Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen
Phishing-Simulation: Was 3 Jahre Daten über menschliche Schwächen verraten - Phishing-E-Mail mit Warnsignalen
Security Awareness

Phishing-Simulation: Was 3 Jahre Daten über menschliche Schwächen verraten

Was passiert wenn man Mitarbeitende gezielt testen lässt? Klickraten, Schwachstellen nach Abteilung, Tageszeit und Szenario-Typ - Erkenntnisse aus Phishing-Simulationen und was sie für Security-Awareness-Programme bedeuten.

Oskar Braun Oskar Braun Abteilungsleiter Information Security Consulting
8 Min. Lesezeit
ISO 27001 Lead Auditor (IRCA) ISB (TÜV)

TL;DR

Phishing-Simulationen zeigen, dass über 90% der Cyberangriffe mit Phishing beginnen und die menschliche Schwachstelle ausnutzen. Eine branchenübergreifende Baseline-Messung offenbart, dass 31% der Mitarbeitenden auf einen simulierten Phishing-Link klicken und 18% ihre Zugangsdaten preisgeben, während nur 4% einen solchen Vorfall melden. Besonders anfällig sind neue Mitarbeitende in den ersten 90 Tagen, und Spear-Phishing-Angriffe mit bekannten Kollegennamen erreichen eine Klickrate von 67%. Kontinuierliches Training reduziert die Klickrate innerhalb von 12 Monaten von 31% auf 4% und erhöht die Melderate von 4% auf 58%, was eine schnelle Reaktion bei echten Angriffen ermöglicht und den potenziellen Schaden minimiert.

Diese Zusammenfassung wurde KI-gestützt erstellt (EU AI Act Art. 52).

Inhaltsverzeichnis (8 Abschnitte)

Phishing ist der Einstiegsvektor bei über 90% aller Cyberangriffe. Trotzdem tun viele Unternehmen wenig mehr als eine jährliche Pflichtschulung - und gehen dann davon aus, ihre Mitarbeitenden seien geschützt. Was wirklich passiert, wenn man Mitarbeitende in kontrollierten Szenarien testet, ist ernüchternd - und aufschlussreich.

Die nackten Zahlen

Bevor das Training beginnt, führen wir einen Baseline-Test durch: Phishing-E-Mail ohne Vorwarnung, ohne Training, ohne Vorwissen der Mitarbeitenden.

Typische Baseline-Ergebnisse (branchenübergreifend):

Klickrate auf simulierten Phishing-Link:        31 %
Credential-Submission (Passwort eingegeben):    18 %
Rate die den Vorfall melden:                     4 %

Dreißig Prozent der Mitarbeitenden klicken. Achtzehn Prozent geben ihre Zugangsdaten ein. Nur vier Prozent melden den Vorfall.

Zum Vergleich: Ein einziger kompromittierter Unternehmens-Account reicht für die meisten Angriffe aus.

Wer klickt wirklich?

Eine häufige Annahme: “Bei uns sind die Mitarbeitenden gut ausgebildet, IT-affin und nicht so leichtgläubig.” Unsere Daten widerlegen das.

Klickraten nach Szenario-Typ:

SzenarioKlickrate (ohne Training)
“Ihr Passwort läuft ab - jetzt erneuern”38%
“Paketlieferung - Adresse bestätigen” (DHL/UPS-Fake)44%
“CEO: Dringende vertrauliche Überweisung”12%
“IT-Support: Sicherheitsupdate erforderlich”29%
Spear-Phishing mit echtem Kollegennamen67%

Das letzte Ergebnis überrascht regelmäßig: Wenn eine E-Mail scheinbar von einem bekannten Kollegen kommt und den richtigen Kontext hat (laufende Projekte, Abteilungsbezeichnungen - alles aus LinkedIn und der Unternehmenswebsite), klicken zwei von drei Mitarbeitenden.

Klickraten nach Funktion:

IT-Abteilungen sind nicht immun - im Gegenteil. Administratoren klicken auf technisch formulierte Phishing-E-Mails (“Kritische Sicherheitslücke in Ihrer VMware-Instanz”) mit 22% Klickrate, weil der Kontext für sie plausibel wirkt. Manager und Führungskräfte fallen überproportional auf CEO-Fraud-Varianten herein.

Die anfälligste Gruppe in unseren Simulationen: Neue Mitarbeitende in den ersten 90 Tagen. Sie kennen interne Prozesse nicht, wollen hilfsbereit wirken, und zweifeln seltener an Anfragen von vermeintlichen Vorgesetzten.

Was Training wirklich bewirkt - und wie schnell

Wir messen den Trainingseffekt mit gestaffelten Simulation nach 30, 90 und 180 Tagen:

Baseline (vor Training):     31 % Klickrate
Nach 30 Tagen Training:      22 %  (−29 %)
Nach 90 Tagen Training:      14 %  (−55 %)
Nach 180 Tagen + Simulation:  7 %  (−77 %)
Nach 12 Monaten:              4 %  (−87 %)

Der Vergessenskurve-Effekt: Ohne kontinuierliche Reinforcement (Simulationen, Reminder, monatliche Tipps) steigen Klickraten innerhalb von 6 Monaten wieder auf 60-80% des Baseline-Werts. Die Einmal-Schulung hilft kurzfristig - langfristig nicht.

Die Melderate: der unterschätzte KPI

Viele Unternehmen messen nur die Klickrate. Dabei ist die Melderate mindestens genauso wichtig:

Melderate ohne Training: 4%

Das bedeutet: 96% der Mitarbeitenden die auf eine Phishing-E-Mail hereinfallen (oder sie erkennen), melden nichts. Kein Sicherheitsteam, keine IT, niemand.

Warum melden Mitarbeitende nicht?

  • Sie wissen nicht, an wen oder wie
  • Sie befürchten negative Konsequenzen (“Ich war so dumm”)
  • Sie denken, die IT weiß es sowieso schon
  • Es gibt keinen einfachen Melde-Button in der E-Mail-Anwendung

Nach 12 Monaten Training mit Melde-Fokus: 58% Melderate

Der Unterschied ist enorm: Statt stummes Hereinfallen hat das Sicherheitsteam nach 12 Monaten bei einer echten Phishing-Welle früh Bescheid - und kann reagieren.

Der Business Case der Melderate:

Ein Mitarbeitender der auf eine echte Phishing-E-Mail hereingefallen ist und das sofort meldet, ermöglicht dem SOC-Team innerhalb von Minuten zu handeln: Passwort zurücksetzen, Session invalidieren, weitere Konten überprüfen. Der Schaden bleibt minimal.

Ein Mitarbeitender der schweigt - oft aus Angst vor Konsequenzen - gibt dem Angreifer Stunden oder Tage.

Montag morgens und Freitagsnachmittags: Der Zeitfaktor

Phishing-Angreifer wissen, wann ihre Chancen am besten stehen. Unsere Simulationsdaten bestätigen das:

Höchste Klickraten nach Wochentag:

  • Montag 09:00-10:00 Uhr: Posteingang wird durchgesehen, kein Kaffee, Gedanken woanders
  • Freitag 16:00-17:00 Uhr: Müde, wollen nach Hause, verarbeiten schnell

Niedrigste Klickraten:

  • Mittwoch Mittag
  • Dienstagsmorgen (höchste Konzentration)

Professionelle Angreifer verschicken Phishing-E-Mails gezielt montags morgens - und unsere Trainings-Simulationen sollten das widerspiegeln.

Was funktioniert - und was nicht

Was nicht funktioniert:

  • Jährliche Pflichtschulung ohne Reinforcement
  • Beschämende Kommunikation nach Phishing-Test (“Herzlichen Glückwunsch, Sie haben versagt”)
  • Schulmäßige Tests die zu einfach oder zu offensichtlich sind
  • Training das nicht zur Unternehmenskultur passt

Was funktioniert:

  • Unmittelbares Feedback im Moment des Klickens (sofort nach dem Klick erscheint eine Erklärungsseite)
  • Kurze, regelmäßige Einheiten (5-10 Minuten monatlich) statt langer Jahresschulung
  • Gamifizierung: Leaderboards, wer findet die meisten Phishing-Warnsignale
  • Spezifische Szenarien je Funktion (Finance-Team bekommt Rechnungs-Phishing, IT bekommt technisches Phishing)
  • Positive Verstärkung für Melder (öffentliche Anerkennung)
  • Management als Vorbildfunktion (Führungskräfte nehmen ebenfalls teil)

Die Return-on-Investment-Rechnung

Phishing-Simulation + Training kostet je nach Unternehmensgröße zwischen €3.000 und €30.000 jährlich.

Ein erfolgreicher Phishing-Angriff auf einen privilegierten Account kostet laut IBM Cost of Data Breach 2024 durchschnittlich 4,88 Millionen USD.

Ein Training das die Klickrate von 31% auf 4% reduziert und die Melderate von 4% auf 58% erhöht - in einem Unternehmen mit 200 Mitarbeitenden und einer monatlichen Phishing-Welle - verhindert statistisch einen erfolgreichen Angriff pro Jahr. Das Verhältnis ist eindeutig.

Praktische Schlussfolgerungen

Für Security-Verantwortliche:

  1. Führen Sie einen Baseline-Test durch, bevor Sie über Budgets sprechen - Zahlen überzeugen.
  2. Messen Sie Melderate, nicht nur Klickrate.
  3. Etablieren Sie einen Ein-Klick-Melde-Button in Outlook/Gmail.
  4. Planen Sie mindestens 4 Simulationen pro Jahr.
  5. Keine Bestrafung für Klicker - Lernen, nicht Beschämen.

Für Geschäftsführung: NIS2 (Art. 21) macht Security Awareness Training zur gesetzlichen Anforderung. Die Frage ist nicht mehr ob, sondern wie gut und wie systematisch.

Wir führen Phishing-Simulationen für Unternehmen ab 50 Mitarbeitenden durch - mit vollständiger Auswertung, Vergleich mit Branchenbenchmarks und Handlungsempfehlungen.

Phishing-Simulation anfragen

Weiterführender Artikel: Phishing-Simulation: Ein professionelles Programm aufbauen - Vom Baseline-Test zum dauerhaften Programm: Wie Sie die in diesem Artikel beschriebenen Erkenntnisse in eine strukturierte Simulationsstrategie überführen.

Nächster Schritt

Unsere zertifizierten Sicherheitsexperten beraten Sie zu den Themen aus diesem Artikel — unverbindlich und kostenlos.

Kostenlose Erstberatung vereinbaren Leistungen ansehen

Kostenlos · 30 Minuten · Unverbindlich

Artikel teilen

LinkedIn X E-Mail
Zertifiziert ISO 27001ISO 9001AZAVBSI

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung