Linie als Pentesting-Werkzeug konzipiert wurde, lässt es sich für kontrollierte Phishing-Simulationen einsetzen - insbesondere in Red-Team-Operationen, bei denen Geschwindigkeit und parallele Angriffe auf mehrere Zielpersonen bewertet werden sollen. Für den Einstieg in Phishing-Simulationen ist SPF jedoch nicht geeignet: Die Bedienung über die Kommandozeile, die Python-Abhängigkeiten und die fehlende grafische Auswertung setzen technische Erfahrung voraus.

Häufige Fragen zu Phishing-Simulation-Tools

Welches Phishing-Tool eignet sich für Einsteiger?

Für Einsteiger ohne tiefes technisches Vorwissen empfehlen sich Tools mit grafischer Oberfläche und vorgefertigten Vorlagen. Gophish ist hier die erste Wahl: Das Tool ist gut dokumentiert, hat eine übersichtliche Weboberfläche und wird aktiv weiterentwickelt. Wer eine noch einfachere Einstiegsmöglichkeit sucht, kann mit Zphisher erste Erfahrungen sammeln - allerdings eignet sich Zphisher eher als Lernwerkzeug denn als professionelles Simulationswerkzeug.

Wer keinen eigenen Server betreiben möchte, ist mit einer gehosteten Lösung wie Infosec IQ gut beraten, da dort die technische Infrastruktur vollständig vom Anbieter übernommen wird.

Ja - Phishing-Simulationen sind legal, wenn sie unter bestimmten Voraussetzungen durchgeführt werden. Entscheidend ist, dass der Arbeitgeber die Simulation ausdrücklich beauftragt und ein klares schriftliches Einverständnis vorliegt. In Unternehmen mit Betriebsrat muss dieser vor der Durchführung informiert und eingebunden werden, da Phishing-Simulationen unter das Mitbestimmungsrecht bei Leistungs- und Verhaltenskontrolle fallen können.

Zudem müssen die geltenden datenschutzrechtlichen Anforderungen eingehalten werden - insbesondere die DSGVO, wenn personenbezogene Daten der Mitarbeiter erfasst werden. Wer auf der sicheren Seite sein möchte, beauftragt einen spezialisierten Dienstleister wie AWARE7, der die rechtlichen Rahmenbedingungen kennt und die Simulation rechtssicher gestaltet. Mehr dazu finden Sie auf unserer Seite zur professionellen Phishing-Simulation.

Wie oft sollte eine Phishing-Simulation durchgeführt werden?

Sicherheitsexperten empfehlen in der Regel quartalsweise Phishing-Simulationen - also vier Mal pro Jahr. Dieser Rhythmus ist ausreichend, um das Sicherheitsbewusstsein der Mitarbeiter kontinuierlich zu fördern und Fortschritte messbar zu machen, ohne die Belegschaft zu überfordern oder einen Gewöhnungseffekt entstehen zu lassen.

Für Unternehmen, die neu mit Phishing-Simulationen beginnen, kann zunächst eine Basismessung sinnvoll sein, um den Ausgangspunkt zu bestimmen. Anschließend lassen sich Häufigkeit und Schwierigkeitsgrad der Simulationen schrittweise steigern. Branchen mit erhöhtem Schutzbedarf - etwa Finanzdienstleister, Gesundheitseinrichtungen oder kritische Infrastrukturen - sollten häufigere Simulationen in Betracht ziehen. Weitere Grundlagen erklärt unser Artikel zum Thema Phishing-Angriffe erkennen und abwehren.

Was kostet eine professionelle Phishing-Simulation?

Die Kosten für eine professionelle Phishing-Simulation variieren je nach Umfang, Anzahl der Mitarbeiter, Individualisierungsgrad der Szenarien und Berichtstiefe erheblich. Standardisierte Kampagnen mit automatisierten Vorlagen sind günstiger als maßgeschneiderte Angriffssimulationen, die reale Bedrohungslagen für Ihr Unternehmen nachbilden.

