Zurück zum Blog

Auswahl eines Anbieters für Phishing-Tests: Ein 30-Tage-Pilotplan für sichere Phishing-Simulationen mit geringem Aufwand

Ein praktischer, auf Sicherheit ausgerichteter Leitfaden zur Auswahl eines Anbieters für Phishing-Tests, der einfach zu testen, gegenüber Stakeholdern vertretbar und auf wiederholbare Sicherheitsverbesserungen ausgelegt ist.

Von Autophish Team|Veröffentlicht am 5/20/2026
Cover image for Auswahl eines Anbieters für Phishing-Tests: Ein 30-Tage-Pilotplan für sichere Phishing-Simulationen mit geringem Aufwand

Die Auswahl eines Phishing-Testanbieters sollte sich nicht wie der Kauf eines „Phishing-Tools“ anfühlen.

Für die meisten Unternehmen ist das Schwierige nicht das Verfassen einer Simulations-E-Mail – sondern alles drum herum:

  • alle Beteiligten auf einen Nenner bringen (Sicherheit, IT, Personal, Betriebsrat, Rechtsabteilung)
  • sicherstellen, dass Simulationen von Haus aus sicher sind
  • auditfreundliche Nachweise erstellen (ohne die Compliance überzubewerten)
  • Kampagnen mit geringem IT-Aufwand durchführen (damit das Programm Personalfluktuation übersteht)

Dieser Artikel bietet dir einen praktischen 30-Tage-Pilotplan und eine Bewertungscheckliste, mit der du einen Anbieter auswählen kannst, der die Sicherheitsergebnisse verbessert und das Vertrauen der Mitarbeiter bewahrt.

Sicherheitshinweis: In diesem Beitrag geht es um defensive Phishing-Simulationen und die Messung des Sicherheitsbewusstseins. Er enthält keine Anleitungen für echtes Phishing, den Diebstahl von Zugangsdaten, die Übermittlung von Schadcode oder Umgehungstechniken.

Warum „einfaches Onboarding“ eine Sicherheitsanforderung ist (und kein „Nice-to-have“)

Wenn das Onboarding mühsam ist, nehmen Teams Abkürzungen:

  • Sie verwenden immer wieder dieselben Szenarien.
  • Sie führen keine regelmäßigen Kampagnen mehr durch.
  • Sie speichern die Ergebnisse in Tabellenkalkulationen.
  • Sie überspringen Genehmigungen und die Dokumentation.

So verwandeln sich Sensibilisierungsprogramme still und leise in ein „Wir haben mal einen Test gemacht“ statt in eine echte Kontrollmaßnahme.

Ein guter Anbieter reduziert den operativen Aufwand und sorgt gleichzeitig für starke Sicherheitsvorkehrungen – so kannst du konsistente Simulationen durchführen, ohne selbst zum internen E-Mail-Ops-Team zu werden.

Was das Onboarding tatsächlich beinhaltet (die echten Arbeitsschritte)

Wenn Anbieter sagen „die Einrichtung dauert 15 Minuten“, frag nach: Einrichtung von was genau?

In realen Umgebungen umfasst das Onboarding in der Regel:

  1. Abstimmung mit den Stakeholdern

    • Regeln für zulässige Szenarien
    • Datenschutzrichtlinien (individuelle vs. anonymisierte Berichterstattung)
    • Interner Kommunikationsplan und Eskalationspfad

  2. Identität + Nutzerlebenszyklus

    • Wie Nutzer importiert und auf dem neuesten Stand gehalten werden
    • Wie Onboarding/Offboarding gehandhabt wird
    • Berechtigungsmodell (wer darf Kampagnen starten, wer darf was einsehen)

  3. E-Mail-Zustellung und Domain-Hygiene

    • Wie der Anbieter Test-E-Mails versendet
    • Wie Branding/Domains gehandhabt werden (und wem sie gehören)
    • Wie du Verwechslungen mit echten Vorfällen minimierst

  4. Berichtsausgaben

    • Welche Kennzahlen du standardmäßig erhältst
    • Ob Exporte einfach und konsistent sind
    • Ob du „Beweispakete“ für interne Überprüfungen erstellen kannst

  5. Sicherheitsvorkehrungen

    • Verhindern der Erfassung von Anmeldedaten
    • Verhindern von „Fangfallen“-Workflows
    • Klarer Schulungsmoment nach jeder Interaktion

Wenn ein Anbieter dir diese Punkte nicht klar erläutern kann, wird das Programm anfällig sein.

