Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen
Phishing-Simulation: Ein professionelles Programm aufbauen - Phishing-E-Mail mit Warnsignalen
Security Awareness

Phishing-Simulation: Ein professionelles Programm aufbauen

Phishing-Simulationen sind das wirkungsvollste Werkzeug um Security Awareness messbar zu machen und kontinuierlich zu verbessern. Dieser Guide erklärt wie ein professionelles Phishing-Simulationsprogramm aufgebaut wird - von Zieldefinition über Szenario-Design bis Metriken, welche Tools verfügbar sind (GoPhish, KnowBe4, Cofense) und welche rechtlichen Anforderungen in Deutschland gelten.

Oskar Braun Oskar Braun Abteilungsleiter Information Security Consulting
10 Min. Lesezeit
ISO 27001 Lead Auditor (IRCA) ISB (TÜV)

TL;DR

Ein professionelles Phishing-Simulationsprogramm reduziert die Klickrate von 20-35 Prozent ohne Training auf unter 5 Prozent nach 12 Monaten kontinuierlichem Betrieb. In Deutschland ist vor dem Start eine Betriebsvereinbarung nach Paragraph 87 BetrVG zwingend erforderlich, da Klick-Tracking als Leistungskontrolle gilt. Individuelle Auswertungen sind unzulässig, nur aggregierte Abteilungsberichte sind erlaubt. Tools wie GoPhish, KnowBe4 und Cofense unterstützen den Aufbau. Der Lerneffekt direkt nach einem simulierten Klick ist zehnmal hoeher als nachgelagertes Training.

Diese Zusammenfassung wurde KI-gestützt erstellt (EU AI Act Art. 50).

Inhaltsverzeichnis (4 Abschnitte)

"Wir haben Awareness-Schulungen gemacht" - die Standardantwort auf die Frage nach Phishing-Schutz. Das Problem: Schulungen allein messen nicht ob die Mitarbeiter das Gelernte auch anwenden können. Phishing-Simulationen schließen diese Lücke. Sie erzeugen messbare Daten über die tatsächliche Widerstandsfähigkeit gegen Phishing-Angriffe.

Einen umfassenden Überblick über alle Phishing-Methoden finden Sie in unserem Leitfaden Phishing-Angriffe erkennen und abwehren. Weitere Informationen zu konkreten Phishing-Tools bietet unser Artikel über die 12 besten Phishing-Tools für Simulationen. Grundlegende Begriffe erklärt unser Phishing-Wiki-Artikel. Für eine professionell durchgeführte Simulation durch AWARE7 besuchen Sie unsere Seite zur Phishing-Simulation.

Warum Phishing-Simulationen?

Wirkungsevidenz

SzenarioKlickrate
Ohne Phishing-Simulation + Training20-35% (Branchendurchschnitt)
Nach einem einmaligen Training12-18%
Vergessen nach 3 Monatenwieder 15-25%
MIT kontinuierlichem Simulations-Programm nach 6 Monatenunter 10%
MIT kontinuierlichem Simulations-Programm nach 12 Monatenunter 5%

Die Bericht-Rate steigt mit kontinuierlichem Programm von unter 10% auf über 60% - Mitarbeiter melden Phishing aktiv! NIST SP 800-50B empfiehlt monatliche Simulations-Frequenz.

Der "Learning Moment"

Wenn ein Mitarbeiter auf Simulations-Phishing klickt, sollte eine sofortige Lernseite erscheinen:

  • NICHT: "Sie sind durchgefallen, Bericht an Chef"
  • SONDERN: "Gut gesehen! Hier ist was Sie hätten bemerken sollen..."

Der Lerneffekt in diesem Moment ist 10x höher als nachgelagertes Training.

Rechtliche Anforderungen (Deutschland)

Betriebsrat-Beteiligung:

  • Phishing-Simulationen sind technische Einrichtungen zur Leistungskontrolle
  • Betriebsvereinbarung MUSS vor Start abgeschlossen werden!
  • Ohne: Betriebsrat kann Programm stoppen (§87 BetrVG)

Betriebsvereinbarungs-Inhalte:

  • Zweck: Awareness-Steigerung, NICHT Personalmaßnahmen
  • Anonymisierung: Keine individuelle Auswertung ohne konkreten Anlass
  • Aggregierte Berichte: Abteilungs-Level, nicht Einzel-Mitarbeiter
  • Opt-out-Möglichkeit (selten vereinbart, aber möglich)
  • Keine disziplinarischen Konsequenzen für Klicks
  • Datenlöschung: Individuelle Daten nach X Wochen anonymisiert

DSGVO:

  • Klick-Tracking = Verarbeitung personenbezogener Daten
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. f (berechtigtes Interesse)
  • Datenschutz-Folgenabschätzung (DSFA) bei systematischen Programmen
  • Mitarbeiterdaten nicht an Dritt-Anbieter außerhalb EU ohne Absicherung