Wer ausschließlich auf Open-Source-Tools wie Gophish setzt und die Infrastruktur selbst betreibt, hat zunächst niedrige Werkzeugkosten - muss aber den internen Aufwand für Einrichtung, Betrieb, Auswertung und Nachbearbeitung einkalkulieren. Professionelle Anbieter übernehmen diesen Aufwand und liefern strukturierte Auswertungen, rechtssichere Durchführung und bei Bedarf anschließende Schulungsmaßnahmen.

AWARE7 bietet Phishing-Simulationen als Service an - von der Konzeption über die Durchführung bis zum Abschlussbericht. Sprechen Sie uns an, um ein auf Ihr Unternehmen zugeschnittenes Angebot zu erhalten.

So planen Sie eine Phishing-Simulation

Bei einer simulierten Phishing-Kampagne erhalten Mitarbeiterinnen und Mitarbeiter E-Mails, die zwar aus seriöser Quelle stammen, jedoch aufgemacht und formuliert sind wie Phishing-Mails. Der Sinn ist es, die Erkennung zu trainieren. E-Mail ist nach wie vor der Angriffsvektor Nummer 1 - und Nutzerinnen und Nutzer werden oft als letzte Verteidigungslinie angesehen, insbesondere bei E-Mail-basierten Angriffen. Mitarbeitende sind jedoch häufig nicht ausreichend sensibilisiert, um Angriffe erkennen zu können. Technische Lösungen wie Blocklisten oder Phishing-Filter schützen vor vielen Mails, jedoch lange nicht vor allen. Und insbesondere gut gemachte Phishing-Mails schaffen es häufig an den Filtern vorbei.

Der optische Reizunterschied zwischen einer legitimen Mail, die zum Beispiel von „name@unternehmen.de" kommt, und einer Phishing-Mail von „nane@unternehmen.de" ist gering. Training kann dabei helfen, Mitarbeitende auf diesen und andere feine Unterschiede zu sensibilisieren, damit diese erkannt werden.

Wie gehen Angreifer vor?

Angreifer gehen analog zur sogenannten Cyber-Killchain von Lockheed-Martin vor. Der Prozess gliedert sich in fünf Phasen:

  1. Der Angreifer beginnt mit der Aufklärungsphase, in der er Informationen zum angegriffenen Unternehmen sammelt.
  2. In der Bewaffnungsphase registriert der Angreifer beispielsweise eine Look-Alike-Domain und hostet eine Website, die ähnlich aussieht wie die Website der legitimen Entität, für die er sich ausgibt.
  3. Die Verbreitungsphase beschreibt die Verbreitung des Angriffsvektors über E-Mail oder eine andere Form der Online-Kommunikation. Es gibt Phishing mit QR-Codes (QRishing), in sozialen Netzwerken (Snishing) und SMS-basiertes Phishing (Smishing).
  4. Die Exploitation besteht normalerweise darin, den menschlichen Verstand auszunutzen, um die Opfer glauben zu machen, sie würden auf eine legitime Website klicken - der Angreifer nutzt jedoch ähnlich aussehende URLs, Webseiten oder Domains.
  5. In der abschließenden Exfiltrationsphase zieht der Angreifer legitime Anmeldeinformationen aus dem angegriffenen Unternehmen. Dieses Vorgehen kann bei nahezu allen Phishing-Kampagnen beobachtet werden.

Domain-Spoofing-Techniken bei Phishing-Kampagnen

Die Qualität einer Phishing-Kampagne hängt auch von den verwendeten Domains ab. Die Unterschiede zwischen legitimer und gefälschter Domain sollten möglichst gering sein, damit die Simulation realistische Bedingungen erzeugt. Verschiedene Techniken verdeutlichen die Bandbreite der Angreifermethoden - vom einfachen Vertauschen von Buchstaben über die Ersetzung einzelner Zeichen bis hin zur Homoglyphen-Technik. So kann eine Domain sogar aus kyrillischen Buchstaben zusammengesetzt sein, ohne dass es auf den ersten Blick auffällt. Zusätzlich erschweren ungewöhnliche, aber legitime Top-Level-Domains und Subdomains diesen Erkennungsprozess noch weiter. Auch Extended-Validation-Zertifikate sind für die meisten Nutzenden kein zuverlässiger Indikator für Vertrauenswürdigkeit.

