Phishing Simulation und „Flurfunk“: Bloß nicht erwischt werden!
Wenn Sie wie ich in Bayern Abitur gemacht haben, ist Ihnen vielleicht die Abkürzung „Ex“ bekannt. Es steht für „Extemporale“, auf hochdeutsch „Stegreifaufgabe“ und war während meiner gesamten Schulzeit der Schrecken aller (schlecht vorbereiteten) Schüler. Denn eine „Ex“ ist ein unangekündigter Kurztest über den Stoff der letzten beiden Schulstunden, der in die Bewertung des Gesamtschuljahrs einging.
Ich muss gestehen, dass dieses Konzept nur selten erfolgreich war, dennoch gab es uns Schülern die Hoffnung, wenigstens irgendetwas gegen die drohende Pleite tun zu können.
Die einzige Möglichkeit, wenigstens ein bisschen Vorlaufzeit – zumindest zum Erstellen des dringend benötigten Spickzettels – zu erhalten, bestand in unserer Schule darin, einen Mitschüler nach der großen Pause in der Nähe des damals einzigen Kopierers am Lehrerzimmer zu platzieren. Denn dort vervielfältigten die Lehrer in der Regel die „Ex“-Testbögen für die nachfolgenden Schulstunden. Stand also ein Lehrer/eine Lehrerin nach der Pause am Kopierer, den man nach der Pause noch hatte, so war zumindest die Wahrscheinlichkeit gegeben, dass eine „Ex“ drohte.
„Flurfunk“: Phishing-Simulationen laufen ins Leere
Weshalb ich Ihnen diese Anekdote erzähle? Vor einiger Zeit unterhielt ich mich, mit einem IT-Verantwortlichen eines kleinen Maschinenbauunternehmens, der mir erzählte, dass er im letzten Jahr „Phishing-Simulationen“ als Security Awareness-Maßnahme eingeführt hätte, dies aber nach einigen Simulationen wieder eingestellt hätte. Denn irgendwie hatte der „Flurfunk“ im Unternehmen immer dann angeschlagen, wenn eine neue Simulation anstand. Es wurden wohl sogar private Messenger-Dienste genutzt, um die Information weiterzugeben. Ergebnis: Niemand fiel mehr auf die (simulierte) Phishing-Attacke rein. Lerneffekt gleich null!
Es liegt wohl in der Natur des Menschen, alles zu tun, um nicht als derjenige aufzufallen, der „Mist gebaut“ hat. Auch wir wurden bereits 2019 Opfer eines Ransomware-Angriffs. Die Kollegin, die damals auf den Phishing-Link geklickt hat, arbeitet noch heute für uns, möchte aber bis heute nicht mehr an diesen Vorfall erinnert werden. Allerdings gehört sie zu den eifrigsten Verfechtern aller Security Awareness-Maßnahmen, die wir seitdem eingeführt haben.
Motivation statt Pranger: Auch und gerade durch Beteiligung der Geschäftsleitung
Die größte Herausforderung liegt wohl in der Tat darin, dem „Risikofaktor Mensch“ klar zu machen, dass es nichts nützt, wenn er Maßnahmen torpediert, die genau diesen „Risikofaktor Mensch“ adressieren. Dies gilt übrigens nicht nur für die Kolleginnen und Kollegen in den Fachabteilungen. Auf einer Veranstaltung erzählte mir ein IT-Leiter in einem mittelständischen Großhandelsunternehmen, dass die Geschäftsleitung zwar positiv auf die Idee von Phishing-Simulationen reagiert hat, sich es aber verbittet, selbst in den entsprechenden E-Mail-Verteiler aufgenommen zu werden, da dies ja der eigenen Reputation schadet. Stellen Sie sich nur vor, der Chef gehört zu denjenigen, die auf so eine Phishing-Simulation reinfallen …
Phishing Simulation: Die wichtigsten Erfolgsfaktoren
70% der erfolgreichen Cyberangriffe beginnen mit einer Phishing-Mail, die nicht als solche erkannt wird. Phishing-Simulationen sind daher – unabhängig von den eingangs geschilderten Herausforderungen – ein unverzichtbares Werkzeug, um die menschliche Firewall in Ihrem Unternehmen zu stärken.
Die 5 kritischen Erfolgsfaktoren
1. Transparente Kommunikation statt Überraschungsangriff
❌ Falsch: „Wir testen heimlich, wer auf Phishing hereinfällt“
✅ Richtig: Informieren Sie Ihre Mitarbeiter vorab über das Ziel der Simulation
Warum das funktioniert: Mitarbeiter entwickeln eine positive Einstellung zum Lernen, statt sich bloßgestellt zu fühlen. Das Ziel ist Sensibilisierung, nicht Bestrafung.
2. Realistische Schwierigkeitsgrade wählen
Beginnen Sie mit einfachen Szenarien (offensichtliche Rechtschreibfehler, unbekannte Absender) und steigern Sie schrittweise zu komplexeren Angriffen (gefälschte Kollegen-E-Mails, aktuelle Bezüge).
