- Phishing-Simulationen sind kontrollierte Tests, bei denen simulierte Phishing-Mails an die eigenen Mitarbeiter gesendet werden. Sie messen die Klickrate, die Eingabequote von Zugangsdaten und die Meldequote als Baseline für das Awareness-Programm.
- Die Simulation muss sorgfältig geplant werden: Abstimmung mit Betriebsrat und Datenschutz, Definition der Zielgruppe, Auswahl realistischer Szenarien und technische Vorbereitung (Whitelisting im E-Mail-Filter, Tracking-Infrastruktur).
- Gängige Tools sind KnowBe4, Proofpoint Security Awareness, Cofense PhishMe, Hoxhunt und die Open-Source-Lösung GoPhish. Die Wahl hängt vom Budget, der Unternehmensgröße und den gewünschten Funktionen ab.
- Die Auswertung fokussiert sich auf drei Kennzahlen: Klickrate (wer hat auf den Link geklickt), Kompromittierungsrate (wer hat Daten eingegeben) und Meldequote (wer hat die Mail gemeldet). Der Trend über mehrere Simulationen ist aussagekräftiger als ein Einzelergebnis.
- Der größte Fehler ist die Bloßstellung einzelner Mitarbeiter. Phishing-Simulationen sind kein Werkzeug zur Bestrafung, sondern zur Verbesserung. Ergebnisse werden anonymisiert oder auf Abteilungsebene ausgewertet, niemals namentlich veröffentlicht.
Warum Phishing-Simulationen unverzichtbar sind
Du kannst hundert Schulungen zum Thema Phishing durchführen und trotzdem nicht wissen, ob deine Mitarbeiter eine echte Phishing-Mail erkennen würden. Der Unterschied zwischen Wissen und Handeln ist in der Informationssicherheit besonders groß. In der Schulung erkennt jeder die offensichtlichen Warnsignale: die falsche Absenderadresse, die Rechtschreibfehler, den verdächtigen Link. Im Arbeitsalltag, unter Zeitdruck, zwischen zwei Meetings, mit einer vollen Inbox, sieht die Realität anders aus.
Phishing-Simulationen schließen diese Lücke. Sie testen das tatsächliche Verhalten unter realistischen Bedingungen, nicht das theoretische Wissen in einer Schulungssituation. Sie zeigen, wie viele Mitarbeiter auf einen Link klicken, wie viele ihre Zugangsdaten auf einer gefälschten Seite eingeben und wie viele die verdächtige E-Mail melden.
Für dein ISMS liefern Phishing-Simulationen messbare Kennzahlen, die den Fortschritt deines Awareness-Programms belegen. ISO 27001 fordert in Annex A.6.3 die Sensibilisierung der Mitarbeiter für Informationssicherheit. NIS2 verlangt in Artikel 21 Maßnahmen zur "Cyberhygiene" und Schulung. Phishing-Simulationen sind der Nachweis, dass diese Maßnahmen nicht nur auf dem Papier existieren, sondern tatsächlich wirken.
Rechtliche und organisatorische Voraussetzungen
Bevor du die erste Phishing-Mail versendest, musst du mehrere rechtliche und organisatorische Hürden nehmen. Eine Phishing-Simulation ohne diese Vorbereitung kann zu arbeitsrechtlichen Problemen, Datenschutzverstößen und einem nachhaltigen Vertrauensverlust bei den Mitarbeitern führen.
Betriebsrat einbinden
Wenn dein Unternehmen einen Betriebsrat hat, muss dieser vor der Durchführung informiert und beteiligt werden. Phishing-Simulationen können als Leistungs- und Verhaltenskontrolle im Sinne des Betriebsverfassungsgesetzes gewertet werden, was ein Mitbestimmungsrecht des Betriebsrats auslöst.
Die Einbindung des Betriebsrats ist kein Hindernis, sondern eine Chance. Wenn der Betriebsrat die Simulation mitträgt, steigt die Akzeptanz bei den Mitarbeitern. Vereinbare mit dem Betriebsrat, dass die Ergebnisse anonymisiert oder auf Abteilungsebene ausgewertet werden, dass keine individuellen Konsequenzen aus den Ergebnissen abgeleitet werden und dass die Simulation als Lernmaßnahme, nicht als Kontrollinstrument, kommuniziert wird.
Datenschutz klären
Phishing-Simulationen erheben personenbezogene Daten: wer wann auf welchen Link geklickt hat und wer Zugangsdaten eingegeben hat. Diese Verarbeitung braucht eine Rechtsgrundlage nach Art. 6 DSGVO. In den meisten Fällen ist das berechtigte Interesse (Art. 6 Abs. 1 lit. f) die passende Grundlage, weil die Simulation der Verbesserung der Informationssicherheit dient und damit ein legitimes Interesse des Unternehmens verfolgt.
