Zurück zum Blog

Wie man Phishing-Simulationen für ein NIS2-Audit dokumentiert

Eine praktische Beleg-Checkliste für Sicherheitsteams, die wiederkehrende Awareness-Aktivitäten nachweisen müssen, ohne zu viel in das hineinzuinterpretieren, was Phishing-Simulationen tatsächlich belegen.

Von Autophish Team|Veröffentlicht am 7/19/2026
Cover image for Wie man Phishing-Simulationen für ein NIS2-Audit dokumentiert

Wenn Sie Phishing-Simulationen für ein NIS2-Audit dokumentieren müssen, geht es nicht darum, nachzuweisen, dass eine einzelne Kampagne die Organisation konform gemacht hat. Das sinnvolle Ziel ist enger gefasst: zu zeigen, dass Security-Awareness-Maßnahmen geplant, kontrolliert, wiederholt, überprüft und im Laufe der Zeit verbessert werden.

Phishing-Simulationen können diese Nachweiskette unterstützen, weil sie eine sichtbare Spur von Schulungsumfang, Mitarbeiter-Feedback, Meldeverhalten, Folgemaßnahmen und Management-Review erzeugen. Sie sollten nicht als vollständige NIS2-Kontrolle für sich allein dargestellt werden. Die NIS2-Konformität hängt vom breiteren Rahmen aus Governance, Risikomanagement, Incident Handling, Richtlinien, technischen Kontrollen, Lieferantenaufsicht und Verantwortlichkeitsmodell rund um das Programm ab.

Dieser Leitfaden ist ausschließlich defensiv. Er enthält keine Phishing-Vorlagen, Zustellungstaktiken, Schritte zum Erfassen von Anmeldedaten, Umgehungstipps oder Anweisungen für echte Angriffe.

Beginnen Sie mit der Prüfungsfrage

Bevor Sie Berichte exportieren, legen Sie die Frage fest, die Ihre Nachweise beantworten sollen. Für die meisten Security- und Compliance-Teams lautet die Frage nicht „Wer hat geklickt?“, sondern eher:

  • Hat die Organisation Awareness-Maßnahmen in einem definierten Rhythmus durchgeführt?
  • War die Maßnahme genehmigt und an Richtlinien ausgerichtet?
  • Wurden Mitarbeitende in einem sinnvollen Umfang abgedeckt?
  • Wurden riskante Verhaltensweisen mit Feedback oder Schulung aufgegriffen?
  • Wurden Berichte und Ergebnisse von verantwortlichen Stellen geprüft?
  • Hat sich das Programm auf Basis der Ergebnisse verbessert oder verändert?
  • Wurden Mitarbeiterdaten verhältnismäßig behandelt?

Diese Einordnung ist wichtig, weil eine Klickrate als alleiniger Nachweis schwach ist. Ein Phishing-Simulationsbericht wird deutlich nützlicher, wenn er in einem dokumentierten Programm eingebettet ist: Umfang, Genehmigungen, sichere Szenariogestaltung, Datenschutzeinstellungen, Nachschulungen, Prüfvermerke und Trenddaten.

AutoPhishs bestehender Leitfaden zu NIS2-Security-Awareness und Phishing-Simulationen erläutert, wo Simulationen in die breitere NIS2-Diskussion passen. Dieser Artikel konzentriert sich auf das Evidenzpaket.

Was sich durch NIS2 bei Awareness-Nachweisen tatsächlich ändert

Die NIS2-Richtlinie erhöht die Erwartungen an Cybersecurity-Risikomanagement, Governance, Incident Handling und Verantwortlichkeit für erfasste Einrichtungen. Sie schreibt kein einheitliches Phishing-Simulationsformat vor.

Das bedeutet: Security-Teams sollten Aussagen wie „Dieser Phishing-Test macht uns NIS2-konform“ vermeiden. Eine sicherere Formulierung lautet:

„Unser Phishing-Simulationsprogramm unterstützt den Nachweis von Security Awareness und Risikomanagement, indem es wiederkehrende Aktivitäten, Mitarbeiter-Feedback, Meldeverhalten und Management-Reviews dokumentiert.“

Diese Aussage ist leichter zu vertreten. Sie verbindet Simulationen mit Governance, ohne so zu tun, als ersetze eine Trainingsplattform Rechtsprüfung, Risikobewertung, Incident Response, Zugriffskontrollen oder technische Sicherheitsmaßnahmen.