Fünf Prinzipien, die Angreifer nutzen

Verschiedene Forschungsarbeiten haben sich mit den zugrundeliegenden Mechanismen erfolgreicher Phishing-Nachrichten beschäftigt. Fünf Prinzipien kristallisieren sich heraus, die Angreifer immer wieder einsetzen:

Die meisten erfolgreichen Phishing-Nachrichten nutzen Ablenkung (etwa durch Fear of Missing Out oder zeitliche Beschränkungen), gefolgt von Autorität und Ähnlichkeit oder Täuschung. Zusätzlich gibt es fünf Faktoren einer betrügerischen Nachricht, die die Wahrscheinlichkeit einer Reaktion erhöhen - davon sind die ersten vier durch den Angreifer steuerbar:

  1. Hohe Motivationsauslöser in Bezug auf eine Belohnung
  2. Fokussierung auf Interaktion statt auf den Inhalt der Nachricht - etwa durch die vermehrte Verwendung von offiziellen Logos und Siegeln
  3. Sozialer Einfluss, beispielsweise Sympathie und Gegenseitigkeit
  4. Knapper Zeitrahmen oder dringendes Anliegen
  5. Persönlichkeit des Opfers in Kombination mit einer häufig verzerrten Selbstwahrnehmung, dass Betrug erkannt werden würde

Die drei häufigsten Phishing-Betreffzeilen

Drei Betreffzeilen werden von Angreifern besonders häufig gewählt, weil sie nachweislich gut funktionieren:

  • Bewerbung - Nutzt die Verbindlichkeit, Bewerbungen bearbeiten zu müssen. Ein klassisches Szenario, das sich gezielt an Personalabteilungen richtet oder direkt an das gesamte Unternehmen versendet wird. Dateianhänge sind ebenfalls beliebt - Ransomware verbreitet sich auf diesem Weg.
  • Gehaltsabrechnung - Nutzt soziale Bestätigung: Das Opfer ist interessiert, ob seine soziale Stellung im Gehalt widergespiegelt wird. Tatsächlich weitergeleitete Gehaltsabrechnungen können erheblichen Schaden anrichten.
  • Passwort-Wechsel aufgrund eines Serverumzugs - Nutzt das Autoritätsprinzip. Mitarbeitenden fehlt in der Regel das Fachwissen, ob aktuell Server umgezogen werden und ob eine erneute Passworteingabe berechtigt ist.

Kritik und Grenzen von Phishing-Simulationen

Eine Phishing-Kampagne sollte nie durchgeführt werden, um einzelne Mitarbeitende zu testen - es geht vor allem darum, Lerneffekte zu erzielen. Hier liegt ein grundlegendes Spannungsfeld: Wird eine Kampagne angekündigt, reagieren Mitarbeitende unter Umständen unnatürlich vorsichtig und es werden keine realen Bedingungen gemessen. Benachrichtigt der Verantwortliche die Mitarbeitenden nicht, kann eine Phishing-Kampagne negativen Einfluss auf die Fehler- und Vertrauenskultur haben.

Zusätzlich leidet das Betriebsklima, wenn Mitarbeitende sich einem zusätzlichen Leistungsdruck ausgesetzt fühlen. Aktuelle Studien legen zudem nahe, dass Angriffe erfolgreicher sind, je höher die aktuelle Arbeitslast ist - Phishing-Mails sind also insbesondere dann erfolgreich, wenn das E-Mail-Volumen innerhalb einer Organisation hoch ist.

Phishing-Forschung: Aktuelle Erkenntnisse

Die AWARE7 GmbH hat Forschung zum Thema Phishing auf einer international anerkannten Konferenz veröffentlicht. Der Titel der Arbeit lautet: "Plenty of Phish in the Sea: Analyzing Potential Pre-Attack Surfaces". Fokus des Papers ist die Analyse von potenziellen Phishing-Zielen auf Basis von frei verfügbaren Daten im Internet.

