Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen

Phishing-Simulation

Testen Sie, bevor
Angreifer es tun.

Finden Sie heraus, wie anfällig Ihr Unternehmen für Social Engineering ist. Maßgeschneiderte Kampagnen oder Managed Platform - wir messen, was E-Learnings nicht zeigen können.

Simulation anfragen Phishing-E-Mail analysieren
500+ Kampagnen -68% Klickrate DSGVO-konform
E-Mail Threat Scanner
0 Threats0 Safe
Warte auf eingehende E-Mails...
0/6 E-Mails analysiert
0% Threat-Rate
aller Cyberangriffe beginnen mit Phishing
durchgeführte Phishing-Kampagnen
Ø Reduktion der Klickrate nach 4 Kampagnen
Klickrate beim Ersttest - Branchendurchschnitt

Warum E-Learning allein nicht schützt

Compliance-Schulungen vermitteln Wissen - aber verändern kein Verhalten. Nur wer unter realistischen Bedingungen getestet wird, erkennt den Unterschied.

3 Sekunden Entscheidung

Unter Zeitdruck entscheidet das Bauchgefühl - nicht das Wissen aus dem letzten E-Learning. Phishing-E-Mails treffen genau diesen Moment.

Klickrate ≠ Schulungsnote

Mitarbeitende, die jede Schulung mit 100% bestehen, klicken trotzdem auf Phishing-Mails. Nur eine realistische Simulation zeigt den tatsächlichen Stand.

4,5 Mio. USD pro Vorfall

Die durchschnittlichen Kosten eines Datenlecks (IBM). Eine regelmäßige Phishing-Simulation ist die kostengünstigste Präventionsmaßnahme, die es gibt.

Praxisbeispiel

Anatomie einer Phishing-E-Mail

Diese realistische Nachbildung zeigt die typischen Warnsignale einer Phishing-E-Mail. Beobachten Sie, wie die 5 häufigsten Red Flags Schritt für Schritt aufgedeckt werden - genau so testen wir Ihre Mitarbeitenden.

5 Warnsignale erkennen

1Gefälschte Absenderadresse

Der Anzeigename sagt "Deutsche Kredit Bank AG", aber die echte Adresse ist service@dk-bank-sicherheit.com - eine fremde Domain, die nichts mit der Bank zu tun hat.

2Unpersönliche Anrede

Ihre echte Bank kennt Ihren Namen. "Sehr geehrter Kunde" ist ein Zeichen für eine Massen-Phishing-Kampagne an tausende Empfänger.

3Künstlicher Zeitdruck

"Innerhalb von 24 Stunden" und Kontosperrung - klassische Panikmacher-Taktik. Seriöse Unternehmen setzen keine so kurzen Fristen per E-Mail.

4Gefälschter Link

Der Button verspricht die offizielle Seite, aber die echte URL ist dk-bank-sicherheit.com/verify - eine Phishing-Domain. Immer Linkziel prüfen!

5Abfrage sensibler Daten

Kein seriöses Unternehmen fordert per E-Mail zur Eingabe von Passwörtern, TANs oder Kreditkartendaten auf. Niemals über E-Mail-Links einloggen.

Fahren Sie mit der Maus über die nummerierten Bereiche in der E-Mail, um die Warnsignale zu entdecken.

Zwei Modelle

Maßgeschneidert oder als Managed Service

Wählen Sie zwischen persönlicher Betreuung durch unsere Social-Engineering-Experten oder einer eigenständig nutzbaren Managed-Plattform.

Empfohlen

Manuelle Phishing-Simulation

Persönliche Betreuung durch unsere Experten

  • Handgemachte, individuelle Phishing-Mails
  • Spear-Phishing, CEO-Fraud und branchenspezifische Szenarien
  • Persönlicher Ansprechpartner für die gesamte Kampagne
  • Detaillierter Report mit Management Summary
  • Ideal für einmalige Baseline-Tests und gezielte Kampagnen

Ab 3.000 EUR pro Kampagne

Managed Phishing-Plattform

Eigenständig nutzbare Plattform via phished.io

  • KI-gestützte, automatisierte Phishing-Kampagnen
  • Eigenes Dashboard mit Echtzeit-Statistiken
  • Hunderte vorgefertigte Templates in über 30 Sprachen
  • Kontinuierliche, automatische Kampagnen
  • Integrierte Micro-Learnings nach jedem Fehlklick

Als monatliches Retainer-Modell verfügbar

Nicht sicher, welches Modell passt? Kostenlose Beratung in 15 Minuten.