Zur Auditvorbereitung sollte Ihre Dokumentation eher Reife als Showeffekt belegen. Eine einzelne spektakuläre Kampagne kann ein Dashboard beeindrucken. Ein stabiles Programm mit Genehmigungen, Abdeckungsdaten, Nachbereitung und Prüfnotizen ist für Compliance-Stakeholder deutlich wertvoller.

Stellen Sie ein Evidenzpaket zusammen, bevor der Prüfer danach fragt

Erstellen Sie für jeden Berichtszeitraum ein wiederverwendbares Evidenzpaket. Halten Sie es nüchtern, konsistent und leicht aktualisierbar.

Sinnvolle Bestandteile sind:

  • Name und Rolle des Verantwortlichen und Prüfers für das Awareness-Programm
  • Genehmigter Kampagnenkalender oder Taktung
  • Verweis auf Richtlinie oder Verfahren für Phishing-Simulationen
  • Umfang, Daten und Zielgruppen der Kampagne
  • Szenariokategorie und Sicherheitsprüfung
  • Mitarbeiterkommunikation oder Hinweis, sofern zutreffend
  • Datenschutz- und Aufbewahrungseinstellungen
  • Zustellungszusammenfassung und bekannte Zustellungs-Einschränkungen
  • Melderate, Zeit bis zur Meldung und Abschluss der Nachbereitung
  • Nach der riskanten Interaktion angezeigte Schulungsinhalte
  • Aggregierte Trenddaten über mehrere Kampagnen
  • Ausnahmen, Ausschlüsse und Maßnahmenhinweise
  • Notizen und Entscheidungen aus dem Management-Review

Das Evidenzpaket sollte verständlich sein, ohne einem Prüfer Zugriff auf rohe Ereignisprotokolle auf Mitarbeiterebene zu geben. Aggregierte Berichte reichen für Führungs- und Compliance-Prüfungen oft aus. Details auf Einzelebene sollten auf Personen mit klarem operativem Bedarf beschränkt bleiben.

Halten Sie die Szenariodokumentation sicher und auf hohem Abstraktionsniveau

Audit-Nachweise sollten das Risikothema und das Kontrollziel beschreiben, nicht wiederverwendbare Angreifer-Playbooks liefern.

Eine gute Szenariodokumentation könnte lauten:

  • „Awareness-Szenario mit Rechnungsbezug für Business-E-Mail-Compromise bei Finanzanwendern“
  • „Awareness-Szenario mit QR-Code-Bezug für mobile Arbeitsabläufe“
  • „Awareness-Szenario mit Dokumentenfreigabe-Bezug für Risiken in Kollaborationstools“
  • „Awareness-Szenario zum Passwort-Reset ohne echte Erfassung von Anmeldedaten“

Vermeiden Sie es, unnötige Schritt-für-Schritt-Details in allgemeinen Compliance-Ordnern zu speichern. Dokumentieren Sie Köder, Domains, Landing-Page-Mechanik oder Nachrichtentexte nicht ausführlicher, als Ihr interner Sicherheitsprozess es verlangt. Es geht darum nachzuweisen, dass das Szenario genehmigt, sicher, relevant und überprüft wurde.

Wenn eine Simulation Landing Pages umfasst, dokumentieren Sie die Schutzmaßnahmen klar. Ein sichereres Programm hält kontrollierte Trainingsereignisse und Feedback-Abschlüsse fest, statt echte Passwörter, MFA-Codes, Tokens, Zahlungsdaten oder sensible personenbezogene Informationen zu erfassen. Weitere Details finden Sie in AutoPhishs Leitfaden zu sicheren Landing Pages für Phishing-Simulationen.

Verwenden Sie Kennzahlen, die Prüfer und Führungskräfte verstehen können

Die Klickrate ist bekannt, kann aber irreführend sein. Sie sollte in einem NIS2-Evidenzpaket nicht die einzige Kennzahl sein.

