91 Prozent aller erfolgreichen Cyberangriffe beginnen mit einer Phishing-E-Mail. Firewall, Antivirus und EDR schützen vor technischen Angriffen. Aber wenn ein Mitarbeiter seine Zugangsdaten auf einer gefälschten Login-Seite eingibt, ist selbst die beste Technik wirkungslos.
Was ist eine Phishing-Simulation?
Bei einer Phishing-Simulation versendet das Sicherheitsteam im Auftrag des Unternehmens realistische, aber harmlose Phishing-Mails an die eigenen Mitarbeiter. Ziel ist nicht das Bestrafen einzelner Personen, sondern das Messen der Sicherheitskultur und das gezielte Trainieren durch unmittelbares Feedback.
Kostenlose Erstberatung anfragen
Antwort innerhalb von 24 Stunden
Welche Phishing-Szenarien setzen wir in der Praxis ein?
Credential Harvesting
Die häufigste Variante: Eine E-Mail fordert den Empfänger auf, sich auf einer gefälschten Login-Seite anzumelden. Das können nachgeahmte Microsoft-365-, VPN- oder Banking-Portale sein. Wir messen, wer den Link öffnet und wer tatsächlich Zugangsdaten eingibt.
Spear Phishing
Gezielte Angriffe auf einzelne Personen oder Abteilungen mit personalisierten Inhalten. Eine E-Mail scheinbar vom eigenen Chef ('Business Email Compromise'), eine gefälschte Rechnung vom bekannten Lieferanten oder eine angebliche IT-Sicherheitsmitteilung. Diese Variante hat eine besonders hohe Erfolgsquote.
Vishing und SMS-Phishing (Smishing)
Phishing ist nicht auf E-Mail beschränkt. Telefonanrufe von 'IT-Support' oder SMS mit angeblichen Paketbenachrichtigungen testen, ob Mitarbeiter auch auf diesen Kanälen sensibilisiert sind.
Aus der Praxis: In einer Simulation bei einem mittelständischen Produktionsunternehmen (320 Mitarbeiter) klickten 38 Prozent auf den Phishing-Link, 14 Prozent gaben ihre Zugangsdaten ein. Nach gezieltem Training sank die Klickrate drei Monate später auf 6 Prozent.
Ablauf einer professionellen Phishing-Simulation
1. Scoping und Zieldefinition
Wir klären gemeinsam: Welche Abteilungen werden getestet? Welche Szenarien sind realistisch für Ihr Unternehmen? Gibt es Ausnahmen (zum Beispiel keine Tests während Prüfungszeiträumen)? Informiert werden vorab nur die Geschäftsführung und relevante IT-Verantwortliche.
2. Durchführung der Simulation
Die Phishing-Mails werden über unsere Infrastruktur versendet und sind für Mailfilter schwerer erkennbar als Amateur-Phishing. Alle Aktionen werden protokolliert: Öffnen der Mail, Klick auf den Link, Eingabe von Daten, Melden der Mail.
3. Sofortfeedback und Training
Mitarbeiter, die auf den Phishing-Link klicken, landen direkt auf einer Aufklärungsseite: 'Sie wurden getestet. Hier sehen Sie, woran Sie die Phishing-Mail hätten erkennen können.' Dieses unmittelbare Feedback ist nachweislich wirksamer als theoretische Schulungen.
4. Bericht und Maßnahmen
Der Abschlussbericht zeigt Klickraten nach Abteilung, Szenario und Uhrzeit. Wir identifizieren Risikogruppen und empfehlen gezielte Schulungsmaßnahmen. Auf Wunsch führen wir nach drei bis sechs Monaten eine Follow-up-Simulation durch.
Rechtliche Rahmenbedingungen in Deutschland
- Betriebsrat muss vorab informiert und einbezogen werden (BetrVG § 87)
- Keine individuelle Auswertung ohne Betriebsvereinbarung
- Datenerhebung muss DSGVO-konform erfolgen und dokumentiert werden
- Ergebnisse dienen ausschließlich der Verbesserung der Sicherheitskultur, nicht der Disziplinierung
Phishing-Simulation als Teil von NIS2
NIS2 (Art. 21) schreibt Cybersicherheitsschulungen als Pflichtmaßnahme vor. Eine dokumentierte Phishing-Simulation mit anschließendem Training ist ein starker Nachweis für die Erfüllung dieser Anforderung und zeigt dem BSI, dass Ihr Unternehmen Sicherheit proaktiv angeht.
Fazit: Menschen sind kein Schwachpunkt, sie brauchen Training
Mitarbeiter, die auf Phishing hereinfallen, sind keine Security-Risiken. Sie sind Menschen ohne ausreichendes Training. Eine Phishing-Simulation macht Bedrohungen greifbar, erzeugt Lernmomente im richtigen Kontext und baut nachhaltig eine Sicherheitskultur auf. Die Technik schützt das Netzwerk. Trainierte Menschen schützen alles andere.
Alb Cyber Guards
IT-Sicherheitsexperten aus Albstadt
Ihre IT-Sicherheit beginnt heute.
Warten Sie nicht auf einen Angriff. Kontaktieren Sie uns für eine kostenlose Erstberatung und erfahren Sie, wie sicher Ihre IT wirklich ist.