Angriffsszenarien

Typische Szenarien unserer Kampagnen

Jedes Szenario wird individuell auf Ihr Unternehmen zugeschnitten - von der Absenderadresse bis zum Pretext:

CEO-Fraud / BEC

Gefälschte Anweisungen der Geschäftsführung. Testen Sie, ob Ihre Finanzabteilung auf gefälschte Überweisungsanforderungen reagiert.

Business Email Compromise Wire Fraud

Credential Harvesting

Gefälschte Login-Seiten von Microsoft 365, VPN-Portalen oder internen Tools. Wie viele geben ihre Zugangsdaten ein?

Fake Login M365 Phishing

Malware-Simulation

Gefälschte Rechnungen, Bewerbungen oder Lieferantenmails mit simulierten Schad-Anhängen - ohne echtes Risiko.

Payload Delivery Macro-Dokumente

QR-Code-Phishing (Quishing)

Manipulierte QR-Codes auf Plakaten, in Meetingräumen oder auf Visitenkarten. Auch physische Angriffsvektoren testen wir.

Quishing Physical Vector

Spear-Phishing

Hochgradig personalisierte Angriffe auf einzelne Personen oder Abteilungen - mit OSINT-Recherche und maßgeschneiderten Pretexts.

OSINT Targeted Attack

Eigenes Szenario?

Wir entwickeln branchenspezifische Szenarien nach Ihren Vorgaben.

Szenario besprechen

Manuell vs. Managed - der Vergleich

Beide Modelle haben ihre Stärken. Die ideale Lösung? Oft die Kombination - manueller Baseline-Test, dann Managed für den laufenden Betrieb.

Manuelle Simulation Managed Plattform
Szenarien Individuell handgemacht Hunderte vorgefertigte Templates
Betreuung Persönlicher Ansprechpartner Self-Service + Support
Frequenz 1-4x pro Jahr Kontinuierlich / automatisiert
Sprachen Deutsch & Englisch 30+ Sprachen
Reporting Management-Report als PDF Echtzeit-Dashboard
Ideal als Baseline & Tiefentest Dauerbetrieb & Messung

Maximale Wirkung? Manueller Baseline-Test + Managed Retainer für den laufenden Betrieb.

So läuft es ab

Von der Anfrage zur Kampagne in 5 Schritten

  1. Vorgespräch & Zieldefinition: Gemeinsam definieren wir Zielgruppen, Szenarien und Erfolgskennzahlen. Welche Abteilungen werden getestet? Welche Angriffsszenarien sind realistisch?
  2. Kampagnen-Design: Unsere Social-Engineering-Experten entwickeln maßgeschneiderte Phishing-Mails, Landing Pages und Pretexting-Szenarien - abgestimmt auf Ihr Unternehmen.
  3. Durchführung & Monitoring: Die Kampagne wird ausgerollt und in Echtzeit überwacht. Wir erfassen Öffnungsraten, Klickraten, Credential-Eingaben und Melderaten.
  4. Auswertung & Report: Detaillierter Ergebnisbericht mit Benchmarks, Abteilungsvergleichen, Risikobewertung und konkreten Handlungsempfehlungen.
  5. Nachhaltige Verbesserung: Auf Wunsch begleiten wir Sie mit regelmäßigen Folgekampagnen. Security Awareness ist kein einmaliges Projekt - es ist ein kontinuierlicher Prozess.

DSGVO & Compliance

Datenschutzkonform by Design

Phishing-Simulationen betreffen personenbezogene Daten - deshalb ist DSGVO-Konformität bei uns kein Nachgedanke, sondern fester Bestandteil jeder Kampagne.