Veröffentlichung beim ESORICS 2020

Die Forschungsarbeit wurde beim European Symposium on Research in Computer Security (ESORICS) vorgestellt - dem führenden europäischen Symposium im Bereich der Cybersicherheit, das seit der ersten Konferenz 1990 jährlich stattfindet. Die Arbeit wurde nicht allein durch AWARE7 durchgeführt, sondern gemeinsam mit dem Horst-Görtz-Institut der Ruhr-Universität Bochum und dem Institut für Internet-Sicherheit der Westfälischen Hochschule.

Phishing-Forschung untersucht häufig nicht die Ursachen

Bisherige Forschungsarbeiten bezogen sich überwiegend darauf, Angriffe zu erkennen, während sie stattfinden, oder sie nachträglich zu untersuchen. Das Ziel dieser Arbeit war ein anderer Ansatz: zu verstehen und zu messen, ob öffentlich verfügbare Daten existieren, die böswillige Akteure nutzen könnten, um Angriffe zu planen oder durchzuführen.

In einem ersten Schritt wurden 93 Berichte über großangelegte Angriffe - sogenannte Advanced Persistent Threats (APTs) - analysiert. Das Ergebnis: 80 % der untersuchten Angriffe nutzten Phishing-E-Mails, um Benutzer dazu zu verleiten, unwissentlich ein System zu infizieren. Am häufigsten werden für die initiale Infektion Office-Makros verwendet, die in Office-Dokumenten eingebunden sind.

Analyse von potenziellen Angriffsdaten

Nach der Auswertung der APT-Berichte wurden fast 5 Millionen Webseiten durchsucht, über 250.000 Dokumente analysiert und mehr als 18.000 Social-Media-Profile im Hinblick auf mögliche Angriffsstrategien untersucht. Für diese Analyse wurden 30 Unternehmen mit einer Mitarbeiterzahl zwischen 50 und 375.000 gezielt ausgewählt.

Das Ergebnis: 90 % der untersuchten Unternehmen und ihrer Mitarbeitenden verloren Daten, die Angreifer für die Durchführung von gezielten Phishing-Kampagnen nutzen könnten. Noch gravierender: 71 % der identifizierbaren Mitarbeitenden hatten zusätzliche Merkmale - wie Vorgesetzte, Arbeitsschwerpunkte oder verwendete Software - öffentlich ins Internet gestellt, sodass sie sehr gute Ziele für potenzielle Angreifer darstellten.

Zusammenfassung der Forschungsergebnisse

Die Ergebnisse zeigen, dass alle analysierten Unternehmen eine große Angriffsfläche bieten, die weder überwacht noch durch Sicherheitstechnologien geschützt wird. Ein zentrales Problem dabei ist, dass die Daten nicht mehr unter der Kontrolle der Unternehmen stehen und es meist nicht möglich ist, einen Datenverlust rückgängig zu machen.

Zwei Maßnahmen können das Risiko reduzieren: erstens das Schärfen des Sicherheitsbewusstseins der Mitarbeitenden, dass Daten von Angreifern regelmäßig missbraucht werden und dass das Prinzip der Datensparsamkeit höchste Priorität haben sollte - und zweitens das Löschen von Metadaten aus allen hochgeladenen Dateien.

Phishing-Simulation beauftragen: So unterstützt AWARE7

Phishing-Simulationen der AWARE7 GmbH orientieren sich individuell an den Bedürfnissen des Auftraggebers. Einmalige Kampagnen sind ebenso möglich wie langfristige Engagements über Monate, Quartale oder Jahre. Wir beraten Sie hinsichtlich der Planung, Konzeption und Durchführung - inklusive der rechtssicheren Einbindung des Betriebsrats und der Einhaltung der DSGVO. Wir nutzen ISO-27001-zertifizierte Server zum Versand und ausschließlich europäische Anbieter.

Neben der einfachen Phishing-Simulation bieten wir Kampagnen an, die die zugrundeliegenden Prinzipien und Faktoren messen, die Ihre Mitarbeitenden besonders zum Klicken motivieren. Entsprechend dieser Ergebnisse können individuelle Schulungsmaßnahmen durchgeführt werden.