Dokumentiere die Verarbeitung im Verarbeitungsverzeichnis, informiere den Datenschutzbeauftragten und stelle sicher, dass die erhobenen Daten nur für den definierten Zweck verwendet werden. Die Aufbewahrungsfrist für individuelle Ergebnisse sollte so kurz wie möglich sein. Aggregierte Statistiken (Klickrate pro Abteilung, Trend über Zeit) können länger aufbewahrt werden, weil sie keinen Personenbezug haben.
Geschäftsführung und IT informieren
Die Geschäftsführung muss die Simulation genehmigen und idealerweise aktiv unterstützen. Die IT-Abteilung muss die Simulations-E-Mails im Spam-Filter und in der E-Mail-Security-Lösung whitelisten, damit sie die Mitarbeiter tatsächlich erreichen. Und das IT-Helpdesk muss informiert sein, weil erfahrungsgemäß Mitarbeiter anrufen und verdächtige E-Mails melden werden, was ja genau das gewünschte Verhalten ist.
Szenarien gestalten
Die Qualität einer Phishing-Simulation steht und fällt mit der Realitätsnähe der Szenarien. Wenn die simulierte Phishing-Mail offensichtlich gefälscht aussieht, testest du nicht die Aufmerksamkeit der Mitarbeiter, sondern die Qualität deiner Simulation.
Schwierigkeitsgrade
Plane die Simulationen in aufsteigenden Schwierigkeitsgraden. Die erste Simulation sollte bewusst einfacher sein, damit nicht die gesamte Belegschaft "durchfällt" und frustriert ist. Spätere Simulationen steigern die Komplexität und testen zunehmend subtilere Angriffsformen.
Einfach: Offensichtliche Warnsignale wie fremde Absenderdomains, Rechtschreibfehler, generische Anrede und ein Link, der offensichtlich nicht zur angeblichen Organisation gehört. Beispiel: "Ihr Microsoft-Konto wurde gesperrt. Klicken Sie hier, um es zu entsperren" von support@microsft-security.xyz.
Mittel: Plausiblerer Absender, korrektes Firmenlogo, personalisierte Anrede, aber erkennbare Unstimmigkeiten bei genauem Hinsehen. Beispiel: Eine E-Mail, die wie eine interne IT-Benachrichtigung aussieht und zur Passwortänderung über einen Link auffordert, der auf eine externe Domain zeigt.
Schwer: Hochgradig zielgerichtet, mit Bezug auf reale Unternehmenskontexte. Beispiel: Eine E-Mail, die scheinbar vom Geschäftsführer kommt und auf ein angehängtes Strategiedokument verweist, das über einen Cloud-Link abgerufen werden soll. Oder eine E-Mail, die eine aktuelle Unternehmensmeldung aufgreift und einen "weiterführenden Artikel" verlinkt.
Kontextbezogene Szenarien
Die wirksamsten Szenarien haben einen Bezug zur täglichen Arbeit der Zielgruppe. Für die Buchhaltung ist eine gefälschte Rechnung plausibel. Für die Personalabteilung ist eine gefälschte Bewerbung realistisch. Für die Geschäftsführung ist eine E-Mail vom angeblichen Steuerberater oder Rechtsanwalt überzeugend.
Nutze aktuelle Anlässe: Eine Phishing-Mail zu einer anstehenden Firmenveranstaltung, eine gefälschte Benachrichtigung des Paketdienstes kurz vor Weihnachten oder eine vermeintliche Gehaltsanpassung zum Jahresanfang. Je besser das Szenario zum Arbeitskontext passt, desto aussagekräftiger ist die Simulation.
Technische Umsetzung des Szenarios
Eine Phishing-Simulation besteht aus mehreren technischen Komponenten. Die E-Mail selbst enthält einen Link zu einer Landing Page. Diese Landing Page kann eine einfache Informationsseite sein (bei Simulationen, die nur den Klick messen) oder eine gefälschte Anmeldeseite (bei Simulationen, die auch die Eingabe von Zugangsdaten messen).
Wenn die Simulation eine Anmeldeseite verwendet, darf diese keine echten Zugangsdaten speichern. Die Seite registriert nur, dass eine Eingabe stattgefunden hat, speichert aber nicht das eingegebene Passwort. Dieses Detail ist aus Datenschutzgründen zwingend.