Anonymisierte Auswertung

Ergebnisse nur auf Abteilungsebene

Betriebsrat-ready

Vorabstimmung mit BR und DSB

Keine Bloßstellung

Einzelpersonen werden nicht identifiziert

Daten in Deutschland

Infrastruktur auf deutschen Servern

Simulation anfragen

Erfolgreiche Phishing-Kampagnen

Managed Phishing Simulation

Windhoff Group

Durchführung einer Phishing-Simulation für die Windhoff Group

6

Monate Simulationsdauer

2

Simulationen alle X Monate

Managed Phishing Simulation

LOTTO Bayern · Spielbanken Bayern

Durchführung einer 1-Jahres-Phishing-Simulation

12

Monate Simulationsdauer

1

Simulationen pro Monat

ISO/IEC 27001 zertifiziert
BSI-qualifiziert
DSGVO-konform
500+ Kampagnen durchgeführt

Weiterführend

Phishing-Simulation als Teil Ihrer Awareness-Strategie

Die stärkste Wirkung entfaltet eine Simulation in Kombination mit anderen Maßnahmen:

Live Hacking Show

Kick-off vor der Simulation - Ihre Mitarbeitenden erleben live, wie Angreifer vorgehen.

Details

Security Awareness E-Learning

Simulation trifft Training — E-Learning-Module verankern das Gelernte aus der Kampagne nachhaltig.

Details

Penetrationstest

Prüfen Sie die technische Seite — unsere Pentester finden Schwachstellen in Ihren Systemen.

Details

Warum Unternehmen AWARE7 vertrauen

Was uns von anderen Anbietern unterscheidet

Reine Awareness-Plattformen testen keine Systeme. Reine Beratungskonzerne sind zu weit weg. AWARE7 verbindet beides: Wir hacken Ihre Infrastruktur und schulen Ihre Mitarbeiter — mittelstandsgerecht, persönlich, ohne Enterprise-Overhead.

Forschung und Lehre als Fundament

Rund 20% unseres Umsatzes stammen aus Forschungsprojekten für BSI, BMBF und die EU. Wir veröffentlichen CVEs, präsentieren auf internationalen Top-Konferenzen und bilden als T.I.S.P.-Schulungsanbieter Sicherheitsexperten aus. Alle Berater sind mehrfach zertifiziert - von ISO 27001 Lead Auditor bis OSCP.

Digitale Souveränität - keine Kompromisse

Alle Daten werden ausschließlich in Deutschland gespeichert und verarbeitet - ohne US-Cloud-Anbieter. Keine Freelancer, keine Subunternehmer in der Wertschöpfung. Alle Mitarbeiter sind sozialversicherungspflichtig angestellt und einheitlich rechtlich verpflichtet. Auf Anfrage VS-NfD-konform.

Festpreis in 24h - planbare Projektzeiträume

Innerhalb von 24 Stunden erhalten Sie ein verbindliches Festpreisangebot - kein Stundensatz-Risiko, keine Nachforderungen, keine Überraschungen. Durch eingespieltes Team und standardisierte Prozesse erhalten Sie einen klaren Zeitplan mit definiertem Starttermin und Endtermin.

Ihr fester Ansprechpartner - jederzeit erreichbar

Ein persönlicher Projektleiter begleitet Sie vom Erstgespräch bis zum Re-Test. Sie buchen Termine direkt bei Ihrem Ansprechpartner - keine Ticket-Systeme, kein Callcenter, kein Wechsel zwischen wechselnden Beratern. Kontinuität schafft Vertrauen.

Für wen sind wir der richtige Partner?

Mittelstand mit 50–2.000 MA

Unternehmen, die echte Security brauchen — ohne einen DAX-Konzern-Dienstleister zu bezahlen. Festpreis, klarer Scope, ein Ansprechpartner.

IT-Verantwortliche & CISOs

Die intern überzeugend argumentieren müssen — und dafür einen Bericht mit Vorstandssprache brauchen, nicht nur technische Findings.

Regulierte Branchen

KRITIS, Gesundheitswesen, Finanzdienstleister: NIS-2, ISO 27001, DORA — wir kennen die Anforderungen und liefern Nachweise, die Auditoren akzeptieren.

Mitwirkung an Industriestandards

LLM

OWASP · 2023

OWASP Top 10 for Large Language Models

Prof. Dr. Matteo Große-Kampmann als Contributor im Core-Team des weltweit führenden LLM-Sicherheitsstandards.

