Security Awareness messen: Phishing-Klickraten, Wissenstests und Verhaltensmetriken
Security Awareness Programme sind nur so gut wie ihre Messung. Dieser Guide erklärt wie Phishing-Klickraten korrekt interpretiert werden, welche Metriken wirklich zählen (nicht nur Klickrate), wie Wissenstests und Verhaltensänderungen gemessen werden, wie Aware7 Phishing-Simulationen ausgewertet werden, und welche ROI-Argumente CISOs gegenüber dem Vorstand nutzen können.
Oskar Braun Abteilungsleiter Information Security Consulting TL;DR
Um die Wirksamkeit von Security Awareness-Programmen zu beurteilen, müssen Unternehmen über die reine Phishing-Klickrate hinausblicken, da diese allein nicht ausreicht. Entscheidend ist eine ganzheitliche Messung, die auch die Credentials-Eingabe-Rate (oft 50-70% der Klicker) und die Report-Rate (Ziel: > Klickrate, idealerweise 60%+) berücksichtigt. Zudem sind die "Time to Report" (Ziel: unter 15 Minuten für die erste Meldung) und die Identifikation von "Repeat Clickern" wichtige Verhaltensmetriken. Wissenstests vor und nach Schulungen messen den Wissenszuwachs, doch die "Knowledge vs. Behavior Gap" zeigt, dass Verhaltenstraining durch realistische Phishing-Simulationen essenziell ist, um automatisierte Reaktionen wie das Melden verdächtiger E-Mails zu etablieren.
Diese Zusammenfassung wurde KI-gestützt erstellt (EU AI Act Art. 52).
Inhaltsverzeichnis (5 Abschnitte)
“Unsere Klickrate ist von 30% auf 8% gesunken” - ist das gut? Kommt drauf an. 8% von 1.000 Mitarbeitern sind immer noch 80 Personen die auf einen gefährlichen Link klicken. Die Frage ist nicht nur “wie niedrig ist die Klickrate” sondern “was passiert wenn jemand klickt?” und “ändert sich tatsächlich das Verhalten im Arbeitsalltag?”. Security Awareness-Messung ist komplexer als eine Prozentzahl.
Was wirklich gemessen werden sollte
Primäre Phishing-Simulation Metriken
Klickrate:
- % der Empfänger die auf den Link geklickt haben
- Branchen-Benchmark: 20-30% (untrainiert), 5-10% (trainiert)
- AWARE7 Ziel für Kunden: unter 5% nach 6 Monaten Training
- Problem: Klickrate allein genügt nicht!
Credentials-Eingabe-Rate:
- % die AUCH Benutzername/Passwort eingegeben haben
- Oft 50-70% der Klicker → weit schlimmer als nur Klick!
- “Klick” ≠ kompromittiert, aber “Credentials eingegeben” ist es fast
Report-Rate:
- % der Empfänger die die Phishing-Mail als verdächtig GEMELDET haben
- WICHTIGER Indikator: aktives Verteidigungsverhalten!
- Ziel: Report-Rate > Klick-Rate
- Gute Awareness: 60%+ melden, unter 5% klicken
Time to Report:
- Wie lange dauert es bis zur ersten Meldung?
- Schnelle Meldung = schnellere Incident Response
- Ziel: unter 15 Minuten (der schnellste Melder schützt alle)
Sekundäre Metriken
Repeat Clicker:
- Wer klickt immer wieder? (Hochrisiko-User)
- 1x Klick: Training anbieten
- 3x+ Klick: Eskalation (Manager-Gespräch)
Verbesserungsrate:
- User X: Simulation 1 (klickt) → Simulation 2 (meldet!)
- Verbesserungsrate zeigt Training-Wirksamkeit
Abteilungs-Vergleich:
- Welche Abteilungen haben höchstes Risiko?
- Finanzen, HR, IT-Helpdesk: häufig am gefährdetsten
- Gezielte Schulungen für Hochrisiko-Abteilungen
Technische Messung (was passiert nach dem Klick?)