Der 30-Tage-Pilotplan (strukturiert, stressfrei, auditfreundlich)

Nutze diesen Plan, um jeden Anbieter von Phishing-Simulationen zu testen – ohne übertrieben auf „Realismus“ zu achten.

Tage 1–3: Leitsätze und Erfolgskriterien definieren

Bevor jemand auf „Start“ klickt, erstelle zwei Listen.

A) Leitsätze (unverhandelbar)

Beispiele:

  • Keine Passwort-Erfassung (niemals)
  • Keine MFA-Code-Anfragen
  • Keine Themen mit Dringlichkeit in Bezug auf Gehaltsabrechnung/Bankgeschäfte
  • Keine Imitation interner Führungskräfte ohne ausdrückliche Genehmigung
  • Keine strafende Sprache; das Ziel ist Lernen und Messung

B) Erfolgskriterien (wie „gut“ aussieht)

Wähle 3–5 Ergebnisse aus, die du bewerten wirst. Zum Beispiel:

  • Zeit bis zum Start der ersten Kampagne (einschließlich Genehmigungen)
  • Möglichkeit zur Segmentierung nach Abteilung/Rolle
  • Qualität der Berichterstattung (Trends, Exporte, Prüfpfad)
  • Benutzererfahrung während der Schulung
  • Datenschutzkontrollen (Anonymisierung, Aufbewahrung, Zugriffskontrolle)

Wenn du eine nützliche Basis für Sensibilisierungs- und Schulungsprogramme als Kontrollgruppe suchst, schau dir das hier an: NIST SP 800-50.

Tage 4–10: Einrichtung des Pilotprojekts (Achte auf einfache Bedienbarkeit)

Konzentriere dich auf zwei Dinge: Wiederholbarkeit und Sicherheit.

Checkliste:

  • Kläre, wer Kampagnen erstellen, genehmigen und starten darf
  • Importiere eine kleine Pilotgruppe (z. B. IT + Sicherheit + eine Geschäftseinheit)
  • Konfiguriere deinen bevorzugten Datenschutzmodus (individuelle oder anonymisierte Berichterstattung)
  • Stelle sicher, dass die Schulungsseite/-ablauf klar beschriftet und lehrreich ist
  • Überprüfe die Berichtsausgaben und Zugriffskontrollen

Wenn du in einer strengeren Datenschutzumgebung arbeitest, baue das Programm von Anfang an auf „Privacy by Design“ auf. AutoPhish unterstützt datenschutzorientierte Konfigurationen (einschließlich anonymisierter Berichtsmodi): Anonymisierung.

Tage 11–20: Führe zwei sichere Basissimulationen durch

Führe zwei Simulationen durch, nicht nur eine. Eine Kampagne ist eine Momentaufnahme; zwei liefern dir einen Trend.

Leitfaden:

  • Halte die Inhalte harmlos und klar innerhalb deiner Sicherheitsgrenzen
  • Miss mehrere Signale (nicht nur die „Klickrate“)
  • Stelle sicher, dass das Post-Click-Erlebnis das richtige Verhalten vermittelt

Metriken, die während des Pilotprojekts zu verfolgen sind:

  • Klick-/Interaktionsrate
  • Melderate (falls dein Workflow das Melden einschließt)
  • Zeit bis zur Meldung (falls verfügbar)
  • Wiederholungstäter vs. allgemeine Anfälligkeit (aggregiert)
  • Operative Arbeitsbelastung (Support-Tickets, Eskalationen)

Tage 21–30: Beweise, dass das Programm nachhaltig ist

Der beste Anbieter ist nicht der, der eine einmalige Demo gewinnt.