Nach dem Klick auf den Link oder der Eingabe von Daten wird der Mitarbeiter auf eine Lernseite weitergeleitet, die erklärt, dass es sich um eine Simulation handelte, welche Warnsignale erkennbar waren und wie er in Zukunft ähnliche Mails erkennen kann. Dieses "Teachable Moment" ist der didaktisch wertvollste Teil der Simulation, weil der Mitarbeiter gerade die konkrete Erfahrung gemacht hat und für die Lerninhalte besonders empfänglich ist.
Tools im Vergleich
Für die Durchführung von Phishing-Simulationen stehen verschiedene kommerzielle und Open-Source-Tools zur Verfügung.
KnowBe4
KnowBe4 ist der Marktführer im Bereich Security Awareness Training und Phishing-Simulation. Die Plattform bietet über 15.000 vorgefertigte Phishing-Templates, automatische Kampagnen-Planung, umfangreiche Reporting-Funktionen und eine Integration mit der eigenen Schulungsplattform. Besonders nützlich ist die Funktion, bei der Mitarbeiter, die auf eine Simulation hereinfallen, automatisch zu einer gezielten Kurzschulung weitergeleitet werden. Die Preise richten sich nach der Unternehmensgröße und dem gewählten Paket.
Proofpoint Security Awareness
Proofpoint kombiniert Phishing-Simulation mit der hauseigenen E-Mail-Security-Plattform. Der Vorteil ist die Integration: Die Simulationsergebnisse können mit den realen Bedrohungsdaten korreliert werden, um besonders gefährdete Mitarbeiter (Very Attacked People) zu identifizieren und gezielt zu schulen. Die Plattform bietet außerdem Compliance-Module für DSGVO, ISO 27001 und NIS2.
Cofense PhishMe
Cofense (ehemals PhishMe) fokussiert sich stark auf die Meldequote als zentrale Kennzahl. Die Plattform integriert einen Phishing-Meldebutton in den E-Mail-Client und analysiert gemeldete E-Mails automatisch. Das Ziel ist nicht nur die Reduzierung der Klickrate, sondern die Etablierung einer Meldekultur, in der verdächtige E-Mails zum IT-Security-Team gelangen, bevor jemand auf den Link klickt.
Hoxhunt
Hoxhunt setzt auf personalisierte, adaptive Simulationen. Die Plattform passt den Schwierigkeitsgrad automatisch an das individuelle Niveau des Mitarbeiters an: Wer gut abschneidet, erhält schwierigere Simulationen. Wer Schwierigkeiten hat, erhält einfachere Szenarien und zusätzliche Schulungsinhalte. Dieser adaptive Ansatz vermeidet sowohl die Frustration von Anfängern als auch die Langeweile von Fortgeschrittenen.
GoPhish (Open Source)
GoPhish ist eine kostenlose, Open-Source-Phishing-Simulationsplattform, die du selbst hosten kannst. Sie bietet die grundlegenden Funktionen: E-Mail-Templates, Landing Pages, Kampagnen-Management und Reporting. Die Benutzeroberfläche ist weniger poliert als bei den kommerziellen Lösungen, und es gibt keine vorgefertigten Schulungsinhalte, aber für Unternehmen mit begrenztem Budget und technischem Know-how ist GoPhish ein solider Einstieg.
Die Einrichtung erfordert einen eigenen Server, eine SMTP-Konfiguration und die Erstellung eigener Templates. Der Aufwand lohnt sich, wenn du volle Kontrolle über die Infrastruktur behalten willst und die Ergebnisse nicht an einen Drittanbieter übermitteln möchtest.
Durchführung: Schritt für Schritt
Vorbereitung (2-4 Wochen vor der Simulation)
Definiere das Ziel der Simulation: Ist es die Baseline-Messung für ein neues Awareness-Programm? Die Überprüfung des Fortschritts nach einer Schulung? Die Testung eines bestimmten Angriffsszenarios?
Wähle die Zielgruppe: Das gesamte Unternehmen oder eine bestimmte Abteilung? Bei der ersten Simulation empfiehlt sich ein Pilotlauf mit einer begrenzten Gruppe (z. B. die IT-Abteilung), um die technische Funktionalität zu überprüfen und das Szenario zu testen.
Erstelle oder wähle das Szenario und die E-Mail-Templates. Konfiguriere das Whitelisting im E-Mail-Filter. Informiere das Helpdesk. Bereite die Landing Page und die Lernseite vor.
Versand
Sende die Simulations-Mails nicht alle gleichzeitig, sondern zeitlich versetzt über mehrere Stunden. Das verhindert, dass Mitarbeiter sich gegenseitig warnen ("Hey, ich hab gerade eine komische Mail bekommen, du wahrscheinlich auch"). Ein Zeitfenster von vier bis sechs Stunden ist ein guter Kompromiss.
Wähle einen Wochentag und eine Uhrzeit, die dem normalen Arbeitsalltag entsprechen. Dienstagmorgen bis Donnerstagnachmittag sind typische Zeitfenster. Montags und freitags sind die Mitarbeiter entweder noch in der Wochenstart-Hektik oder bereits im Wochenend-Modus und weniger aufmerksam, was die Ergebnisse verfälschen kann (oder je nach Ziel gerade interessant macht).
Tracking-Zeitraum
Definiere einen Tracking-Zeitraum, in dem die Klicks und Eingaben gemessen werden. 48 bis 72 Stunden sind typisch. Danach wird die Kampagne geschlossen, und die Ergebnisse werden ausgewertet.
Auswertung und Kennzahlen
Die Auswertung fokussiert sich auf drei Kernkennzahlen, die zusammen ein umfassendes Bild ergeben.
Klickrate
Die Klickrate misst den Anteil der Empfänger, die auf den Link in der Phishing-Mail geklickt haben. Eine typische Klickrate bei der ersten Simulation liegt bei 20 bis 40 Prozent, abhängig vom Schwierigkeitsgrad des Szenarios und dem bisherigen Awareness-Niveau.
Die Klickrate allein ist allerdings ein unvollständiger Indikator. Ein Mitarbeiter, der auf den Link klickt, die Fake-Seite erkennt und den Browser sofort schließt, hat ein anderes Risikoprofil als ein Mitarbeiter, der auf den Link klickt und seine Zugangsdaten eingibt.
Kompromittierungsrate
Die Kompromittierungsrate misst den Anteil der Empfänger, die auf der Landing Page tatsächlich Daten eingegeben haben (Benutzername, Passwort, persönliche Informationen). Diese Kennzahl ist aussagekräftiger als die reine Klickrate, weil sie das tatsächliche Risiko abbildet.
Meldequote
Die Meldequote misst den Anteil der Empfänger, die die Phishing-Mail über den definierten Kanal gemeldet haben (Phishing-Button, E-Mail an das Security-Team, Anruf beim Helpdesk). Die Meldequote ist die positivste Kennzahl, weil sie proaktives, sicherheitsbewusstes Verhalten misst.
Eine reife Sicherheitskultur zeichnet sich dadurch aus, dass die Meldequote höher ist als die Klickrate. Das bedeutet, dass mehr Mitarbeiter die Mail melden, als auf den Link klicken.
Trends über Zeit
Ein einzelnes Simulationsergebnis ist ein Datenpunkt, kein Trend. Der wirkliche Wert der Phishing-Simulationen zeigt sich erst über mehrere Durchläufe. Plane mindestens vier Simulationen pro Jahr, um einen aussagekräftigen Trend zu erhalten. Die Klickrate sollte über die Zeit sinken, die Meldequote steigen.
Vergleiche dabei nur vergleichbare Szenarien. Wenn du den Schwierigkeitsgrad zwischen den Simulationen steigerst, ist ein Anstieg der Klickrate kein Rückschritt, sondern die erwartete Folge der höheren Schwierigkeit.
Nachbereitung: Das Wichtigste kommt nach der Simulation
Die Simulation ist nur der Auslöser. Die eigentliche Wirkung entsteht in der Nachbereitung.
Sofortiges Feedback (Teachable Moment)
Wie bereits beschrieben, werden Mitarbeiter, die auf den Link klicken, sofort auf eine Lernseite weitergeleitet. Diese Seite erklärt die Warnsignale der konkreten E-Mail und gibt allgemeine Tipps zum Erkennen von Phishing. Dieses sofortige Feedback ist didaktisch am wirksamsten, weil der Mitarbeiter noch im Kontext der Erfahrung ist.
Kommunikation an alle Mitarbeiter
Nach Abschluss der Simulation kommunizierst du die aggregierten Ergebnisse an alle Mitarbeiter. Diese Kommunikation muss den richtigen Ton treffen: sachlich, wertschätzend und konstruktiv. Keine Bloßstellung, keine Schuldzuweisungen, keine Drohungen.