- Hat das EDR die Payload erkannt? (Detection-Rate)
- Hat der User die Malware gemeldet? (Awareness)
- Wie lange bis Incident Response reagiert? (MTTD)
Phishing-Simulation testet NICHT NUR Awareness sondern die gesamte Reaktionskette!
Wissenstests - Vorher/Nachher Vergleich
Pre-Training Assessment
Vor Start des Awareness-Programms: Wissenslücken identifizieren mit 10-15 Fragen zu Phishing-Erkennung, Passwörtern und Social Engineering. Ergebnis: Baseline-Score pro Mitarbeiter und Abteilung.
Beispielfragen:
“Welches ist ein Anzeichen für eine Phishing-Mail?”
- a) Absender-Domain stimmt mit bekanntem Absender überein
- b) Dringende Sprache und Zeitdruck (“Handeln Sie sofort!”)
- c) Die E-Mail wurde über TLS verschlüsselt übertragen
- d) Das E-Mail-Gateway hat die Mail durchgelassen
“Was tun wenn Sie eine verdächtige E-Mail erhalten?”
- a) Öffnen und prüfen ob Absender bekannt ist
- b) An IT-Security/Helpdesk weiterleiten ohne zu klicken
- c) Sofort löschen und nichts tun
- d) An Kollegen weiterleiten zur zweiten Meinung
Post-Training Assessment (4-6 Wochen nach Training)
- Gleiche Fragetypen (andere Formulierungen)
- Verbesserung messen: wie viel hat das Training gebracht?
- Ziel: mehr als 20% Verbesserung im Durchschnitt
Micro-Learning Assessments (laufend)
- Monatliche 2-3-Fragen-Quiz (keine Prüfungsatmosphäre)
- Direkt nach Training: “Wissenstest zur aktuellen Phishing-Welle”
- Gamification: Highscores, Abteilungs-Wettbewerb (mit Vorsicht!)
Knowledge vs. Behavior Gap
Häufiges Problem:
- Wissensscore sehr gut (90%+ richtig)
- Klickrate trotzdem hoch (15%)
- “Ich weiß wie Phishing aussieht - aber im Stress klicke ich trotzdem”
Lösung:
- Verhaltenstraining > Wissenstraining
- Praxis > Theorie: Simulationen trainieren Verhalten, Tests trainieren Wissen
- Gewohnheiten aufbauen: “Meldung verdächtiger Mails” zur automatischen Reaktion
Phishing-Simulation richtig durchführen
Simulationstypen nach Schwierigkeit
Stufe 1 (Einstieg): Offensichtliche Indikatoren
- Falsch geschriebene Domain: “netfl1x.com”
- Grammatikfehler in der E-Mail
- Unrealistisches Angebot: “Sie haben gewonnen!”
- Erwartete Klickrate: 30-50% (untrainiert)
Stufe 2 (Standard): Realistisch aber erkennbar
- Bekannte Marke imitiert: “Microsoft Security Alert”
- Dringlichkeit: “Passwort läuft in 24h ab”
- Ein subtiler Hinweis: Absender-Domain leicht falsch
- Erwartete Klickrate: 15-25%
Stufe 3 (Fortgeschritten): Sehr realistisch
- Interne Absender imitiert: “IT-Helpdesk” (von ähnlicher Domain)
- Kontextrelevant: “Bitte überprüfen Sie Ihre Reisekostenabrechnung”
- Professionelle Sprache, kein offensichtlicher Fehler
- Erwartete Klickrate: 5-15%
Stufe 4 (Expert): Spear-Phishing-Realismus
- Personalisiert: Name, Abteilung, aktuelles Projekt erwähnt
- Chef-Imitierung (CEO-Fraud): von CEO-ähnlicher Adresse
- Attachment mit realistischem Inhalt
- Erwartete Klickrate: 2-8%
Phishing-Simulation Fahrplan (12 Monate)
| Monat | Aktion |
|---|---|
| Monat 1 | Baseline-Simulation (Stufe 1) → ohne vorheriges Training |
| Monat 2 | Security Awareness Kickoff-Training |
| Monat 3 | Phishing-Simulation (Stufe 1) → erstes Post-Training |
| Monat 5 | Phishing-Simulation (Stufe 2) → mittlere Schwierigkeit |
| Monat 7 | Phishing-Simulation (Stufe 2) → verschiedene Szenarien |
| Monat 9 | Phishing-Simulation (Stufe 3) → realistischeres Szenario |
| Monat 12 | Jahres-Assessment (Stufe 3/4) → Fortschritt messen |
Compliance-Aspekte
- DSGVO: Simulationen dürfen keine echten Mitarbeiterdaten schädigen
- Betriebsrat: vor Simulation konsultieren (Mitbestimmungsrecht!)