Es ist derjenige, den du monatlich/vierteljährlich ohne großen Aufwand betreiben kannst.

Überprüfe in den letzten 10 Tagen:

  • Kannst du Kampagnen einfach planen?
  • Kannst du rollenbasiertes Targeting sicher durchführen?
  • Kannst du einheitliche Berichte für die Geschäftsleitung und Auditoren exportieren?
  • Können neue Administratoren schnell eingearbeitet werden?

Wenn dein Pilotprojekt erfolgreich ist, sind rollenbasierte Szenarien oft der nächste Schritt – achte nur darauf, dass Sicherheitsvorkehrungen und Genehmigungsworkflows weiterhin bestehen bleiben.

Die Bewertungscheckliste: Was du von einem Phishing-Testanbieter verlangen solltest

Nutze diese Kriterien, um Anbieter zu vergleichen, ohne dich von „Realismus“-Theater ablenken zu lassen.

1) Simulationsdesign, das standardmäßig sicher ist

Achte auf explizite Sicherheitsvorkehrungen:

  • Sammeln von Anmeldedaten verbieten (oder in einer Hard-Sandbox durchführen, damit niemals geheime Daten erfasst werden)
  • Klarer Schulungsmoment nach der Interaktion
  • Integrierte Szenario-Sicherheitsvorkehrungen und Überprüfungs-Workflow

Warnsignal: Die Plattform ist eher darauf optimiert, „von echtem Phishing nicht zu unterscheiden“ zu sein, als auf messbares Lernen.

2) Datenschutzkontrollen, die du deinen Mitarbeitern (und Prüfern) erklären kannst

Du brauchst Antworten auf folgende Fragen:

  • Welche personenbezogenen Daten werden gespeichert?
  • Wer kann die individuellen Ergebnisse einsehen?
  • Können Berichte anonymisiert oder aggregiert werden?
  • Welche Optionen gibt es für die Aufbewahrung und Löschung?

Wenn du einen Betriebsrat oder eine ähnliche Arbeitnehmervertretung hast, vergewissere dich, dass der Anbieter ein Programm unterstützt, das wirksam ist, ohne sich wie Überwachung anzufühlen. Ein guter Ausgangspunkt: Datenschutzfreundliches Phishing-Training: Betriebsräte, Einwilligung und DSGVO-Grundlagen.

3) Berichte, die Entscheidungen unterstützen (nicht nur Dashboards)

Frage nach:

  • Trendansichten über einen längeren Zeitraum (nicht nur eine einzelne Kampagne)
  • Segmentierung nach Abteilung/Rolle/Standort
  • Exportformaten, die zu deinem Audit-Prozess passen
  • einem Audit-Trail, der zeigt, wer was wann gestartet hat

Warnsignal: Die Berichterstattung sieht in der Benutzeroberfläche toll aus, lässt sich aber nur schwer exportieren und erklären.

4) Ein Betriebsmodell, das unter normalen IT-Einschränkungen nicht zusammenbricht

„Geringer IT-Aufwand“ bedeutet:

  • minimaler laufender Wartungsaufwand
  • klare Zuständigkeitsgrenzen (Sicherheit vs. IT)
  • vorhersehbare Workflows für Ausnahmen und Genehmigungen

Bitte den Anbieter um einen wöchentlichen Onboarding-Plan und die genauen internen Eingaben, die erforderlich sind.

5) Funktionen für die Programmareife (damit du dem Tool nicht entwächst)

Mit der Zeit wirst du wahrscheinlich Folgendes wollen:

  • Kampagnenautomatisierung / -planung
  • rollenbasierte Szenarien mit Sicherheitsvorkehrungen
  • Unterstützung für mehrere Organisationen, falls du mehrere Tochtergesellschaften betreibst
  • einheitliche Vorlagen + Lokalisierung
  • klare API oder Integrationen für das Reporting (wo angemessen)

Häufige Missverständnisse (und wie du vermeidest, den Pilotversuch zu verschwenden)

„Wir müssen die E-Mail-Sicherheit umgehen, damit es realistisch ist.“

Das musst du nicht.

