Security Awareness Glossar
Phishing-Simulation - Mitarbeiter realistisch testen und schulen
Phishing-Simulationen senden kontrollierte, gefälschte Phishing-E-Mails an Mitarbeiter um deren Erkennungsrate zu messen und zu trainieren. Metriken: Click-Rate (Ziel: <5%), Reporting-Rate (Ziel: >60%), Credential-Submission-Rate. Plattformen: KnowBe4, Proofpoint Security Awareness, Hoxhunt, Lucy Security, SoSafe. DSGVO-Besonderheit: Betriebsrat muss einbezogen werden, Ergebnisse dürfen nicht zur Disziplinierung einzelner Mitarbeiter genutzt werden.
Phishing-Simulationen sind das effektivste Mittel um den menschlichen Faktor zu stärken - dem Kanal durch den 90%+ aller Erstzugänge erfolgen. Aber: schlecht durchgeführte Simulationen demotivieren Mitarbeiter und schaffen Misstrauen statt Bewusstsein.
Wie Phishing-Simulationen funktionieren
Ablauf einer professionellen Phishing-Kampagne:
1. Vorbereitung:
→ Scope: alle Mitarbeiter oder Risikogruppen?
→ Betriebsrat einbeziehen (Mitbestimmungsrecht §87 BetrVG!)
→ Baseline-Kampagne: erst messen, dann schulen
→ E-Mail-Varianten vorbereiten (3-5 verschiedene Templates)
→ IT-Whitelist: Phishing-Server aus Spam-Filtern ausnehmen!
2. Simulation (Level 1 - Einsteiger):
Template-Beispiele:
→ "IT-Abteilung: Passwort läuft ab - jetzt ändern"
→ "HR: Gehaltsabrechnung verfügbar - hier klicken"
→ "Paketdienst: Ihr Paket wartet"
Level 2 (Fortgeschritten):
→ Personalisierte Spear-Phishing-E-Mails
→ CEO-Fraud-Simulation ("Von: Max Mustermann, CEO")
→ Attachment-basiert (PDF mit Link)
→ QR-Code-Phishing (Quishing)
3. Messung - was passiert:
Tracking-Pixel: wurde die E-Mail geöffnet?
Link-Klick: Mitarbeiter klickt auf Link?
Credential-Input: gibt Mitarbeiter Zugangsdaten ein?
Reporting: meldet Mitarbeiter die E-Mail?
4. Sofort-Schulung (Teachable Moment):
→ Wer klickt: sieht sofort Aufklärungsseite
→ "Sie haben auf eine Phishing-Simulation geklickt. Hier sind die Warnsignale..."
→ Keine Beschämung! Lernerlebnis.
5. Auswertung und Maßnahmen:
→ Abteilungsweises Reporting (KEIN individuelles Naming!)
→ Gezielte Nachschulungen für klickende Mitarbeiter
→ Erfolge kommunizieren: "Klickrate von 22% auf 6% gesenkt"KPIs und Benchmarks
Messgrößen einer Phishing-Kampagne:
Kernmetriken:
Phish-Prone-Rate (PPR):
→ % der Mitarbeiter, die klicken ODER Daten eingeben
→ KnowBe4 Industrie-Benchmark:
→ Baseline (ohne Training): Ø 31,5%
→ Nach 90-Tage-Schulung: Ø 16,4%
→ Nach 12 Monaten Training: Ø 4,6%
→ Ziel: < 5% PPR
Reporting-Rate:
→ % der Mitarbeiter, die die Phishing-Mail melden
→ Gut: > 30%, Sehr gut: > 60%
→ Wichtig: zeigt aktive Sicherheitskultur
Time-to-Report:
→ Wie schnell wird gemeldet?
→ < 5 Minuten: excellent (SOC kann schnell reagieren)
Credential-Submission-Rate:
→ Von denen, die klicken: wie viele geben Daten ein?
→ Am kritischsten! (direkter Zugang möglich)
Abteilungs-Benchmarks:
Typisch höhere Klickraten:
→ Finance/Buchhaltung (BEC-Angriffe!)
→ HR (Jobbewerbungen, Gehaltsabrechnungen)
→ Neue Mitarbeiter (< 6 Monate)
Typisch niedrigere Klickraten:
→ IT-Sicherheit (kennen die Tricks)
→ Compliance/RechtPlattformen im Vergleich
Phishing-Simulation Plattformen:
KnowBe4 (Marktführer USA):
→ 50.000+ Phishing-Templates
→ PhishER: automatisches E-Mail-Reporting + Triage
→ Security Awareness Training: 1.000+ Kurse
→ Modulsystem: Risk Score pro Mitarbeiter
→ Preis: ab ~$25/User/Jahr (Staffelung nach Größe)
→ Sprachen: DE verfügbar
Proofpoint Security Awareness:
→ Starke E-Mail-Security-Integration (Proofpoint Gateway)
→ Very Attacked People (VAP): Hochrisikogruppen identifizieren
→ Adaptive Schulung: basierend auf individueller Bedrohungslage
→ Teuer, aber gut für Proofpoint-Kunden
SoSafe (Deutsch, DSGVO-native):
→ Deutsches Unternehmen (Köln)
→ DSGVO-konform by design
→ Gamification: Punktesystem, Badges
→ Sehr gut geeignet für deutsche KMU
→ Betriebsrats-Freundlich: anonymisierte Reports
Hoxhunt (Finnland):
→ Spielerischer Ansatz (keine Bestrafung!)
→ Adaptiver Schwierigkeitsgrad je Mitarbeiter
→ Fokus auf Verhaltensänderung nicht Wissensvermittlung
Lucy Security (Schweiz):
→ On-Premises-Option (wichtig für KRITIS/Behörden!)
→ Keine Daten in Cloud
→ Für: öffentliche Verwaltung, Verteidigung, HealthcareRechtliche Aspekte in Deutschland
DSGVO und Betriebsverfassungsrecht:
Betriebsrat-Einbindung (Pflicht!):
→ §87 BetrVG: "Mitbestimmung bei Überwachung"
→ Phishing-Simulation = Leistungsüberwachung der Mitarbeiter
→ Ohne Betriebsvereinbarung: unzulässig!
Betriebsvereinbarung muss regeln:
1. Zweck: Sicherheitsschulung (NICHT Leistungsüberwachung)
2. Anonymisierung: keine individuellen Ergebnisse sichtbar
3. Reporting: nur Abteilungs-/Unternehmens-Level
4. Datenspeicherung: wie lange werden Klick-Daten gespeichert?
5. Konsequenzen: KEINE disziplinarischen Maßnahmen
6. Schulungs-Link: Teachable-Moment-Inhalte
DSGVO:
→ Rechtsgrundlage: Art. 6 Abs. 1 lit. f (berechtigtes Interesse)
→ Datensparsamkeit: nur Klick-Ereignis, keine detaillierten Logs
→ Betroffenenrechte: Mitarbeiter können Auskunft verlangen
→ Löschfristen: personenbezogene Klickdaten nach 90 Tagen löschen
Was NICHT erlaubt ist:
× Einzelne Mitarbeiter öffentlich beschämen ("Name-and-Shame")
× Abmahnungen nur aufgrund eines Phishing-Klicks
× Ergebnisse für Beförderungsentscheidungen nutzen
× Ergebnisse ohne BV oder Einwilligung erheben
Was erlaubt ist:
✓ Anonymisierte Abteilungsberichte an Management
✓ Gezielte Nachschulungen für Hochrisikogruppen
✓ Aggregierte Kennzahlen für ISO 27001 Nachweise
✓ Verbesserungen über Zeit dokumentieren (Compliance)