Simulationsprogramm strukturieren

4-Phasen-Modell

Phase 1: Baseline (Monat 1)

  • Erste Simulation ohne vorheriges Training
  • Ziel: Ausgangssituation messen (Klickrate, Bericht-Rate)
  • Auswahl: allgemeines, nicht zu schwieriges Szenario
  • KEINE individuelle Auswertung, nur Gesamt-/Abteilungswerte

Phase 2: Training + erste Maßnahmen (Monat 2-3)

  • Ergebnisse kommunizieren (aggregiert!)
  • Training für Abteilungen mit höchster Klickrate
  • Nächste Simulation: gleiche Schwierigkeit wie Baseline
  • Verbesserung messbar?

Phase 3: Variieren und steigern (Monat 4-9)

  • Schwierigkeitsgrad erhöhen (Spear Phishing, Vishing)
  • Verschiedene Szenarien rotieren
  • Zielgruppen-spezifische Simulationen (CEO für Whaling)
  • Bericht-Rate als positive Metrik fördern

Phase 4: Kontinuierlicher Betrieb (ab Monat 10)

  • Monatliche Simulationen als Norm
  • Schwierigkeitsniveau: angepasst an aktuelle Bedrohungslage
  • Automatische Zuweisung von Trainingsmodulen nach Klick
  • Jährliches Programm-Review und Anpassung

Schwierigkeitsgrade

EINFACH (Level 1 - Szenario für Start)

  • Absender: fake@amazon-support.de (eindeutig falsche Domain)
  • Betreff: "Ihr Amazon-Konto wurde gesperrt!!!"
  • Mehrere Rechtschreibfehler, schlechte Grafik
  • Generische Ansprache: "Sehr geehrter Kunde"
  • Erwartete Klickrate: unter 5% nach einiger Übung

MITTEL (Level 2)

  • Absender: it-support@firma-intern.com (ähnliche, aber andere Domain)
  • Betreff: "Dringende Passwortänderung erforderlich - IT-Sicherheit"
  • Professionelles Layout (Microsoft-ähnlich)
  • Persönliche Ansprache (aus AD: "Guten Morgen, Frau Müller")
  • Erwartete Klickrate: 10-20%

SCHWER (Level 3 - Spear Phishing)

  • Recherchierter Kontext (LinkedIn: "Ich habe Ihren Vortrag gesehen")
  • Bekannter Absendername (Vorgesetzter-Name, aber andere Domain)
  • Zeitlich passend (Montagmorgen, Montag vor Monatsende)
  • Inhalt: Plausible Anfrage ("Können Sie dieses Dokument bis heute prüfen?")
  • Erwartete Klickrate: 30-50% (auch bei erfahrenen Teams)

SEHR SCHWER (Level 4 - Vishing)

  • Telefonanruf-Simulation
  • Oder: SMS-basiertes Smishing
  • Oder: QR-Code in physischen Räumen
  • Erwartete Erfolgsrate: sehr variabel

Szenarien-Bibliothek

Beliebte und effektive Phishing-Szenarien

IT/Software-Themen:

  • "Ihre Microsoft 365 Lizenz läuft ab - Jetzt erneuern"
  • "Zoom-Meeting-Einladung" mit gefälschtem Zoom-Link
  • "Kritisches Windows-Update verfügbar - Sofort installieren"
  • "Ihre Multi-Faktor-Authentifizierung muss erneuert werden"
  • "Neues Dokument wurde mit Ihnen geteilt (SharePoint)"

HR/Interne Themen:

  • "Ihre Gehaltsabrechnung für [Monat] ist verfügbar"
  • "Bitte füllen Sie die Mitarbeiterumfrage aus"
  • "Neue Benefits-Plattform - Jetzt registrieren"
  • "Urlaubsantrag-Genehmigung steht aus"

Führungskräfte-Themen (für Management):

  • CEO-Fraud: "Ich brauche dringend eine Überweisung"
  • "Vertrauliche M&A-Informationen - nur für Sie"
  • "Investorenanfrage - Bitte dringlich antworten"

Externe/Branchenthemen:

  • DHL/FedEx: "Paket konnte nicht zugestellt werden"
  • Finanzbehörde: "Steuernachzahlung fällig"
  • LinkedIn: "Jemand hat Ihr Profil angesehen"
  • WhatsApp/SMS: "Ihr Account wird gesperrt"

Lernseite nach Klick (Landing Page)

Eine effektive Lernseite nach dem Klick hat folgende Struktur:

1. Sofortige Erkenntnis-Seite

  • "Ups! Das war ein Phishing-Test"
  • Keine Schuldzuweisung
  • Sofortige Empathie: "Das passiert auch erfahrenen Nutzern"

2. Aufzeigen was verdächtig war

  • Absender-Domain hervorheben (firma-intern.com ≠ firma.de)
  • Druckerzeugung markieren ("Sofort handeln, sonst...")
  • Link-URL zeigen (wohin hätte der Link geführt?)

