Phishing-Simulation: Ein professionelles Programm aufbauen

“Wir haben Awareness-Schulungen gemacht” - die Standardantwort auf die Frage nach Phishing-Schutz. Das Problem: Schulungen allein messen nicht ob die Mitarbeiter das Gelernte auch anwenden können. Phishing-Simulationen schließen diese Lücke. Sie erzeugen messbare Daten über die tatsächliche Widerstandsfähigkeit gegen Phishing-Angriffe.

Einen umfassenden Überblick über alle Phishing-Methoden finden Sie in unserem Leitfaden Phishing-Angriffe erkennen und abwehren. Weitere Informationen zu konkreten Phishing-Tools bietet unser Artikel über die 12 besten Phishing-Tools für Simulationen. Grundlegende Begriffe erklärt unser Phishing-Wiki-Artikel. Für eine professionell durchgeführte Simulation durch AWARE7 besuchen Sie unsere Seite zur Phishing-Simulation.

Warum Phishing-Simulationen?

Wirkungsevidenz

Szenario	Klickrate
Ohne Phishing-Simulation + Training	20-35% (Branchendurchschnitt)
Nach einem einmaligen Training	12-18%
Vergessen nach 3 Monaten	wieder 15-25%
MIT kontinuierlichem Simulations-Programm nach 6 Monaten	unter 10%
MIT kontinuierlichem Simulations-Programm nach 12 Monaten	unter 5%

Die Bericht-Rate steigt mit kontinuierlichem Programm von unter 10% auf über 60% - Mitarbeiter melden Phishing aktiv! NIST SP 800-50B empfiehlt monatliche Simulations-Frequenz.

Der “Learning Moment”

Wenn ein Mitarbeiter auf Simulations-Phishing klickt, sollte eine sofortige Lernseite erscheinen:

• NICHT: “Sie sind durchgefallen, Bericht an Chef”
• SONDERN: “Gut gesehen! Hier ist was Sie hätten bemerken sollen…”

Der Lerneffekt in diesem Moment ist 10x höher als nachgelagertes Training.

Rechtliche Anforderungen (Deutschland)

Betriebsrat-Beteiligung:

• Phishing-Simulationen sind technische Einrichtungen zur Leistungskontrolle
• Betriebsvereinbarung MUSS vor Start abgeschlossen werden!
• Ohne: Betriebsrat kann Programm stoppen (§87 BetrVG)

Betriebsvereinbarungs-Inhalte:

• Zweck: Awareness-Steigerung, NICHT Personalmaßnahmen
• Anonymisierung: Keine individuelle Auswertung ohne konkreten Anlass
• Aggregierte Berichte: Abteilungs-Level, nicht Einzel-Mitarbeiter
• Opt-out-Möglichkeit (selten vereinbart, aber möglich)
• Keine disziplinarischen Konsequenzen für Klicks
• Datenlöschung: Individuelle Daten nach X Wochen anonymisiert

DSGVO:

• Klick-Tracking = Verarbeitung personenbezogener Daten
• Rechtsgrundlage: Art. 6 Abs. 1 lit. f (berechtigtes Interesse)
• Datenschutz-Folgenabschätzung (DSFA) bei systematischen Programmen
• Mitarbeiterdaten nicht an Dritt-Anbieter außerhalb EU ohne Absicherung

Simulationsprogramm strukturieren

4-Phasen-Modell

Phase 1: Baseline (Monat 1)

• Erste Simulation ohne vorheriges Training
• Ziel: Ausgangssituation messen (Klickrate, Bericht-Rate)
• Auswahl: allgemeines, nicht zu schwieriges Szenario
• KEINE individuelle Auswertung, nur Gesamt-/Abteilungswerte

Phase 2: Training + erste Maßnahmen (Monat 2-3)

• Ergebnisse kommunizieren (aggregiert!)
• Training für Abteilungen mit höchster Klickrate
• Nächste Simulation: gleiche Schwierigkeit wie Baseline
• Verbesserung messbar?