Ein bewährtes Format ist: "Wir haben letzte Woche eine Phishing-Simulation durchgeführt. [X] Prozent der Mitarbeiter haben die Mail korrekt erkannt und nicht geklickt. [Y] Prozent haben die Mail über den Meldebutton gemeldet. Danke an alle, die aufmerksam waren. Für alle, die auf den Link geklickt haben: Das ist kein Grund zur Sorge, sondern ein normaler Teil des Lernprozesses. Die Mail war bewusst so gestaltet, dass sie realistisch aussieht. Hier sind die Warnsignale, an denen ihr ähnliche Mails in Zukunft erkennen könnt: [konkrete Hinweise zur Mail]."
Gezielte Schulung
Mitarbeiter, die auf die Simulation hereingefallen sind, erhalten eine gezielte Nachschulung. Das kann ein kurzes Online-Modul sein (10 bis 15 Minuten), das die wichtigsten Erkennungsmerkmale wiederholt und an konkreten Beispielen übt. Manche Plattformen (KnowBe4, Hoxhunt) bieten diese automatische Zuweisung als integrierte Funktion.
Wer wiederholt auf Simulationen hereinfällt, braucht keine härtere Bestrafung, sondern eine andere Form der Unterstützung: persönliches Coaching, ein individuelles Gespräch mit dem Security Champion der Abteilung oder eine intensivere Schulung. Die Ursache für das Verhalten kann vielfältig sein: Zeitdruck, fehlende Lesekompetenz (z. B. bei nicht-deutschsprachigen Mitarbeitern), Unsicherheit im Umgang mit E-Mails oder schlicht Desinteresse. Jede Ursache erfordert eine andere Maßnahme.
Häufige Fehler
Zu schwere Szenarien bei der ersten Simulation: Wenn 80 Prozent der Mitarbeiter auf die erste Simulation hereinfallen, erzeugt das Frustration und den Eindruck, dass die Simulation unfair war. Steige mit mittlerer Schwierigkeit ein und steigere schrittweise.
Namentliche Veröffentlichung von Ergebnissen: Die Veröffentlichung individueller Ergebnisse ("Herr Müller aus der Buchhaltung hat seine Zugangsdaten eingegeben") zerstört das Vertrauen und ist in vielen Fällen datenschutzrechtlich problematisch. Ergebnisse werden auf Abteilungsebene aggregiert.
Simulation ohne Schulungsprogramm: Eine Phishing-Simulation ohne begleitendes Awareness-Programm misst ein Problem, löst es aber nicht. Die Simulation ist ein Werkzeug im Rahmen eines umfassenden Programms, nicht ein Ersatz dafür.
Zu seltene Durchführung: Eine jährliche Simulation liefert einen einzigen Datenpunkt. Mindestens vier Simulationen pro Jahr sind nötig, um Trends zu erkennen und den Fortschritt des Awareness-Programms zu belegen.
Fehlende Konsequenz bei den Ergebnissen: Wenn die Ergebnisse zwar erhoben, aber nicht für die Weiterentwicklung des Awareness-Programms genutzt werden, ist die Simulation Zeitverschwendung. Die Ergebnisse müssen in konkrete Maßnahmen münden: angepasste Schulungsinhalte, gezielte Nachschulungen, verbesserte technische Schutzmaßnahmen.
Phishing-Simulationen im ISMS-Kontext
Phishing-Simulationen sind ein integraler Bestandteil deines Awareness-Programms und sollten in deinem ISMS dokumentiert sein. Die Dokumentation umfasst den Simulationsplan (Häufigkeit, Szenarien, Zielgruppen), die Ergebnisse jeder Simulation (aggregierte Kennzahlen, Trends), die abgeleiteten Maßnahmen und die Wirksamkeit der Maßnahmen (Veränderung der Kennzahlen in der nächsten Simulation).
Diese Dokumentation ist dein Nachweis gegenüber Auditoren, dass du nicht nur Schulungen durchführst, sondern deren Wirksamkeit überprüfst und das Programm auf Basis der Ergebnisse kontinuierlich verbesserst. Das ist genau der PDCA-Zyklus (Plan-Do-Check-Act), den ISO 27001 fordert, angewendet auf die Mitarbeitersensibilisierung. In ISMS Lite lassen sich Simulationspläne, Ergebnisse und abgeleitete Maßnahmen zentral dokumentieren und für Audits aufbereiten.
Weiterführende Artikel
- Phishing erkennen und melden: Praxisguide für Mitarbeiter und IT
- Security Awareness Programm aufbauen: Was Mitarbeiter wirklich wissen müssen
- Sicherheitskultur aufbauen: Warum Technik allein nicht reicht
- Social Engineering im Unternehmen: Angriffsformen und Gegenmaßnahmen
- Gamification in der Security Awareness: Motivation statt Pflichtübung
