Login

Wie führe ich Phishing-Simulationen richtig durch?

Phishing-Simulationen können ein mächtiges Werkzeug für Security Awareness sein - oder sie können nach hinten losgehen und Mitarbeiter dazu bringen, Sicherheitsmaßnahmen zu umgehen. Der Unterschied liegt in der richtigen Durchführung. Erfahren Sie aus realen Beispielen, warum manche Phishing-Tests scheitern und wie Sie es besser machen.

🕒 5 Min. Lesezeit

Inhaltsverzeichnis

🔍 Kurze Antwort:

Erfolgreiche Phishing-Simulationen setzen auf positive Verstärkung statt Bloßstellung. Kündigen Sie Tests transparent an, bieten Sie sofortiges Lernen bei Klicks und schaffen Sie eine „Fehler-erlaubt“-Kultur. So reduzieren Sie die Klickrate um 70% ohne Mitarbeiter-Demotivation.

Phishing-Simulationen können ein mächtiges Werkzeug für Security Awareness sein – oder sie können nach hinten losgehen und Mitarbeiter dazu bringen, Sicherheitsmaßnahmen zu umgehen. Der Unterschied liegt in der richtigen Durchführung. Erfahren Sie aus realen Beispielen, warum manche Phishing-Tests scheitern und wie Sie es besser machen.

Warum haben Mitarbeiter Angst vor Phishing-Simulationen?

Das „Ex“-Phänomen: Überraschungstests und ihre Folgen

Wenn Sie wie ich in Bayern Abitur gemacht haben, ist Ihnen vielleicht die Abkürzung „Ex“ bekannt. Sie steht für „Extemporale“, auf hochdeutsch „Stegreifaufgabe“ und war während meiner gesamten Schulzeit der Schrecken aller (schlecht vorbereiteten) Schüler. Denn eine „Ex“ ist ein unangekündigter Kurztest über den Stoff der letzten beiden Schulstunden, der in die Bewertung des Gesamtschuljahrs einging.

Die einzige Möglichkeit, wenigstens ein bisschen Vorlaufzeit – zumindest zum Erstellen des dringend benötigten Spickzettels – zu erhalten, bestand in unserer Schule darin, einen Mitschüler nach der großen Pause in der Nähe des damals einzigen Kopierers am Lehrerzimmer zu platzieren. Denn dort vervielfältigten die Lehrer in der Regel die „Ex“-Testbögen für die nachfolgenden Schulstunden. Stand also ein Lehrer/eine Lehrerin nach der Pause am Kopierer, den man nach der Pause noch hatte, so war zumindest die Wahrscheinlichkeit gegeben, dass eine „Ex“ drohte.

Ich muss gestehen, dass dieses Konzept nur selten erfolgreich war, dennoch gab es uns Schülern die Hoffnung, wenigstens irgendetwas gegen die drohende Pleite tun zu können.

Der Flurfunk-Effekt bei Phishing-Simulationen

Weshalb ich Ihnen diese Anekdote erzähle? Vor einiger Zeit unterhielt ich mich, mit einem IT-Verantwortlichen eines kleinen Maschinenbauunternehmens, der mir erzählte, dass er im letzten Jahr „Phishing-Simulationen“ als Security Awareness-Maßnahme eingeführt hätte, dies aber nach einigen Simulationen wieder eingestellt hätte. Denn irgendwie hatte der „Flurfunk“ im Unternehmen immer dann angeschlagen, wenn eine neue Simulation anstand. Es wurden wohl sogar private Messenger-Dienste genutzt, um die Information weiterzugeben. Ergebnis: Niemand fiel mehr auf die (simulierte) Phishing-Attacke rein. Lerneffekt gleich null!

Es liegt wohl in der Natur des Menschen, alles zu tun, um nicht als derjenige aufzufallen, der „Mist gebaut“ hat. Ich habe ja bereits an anderer Stelle von unserem eigenen Cyberangriff berichtet [Zur detaillierten Story]. Die Kollegin, die damals auf den Phishing-Link geklickt hat, arbeitet noch heute für uns, möchte aber bis heute nicht mehr an diesen Vorfall erinnert werden. Allerdings gehört sie zu den eifrigsten Verfechtern aller Security Awareness-Maßnahmen, die wir seitdem eingeführt haben.

Was mache ich wenn jemand auf den Phishing-Link klickt?

Aus Fehlern lernen: Ein reales Beispiel

Es liegt wohl in der Natur des Menschen, alles zu tun, um nicht als derjenige aufzufallen, der „Mist gebaut“ hat. Ich habe ja bereits an anderer Stelle von unserem eigenen Cyberangriff berichtet [Zur detaillierten Story]. Die Kollegin, die damals auf den Phishing-Link geklickt hat, arbeitet noch heute für uns, möchte aber bis heute nicht mehr an diesen Vorfall erinnert werden. Allerdings gehört sie zu den eifrigsten Verfechtern aller Security Awareness-Maßnahmen, die wir seitdem eingeführt haben.