- § 87 BetrVG: Überwachung von Mitarbeitern → BR-Einbeziehung!
- Anonymisierung: individuelle Ergebnisse anonym → nur Abteilungs-/Team-Level
- Kommunikation: Ankündigung nach Simulation: “Das war eine Übung”
Wichtig: kein “Shame Culture” - Lerneffekt steht im Vordergrund!
Ethische Grenzen
- Keine Simulation nach tatsächlichem Sicherheitsvorfall im Unternehmen
- Keine Simulation die echten Schaden erzeugen könnte (kein echter Login-Prompt!)
- Keine personalisierten Drohungen (“Sie verlieren Ihren Job wenn…”)
- Kein Ausnutzen persönlicher Notlagen (Krankheit, Familienprobleme)
Reporting und ROI
Monatliches Executive Summary
Wichtige KPIs (3-5 Zahlen, verständlich für Board):
“Dieser Monat haben wir 500 Mitarbeiter simulierten Phishing-Angriffen ausgesetzt. 42 (8,4%) haben auf den Link geklickt, aber 187 (37%) haben die Mail proaktiv dem IT-Security-Team gemeldet. Im Vormonat klickten noch 15,2% - eine Verbesserung um 45%. Unser Ziel von unter 5% erreichen wir voraussichtlich in Quartal 3.”
Trendkurve (grafisch, nicht als Tabelle - Board braucht Trend, nicht Zahl):
| März | Juni | September | Dezember | |
|---|---|---|---|---|
| Klickrate | 30% | 15% | 8% | 5% |
| Report-Rate | 5% | 15% | 30% | 40% |
ROI-Berechnung Security Awareness
Kosten eines Phishing-Erfolgs (Industriedurchschnitt):
- Ransomware-Angriff: 2,5 Mio - 5 Mio EUR (Datenpanne + Ausfall)
- Credentials-Kompromittierung: 100.000 - 500.000 EUR
- BEC (Business Email Compromise): 150.000 EUR (Branchendurchschnitt)
Kosten eines Awareness-Programms:
- Plattform (KnowBe4, Proofpoint): 5-15 EUR pro User/Jahr
- 100 Mitarbeiter × 10 EUR: 1.000 EUR/Jahr
- Zeitaufwand Training: 5.000 EUR/Jahr (1h × 100 User × 50 EUR/h)
- Gesamtkosten: ~6.000 EUR/Jahr
ROI-Argument:
“Wenn Security Awareness 1 BEC-Angriff pro Jahr verhindert (Schaden 150.000 EUR), deckt das 25 Jahre Programm-Kosten. Bei 1 Ransomware-Prävention: das 400-fache der Investition.”
Versicherungs-ROI:
- Viele Cyber-Versicherer geben Rabatte für dokumentierte Awareness-Programme
- 5-15% Prämienreduktion möglich → oft mehr als Programmkosten
Abteilungs-Benchmark-Report
| Abteilung | Q1 Klickrate | Q4 Klickrate | Verbesserung | Report-Rate |
|---|---|---|---|---|
| IT | 8% | 2% | -75% | 55% |
| Finanzen | 25% | 10% | -60% | 35% |
| HR | 22% | 8% | -64% | 40% |
| Vertrieb | 18% | 5% | -72% | 50% |
| Geschäftsführung | 35% | 12% | -66% | 25% |
- Geschäftsführung: hohe Klickrate + niedrige Report-Rate → Handlungsbedarf!