BSI

BSI · Allianz für Cyber-Sicherheit

Management von Cyber-Risiken

Prof. Dr. Matteo Große-Kampmann als Mitwirkender des offiziellen BSI-Handbuchs für die Unternehmensleitung (dt. Version).

Unternehmen, die auf AWARE7 Phishing-Simulationen vertrauen

Ihre Phishing-Experten

Unsere Social-Engineering-Spezialisten entwickeln realistische Kampagnen für Ihr Unternehmen.

Chris Wojzechowski
Chris Wojzechowski

Geschäftsführender Gesellschafter

PGP 465C26E1AF161AFA

Geschäftsführender Gesellschafter der AWARE7 GmbH mit langjähriger Expertise in Informationssicherheit, Penetrationstesting und IT-Risikomanagement. Absolvent des Masterstudiengangs Internet-Sicherheit an der Westfälischen Hochschule (if(is), Prof. Norbert Pohlmann). Bestseller-Autor im Wiley-VCH Verlag und Lehrbeauftragter der ASW-Akademie. Einschätzungen zu Cybersecurity und digitaler Souveränität erschienen u.a. in Welt am Sonntag, WDR, Deutschlandfunk und Handelsblatt.

IT-Grundschutz-Praktiker (TÜV) IT Risk Manager (DGI) § 8a BSIG Prüfverfahrenskompetenz Ausbilderprüfung (IHK)
Vollständiges Profil ansehen
Jan Hörnemann
Jan Hörnemann

Chief Operating Officer · Prokurist

PGP A3FD64BB96C888E2

M.Sc. Internet-Sicherheit (if(is), Westfälische Hochschule). COO und Prokurist mit Expertise in Informationssicherheitsberatung und Security Awareness. Nachwuchsprofessor für Cyber Security an der FOM Hochschule, CISO-Referent bei der isits AG und Promovend am Graduierteninstitut NRW.

ISO 27001 Lead Auditor (PECB/TÜV) T.I.S.P. (TeleTrusT) ITIL 4 (PeopleCert) BSI IT-Grundschutz-Praktiker (DGI) Ext. ISB (TÜV) BSI CyberRisikoCheck CEH (EC-Council)
Vollständiges Profil ansehen

Zielgruppen

Für wen ist eine Phishing-Simulation geeignet?

Phishing-Angriffe treffen jede Branche und jede Hierarchieebene. Diese Zielgruppen profitieren besonders.

Alle Mitarbeitenden

Jeder Mitarbeiter ist ein potenzielles Einfallstor. Breit angelegte Kampagnen zeigen, wo die größten Risiken im Unternehmen liegen — abteilungsuebergreifend und anonym ausgewertet.

Führungskräfte & C-Level

CEO-Fraud und Business E-Mail Compromise richten sich gezielt gegen Entscheider. Spear-Phishing-Szenarien mit personalisiertem Kontext testen genau die Angriffsvektoren, die auf Führungsebene am häufigsten eingesetzt werden.

Finance & HR

Buchhaltung und Personalwesen verwalten sensible Daten und Zahlungsfreigaben. Angreifer setzen hier auf gefaelschte Rechnungen, IBAN-Änderungen und Bewerbungsunterlagen mit Schadsoftware. Gezielte Szenarien für diese Abteilungen sind besonders wirkungsvoll.

IT-Abteilungen

Auch IT-Fachkräfte sind nicht immun gegen Social Engineering. Technisch versierte Angriffe — etwa gefälschte Support-Anfragen, Vendor-Impersonation oder manipulierte Update-Links — testen das Sicherheitsverhalten genau dort, wo privilegierte Zugänge verwaltet werden.

NIS-2-betroffene Unternehmen

Die NIS-2-Richtlinie schreibt technische und organisatorische Maßnahmen zur Angriffsresistenz vor. Regelmäßige Phishing-Simulationen sind ein nachweisbarer Bestandteil eines ISMS und unterstützen die Compliance-Dokumentation gegenüber Aufsichtsbehoerden.

Unternehmen nach Phishing-Vorfall

Wer bereits Opfer eines Angriffs wurde, hat besonderen Handlungsbedarf. Eine Post-Incident-Simulation analysiert, welche Lücken im menschlichen Schutzwall bestehen — und legt die Grundlage für ein gezieltes Trainingsprogramm zur dauerhaften Verbesserung.