3. Kurzes 2-3 Minuten Training

  • Keine 30-Minuten-Pflichtschulung! Kontraproduktiv.
  • Video oder 3 Folien: "So erkennen Sie Phishing"
  • Quiz: 3 Fragen zur Vertiefung

4. Positiver Abschluss

  • "Jetzt wissen Sie wie echte Phishing-Mails aussehen!"
  • "Klicken Sie hier um es zu melden" (üben!)
  • Keine Angst vor Melden schüren

Tools und Plattformen

Kommerzielle Plattformen

KnowBe4:

  • Marktführer, über 60.000 Kunden
  • 14.000+ Phishing-Vorlagen, Automatisierung
  • Integration mit M365/Google Workspace
  • Reporting: sehr umfangreich
  • Preis: ~18-30 USD/User/Jahr

Cofense (ehemals PhishMe):

  • Spezialisiert auf Phishing, weniger breite Awareness-Plattform
  • Gute Reporting-Rate-Tracking-Features
  • Enterprise-fokussiert

Proofpoint Security Awareness:

  • Integration mit Proofpoint E-Mail-Security
  • Sehr gute DSGVO-Konformität (EU-Datacenter)
  • Gut für Enterprise-Umgebungen

Hoxhunt:

  • Gamification-Ansatz (Punkte, Badges für korrektes Melden!)
  • Positive Verstärkung im Fokus
  • KI-basierte Schwierigkeitsanpassung

Open-Source-Tool: GoPhish

Installation:

git clone https://github.com/gophish/gophish
cd gophish
go build .
sudo ./gophish

# Öffne: http://localhost:3333 (admin) / https://localhost (phishing server)

Phishing-Kampagne erstellen:

  1. Email Templates: HTML-Template der Phishing-Mail
  2. Landing Pages: Seite nach dem Klick (Lernseite)
  3. User Groups: Empfänger-Liste (aus CSV)
  4. Sending Profile: SMTP-Konfiguration (eigener Mailserver!)
  5. Campaign: Alles kombinieren, Start-Zeit setzen

GoPhish Tracking-Mechanismus:

  • Jede E-Mail enthält eindeutige URL (mit User-ID)
  • Klick auf Link → GoPhish registriert Klick → zeigt Landing Page
  • "Opened" nur wenn Bilder geladen werden (nicht empfohlen für DSGVO)
  • Tracking-Pixel: datenschutzrechtlich problematisch → deaktivieren!

Wichtiges bei GoPhish:

  • Auf EIGENEM Server hosten (keine Kundendaten in US-Cloud)
  • TLS-Zertifikat für Phishing-Domain (sonst Browser-Warnung!)
  • DNS/SPF für Phishing-Domain konfigurieren (sonst im Spam)

Metriken und Reporting

Primäre KPIs:

KPIDefinitionZiel
KlickrateAnteil Empfänger die auf Link klickenunter 5% nach 6 Monaten
Bericht-RateAnteil der Empfänger die Phishing korrekt meldenüber 70% (wichtigster positiver KPI!)
Daten-RateAnteil der Klicker die Daten eingeben0% Ziel für Passwörter!

Sekundäre KPIs:

  • Zeit bis Meldung: Wie schnell wird verdächtige Mail gemeldet?
  • Repeat Clicker: Wer klickt wiederholt? → Zusatz-Training
  • Schwierigkeitsverteilung: Klickrate je Schwierigkeitslevel

Executive Dashboard - Beispiel-Summary:

"Im letzten Quartal hat sich unsere Phishing-Resistenz von 18% auf 9% verbessert. Die Bericht-Rate stieg von 25% auf 67%. Fortgeschrittene Spear-Phishing-Simulation zeigt 22% Klickrate → Gezielte Schulungen für die identifizierten Abteilungen."

Ein professionelles Phishing-Simulationsprogramm ist die messbarste Investition in Security Awareness. AWARE7 plant, implementiert und betreibt maßgeschneiderte Phishing-Simulationen - inklusive rechtssicherer Betriebsvereinbarungs-Unterstützung, Szenario-Design und Reporting für das Management.

Phishing-Simulation anfragen | Security Awareness Training

Nächster Schritt

Unsere zertifizierten Sicherheitsexperten beraten Sie zu den Themen aus diesem Artikel — unverbindlich und kostenlos.

Kostenlose Erstberatung vereinbaren Leistungen ansehen

Kostenlos · 30 Minuten · Unverbindlich

Artikel teilen

LinkedIn X E-Mail
Zertifiziert ISO 27001ISO 9001AZAV