Mehr erfahren: Phishing-Simulation - oder direkt zur dauerhaften Absicherung: Managed Phishing

Phishing Tools in Unternehmen einsetzen

Phishing nutzt vor allem die Schwachstelle Mensch aus. Diese sind gerade in Unternehmen immer wieder dafür verantwortlich, dass es zu Leaks oder Sicherheitslücken kommt. Meist liegt selbiges darin begründet, dass die entsprechende Sicherheitsschulung fehlt. Dann reicht eine relativ einfache Phishing-E-Mail bereits aus, um an entsprechende Daten zu gelangen.

Phishing Simulationen helfen dabei, schnell und effektiv herauszufinden, wo etwaige Risiken und Lücken in Unternehmen zu finden sind. Viel wichtiger ist aber, dass sie offenlegen, wo es derzeit noch Probleme im eigenen Betrieb und den Systemen gibt. Hier kann für Aufklärung und Schutz gesorgt werden, bevor es dann zu einem tatsächlichen und bösartigen Phishing-Angriff kommt.

Unsere Übersicht der Phishing-Tools umfasst dabei sowohl Werkzeuge, die dabei helfen, solche Simulationen durchzuführen, als auch Tools, die weitgehend automatisch arbeiten. Am Ende sollte jeder fündig geworden sein und das ein oder andere Phishing-Tool ausprobieren können.

Wer jedoch eine professionelle, rechtssichere und zielgerichtete Phishing-Simulation wünscht, ist mit einem spezialisierten Dienstleister besser aufgestellt als mit einem selbst betriebenen Open-Source-Tool. Alle beschriebenen Tools haben ihre Stärken - ersetzen aber nicht das Fachwissen, die Erfahrung und die individuelle Anpassung, die eine professionell durchgeführte Simulation auszeichnen. AWARE7 unterstützt Sie dabei: von der Konzeption über die technische Durchführung bis zur Mitarbeiterschulung im Anschluss. Erfahren Sie mehr über unsere Phishing-Simulation als Managed Service.

Nächster Schritt

Unsere zertifizierten Sicherheitsexperten beraten Sie zu den Themen aus diesem Artikel — unverbindlich und kostenlos.

Kostenlose Erstberatung vereinbaren Leistungen ansehen

Kostenlos · 30 Minuten · Unverbindlich

Artikel teilen

LinkedIn X E-Mail

Über den Autor

Chris Wojzechowski
Chris Wojzechowski

Geschäftsführender Gesellschafter

E-Mail
PGP 465C26E1AF161AFA

Geschäftsführender Gesellschafter der AWARE7 GmbH mit langjähriger Expertise in Informationssicherheit, Penetrationstesting und IT-Risikomanagement. Absolvent des Masterstudiengangs Internet-Sicherheit an der Westfälischen Hochschule (if(is), Prof. Norbert Pohlmann). Bestseller-Autor im Wiley-VCH Verlag und Lehrbeauftragter der ASW-Akademie. Einschätzungen zu Cybersecurity und digitaler Souveränität erschienen u.a. in Welt am Sonntag, WDR, Deutschlandfunk und Handelsblatt.

10 Publikationen
  • Einsatz von elektronischer Verschlüsselung - Hemmnisse für die Wirtschaft (2018)
  • Kompass IT-Verschlüsselung - Orientierungshilfen für KMU (2018)
  • IT Security Day 2025 - Live Hacking: KI in der Cybersicherheit (2025)
  • Live Hacking - Credential Stuffing: Finanzrisiken jenseits Ransomware (2025)
  • Keynote: Live Hacking Show - Ein Blick in die Welt der Cyberkriminalität (2025)
  • Analyse von Angriffsflächen bei Shared-Hosting-Anbietern (2024)
  • Gänsehaut garantiert: Die schaurigsten Funde aus dem Leben eines Pentesters (2022)
  • IT Security Zertifizierungen - CISSP, T.I.S.P. & Co (Live-Webinar) (2023)
  • Sicherheitsforum Online-Banking - Live Hacking (2021)
  • Nipster im Netz und das Ende der Kreidezeit (2017)
IT-Grundschutz-Praktiker (TÜV) IT Risk Manager (DGI) § 8a BSIG Prüfverfahrenskompetenz Ausbilderprüfung (IHK)
Vollständiges Profil ansehen
Zertifiziert ISO 27001ISO 9001AZAV