Aussagekräftiger sind unter anderem:

  • Nutzerabdeckung über den Berichtszeitraum
  • Melderate für Simulationsnachrichten
  • Zeit bis zur Meldung
  • Verhalten „Melden vor dem Klicken“
  • Abschlussquote der Nachschulung
  • Wiederholungsrisiko-Trends über die Zeit
  • Zustellqualität und Fehlalarme
  • Verbesserungsmaßnahmen nach der Prüfung

Die besten Kennzahlen zeigen einen Lernkreislauf. Eine Kampagne fand statt. Mitarbeitende erhielten Feedback. Meldungen wurden geprüft. Das Team änderte etwas. Spätere Ergebnisse zeigten, ob sich das Verhalten verbessert hat.

AutoPhishs Leitfaden zu Reporting-Funktionen für Phishing-Simulationen ist ein nützlicher Maßstab, um operative Kennzahlen von reinen Schaukeln zu trennen.

Dokumentieren Sie Governance, nicht nur Ergebnisse

Bei NIS2-bezogenen Gesprächen ist der Governance-Nachweis oft ebenso wichtig wie das Kampagnenergebnis.

Dokumentieren Sie:

  • wer Simulationen genehmigen darf
  • wer Kampagnen starten darf
  • wer individuelle Ergebnisse einsehen kann
  • wie Mitarbeiterdaten aufbewahrt oder gelöscht werden
  • welche Szenario-Themen verboten sind
  • wie Betriebsräte, Arbeitnehmervertreter, HR oder Datenschutz-Stakeholder gegebenenfalls einbezogen werden
  • wie Ergebnisse an das Management eskaliert werden
  • wie Nachschulungen zugewiesen werden

Das schützt das Programm vor zwei typischen Problemen. Erstens können Simulationen zu ad-hoc-Aktionen werden, die von einem einzigen engagierten Admin abhängen. Zweitens kann Awareness-Training zu datenschutzsensibler Überwachung werden, wenn Zugriffsrechte und Aufbewahrungsregeln unklar sind.

Wenn Ihre Organisation Anforderungen zur Mitarbeitervertretung oder Datenschutzprüfung hat, dokumentieren Sie diese frühzeitig. AutoPhishs Leitfaden zu datenschutzfreundlichem Phishing-Training behandelt die Seite des Mitarbeitervertrauens in dieser Debatte.

Checkliste für Nachweise je Kampagne

Nutzen Sie diese Checkliste, um die Dokumentation der Kampagnen konsistent zu halten:

  1. Kampagnenname und interne ID
  2. Geschäftlicher Anlass oder Risikothema
  3. Genehmigte Zielgruppe
  4. Datumsbereich und Zeitzone
  5. Szenariokategorie, keine angriffstypischen Anweisungen
  6. Bestätigung der Sicherheitsprüfung
  7. Datenschutz- und Aufbewahrungseinstellungen
  8. Verweis auf Mitarbeiterhinweis oder Kommunikation, falls verwendet
  9. Zustellungszusammenfassung
  10. Melde- und Interaktionskennzahlen
  11. Zusammenfassung der Nachschulung oder des Feedbacks
  12. Ausschlüsse und Ausnahmen
  13. Verantwortliche für die Prüfung
  14. Verbesserungsmaßnahmen
  15. Exportdatum und Speicherort

Die Checkliste muss kein schwerfälliger Workflow werden. Sie muss nur so gut wiederholbar sein, dass der nächste Auditzeitraum nicht durch archäologische Spurensuche in alten Tabellen, Chat-Verläufen und Screenshots verbrannt wird.

Was Sie in Audit-Nachweisen vermeiden sollten

Vermeiden Sie Nachweise, die mehr Risiko erzeugen, als sie abbauen.

