Zurück zum Blog

NIS2-Sicherheitsbewusstsein: Wo Phishing-Simulationen helfen – und wo nicht

NIS2 macht es schwieriger, das Thema Sicherheitsbewusstsein zu ignorieren. Phishing-Simulationen können helfen – solange du sie nicht fälschlicherweise als alleinige Compliance-Maßnahme betrachtest.

Von Autophish Team|Veröffentlicht am 6/3/2026
Cover image for NIS2-Sicherheitsbewusstsein: Wo Phishing-Simulationen helfen – und wo nicht

Wenn dein Team fragt, wie NIS2-Sicherheitsbewusstsein in der Praxis aussehen sollte, sind Phishing-Simulationen Teil der Antwort – aber nur ein Teil.

Das ist wichtig, denn viele Compliance-Inhalte liegen hier in beide Richtungen falsch:

  • Manche Anbieter suggerieren, dass ihre Plattform dich irgendwie „NIS2-konform“ macht
  • Andere Teams tun Phishing-Simulationen als belangloses Sensibilisierungstheater ab

Der sinnvolle Mittelweg ist einfacher:

Phishing-Simulationen können ein vertretbares, NIS2-bewusstes Sicherheitsprogramm unterstützen, wenn sie als dokumentierte, wiederholbare und datenschutzbewusste Kontrollmaßnahme durchgeführt werden. Sie ersetzen nicht Governance, Vorkehrungen für Vorfälle oder technische Abwehrmaßnahmen.

Dieser Leitfaden richtet sich an Sicherheitsingenieure, IT-Administratoren, CISOs und Compliance-Verantwortliche, die eine praktische Antwort auf drei Fragen suchen:

  1. Wo helfen Phishing-Simulationen unter NIS2 tatsächlich?
  2. Welche Nachweise solltest du aufbewahren?
  3. Was solltest du einen Anbieter vor dem Kauf fragen?

Sicherheitshinweis: In diesem Artikel geht es um defensive Simulationen und die Messung des Sicherheitsbewusstseins. Er enthält keine Anleitungen für echtes Phishing, den Diebstahl von Zugangsdaten oder das Umgehen von Sicherheitskontrollen.

Was sich durch NIS2 in der Praxis ändert

Die zentrale Veränderung lautet nicht: „Du musst ein Phishing-Tool kaufen.“

Die eigentliche Veränderung besteht darin, dass Cybersicherheits-Risikomanagement, Rechenschaftspflicht und Nachweise wichtiger sind als punktuelle gute Absichten. Die zugrunde liegende rechtliche Grundlage in der Richtlinie (EU) 2022/2555 (NIS2) betrifft angemessene und verhältnismäßige technische, operative und organisatorische Maßnahmen.

Das hat zwei praktische Konsequenzen für Sensibilisierungsprogramme:

  • Jährliche Schulungen mit Folienpräsentationen ohne Messung lassen sich immer schwerer rechtfertigen
  • Einmalige Phishing-Tests ohne Governance-Konzept lassen sich ebenfalls immer schwerer rechtfertigen

Mit anderen Worten: NIS2 legt die Messlatte für Wiederholbarkeit, Überwachung und Nachweisbarkeit höher.

Genau hier können Phishing-Simulationen nützlich sein – wenn sie in einen umfassenderen Sensibilisierungsprozess eingebettet sind, anstatt als einmalige Aktion behandelt zu werden.

Wo Phishing-Simulationen unter NIS2 wirklich helfen

1) Sie machen Sensibilisierung zu einer operativen Kontrolle, nicht zu einem Kalendertermin

Viele Organisationen handhaben Sensibilisierung immer noch so:

  • eine jährliche Schulungserinnerung verschicken
  • vielleicht eine Kampagne durchführen
  • einen Screenshot für den Audit-Ordner speichern
  • hoffen, dass niemand Nachfragen stellt

Das ist schwache Governance.

Ein gut durchgeführtes Simulationsprogramm sieht anders aus. Es schafft einen wiederkehrenden Zyklus:

  1. Basismessung
  2. Coaching oder Mikro-Schulung
  3. Berichterstattung und Überprüfung
  4. Programmanpassung
  5. Wiederholung

Dieser Zyklus lässt sich der Führungsebene, den Auditoren und internen Stakeholdern leichter erklären als „wir testen die Leute gelegentlich“.

Wenn du Plattformen bewertest, bevorzuge Produkte, die einen echten Awareness-Workflow unterstützen, anstatt einer „Senden-und-Bewerten“-Mentalität.

2) Sie liefern Nachweise dafür, dass dein Awareness-Programm aktiv ist

Der Druck durch NIS2 deckt oft ein einfaches Problem auf: Teams sagen, dass Awareness wichtig ist, können aber nicht zeigen, wie es funktioniert.