Praxistipp: Nutzen Sie das 3-Stufen-System aus der Security Awareness Toolbox – von „Einfach“ über „Mittel“ bis „Hoch“.
3. Sofortiges Feedback implementieren
Nach einem Klick auf einen simulierten Phishing-Link sollten Mitarbeiter sofort eine Erklärungsseite sehen mit:
- „Dies war ein Sicherheitstest“
- Erkennungsmerkmalen der Phishing-Mail
- Tipps für zukünftige E-Mails
4. Dokumentation für Compliance nutzen
Führen Sie Protokoll über:
- Öffnungsraten nach Abteilungen
- Klickraten und deren Entwicklung
- Meldungen verdächtiger E-Mails
- Nachschulungsbedarfe
Compliance-Bonus: Diese Dokumentation erfüllt gleichzeitig Ihre Nachweispflichten für DSGVO, ISO 27001 und andere Standards.
5. Regelmäßigkeit statt Einmaligkeit
Führen Sie Simulationen quartalsweise durch – mit verschiedenen Szenarien, z. B.:
- Q1: CEO-Fraud (Geschäftsführer-E-Mail)
- Q2: IT-Support-Phishing
- Q3: Rechnungs-/Zahlungsbetrug
- Q4: Aktuelle Bezüge (Jahresboni, Weihnachtsgrüße)
Der einfache Einstieg 1: Es muss ja nicht gleich eine Phishing-Simulation sein
Als Einstieg bietet sich erst einmal an, im Team oder in der Abteilung aktuelle Beispiele für Phishing-E-Mails zu besprechen. In der Security Awareness Toolbox finden Sie eine Vielzahl von Beispielen für Phishing-E-Mails mit unterschiedlichen Schwierigkeitsgraden und Szenarien. Es werden die Erkennungsmerkmale aufgezeigt und dargestellt, wie man sich in solchen Fällen am besten verhält. Einfach herunterladen, verteilen und beim nächsten Security Awareness Meeting besprechen.
Der einfache Einstieg 2: Simulation mit Newsletter-Tools
Für eine professionelle Phishing-Simulation benötigen Sie in der Regel eine professionelle Phishing-Lösung oder die Unterstützung eines externen Dienstleisters. Der Einstieg ist aber auch mit handelsüblichen E-Mail-Newsletter-Tools (CleverReach, Brevo, etc.) möglich:
- Schritt 1: Test-E-Mail erstellen (z.B. „Ihr Office 365-Passwort läuft ab“)
- Schritt 2: Tracking-Links einbauen für Klick-Messung
- Schritt 3: Landing Page erstellen mit Aufklärung
- Schritt 4: Ergebnisse auswerten nach 24-48 Stunden
Eine detaillierte Checkliste finden Sie ebenfalls in der Security Awareness Toolbox.
Häufige Fallstricke vermeiden
❌ Zu komplexe erste Tests
❌ Fehlende Nachbereitung
❌ Bestrafung statt Belohnung
❌ Unregelmäßige Durchführung
❌ Mangelnde Dokumentation
Ihr nächster Schritt
Haben Sie bereits Phishing-Simulationen in Ihrem Unternehmen durchgeführt? Falls nicht: Starten Sie mit einem einfachen Test und dokumentieren Sie die Ergebnisse. In unserer Security Awareness Toolbox finden Sie eine komplette Checkliste für Phishing-Simulationen mit Schritt-für-Schritt-Anleitung.
Bedrohungsradar: Aktuelle Sicherheitsvorfälle aus der Praxis
Ein deutscher Lebensmittelproduzent wurde bereits im März von einer Ransomware-Bande mit gestohlenen Daten erpresst. Das Unternehmen gehört zu den größten Fleischproduzenten in Deutschland. Die Ransomware-Gruppe Safepay hat das Unternehmen nun auf ihre Opferliste im Darknet gesetzt. Die Hacker behaupten, zwei Terabyte Daten gestohlen zu haben. Um was für Informationen es sich dabei genau handelt, ist jedoch unklar. Das Unternehmen hat den Angriff bestätigt, beteuert allerdings, dass keine geschäftskritische Informationen abgeflossen sind und der Geschäftsbetrieb aufrecht erhalten werden konnte.
Laut Medienberichten haben Cyberkriminelle kürzlich die IT-Systeme der Marketing-Gesellschaft einer deutschen Großstadt verschlüsselt und einen Erpresserbrief hinterlassen. Ob dabei auch Daten gestohlen wurden, ist nicht bekannt. Da das Unternehmen unter anderem Feste und Events für die Stadt organisiert und Tickets verkauft, sind auch Kundendaten im System hinterlegt.
Ein Intralogistik-Dienstleister wurde ebenfalls Ziel einer Cyberattacke. Der Betrieb war deshalb eingeschränkt. Die Angreifer verschafften sich Zugriff auf die Server, was zu einem kompletten Ausfall der IT-Systeme führte