Häufige Fehler sind:

  • sich nur auf Screenshots ohne Prüfnotizen zu stützen
  • rohe Daten auf Mitarbeiterebene zu breit zu speichern
  • Simulationsdaten ohne Grund unbegrenzt aufzubewahren
  • eine einzelne Kampagne als Beweis für Konformität darzustellen
  • strafende Ranglisten als „Awareness-Nachweis“ zu verwenden
  • genaue Ködermechaniken in gemeinsam genutzten Compliance-Ordnern zu dokumentieren
  • echte Zugangsdaten zu erfassen, damit die Ergebnisse realistischer wirken
  • Zustellprobleme zu ignorieren, die Kennzahlen verfälschen

Prüfer und Führungskräfte brauchen keine dramatische Geschichte. Sie brauchen eine belastbare. Wenn die Nachweise Umfang, Schutzmaßnahmen, Prüfung und Verbesserung zeigen, ist dem Programm leichter zu vertrauen.

Wie AutoPhish hilft

AutoPhish ist für Security-Teams entwickelt, die Phishing-Simulationen wiederholbar, datenschutzbewusst und nachvollziehbar durchführen müssen. Das ist wichtig, wenn Simulationen Teil einer Compliance-Nachweiskette sind.

Mit dem richtigen Programmdesign kann AutoPhish Teams dabei helfen, Folgendes zu dokumentieren:

  • wiederkehrende Phishing-Simulationsaktivitäten
  • sichereres Szenario-Handling
  • Verhalten beim Melden durch Mitarbeitende
  • Abschluss der Nachschulung
  • auswertbare Berichte für das Management
  • datenschutzbewusste Ergebnisbehandlung
  • Export von Nachweisen für Prüfzwecke

Die Plattform ersetzt keine Rechtsberatung und kein vollständiges NIS2-Readiness-Programm. Sie hilft Security-Teams jedoch dabei, den Awareness-Teil dieses Programms konsistenter umzusetzen und zu dokumentieren.

FAQ

Beweisen Phishing-Simulationen NIS2-Konformität?

Nein. Phishing-Simulationen können Nachweise für Security Awareness, Meldeverhalten und kontinuierliche Verbesserung unterstützen. Sie beweisen NIS2-Konformität für sich allein nicht.

Was sollte ein NIS2-Evidenzpaket für Phishing-Simulationen enthalten?

Fügen Sie Kampagnenumfang, Genehmigung, Datumsbereich, Zielgruppenabdeckung, Szenariokategorie, Sicherheitsprüfung, Datenschutzeinstellungen, Meldekennzahlen, Nachschulung, Prüfnotizen und Verbesserungsmaßnahmen hinzu.

Sollten Prüfer individuelle Ergebnisse von Phishing-Simulationen sehen?

In der Regel nicht standardmäßig. Aggregierte Berichte beantworten die Compliance-Frage oft ausreichend. Daten auf Einzelebene sollten auf Personen mit klarem operativem Bedarf beschränkt und unter definierten Aufbewahrungs- und Zugriffsregeln behandelt werden.

Reicht die Klickrate als Audit-Nachweis aus?

Nein. Die Klickrate ist nur ein Signal. Melderate, Zeit bis zur Meldung, Abschluss der Nachschulung, Abdeckung, Wiederholungsrisiko-Trends und dokumentierte Prüfmaßnahmen sind meist aussagekräftiger.

Wie oft sollte der Nachweis zu Phishing-Simulationen aktualisiert werden?

Aktualisieren Sie das Evidenzpaket nach jeder Kampagne oder in einem festen Berichtszyklus. Entscheidend ist die Konsistenz: Die Organisation sollte zeigen können, dass Awareness-Maßnahmen wiederholt stattfinden und überprüft werden.

Fazit

Der beste Weg, Phishing-Simulationen für ein NIS2-Audit zu dokumentieren, ist der Nachweis eines kontrollierten Awareness-Programms, nicht eines einmaligen Tests. Halten Sie die Evidenz praxisnah: Umfang, Genehmigungen, sichere Szenariogestaltung, Datenschutzkontrollen, Kennzahlen, Nachbereitung und Management-Review.

Wenn Sie Phishing-Simulationen möchten, die einfacher auszuführen, zu prüfen und zu dokumentieren sind, melden Sie sich an.


Starte deinen ersten Phishing-Test in 10 Minuten.

Kostenlose Anmeldung — keine Kreditkarte. Probiere Pro 7 Tage gratis, wenn du so weit bist.