- Finanzen: größtes absolutes Risiko (BEC-Ziel), Training intensivieren
NIST SP 800-50 (Building an IT Security Awareness Program):
- Empfehlung: Awareness-Messung als kontinuierlicher Prozess
- Metriken: Participating rate, Test Scores, Incident Reduction
- Reporting: Monatlich operational, Quartalsweise strategisch
KnowBe4 und andere Plattformen
Security Awareness Training Plattformen
KnowBe4:
- Marktführer (70.000+ Unternehmen)
- Größte Phishing-Template-Bibliothek: 25.000+ Vorlagen
- KI-gesteuerte Empfehlungen: welches Training für welchen User?
- PhishER: E-Mail-Triage (meldet automatisch an IT-Security)
- SecurityCoach: Real-time Coaching nach riskantem Verhalten
- Preis: Diamond-Level ab ~$20/User/Jahr
Proofpoint Security Awareness Training:
- Integration mit Proofpoint Email Gateway (Synergie!)
- VAP (Very Attacked People): welche User werden tatsächlich angegriffen?
- Targeted Attack Protection: reales Threat Intelligence → simulieren
- Sehr gute Enterprise-Integration
Hoxhunt:
- Gamification-fokussiert: Gamified Learning
- KI-basierte Schwierigkeitsanpassung pro User
- Micro-Learning: kurze, häufige Lerneinheiten (keine 2h-Seminare!)
- Beliebt: hohe Completion Rate wegen spielerischem Ansatz
usecure:
- Europäischer Anbieter, DSGVO-konform
- Deutsch verfügbar (lokalisiert, kein schlechtes Englisch!)
- uPhish: Phishing-Simulation
- uLearn: Video-basiertes Micro-Learning
- uPolicy: Richtlinien-Management + Signatur-Tracking
- Preis: KMU-freundlich
SoSafe (deutsch):
- Deutsches Startup aus Köln
- DSGVO-konform, DACH-Markt fokussiert
- Behavioral Science: nudges statt Security-Shaming
- Gute lokale (deutsche) Inhalte
- Wächst schnell im DACH-Markt
GoPhish (Open Source - Minimum für KMU):
- Selbst-gehostetes Phishing-Simulation-Tool
- E-Mail-Templates selbst erstellen
- Ergebnisse in eigenem System
- Aufwand: hoch (kein fertiges Training-Content)
- Geeignet: Technical Teams, sehr begrenzte Budgets
Security Awareness ist kein Einmalprojekt - es ist ein kontinuierlicher Prozess der auf Messung, Verbesserung und Verhaltensänderung ausgerichtet ist. AWARE7 führt maßgeschneiderte Phishing-Simulationen durch und entwickelt auf Basis der Ergebnisse gezielte Awareness-Programme für verschiedene Risikogruppen.
Phishing-Simulation anfragen | Security Awareness Schulungen
Monatlicher Threat Report
Chris Wojzechowski bewertet einmal im Monat die aktuelle Bedrohungslage aus Sicht eines Informationssicherheitsexperten. Sein 30-köpfiges Team ist näher an realen Cyberbedrohungen dran als kaum jemand sonst — mit konkreten Handlungsempfehlungen, die Sie am nächsten Morgen umsetzen können.
Bestseller-Autor (Wiley-VCH) · M.Sc. Internet-Sicherheit · Bekannt aus Handelsblatt & WamS
Zuletzt behandelt
1x im Monat · Kein Spam · Jederzeit abbestellbar · Datenschutz
Nächster Schritt
Unsere zertifizierten Sicherheitsexperten beraten Sie zu den Themen aus diesem Artikel — unverbindlich und kostenlos.
Kostenlos · 30 Minuten · Unverbindlich