„Wir dachten, unsere Mitarbeitenden wissen, wie Phishing aussieht. Die Simulation von AWARE7 hat uns das Gegenteil bewiesen — und zwar auf eine Art, die niemanden blossstellt, sondern nachhaltig sensibilisiert. Drei Monate später hatten wir die Klickrate halbiert.“

Informationssicherheitsbeauftragter

Öffentliche Verwaltung, NRW — 1.200 Mitarbeitende

Häufige Fragen

Ihre Fragen zur Phishing-Simulation

Eine Phishing-Simulation ist ein kontrollierter Test, bei dem realistische, aber harmlose Phishing-Mails an Ihre Mitarbeitenden gesendet werden. Ziel ist es, die aktuelle Awareness zu messen und gezielt zu verbessern - ohne echtes Risiko für Ihr Unternehmen.
Bei der manuellen Simulation entwickeln unsere Experten individuelle, handgemachte Phishing-Szenarien mit persönlicher Betreuung. Bei der Managed Simulation stellen wir Ihnen eine professionelle Plattform (phished.io) bereit, mit der Sie eigenständig und kontinuierlich Kampagnen durchführen können.
Das hängt von Ihrer Strategie ab. Wir empfehlen in der Regel einen unangekündigten Ersttest für ein realistisches Baseline-Ergebnis. Danach können Awareness-Maßnahmen kommuniziert und der Fortschritt mit Folgetests gemessen werden.
Sehr realistisch. Unsere Experten nutzen aktuelle Angriffstechniken, die auch echte Angreifer verwenden: Spear-Phishing mit personalisierten Inhalten, gefälschte Login-Seiten, CEO-Fraud-Szenarien und branchenspezifische Pretexts.
Die Kosten richten sich nach Umfang und Modell. Eine einmalige manuelle Kampagne beginnt ab ca. 3.000 EUR. Managed Phishing über phished.io ist als monatliches Retainer-Modell verfügbar. Wir erstellen Ihnen innerhalb von 24 Stunden ein individuelles Angebot.
Ja. Wir arbeiten ausschließlich mit anonymisierten Ergebnissen auf Abteilungsebene. Einzelpersonen werden nicht identifiziert oder bloßgestellt. Die Simulation wird vorab mit Ihrem Betriebsrat und Datenschutzbeauftragten abgestimmt.
Für nachhaltige Ergebnisse empfehlen wir mindestens quartalsweise Tests. Studien zeigen, dass die Klickrate nach einer einmaligen Kampagne innerhalb von 6 Monaten wieder auf das Ausgangsniveau steigt. Kontinuierliche Kampagnen halten die Awareness dauerhaft hoch.
Grundsaetzlich ist jedes Unternehmen ein potenzielles Ziel. Besonders gefährdet sind Branchen mit hohem Datenwert: Finanzdienstleister, Gesundheitseinrichtungen, Behörden, KRITIS-Betreiber und Industrieunternehmen. NIS-2-betroffene Organisationen haben zudem eine gesetzliche Pflicht, technische und organisatorische Maßnahmen zur Angriffsresistenz nachzuweisen.
Sie werden auf eine Awareness-Landing-Page weitergeleitet, die erklärt, was gerade passiert ist und welche Warnsignale die Mail enthielt. Kein Tadel, kein Druck — sondern ein Lernmoment direkt im Moment des Fehlers. Diese "Just-in-Time-Schulung" ist nachweislich effektiver als klassische E-Learning-Module.
Ja, das ist sogar dringend empfohlen. Wir unterstützen Sie mit einem Muster-Betriebsvereinbarungstext und beraten Sie bei der Vorstellung des Projekts. Entscheidend ist dabei: Es werden ausschliesslich anonymisierte Abteilungsergebnisse berichtet. Einzelpersonen werden niemals identifiziert oder sanktioniert.

Aus dem Blog

Weiterführende Artikel

Wie phishing-sicher ist Ihr Unternehmen wirklich?

Finden Sie es heraus - mit einer professionellen Simulation. Wir erstellen Ihnen innerhalb von 24 Stunden ein individuelles Angebot. Kostenlos und unverbindlich.

Phishing-Simulation anfragen

Kostenlos · 30 Minuten · Unverbindlich

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung