Wie man Phishing-Simulationen für ein NIS2-Audit dokumentiert
Eine praktische Beleg-Checkliste für Sicherheitsteams, die wiederkehrende Awareness-Aktivitäten nachweisen müssen, ohne zu viel in das hineinzuinterpretieren, was Phishing-Simulationen tatsächlich belegen.

Wenn Sie Phishing-Simulationen für ein NIS2-Audit dokumentieren müssen, geht es nicht darum, nachzuweisen, dass eine einzelne Kampagne die Organisation konform gemacht hat. Das sinnvolle Ziel ist enger gefasst: zu zeigen, dass Security-Awareness-Maßnahmen geplant, kontrolliert, wiederholt, überprüft und im Laufe der Zeit verbessert werden.
Phishing-Simulationen können diese Nachweiskette unterstützen, weil sie eine sichtbare Spur von Schulungsumfang, Mitarbeiter-Feedback, Meldeverhalten, Folgemaßnahmen und Management-Review erzeugen. Sie sollten nicht als vollständige NIS2-Kontrolle für sich allein dargestellt werden. Die NIS2-Konformität hängt vom breiteren Rahmen aus Governance, Risikomanagement, Incident Handling, Richtlinien, technischen Kontrollen, Lieferantenaufsicht und Verantwortlichkeitsmodell rund um das Programm ab.
Dieser Leitfaden ist ausschließlich defensiv. Er enthält keine Phishing-Vorlagen, Zustellungstaktiken, Schritte zum Erfassen von Anmeldedaten, Umgehungstipps oder Anweisungen für echte Angriffe.
Beginnen Sie mit der Prüfungsfrage
Bevor Sie Berichte exportieren, legen Sie die Frage fest, die Ihre Nachweise beantworten sollen. Für die meisten Security- und Compliance-Teams lautet die Frage nicht „Wer hat geklickt?“, sondern eher:
- Hat die Organisation Awareness-Maßnahmen in einem definierten Rhythmus durchgeführt?
- War die Maßnahme genehmigt und an Richtlinien ausgerichtet?
- Wurden Mitarbeitende in einem sinnvollen Umfang abgedeckt?
- Wurden riskante Verhaltensweisen mit Feedback oder Schulung aufgegriffen?
- Wurden Berichte und Ergebnisse von verantwortlichen Stellen geprüft?
- Hat sich das Programm auf Basis der Ergebnisse verbessert oder verändert?
- Wurden Mitarbeiterdaten verhältnismäßig behandelt?
Diese Einordnung ist wichtig, weil eine Klickrate als alleiniger Nachweis schwach ist. Ein Phishing-Simulationsbericht wird deutlich nützlicher, wenn er in einem dokumentierten Programm eingebettet ist: Umfang, Genehmigungen, sichere Szenariogestaltung, Datenschutzeinstellungen, Nachschulungen, Prüfvermerke und Trenddaten.
AutoPhishs bestehender Leitfaden zu NIS2-Security-Awareness und Phishing-Simulationen erläutert, wo Simulationen in die breitere NIS2-Diskussion passen. Dieser Artikel konzentriert sich auf das Evidenzpaket.
Was sich durch NIS2 bei Awareness-Nachweisen tatsächlich ändert
Die NIS2-Richtlinie erhöht die Erwartungen an Cybersecurity-Risikomanagement, Governance, Incident Handling und Verantwortlichkeit für erfasste Einrichtungen. Sie schreibt kein einheitliches Phishing-Simulationsformat vor.
Das bedeutet: Security-Teams sollten Aussagen wie „Dieser Phishing-Test macht uns NIS2-konform“ vermeiden. Eine sicherere Formulierung lautet:
„Unser Phishing-Simulationsprogramm unterstützt den Nachweis von Security Awareness und Risikomanagement, indem es wiederkehrende Aktivitäten, Mitarbeiter-Feedback, Meldeverhalten und Management-Reviews dokumentiert.“
Diese Aussage ist leichter zu vertreten. Sie verbindet Simulationen mit Governance, ohne so zu tun, als ersetze eine Trainingsplattform Rechtsprüfung, Risikobewertung, Incident Response, Zugriffskontrollen oder technische Sicherheitsmaßnahmen.
Zur Auditvorbereitung sollte Ihre Dokumentation eher Reife als Showeffekt belegen. Eine einzelne spektakuläre Kampagne kann ein Dashboard beeindrucken. Ein stabiles Programm mit Genehmigungen, Abdeckungsdaten, Nachbereitung und Prüfnotizen ist für Compliance-Stakeholder deutlich wertvoller.
Stellen Sie ein Evidenzpaket zusammen, bevor der Prüfer danach fragt
Erstellen Sie für jeden Berichtszeitraum ein wiederverwendbares Evidenzpaket. Halten Sie es nüchtern, konsistent und leicht aktualisierbar.
Sinnvolle Bestandteile sind:
- Name und Rolle des Verantwortlichen und Prüfers für das Awareness-Programm
- Genehmigter Kampagnenkalender oder Taktung
- Verweis auf Richtlinie oder Verfahren für Phishing-Simulationen
- Umfang, Daten und Zielgruppen der Kampagne
- Szenariokategorie und Sicherheitsprüfung
- Mitarbeiterkommunikation oder Hinweis, sofern zutreffend
- Datenschutz- und Aufbewahrungseinstellungen
- Zustellungszusammenfassung und bekannte Zustellungs-Einschränkungen
- Melderate, Zeit bis zur Meldung und Abschluss der Nachbereitung
- Nach der riskanten Interaktion angezeigte Schulungsinhalte
- Aggregierte Trenddaten über mehrere Kampagnen
- Ausnahmen, Ausschlüsse und Maßnahmenhinweise
- Notizen und Entscheidungen aus dem Management-Review
Das Evidenzpaket sollte verständlich sein, ohne einem Prüfer Zugriff auf rohe Ereignisprotokolle auf Mitarbeiterebene zu geben. Aggregierte Berichte reichen für Führungs- und Compliance-Prüfungen oft aus. Details auf Einzelebene sollten auf Personen mit klarem operativem Bedarf beschränkt bleiben.
Halten Sie die Szenariodokumentation sicher und auf hohem Abstraktionsniveau
Audit-Nachweise sollten das Risikothema und das Kontrollziel beschreiben, nicht wiederverwendbare Angreifer-Playbooks liefern.
Eine gute Szenariodokumentation könnte lauten:
- „Awareness-Szenario mit Rechnungsbezug für Business-E-Mail-Compromise bei Finanzanwendern“
- „Awareness-Szenario mit QR-Code-Bezug für mobile Arbeitsabläufe“
- „Awareness-Szenario mit Dokumentenfreigabe-Bezug für Risiken in Kollaborationstools“
- „Awareness-Szenario zum Passwort-Reset ohne echte Erfassung von Anmeldedaten“
Vermeiden Sie es, unnötige Schritt-für-Schritt-Details in allgemeinen Compliance-Ordnern zu speichern. Dokumentieren Sie Köder, Domains, Landing-Page-Mechanik oder Nachrichtentexte nicht ausführlicher, als Ihr interner Sicherheitsprozess es verlangt. Es geht darum nachzuweisen, dass das Szenario genehmigt, sicher, relevant und überprüft wurde.
Wenn eine Simulation Landing Pages umfasst, dokumentieren Sie die Schutzmaßnahmen klar. Ein sichereres Programm hält kontrollierte Trainingsereignisse und Feedback-Abschlüsse fest, statt echte Passwörter, MFA-Codes, Tokens, Zahlungsdaten oder sensible personenbezogene Informationen zu erfassen. Weitere Details finden Sie in AutoPhishs Leitfaden zu sicheren Landing Pages für Phishing-Simulationen.
Verwenden Sie Kennzahlen, die Prüfer und Führungskräfte verstehen können
Die Klickrate ist bekannt, kann aber irreführend sein. Sie sollte in einem NIS2-Evidenzpaket nicht die einzige Kennzahl sein.