Phishing-Simulationen können dabei helfen, Belege zu generieren, wie zum Beispiel:

  • Kampagnenhäufigkeit im Zeitverlauf
  • Umfang der Teilnehmerabdeckung
  • Genehmigungsaufzeichnungen
  • Trends im Meldeverhalten
  • Abschluss von Nachschulungen
  • Dokumentierte Änderungen nach jedem Zyklus

Der stärkste Beweis ist nicht „unsere Klickrate war niedrig“.

Der stärkste Beweis ist: Wir führen eine definierte Kontrolle durch, wir überprüfen die Ergebnisse und wir passen das Programm an.

Wenn du einen praktischen Maßstab dafür suchst, wie nützliche Berichterstattung aussieht, schau dir Phishing-Simulationsberichte: 12 Funktionen, die Sicherheitsteams vergleichen sollten an.

3) Sie verbessern das Meldeverhalten bei Vorfällen, nicht nur den optischen Eindruck der Sensibilisierung

Ein ausgereiftes Sensibilisierungsprogramm sollte es den Mitarbeitern erleichtern, schnell das Richtige zu tun:

  • etwas Verdächtiges erkennen
  • es über den richtigen Kanal melden
  • ohne zu zögern eskalieren

Deshalb sind Kennzahlen wie Meldequote und Zeit bis zur Meldung oft wichtiger als reine Image-Kennzahlen.

Für NIS2-relevante Umgebungen ist dies wichtig, da die Bereitschaft zur Reaktion auf Vorfälle nicht nur ein Problem der technischen Infrastruktur ist. Auch die Meldewege der Mitarbeiter spielen eine Rolle. Wenn Mitarbeiter verdächtige E-Mails nicht schnell genug melden können, kommt dein SOC, dein IT-Team oder dein Managed-Service-Anbieter zu spät in Aktion.

Phishing-Simulationen können aufdecken, ob dein Melde-Workflow tatsächlich nutzbar ist:

  • Wissen die Nutzer, wo sie etwas melden sollen?
  • Funktioniert die Meldung auch auf Mobilgeräten?
  • Führen gemeinsame Postfächer oder Ticket-Abläufe zu Verwirrung?
  • Erhält die IT verwertbare Signale oder nur Rauschen?

Das ist operativ wertvoll, nicht nur auditfreundlich.

4) Sie helfen dir, die Governance rund um risikoreiche Rollen zu testen

Nicht jede Gruppe ist dem gleichen Risiko ausgesetzt.

Finanzen, Einkauf, HR, Führungskräfte, Support-Teams und Administratoren sind oft unterschiedlichen Social-Engineering-Druck ausgesetzt. Ein NIS2-konformes Programm sollte diese Realität widerspiegeln, ohne in Überwachung oder „Fangfallen“-Taktiken abzudriften.

Gut konzipierte Simulationen können Folgendes unterstützen:

  • rollenbasierte Szenarien
  • unterschiedliche Coaching-Pfade
  • Trendvergleiche auf Teamebene
  • gezieltere Nachverfolgung dort, wo ein echtes Risiko besteht

Der Schlüssel liegt darin, das Programm nicht strafend und nachvollziehbar zu gestalten.

Wenn Datenschutz, Bedenken hinsichtlich der Mitarbeiterüberwachung oder Arbeitnehmervertretung Teil deines Umfelds sind, beginne mit einem klar dokumentierten Vertrauensmodell. Der von AutoPhish veröffentlichte Leitfaden zu Datenschutzfreundlichem Phishing-Training: Betriebsräte, Einwilligung und GDPR-Grundlagen weist den richtigen Weg.

Wo Phishing-Simulationen unter NIS2 nicht helfen

Das ist der Punkt, den Anbieter oft verschleiern.

Sie machen dich nicht konform

Eine Phishing-Simulationsplattform kann Kontrollmaßnahmen unterstützen.

Sie allein kann dein Unternehmen nicht NIS2-konform machen.

Du brauchst weiterhin:

  • Governance und Verantwortlichkeiten
  • Risikomanagementprozesse
  • technische Kontrollmaßnahmen
  • Fähigkeiten zur Vorfallbearbeitung
  • dokumentierte Richtlinien und Überprüfungen

Behandle jede Behauptung, es handele sich um eine „NIS2-konforme Plattform“, mit Skepsis.

Sie ersetzen keine technischen Sicherheitskontrollen

Sensibilisierung verringert das menschliche Risiko. Sie ersetzt jedoch nicht:

  • E-Mail-Authentifizierung und -Filterung
  • Berichtsworkflows
  • Zugriffskontrollen
  • Absicherung und Überwachung
  • Incident Response

Wenn deine technischen Grundlagen schwach sind, zeigen Simulationen das Problem vielleicht auf – aber sie beheben es nicht.

Sie rechtfertigen keinen rücksichtslosen Realismus

Ein häufiger Fehler ist die Annahme, dass „ernsthafter Compliance-Druck“ aggressivere Simulationen bedeutet.

Meistens ist das Gegenteil der Fall.

