Phishing-Simulation

Schulen ist eins. Testen ist ein anderes Niveau: Echte (harmlose) Phishing-Mails schicken und sehen wer klickt.

So funktioniert’s

1. Kampagne anlegen — Auswahl aus 30+ Vorlagen (“Microsoft-Login abgelaufen”, “Paket-Lieferung”, “Geschäftsführer fordert Überweisung”, “HR — neue Dienstanweisung”, …).
2. Anpassen — Hugo passt die Mail an Ihre Firma an (Logo, Firmenname, Mitarbeiter-Namen werden eingebaut für Spear-Phishing-Realität).
3. Empfänger wählen — alle / Abteilung / einzelne
4. Zeitfenster — von wann bis wann gehen die Mails raus (verteilt über mehrere Tage = realistisch)
5. Starten — Mails gehen raus

Was gemessen wird

Pro Mail-Versand und Empfänger:

• Geöffnet? (Tracking-Pixel)
• Link geklickt?
• Daten eingegeben? (Login-Seite ist ein Honeypot, alles wird geloggt)
• Mail gemeldet? (Mitarbeiter, der Phishing erkennt + meldet — Plus-Punkte für ihn!)

Nach dem Klick

Statt zu echtem Phishing: Mitarbeiter landet auf einer Lern-Seite mit:

• “Diese Mail war eine Simulation”
• Erklärung was die Phishing-Indikatoren waren (Absender-Domain, schlechtes Deutsch, Druck-Element)
• Mini-Quiz (5 Fragen)
• Kein Schamspiel — niemand wird outed, aber er wird sensibilisiert

Ergebnis-Auswertung

• Klick-Rate insgesamt (Ziel: < 10 %, Branchen-Mittel ist 30 %)
• Pro Abteilung — wo brennt’s
• Trend über Zeit — wird’s besser?
• Repeat-Offender — wer klickt regelmäßig, der braucht extra Coaching

Wichtig: keine personenbezogene “Wer-hat-geklickt-Liste” für Geschäftsführung — nur aggregierte Daten. Sonst wirken Simulationen toxisch.

Compliance-Wert

NIS2 + ISO 27001 erwarten Phishing-Simulation als Awareness-Maßnahme. Sie dokumentieren:

• Häufigkeit der Kampagnen
• Aggregierte Trefferquote
• Folgemaßnahmen

Tipps

• Erstmal nicht zu hart — sehr realistische Kampagne ohne Vor-Ankündigung kann Mitarbeiter verärgern. Erst Sanftes, dann steigern.
• Mit Betriebsrat absprechen — Phishing-Sims sind mitbestimmungspflichtig.
• Quartalsweise ist guter Rhythmus — nicht zu selten (vergessen), nicht zu oft (gleichgültig).