Phase 3: Variieren und steigern (Monat 4-9)

• Schwierigkeitsgrad erhöhen (Spear Phishing, Vishing)
• Verschiedene Szenarien rotieren
• Zielgruppen-spezifische Simulationen (CEO für Whaling)
• Bericht-Rate als positive Metrik fördern

Phase 4: Kontinuierlicher Betrieb (ab Monat 10)

• Monatliche Simulationen als Norm
• Schwierigkeitsniveau: angepasst an aktuelle Bedrohungslage
• Automatische Zuweisung von Trainingsmodulen nach Klick
• Jährliches Programm-Review und Anpassung

Schwierigkeitsgrade

EINFACH (Level 1 - Szenario für Start)

• Absender: fake@amazon-support.de (eindeutig falsche Domain)
• Betreff: “Ihr Amazon-Konto wurde gesperrt!!!”
• Mehrere Rechtschreibfehler, schlechte Grafik
• Generische Ansprache: “Sehr geehrter Kunde”
• Erwartete Klickrate: unter 5% nach einiger Übung

MITTEL (Level 2)

• Absender: it-support@firma-intern.com (ähnliche, aber andere Domain)
• Betreff: “Dringende Passwortänderung erforderlich - IT-Sicherheit”
• Professionelles Layout (Microsoft-ähnlich)
• Persönliche Ansprache (aus AD: “Guten Morgen, Frau Müller”)
• Erwartete Klickrate: 10-20%

SCHWER (Level 3 - Spear Phishing)

• Recherchierter Kontext (LinkedIn: “Ich habe Ihren Vortrag gesehen”)
• Bekannter Absendername (Vorgesetzter-Name, aber andere Domain)
• Zeitlich passend (Montagmorgen, Montag vor Monatsende)
• Inhalt: Plausible Anfrage (“Können Sie dieses Dokument bis heute prüfen?”)
• Erwartete Klickrate: 30-50% (auch bei erfahrenen Teams)

SEHR SCHWER (Level 4 - Vishing)

• Telefonanruf-Simulation
• Oder: SMS-basiertes Smishing
• Oder: QR-Code in physischen Räumen
• Erwartete Erfolgsrate: sehr variabel

Szenarien-Bibliothek

Beliebte und effektive Phishing-Szenarien

IT/Software-Themen:

• “Ihre Microsoft 365 Lizenz läuft ab - Jetzt erneuern”
• “Zoom-Meeting-Einladung” mit gefälschtem Zoom-Link
• “Kritisches Windows-Update verfügbar - Sofort installieren”
• “Ihre Multi-Faktor-Authentifizierung muss erneuert werden”
• “Neues Dokument wurde mit Ihnen geteilt (SharePoint)”

HR/Interne Themen:

• “Ihre Gehaltsabrechnung für [Monat] ist verfügbar”
• “Bitte füllen Sie die Mitarbeiterumfrage aus”
• “Neue Benefits-Plattform - Jetzt registrieren”
• “Urlaubsantrag-Genehmigung steht aus”

Führungskräfte-Themen (für Management):

• CEO-Fraud: “Ich brauche dringend eine Überweisung”
• “Vertrauliche M&A-Informationen - nur für Sie”
• “Investorenanfrage - Bitte dringlich antworten”

Externe/Branchenthemen:

• DHL/FedEx: “Paket konnte nicht zugestellt werden”
• Finanzbehörde: “Steuernachzahlung fällig”
• LinkedIn: “Jemand hat Ihr Profil angesehen”
• WhatsApp/SMS: “Ihr Account wird gesperrt”

Lernseite nach Klick (Landing Page)

Eine effektive Lernseite nach dem Klick hat folgende Struktur:

1. Sofortige Erkenntnis-Seite

• “Ups! Das war ein Phishing-Test”
• Keine Schuldzuweisung
• Sofortige Empathie: “Das passiert auch erfahrenen Nutzern”

2. Aufzeigen was verdächtig war

• Absender-Domain hervorheben (firma-intern.com ≠ firma.de)
• Druckerzeugung markieren (“Sofort handeln, sonst…”)
• Link-URL zeigen (wohin hätte der Link geführt?)

3. Kurzes 2-3 Minuten Training

• Keine 30-Minuten-Pflichtschulung! Kontraproduktiv.
• Video oder 3 Folien: “So erkennen Sie Phishing”
• Quiz: 3 Fragen zur Vertiefung

4. Positiver Abschluss

• “Jetzt wissen Sie wie echte Phishing-Mails aussehen!”
• “Klicken Sie hier um es zu melden” (üben!)
• Keine Angst vor Melden schüren

Tools und Plattformen

Kommerzielle Plattformen

KnowBe4:

• Marktführer, über 60.000 Kunden
• 14.000+ Phishing-Vorlagen, Automatisierung
• Integration mit M365/Google Workspace
• Reporting: sehr umfangreich
• Preis: ~18-30 USD/User/Jahr

Cofense (ehemals PhishMe):

• Spezialisiert auf Phishing, weniger breite Awareness-Plattform
• Gute Reporting-Rate-Tracking-Features
• Enterprise-fokussiert

Proofpoint Security Awareness:

• Integration mit Proofpoint E-Mail-Security
• Sehr gute DSGVO-Konformität (EU-Datacenter)
• Gut für Enterprise-Umgebungen

Hoxhunt:

• Gamification-Ansatz (Punkte, Badges für korrektes Melden!)
• Positive Verstärkung im Fokus
• KI-basierte Schwierigkeitsanpassung

Open-Source-Tool: GoPhish

Installation:

git clone https://github.com/gophish/gophish
cd gophish
go build .
sudo ./gophish

# Öffne: http://localhost:3333 (admin) / https://localhost (phishing server)

Phishing-Kampagne erstellen:

1. Email Templates: HTML-Template der Phishing-Mail
2. Landing Pages: Seite nach dem Klick (Lernseite)
3. User Groups: Empfänger-Liste (aus CSV)
4. Sending Profile: SMTP-Konfiguration (eigener Mailserver!)
5. Campaign: Alles kombinieren, Start-Zeit setzen

GoPhish Tracking-Mechanismus:

• Jede E-Mail enthält eindeutige URL (mit User-ID)
• Klick auf Link → GoPhish registriert Klick → zeigt Landing Page
• “Opened” nur wenn Bilder geladen werden (nicht empfohlen für DSGVO)
• Tracking-Pixel: datenschutzrechtlich problematisch → deaktivieren!

Wichtiges bei GoPhish:

• Auf EIGENEM Server hosten (keine Kundendaten in US-Cloud)
• TLS-Zertifikat für Phishing-Domain (sonst Browser-Warnung!)
• DNS/SPF für Phishing-Domain konfigurieren (sonst im Spam)

Metriken und Reporting

Primäre KPIs:

KPI	Definition	Ziel
Klickrate	Anteil Empfänger die auf Link klicken	unter 5% nach 6 Monaten
Bericht-Rate	Anteil der Empfänger die Phishing korrekt melden	über 70% (wichtigster positiver KPI!)
Daten-Rate	Anteil der Klicker die Daten eingeben	0% Ziel für Passwörter!

Sekundäre KPIs:

• Zeit bis Meldung: Wie schnell wird verdächtige Mail gemeldet?
• Repeat Clicker: Wer klickt wiederholt? → Zusatz-Training
• Schwierigkeitsverteilung: Klickrate je Schwierigkeitslevel

Executive Dashboard - Beispiel-Summary:

“Im letzten Quartal hat sich unsere Phishing-Resistenz von 18% auf 9% verbessert. Die Bericht-Rate stieg von 25% auf 67%. Fortgeschrittene Spear-Phishing-Simulation zeigt 22% Klickrate → Gezielte Schulungen für die identifizierten Abteilungen.”

---

Ein professionelles Phishing-Simulationsprogramm ist die messbarste Investition in Security Awareness. AWARE7 plant, implementiert und betreibt maßgeschneiderte Phishing-Simulationen - inklusive rechtssicherer Betriebsvereinbarungs-Unterstützung, Szenario-Design und Reporting für das Management.

Phishing-Simulation anfragen | Security Awareness Training