Bei einem sicheren Sensibilisierungsprogramm geht es um Verhalten und Erkennung, nicht darum, deine eigenen Kontrollen zu umgehen. Wenn deine Zustellung riskante Workarounds erfordert, testest du das Falsche.

Stattdessen:

  • Behandle die Zustellbarkeit als eine legitime Konfigurationsaufgabe mit der IT
  • Halte den Inhalt klar im Rahmen und richtungsgemäß
  • Miss das Meldeverhalten und die Zeit bis zur Meldung, nicht „wie viele Abwehrmechanismen wir ausgetrickst haben“

„Die Klickrate ist der einzige KPI.“

Die Klickrate ist leicht zu messen – und leicht falsch zu interpretieren.

Zuverlässigere Signale sind die Melderate, die Zeit bis zur Meldung und die Frage, ob wiederkehrende Probleme mit der Zeit abnehmen.

„Wir können nach einer Kampagne entscheiden.“

Eine einzige Kampagne sagt fast nichts über die Nachhaltigkeit aus.

Ein Anbieter sollte beweisen, dass er ein wiederholbares Programm unterstützen kann, nicht nur einen einzigen spektakulären Durchlauf.

FAQ

Wie oft sollten wir Phishing-Simulationen durchführen?

Die meisten Teams beginnen mit monatlichen oder vierteljährlichen Kampagnen und passen diese je nach Ergebnissen und operativer Kapazität an. Ein guter Anbieter sollte es einfach machen, den Rhythmus beizubehalten, ohne dass es zu einem Projekt wird.

Sollten wir den Anbieter gegenüber den Mitarbeitern nennen?

Viele Unternehmen sind transparent, was die Schulungsplattform und die Regeln des Programms angeht (was gemessen wird, wer was sehen kann). Transparenz fördert in der Regel das Vertrauen und die langfristige Teilnahme.

Kann ein Anbieter von Phishing-Tests dafür sorgen, dass wir die Vorschriften einhalten?

Kein Tool „sorgt dafür, dass ihr die Vorschriften einhaltet“. Ein Anbieter kann euch dabei helfen, Kontrollmaßnahmen (Schulungen, Messungen, Governance) umzusetzen und nachzuweisen. Eure Richtlinien, Aufzeichnungen und Abläufe sind das, woran ihr gemessen werdet.

Brauchen wir individuelle Berichte, um einen Nutzen zu erzielen?

Nicht immer. Viele Programme erzielen mit aggregierten Berichten starke Ergebnisse, besonders in der Anfangsphase oder in datenschutzsensiblen Umgebungen. Der Schlüssel liegt in einer konsistenten Messung über einen längeren Zeitraum und gezielten Verbesserungen.

Was ist das größte Warnsignal bei der Bewertung von Anbietern?

Ein Anbieter, der Folgendes nicht klar erklären kann:

  • seine Sicherheitsvorkehrungen
  • sein Modell für den Umgang mit und die Aufbewahrung von Daten
  • wie die Berichterstattung Audits und Entscheidungen der Führungsebene unterstützt

Wenn diese Antworten vage sind, wird das Programm anfällig sein.

Nächster Schritt: Führe einen sicheren Pilotversuch durch

Wenn du eine Phishing-Simulationsplattform suchst, die auf standardmäßig sichere Schulungen, aussagekräftige Berichte und datenschutzfreundlichen Betrieb ausgelegt ist, ist AutoPhish genau das Richtige für Sicherheitsteams, die ein Programm brauchen, hinter dem sie stehen können.

Zurück zu allen Beiträgen

Starte deinen ersten Phishing-Test in 10 Minuten.

Kostenlose Anmeldung — keine Kreditkarte. Probiere Pro 7 Tage gratis, wenn du so weit bist.

Jetzt Simulation startenDemo für ein größeres Team gewünscht? Sprich mit uns →