Aussagekräftiger sind unter anderem:
- Nutzerabdeckung über den Berichtszeitraum
- Melderate für Simulationsnachrichten
- Zeit bis zur Meldung
- Verhalten „Melden vor dem Klicken“
- Abschlussquote der Nachschulung
- Wiederholungsrisiko-Trends über die Zeit
- Zustellqualität und Fehlalarme
- Verbesserungsmaßnahmen nach der Prüfung
Die besten Kennzahlen zeigen einen Lernkreislauf. Eine Kampagne fand statt. Mitarbeitende erhielten Feedback. Meldungen wurden geprüft. Das Team änderte etwas. Spätere Ergebnisse zeigten, ob sich das Verhalten verbessert hat.
AutoPhishs Leitfaden zu Reporting-Funktionen für Phishing-Simulationen ist ein nützlicher Maßstab, um operative Kennzahlen von reinen Schaukeln zu trennen.
Dokumentieren Sie Governance, nicht nur Ergebnisse
Bei NIS2-bezogenen Gesprächen ist der Governance-Nachweis oft ebenso wichtig wie das Kampagnenergebnis.
Dokumentieren Sie:
- wer Simulationen genehmigen darf
- wer Kampagnen starten darf
- wer individuelle Ergebnisse einsehen kann
- wie Mitarbeiterdaten aufbewahrt oder gelöscht werden
- welche Szenario-Themen verboten sind
- wie Betriebsräte, Arbeitnehmervertreter, HR oder Datenschutz-Stakeholder gegebenenfalls einbezogen werden
- wie Ergebnisse an das Management eskaliert werden
- wie Nachschulungen zugewiesen werden
Das schützt das Programm vor zwei typischen Problemen. Erstens können Simulationen zu ad-hoc-Aktionen werden, die von einem einzigen engagierten Admin abhängen. Zweitens kann Awareness-Training zu datenschutzsensibler Überwachung werden, wenn Zugriffsrechte und Aufbewahrungsregeln unklar sind.
Wenn Ihre Organisation Anforderungen zur Mitarbeitervertretung oder Datenschutzprüfung hat, dokumentieren Sie diese frühzeitig. AutoPhishs Leitfaden zu datenschutzfreundlichem Phishing-Training behandelt die Seite des Mitarbeitervertrauens in dieser Debatte.
Checkliste für Nachweise je Kampagne
Nutzen Sie diese Checkliste, um die Dokumentation der Kampagnen konsistent zu halten:
- Kampagnenname und interne ID
- Geschäftlicher Anlass oder Risikothema
- Genehmigte Zielgruppe
- Datumsbereich und Zeitzone
- Szenariokategorie, keine angriffstypischen Anweisungen
- Bestätigung der Sicherheitsprüfung
- Datenschutz- und Aufbewahrungseinstellungen
- Verweis auf Mitarbeiterhinweis oder Kommunikation, falls verwendet
- Zustellungszusammenfassung
- Melde- und Interaktionskennzahlen
- Zusammenfassung der Nachschulung oder des Feedbacks
- Ausschlüsse und Ausnahmen
- Verantwortliche für die Prüfung
- Verbesserungsmaßnahmen
- Exportdatum und Speicherort
Die Checkliste muss kein schwerfälliger Workflow werden. Sie muss nur so gut wiederholbar sein, dass der nächste Auditzeitraum nicht durch archäologische Spurensuche in alten Tabellen, Chat-Verläufen und Screenshots verbrannt wird.
Was Sie in Audit-Nachweisen vermeiden sollten
Vermeiden Sie Nachweise, die mehr Risiko erzeugen, als sie abbauen.
Häufige Fehler sind:
- sich nur auf Screenshots ohne Prüfnotizen zu stützen
- rohe Daten auf Mitarbeiterebene zu breit zu speichern
- Simulationsdaten ohne Grund unbegrenzt aufzubewahren
- eine einzelne Kampagne als Beweis für Konformität darzustellen
- strafende Ranglisten als „Awareness-Nachweis“ zu verwenden
- genaue Ködermechaniken in gemeinsam genutzten Compliance-Ordnern zu dokumentieren
- echte Zugangsdaten zu erfassen, damit die Ergebnisse realistischer wirken
- Zustellprobleme zu ignorieren, die Kennzahlen verfälschen
Prüfer und Führungskräfte brauchen keine dramatische Geschichte. Sie brauchen eine belastbare. Wenn die Nachweise Umfang, Schutzmaßnahmen, Prüfung und Verbesserung zeigen, ist dem Programm leichter zu vertrauen.
Wie AutoPhish hilft
AutoPhish ist für Security-Teams entwickelt, die Phishing-Simulationen wiederholbar, datenschutzbewusst und nachvollziehbar durchführen müssen. Das ist wichtig, wenn Simulationen Teil einer Compliance-Nachweiskette sind.
Mit dem richtigen Programmdesign kann AutoPhish Teams dabei helfen, Folgendes zu dokumentieren:
- wiederkehrende Phishing-Simulationsaktivitäten
- sichereres Szenario-Handling
- Verhalten beim Melden durch Mitarbeitende
- Abschluss der Nachschulung
- auswertbare Berichte für das Management
- datenschutzbewusste Ergebnisbehandlung
- Export von Nachweisen für Prüfzwecke
Die Plattform ersetzt keine Rechtsberatung und kein vollständiges NIS2-Readiness-Programm. Sie hilft Security-Teams jedoch dabei, den Awareness-Teil dieses Programms konsistenter umzusetzen und zu dokumentieren.
FAQ
Beweisen Phishing-Simulationen NIS2-Konformität?
Nein. Phishing-Simulationen können Nachweise für Security Awareness, Meldeverhalten und kontinuierliche Verbesserung unterstützen. Sie beweisen NIS2-Konformität für sich allein nicht.
Was sollte ein NIS2-Evidenzpaket für Phishing-Simulationen enthalten?
Fügen Sie Kampagnenumfang, Genehmigung, Datumsbereich, Zielgruppenabdeckung, Szenariokategorie, Sicherheitsprüfung, Datenschutzeinstellungen, Meldekennzahlen, Nachschulung, Prüfnotizen und Verbesserungsmaßnahmen hinzu.
Sollten Prüfer individuelle Ergebnisse von Phishing-Simulationen sehen?
In der Regel nicht standardmäßig. Aggregierte Berichte beantworten die Compliance-Frage oft ausreichend. Daten auf Einzelebene sollten auf Personen mit klarem operativem Bedarf beschränkt und unter definierten Aufbewahrungs- und Zugriffsregeln behandelt werden.
Reicht die Klickrate als Audit-Nachweis aus?
Nein. Die Klickrate ist nur ein Signal. Melderate, Zeit bis zur Meldung, Abschluss der Nachschulung, Abdeckung, Wiederholungsrisiko-Trends und dokumentierte Prüfmaßnahmen sind meist aussagekräftiger.
Wie oft sollte der Nachweis zu Phishing-Simulationen aktualisiert werden?
Aktualisieren Sie das Evidenzpaket nach jeder Kampagne oder in einem festen Berichtszyklus. Entscheidend ist die Konsistenz: Die Organisation sollte zeigen können, dass Awareness-Maßnahmen wiederholt stattfinden und überprüft werden.
Fazit
Der beste Weg, Phishing-Simulationen für ein NIS2-Audit zu dokumentieren, ist der Nachweis eines kontrollierten Awareness-Programms, nicht eines einmaligen Tests. Halten Sie die Evidenz praxisnah: Umfang, Genehmigungen, sichere Szenariogestaltung, Datenschutzkontrollen, Kennzahlen, Nachbereitung und Management-Review.
Wenn Sie Phishing-Simulationen möchten, die einfacher auszuführen, zu prüfen und zu dokumentieren sind, melden Sie sich an.