Die richtige Reaktion auf Klicks

Das Beispiel zeigt: Scham und Schuldzuweisungen helfen niemandem. Stattdessen sollten Sie:

Sofort nach einem Klick:
✅ „Das war ein Sicherheitstraining – kein echter Angriff“
✅ „Danke für Ihre Teilnahme am Security Awareness Programm“
✅ „Lernen Sie in 2 Minuten, woran Sie die E-Mail hätten erkennen können“

Vermeiden Sie:
❌ „Sie sind auf Phishing hereingefallen!“
❌ Bloßstellung vor anderen Kollegen
❌ Negative Konsequenzen oder Dokumentation

Wie unsere Kollegin zeigt: Menschen, die einmal einen Fehler gemacht haben, können zu den besten Security-Botschaftern werden – wenn sie sich nicht schämen müssen.

Wie verhindere ich den Flurfunk bei Phishing-Tests?

Das Führungskräfte-Problem

Die größte Herausforderung liegt wohl in der Tat darin, dem „Risikofaktor Mensch“ klar zu machen, dass es nichts nützt, wenn er Maßnahmen torpediert, die genau diesen „Risikofaktor Mensch“ adressieren. Dies gilt übrigens nicht nur für die Kolleginnen und Kollegen in den Fachabteilungen. Auf einer Veranstaltung erzählte mir ein IT-Leiter in einem mittelständischen Großhandelsunternehmen, dass die Geschäftsleitung zwar positiv auf die Idee von Phishing-Simulationen reagiert hat, sich es aber verbittet, selbst in den entsprechenden E-Mail-Verteiler aufgenommen zu werden, da dies ja der eigenen Reputation schadet. Stellen Sie sich nur vor, der Chef gehört zu denjenigen, die auf so eine Phishing-Simulation reinfallen …

Strategien gegen den Flurfunk-Effekt

5 bewährte Anti-Flurfunk-Strategien:

1. Top-Down-Kommunikation:

  • Geschäftsführung nimmt selbst an Tests teil
  • „Wir lernen alle gemeinsam“ statt „Wir testen euch“

2. Transparente Ankündigung:

  • „In den nächsten 3 Monaten führen wir Sicherheitstrainings durch“
  • Keine Angabe konkreter Termine

3. Positive Verstärkung:

  • Belohnung für gemeldete verdächtige E-Mails
  • „Security Champions“ Programme

4. Anonymisierte Auswertung:

  • Keine individuellen Ergebnisse
  • Nur Team- oder Abteilungsstatistiken

5. Lernfokus statt Testfokus:

  • „Sicherheitstraining“ statt „Phishing-Test“
  • Sofortiges Feedback mit Lerninhalten

Wie führe ich Phishing-Simulationen praktisch durch?

Einstieg mit einfachen Tools

Für eine professionelle Phishing-Simulation benötigen Sie in der Regel eine professionelle Phishing-Lösung oder die Unterstützung eines externen Dienstleisters. In der Security Awareness Toolbox finden Sie dazu eine entsprechende Checkliste zur Vorbereitung, Durchführung und Auswertung von Phishing Simulationen.

Der Einstieg ist aber auch mit handelsüblichen E-Mail-Newsletter-Tools wie z.B. CleverReach, Brevo, etc. möglich:

Schritt 1: Erstellen Sie eine Phishing Test-E-Mail (z.B. „Ihr Office 365-Passwort läuft ab“)
Schritt 2: Integrieren Sie Tracking-Links (Klicks auf den entsprechenden Link)
Schritt 3: Erstellen Sie eine Landing Page mit dem Hinweis, dass es sich lediglich um einen Test handelte und wie die Phishing E-Mail zu erkennen gewesen wäre (auch dazu können Sie gerne auf die Informationen aus der Security Awareness Toolbox zurückgreifen)
Schritt 4: Werten Sie die Ergebnisse (Öffnungsrate/Klickrate) aus (nach 24-48 Stunden)

Beispiele aus der Praxis

In der Security Awareness Toolbox haben wir für Sie eine Auswahl von Beispielen aktueller Phishing-E-Mail-Attacken zusammengestellt. Es handelt sich dabei um reale Beispiele

  • kategorisiert nach Schwierigkeitsgrad und Zielgruppe
  • mit Erkennungsmerkmalen und
  • konkreten Handlungsempfehlungen für deren Abwehr

Sie können diese Beispiele einfach aus der Security Awareness Toolbox herunterladen, an die entsprechenden Kolleginnen und Kollegen weiterleiten und dann beim nächsten Team oder Abteilungsmeeting besprechen.

Und wenn Sie sich dann dazu entscheiden, selbst eine Phishing Simulation durchzuführen, eignen sich die Beispiele hervorragend als Vorlage für eine Simulation.

🎯 Häufige Fragen zu Phishing-Simulationen

No accordions found

Wie oft sollte ich Phishing-Simulationen durchführen?

Optimal sind monatliche Phishing-Tests mit 10-15% der Belegschaft. Zu häufige Tests (wöchentlich) führen zu „Simulator-Müdigkeit“, zu seltene (jährlich) haben keinen Lerneffekt. Kombinieren Sie regelmäßige automatisierte Tests mit spontanen manuellen Simulationen für optimale Ergebnisse. Wichtig: Variieren Sie die Schwierigkeitsgrade über das Jahr.

Sind Phishing-Simulationen ohne Vorankündigung erlaubt?

Ja, aber mit wichtigen Einschränkungen. Eine allgemeine Information über geplante Sicherheitstrainings ist ausreichend – der konkrete Zeitpunkt darf überraschend sein. Essentiell: Betriebsrat informieren, keine individuellen Konsequenzen androhen, sofortiges Lernangebot nach Klicks bereitstellen. Eine Betriebsvereinbarung schafft rechtliche Sicherheit.

Was mache ich, wenn Mitarbeiter sich weigern, an Phishing-Tests teilzunehmen?

Klären Sie die Bedenken durch persönliche Gespräche. Häufige Ängste: Bloßstellung, negative Konsequenzen, Überwachungsgefühl. Betonen Sie den Lerncharakter, garantieren Sie Anonymität und zeigen Sie Success Stories. Oft hilft es, wenn die Geschäftsführung mit gutem Beispiel vorangeht. Bei anhaltender Verweigerung: Arbeitsrechtliche Beratung einholen.

Wie erkläre ich dem Betriebsrat Phishing-Simulationen?

Fokus auf Mitarbeiterschutz statt Überwachung: Argumentieren Sie mit Schutz vor echten Angriffen, Lernmöglichkeiten ohne Risiko, anonymisierten Auswertungen und keiner Personalakte-Dokumentation. Bieten Sie eine 3-monatige Testphase mit gemeinsamer Evaluation an. Transparenz bei Methodik und Auswertung schafft Vertrauen.

Welche Phishing-E-Mails eignen sich für Simulationen?

Beginnen Sie mit offensichtlichen Phishing-Mails (schlechte Grammatik, verdächtige Absender), steigern Sie graduell den Schwierigkeitsgrad. Verwenden Sie branchenspezifische Beispiele und aktuelle Bedrohungen wie bestimmte Krankheits- oder Energiekrise-Themen. Wichtig: Keine echten Unternehmensdaten, keine Kollegen-Namen, keine sensiblen Themen wie Krankheit oder Kündigung.

Wie messe ich den Erfolg von Phishing-Simulationen?

Wichtige KPIs sind: Klickrate (Ziel: unter 10%), Melderate verdächtiger E-Mails (Ziel: über 80%), Wiederholungsklicks (sollten sinken), Zeit bis zur Meldung (sollte sinken). Zusätzlich: Mitarbeiterfeedback durch anonyme Umfragen, Anzahl echter Phishing-Meldungen, Security-Incident-Reduktion. Messen Sie Trends über 6-12 Monate, nicht Einzelergebnisse.

Was kostet eine professionelle Phishing-Simulation?

Die Kosten variieren stark: Kostenlose Tools (GoPhish) für technisch versierte Teams, kommerzielle Lösungen 5-15€ pro Mitarbeiter/Jahr, Enterprise-Lösungen 15-50€ pro Mitarbeiter/Jahr. Zusätzlich: Interne Arbeitszeit für Setup und Auswertung (ca. 2-4 Stunden/Monat). ROI ist bereits bei einem einzigen verhinderten Angriff erreicht – durchschnittlicher Schaden liegt bei 85.000€.

Kann ich Phishing-Simulationen intern ohne externe Tools durchführen?

Ja, mit E-Mail-Marketing-Tools wie CleverReach oder Brevo. Voraussetzungen: Tracking-Links, automatische Landing Pages, Reporting-Funktionen. Vorteil: Volle Kontrolle, niedrige laufende Kosten. Nachteil: Hoher Setup-Aufwand, keine speziellen Security-Features. Die Security Awareness Toolbox enthält eine detaillierte Checkliste für Newsletter-Tool-basierte Simulationen.

🎯 Guided Tour: Wagen Sie einen Blick hinter die Kulissen

Entdecken Sie, wie die Security Awareness Toolbox Ihnen dabei hilft, Phishing-Simulationen richtig durchzuführen – ohne „Ex“-Trauma, ohne Flurfunk, mit nachhaltigem Lerneffekt.

Zur kostenlosen Guided Tour

Sie möchten die Security Awareness Toolbox gerne live kennen lernen?

Kein Problem! Gerne stellen wir Ihnen die Security Awareness Toolbox in einer unverbindlichen 30-minütigen Online-Präsentation näher vor.
Termin vereinbaren

📋 Nächste Schritte

Security Quick Check starten
Kostenloses Beratungsgespräch
Newsletter abonnieren

📚 Ähnliche Artikel

Ohne Bewusstsein keine Sicherheit

Alles was Sie für ein nachhaltiges Security Awareness-Programm im Unternehmen benötigen
Demo anfordern
Bild von Heike Kröner

Heike Kröner

Heike Kröner ist für das Content Marketing für die Security Awareness Toolbox verantwortlich

📚 Weitere Beiträge zum Thema: