Zurück zum Blog

ISO 27001 Sicherheitsbewusstsein: Wo Phishing-Simulationen unter Anhang A 6.3 passen

ISO 27001 schreibt keine Phishing-Plattform vor, aber gut durchgeführte Phishing-Simulationen können Sensibilisierungsmaßnahmen messbarer, wiederholbarer und bei Audits leichter zu verteidigen machen.

Von Autophish Team|Veröffentlicht am 5/7/2026
Cover image for ISO 27001 Sicherheitsbewusstsein: Wo Phishing-Simulationen unter Anhang A 6.3 passen

Wenn du ISO 27001-Phishing-Simulationen bewertest, ist die praktische Antwort einfach: Phishing-Simulationen können die Sensibilisierungsziele aus Anhang A 6.3 unterstützen, aber nur, wenn sie als dokumentierte, wiederholbare Kontrollmaßnahme mit klaren Leitplanken, Berichterstattung und Nachverfolgung durchgeführt werden. Sie machen eine Organisation nicht von sich aus „ISO 27001-konform“, und jeder Anbieter, der etwas anderes behauptet, übertreibt.

Diese Unterscheidung ist wichtig, da die Frage hinter diesem Thema meist aus einer konkreten Kauf- oder Audit-Situation stammt: Wo passen Phishing-Simulationen in ein ISO 27001-konformes Sicherheitsbewusstseinsprogramm, und welche Nachweise sollten wir aufbewahren?

Dieser Leitfaden beantwortet diese Frage für Sicherheitsingenieure, IT-Administratoren, CISOs und Compliance-Verantwortliche.

Sicherheitshinweis: In diesem Artikel geht es um defensive Phishing-Simulationen und Sensibilisierungsschulungen. Er enthält keine Anleitungen für echtes Phishing, den Diebstahl von Zugangsdaten, die Auslieferung von Payloads oder das Umgehen von Sicherheitskontrollen.

Was Anhang A 6.3 tatsächlich für Phishing-Simulationen bedeutet

Gemäß ISO/IEC 27001 sind Sensibilisierung, Aufklärung und Schulung Themen der Unternehmensführung und keine einmaligen Übungen.

Das ist wichtig, weil viele Teams Sensibilisierungsmaßnahmen immer noch auf eine von zwei schwachen Arten durchführen:

  • jährliche Schulungen ohne Messung über die Anwesenheit hinaus
  • gelegentliche Phishing-Kampagnen ohne dokumentierten Zweck, Überprüfungsweg oder Nachverfolgung

Keiner dieser Ansätze liefert stichhaltige Belege.

Ein Phishing-Simulationsprogramm wird im ISO 27001-Kontext dann nützlich, wenn es dir hilft zu zeigen, dass Sensibilisierung:

  • geplant ist
  • regelmäßig stattfindet
  • für das berufliche Risiko relevant ist
  • im Laufe der Zeit überprüft wird
  • mit Abhilfemaßnahmen oder Vertiefung verknüpft ist

Das ist der wahre Wert. Nicht „wir haben gefälschte E-Mails verschickt“, sondern „wir betreiben eine verwaltete Sensibilisierungsmaßnahme und können erklären, wie sie funktioniert“.

Wo Phishing-Simulationen einem ISO 27001-konformen Programm wirklich helfen

1. Sie machen Sensibilisierung zu einer wiederholbaren Maßnahme

Ein wiederholbares Programm lässt sich leichter verteidigen als Ad-hoc-Aktivitäten.

Anstatt zu beweisen, dass eine einzelne Kampagne stattgefunden hat, kannst du einen strukturierten Zyklus aufzeigen:

  1. Kampagnen in festgelegten Abständen planen
  2. Nutzer oder Rollen gezielt auswählen
  3. Ergebnisse konsequent erfassen
  4. Nachbereitungscoaching oder -schulungen anbieten
  5. Trends überprüfen und den nächsten Zyklus verbessern

Ein solcher Arbeitsrhythmus passt viel besser dazu, wie die meisten Teams die Verantwortlichkeiten für Kontrollen bei internen Überprüfungen, Kundenbefragungen oder der Zertifizierungsvorbereitung darlegen.

2. Sie liefern dir mehr als nur Anwesenheitslisten

Der Nachweis für das Sicherheitsbewusstsein verliert schnell an Aussagekraft, wenn das einzige Belegstück lautet: „Mitarbeiter haben die Schulung absolviert.“

Phishing-Simulationen können weitere nützliche Informationen liefern, wie zum Beispiel:

  • Kampagnenverlauf und -zeitpunkt
  • Abdeckung nach Geschäftsbereich oder Rolle
  • Meldeverhalten
  • Abschluss von Folgemaßnahmen nach riskanten Aktionen
  • Trenddaten über mehrere Zyklen hinweg
  • Genehmigungen und administrative Änderungen

Wenn du einen konkreten Maßstab dafür suchst, wie gute Berichterstattung aussehen sollte, ist der Leitfaden von AutoPhish zu Berichtsfunktionen für Phishing-Simulationen ein guter Ausgangspunkt.

3. Sie fördern rollenbasierte Sensibilisierung statt allgemeiner Sensibilisierungskampagnen

Nicht jedes Team ist dem gleichen Phishing-Druck ausgesetzt.

Finanz-, HR-, IT-Admin-, Führungs-, Beschaffungs- und Support-Teams sehen alle unterschiedliche Arbeitsabläufe, Köder und Konsequenzen. Ein stärkeres, ISO 27001-konformes Programm spiegelt diese Realität wider, anstatt so zu tun, als würde eine generische Kampagne alle gleichermaßen gut schulen.

Deshalb ist rollenbasiertes Design wichtig:

  • Szenarien können dem realen Entscheidungskontext entsprechen
  • Coaching kann Geschäftsprozessrisiken widerspiegeln
  • Berichte können auf Teamebene überprüft werden
  • Sensibilisierung lässt sich leichter als geschäftliche Kontrollmaßnahme erklären

Der Artikel von AutoPhish über rollenbasierte Phishing-Simulationen zeigt, wie diese Reife in der Praxis aussieht.

4. Sie lassen dich die Abhilfe messen, nicht nur den Fehler

Die Klickrate allein ist ein schwaches Argument.

Bei den meisten Gesprächen über Sicherheit und Compliance lautet die bessere Frage: Was ist nach der riskanten Aktion passiert?

Eine ausgereifte Plattform sollte dir helfen, Dinge wie diese aufzuzeigen:

  • automatisch oder gezielt zugewiesene Nachschulungen
  • Nachverfolgung des Abschlusses im Zeitverlauf
  • Reduzierung von wiederholtem Risikoverhalten nach dem Coaching
  • Verbesserung des Meldeverhaltens, nicht nur eine Änderung des Klickverhaltens

Das lenkt das Gespräch weg von Schuldzuweisungen und hin zur Verbesserung der Kontrollen.

Wo Phishing-Simulationen dein ISO 27001-Problem nicht lösen

Das ist der Teil, den es klar zu sagen gilt.

Sie garantieren keine Zertifizierung

Keine Phishing-Plattform kann eine Organisation ISO 27001-zertifiziert machen.

Die Zertifizierung hängt vom gesamten Managementsystem, dem Risikomanagement, der Governance, den Nachweisen, dem Umfang und der tatsächlichen Umsetzung der Kontrollen ab. Ein Phishing-Simulationsprodukt kann einen Teil dieses Gesamtbildes unterstützen, der mit der Sensibilisierung zusammenhängt. Es kann den Rest nicht ersetzen.

Sie ersetzen keine technischen Kontrollen

Sensibilisierung unterstützt die Risikominderung. Sie ersetzt jedoch nicht:

  • E-Mail-Authentifizierung und -Filterung
  • Endpunkt- und Identitätskontrollen
  • Meldeworkflows
  • Incident Response
  • Zugriffsprüfungen
  • Entscheidungen zu Richtlinien und Governance

Wenn deine technischen Grundlagen schwach sind, können Simulationen zwar Lücken aufdecken, aber sie beheben diese nicht von selbst.

Sie rechtfertigen keinen rücksichtslosen Realismus

Manche Teams übertreiben es und gehen davon aus, dass ein „ernsthaftes“ Programm hart sein muss.

Das führt in der Regel zu neuen Problemen:

  • Das Vertrauen der Mitarbeiter sinkt
  • Die Qualität der Berichterstattung wird verzerrt
  • Die Reibungen mit der Personalabteilung oder dem Betriebsrat nehmen zu
  • Die Führungsebene sieht mehr Lärm als Nutzen

Ein besserer Ansatz sind sichere, nachvollziehbare und verhältnismäßige Simulationen mit klaren Regeln, Optionen zur Datenspeicherung und gegebenenfalls begrenzter Sichtbarkeit der Ergebnisse. Für EU-lastige Umgebungen ist der Leitfaden von AutoPhish zu datenschutzfreundlichen Phishing-Schulungen das richtige Modell.

Welche Nachweise für ISO 27001-Phishing-Simulationen aufbewahren?

Wenn du möchtest, dass Phishing-Simulationen die Gespräche gemäß Anhang A 6.3 unterstützen, bewahre Nachweise auf, die klar, konsistent und leicht reproduzierbar sind.

Programmcharta

Dokumentiere:

  • den Zweck des Phishing-Simulationsprogramms
  • wer dafür verantwortlich ist
  • wer Kampagnen genehmigt
  • wie Erfolg aussieht
  • wofür das Programm ausdrücklich nicht verwendet wird
  • alle ausgeschlossenen Themen oder Grenzen für sensible Szenarien

Häufigkeit und Umfang der Kampagnen

Führe Aufzeichnungen über:

  • wann Kampagnen durchgeführt wurden
  • welche Gruppen einbezogen wurden
  • welche Gruppen ausgeschlossen wurden und warum
  • ob die Szenarien allgemein oder rollenbasiert waren
  • wer den Start genehmigt hat

Aufzeichnungen zu Ergebnissen und Folgemaßnahmen

Zu den nützlichen Nachweisen gehören in der Regel:

  • Zusammenfassungen zu Zustellung und Interaktion
  • Trends bei der Melderate oder der Zeit bis zur Meldung
  • Schulungs- oder Coaching-Aufträge
  • Abschlussprotokolle
  • sich im Laufe der Zeit wiederholende Risikomuster

Zugriffs-, Datenschutz- und Aufbewahrungseinstellungen

Du solltest außerdem erklären können:

  • wer Ergebnisse auf individueller Ebene einsehen kann
  • wer nur aggregierte Ansichten sieht
  • wie lange Daten aufbewahrt werden
  • ob Exporte eingeschränkt sind
  • wie sensible Fälle behandelt werden

Verbesserungsprotokoll

Halte nach jedem Zyklus fest, was sich geändert hat.

Beispiele:

  • aktualisierte Anweisungen zur Berichterstattung
  • angepasste Rollenzuweisung
  • verfeinerte Szenario-Sicherheitsgrenzen
  • neue Coaching-Inhalte
  • Änderungen an Administratorberechtigungen oder dem Überprüfungsablauf

Dieses Verbesserungsprotokoll ist oft das, was das Bewusstsein von einer „Aktivität“ in eine vertretbare Kontrollmaßnahme verwandelt.

Was bei einer Phishing-Simulationsplattform für ISO 27001-bewusste Teams zu vergleichen ist

Wenn dieses Thema Teil der Anbieterbewertung ist, stelle Fragen, die die operative Reife aufzeigen, anstatt nur auf die Perfektion der Demo zu achten.

1. Kann das Programm ohne hohen Verwaltungsaufwand kontinuierlich laufen?

Achte auf:

  • wiederkehrende Zeitplanung
  • wiederverwendbare Segmentierung
  • vorhersehbare Erfassung von Nachweisen
  • reibungslose Importe oder Synchronisierungen
  • überschaubare Genehmigungsabläufe

Wenn die Kontrollmaßnahme nur funktioniert, wenn ein motivierter Techniker daran denkt, sie auszuführen, ist sie anfällig.

2. Kannst du Nachweise außerhalb der Plattform-Benutzeroberfläche erstellen?

Frag nach, ob das Tool Folgendes unterstützt:

  • exportierbare Berichte
  • Trendansichten über einen bestimmten Zeitraum
  • Kampagnenverlauf
  • Admin- oder Audit-Protokolle
  • Nachverfolgung von Korrekturmaßnahmen

Ein schönes Dashboard ist weniger nützlich als saubere, nachvollziehbare Nachweise.

3. Sind die Datenschutzkontrollen stark genug für deine Umgebung?

Achte auf:

  • rollenbasierten Zugriff auf Ergebnisse
  • Optionen für aggregierte Berichte
  • konfigurierbare Aufbewahrungsfristen
  • eingeschränkte Exporte
  • klare Grenzen für Prüfer

Das ist nicht nur eine rechtliche Frage. Oft ist es genau das, was dafür sorgt, dass das Sensibilisierungsprogramm vertrauenswürdig genug bleibt, um zu bestehen.

4. Unterstützt die Plattform rollenbasierte und Folge-Workflows?

Ein gutes Tool sollte es ermöglichen, die Sensibilisierungsmaßnahmen nach Funktionen anzupassen und zu zeigen, was nach einem Fehler oder einer Meldung passiert ist. Ohne diese Funktionen bleibt das Programm oft bei generischen Vorlagen und Eitelkeitskennzahlen stecken.

5. Kann das Team genau erklären, was die Plattform nicht kann?

Dies ist ein unterschätzter Kaufkriterium.

Die sicherere Antwort eines Anbieters lautet in der Regel etwa so:

  • Wir unterstützen Sensibilisierungsmaßnahmen
  • Wir helfen bei der Dokumentation von Ergebnissen und Nachverfolgung
  • Wir erheben keine Zertifizierungsansprüche für dich

Diese Zurückhaltung ist ein gutes Zeichen.

FAQ

Verlangt ISO 27001 Phishing-Simulationen?

Nicht ausdrücklich. ISO 27001 erwartet von Organisationen, dass sie im Rahmen eines umfassenderen Managementsystems angemessene Kontrollen durchführen, einschließlich Kontrollen zur Sensibilisierung. Phishing-Simulationen können diese Arbeit unterstützen, sind aber nur eine Option und keine allgemeine Anforderung.

Können Phishing-Simulationen bei Anhang A 6.3 helfen?

Ja, wenn sie Sensibilisierung, Aufklärung, Vertiefung und messbare Nachverfolgung unterstützen. Am nützlichsten sind sie, wenn sie als wiederkehrende Kontrollmaßnahme dokumentiert werden, anstatt als isolierte Tests eingesetzt zu werden.

Was ist die nützlichste Kennzahl für ISO 27001-Phishing-Simulationen?

Normalerweise nicht die Klickrate allein. Berichterstattungsverhalten, Abschluss von Nachverfolgungsmaßnahmen, Reduzierung des Wiederholungsrisikos, Kampagnenhäufigkeit und überprüfbare Nachweise über einen längeren Zeitraum sind in der Regel nützlicher.

Sollten Auditoren oder Manager jeden einzelnen Fehler sehen?

Normalerweise nicht. Kontrollierter Zugriff, aggregierte Berichte und klar definierte Ausnahmen lassen sich oft leichter rechtfertigen als ein umfassender Einblick in namentlich genannte Ergebnisse.

Kann eine Phishing-Plattform die ISO 27001-Konformität nachweisen?

Nein. Sie kann Belege für Sensibilisierungsmaßnahmen und Abhilfemaßnahmen liefern, aber die Zertifizierung hängt vom gesamten Managementsystem ab und davon, wie Kontrollen im gesamten Unternehmen geregelt sind.

Das Praktische Fazit

Die besten ISO 27001-Phishing-Simulationen sind nicht die dramatischsten. Es sind diejenigen, die dein Team sicher durchführen, klar erklären, konsequent überprüfen und im Laufe der Zeit verbessern kann.

Wenn das ist, was du brauchst, wähle die Plattform, die dir Wiederholbarkeit, Nachweise, Nachverfolgung und vernünftige Leitplanken bietet – nicht die, die übertriebene Compliance-Versprechen macht.

Wenn du eine kostengünstige, datenschutzbewusste Möglichkeit suchst, Phishing-Simulationen durchzuführen und die Ergebnisse übersichtlich zu dokumentieren, melde dich an.

Zurück zu allen Beiträgen

Starte deinen ersten Phishing-Test in 10 Minuten.

Kostenlose Anmeldung — keine Kreditkarte. Probiere Pro 7 Tage gratis, wenn du so weit bist.

Jetzt Simulation startenDemo für ein größeres Team gewünscht? Sprich mit uns →