Wenn du Kampagnen durchführst, die sich irreführend, demütigend oder rechtlich heikel anfühlen, schaffst du neue Governance-Probleme:

  • Eskalation an die Personalabteilung
  • Verlust des Vertrauens der Mitarbeiter
  • Reibereien mit dem Betriebsrat
  • Verzerrung der Berichterstattung, weil sich die Mitarbeiter zurückziehen

Bewusstsein im NIS2-Zeitalter sollte disziplinierter aussehen, nicht theatralischer.

Sie gleichen fehlende Dokumentation nicht aus

Selbst die beste Plattform kann ein Programm nicht retten, das keine schriftlichen Antworten auf grundlegende Fragen hat:

  • Wer genehmigt Kampagnen?
  • Welche Themen sind tabu?
  • Wie lange bleiben die Ergebnisse sichtbar?
  • Wer kann einzelne Daten einsehen?
  • Was passiert nach wiederholten Fehlern?

Wenn diese Antworten nur im Kopf einer Person existieren, ist die Kontrolle lückenhaft.

Welche Nachweise solltest du für ein NIS2-konformes Phishing-Simulationsprogramm aufbewahren?

Wenn du möchtest, dass Phishing-Simulationen deine allgemeine NIS2-Strategie unterstützen, solltest du ein Nachweispaket führen, das langweilig, konsistent und leicht reproduzierbar ist.

1) Programmcharta

Dokumentiere:

  • Zweck des Programms
  • Umfang und Ausschlüsse
  • Häufigkeit
  • Verantwortliche und Genehmiger
  • Wofür die Ergebnisse verwendet werden
  • Was das Programm ausdrücklich vermeidet

Dies ist der Anker, der verhindert, dass Simulationen zu willkürlichen Kampagnen werden.

2) Genehmigungsnachweis der Kampagne

Führe für jeden Zyklus Aufzeichnungen über:

  • wer das Szenario verfasst oder ausgewählt hat
  • wer es genehmigt hat
  • wann es gestartet wurde
  • welche Gruppen im Umfang enthalten waren
  • welche Gruppen ausgeschlossen wurden

Das ist wichtig, weil die Anforderungen der NIS2-Ära selten mit „Vertraut uns, wir führen das verantwortungsbewusst durch“ erfüllt werden.

3) Ergebnisberichte, die Lernerfolge zeigen, nicht nur Klicks

Verfolge Ergebnisse, die echte Verbesserungen belegen, wie zum Beispiel:

  • Melderate
  • Zeit bis zur Meldung
  • Reduzierung von Wiederholungsmustern
  • Abdeckung nach Team oder Risikogruppe
  • Abschluss von Folgemaßnahmen, wo zutreffend

Vermeide es, deine gesamte Geschichte allein auf die Öffnungs- oder Klickrate aufzubauen.

4) Datenschutz- und Aufbewahrungseinstellungen

Bewahre Nachweise auf über:

  • Aufbewahrungsfristen
  • Entscheidungen zur Anonymisierung oder Pseudonymisierung
  • wer auf welche Daten zugreifen darf
  • Mitarbeiterkommunikation oder -mitteilungen
  • Eskalationsregeln für sensible Fälle

Dieses Material ist oft genauso wichtig wie die Kampagnenergebnisse selbst.

5) Verbesserungsprotokoll

Halte nach jedem Zyklus fest, was sich geändert hat.

Beispiele:

  • Einführung einer Meldefunktion
  • Korrektur der Mailbox-Weiterleitung
  • Manager-Briefing für ein Team mit hohem Risiko
  • Aktualisierte Ausschlüsse oder sicherere Szenarioregeln
  • Anpassung der Coaching-Inhalte

Genau das verwandelt das Bewusstsein in kontinuierliche Verbesserung, statt nur in eine reine Abhakübung.

Was du Anbieter fragen solltest, wenn der Druck durch NIS2 Teil des Kaufprozesses ist

Wenn du gerade Phishing-Simulationsplattformen evaluierst, stelle Fragen, die die Reife der Governance aufzeigen – nicht nur nach Vorlagenbibliotheken.

Frage nach Nachweisen und Überprüfbarkeit

  • Können wir Berichte exportieren, die auch außerhalb der Produkt-Benutzeroberfläche nützlich sind?
  • Führt ihr Administratorprotokolle und eine Genehmigungshistorie?
  • Können wir Daten zu Häufigkeit und Trends im Zeitverlauf anzeigen?
  • Können wir Probleme bei der Zustellung vom Nutzerverhalten trennen?

Frage nach Datenschutz und Zugriffskontrolle

  • Können wir einschränken, wer identifizierbare Ergebnisse sieht?
  • Unterstützt ihr anonymisierte oder pseudonymisierte Berichtsmodelle?
  • Können wir Aufbewahrungs- und Löschfristen konfigurieren?
  • Wie unterstützt ihr die EU-Datenschutzanforderungen, ohne falsche rechtliche Behauptungen aufzustellen?

Frag nach sicherem Programmdesign

  • Können wir sensible Lockvogelkategorien blockieren?
  • Können wir eine Genehmigung vor dem Start erzwingen?
  • Wie sorgt ihr dafür, dass das Programm nicht strafend wirkt?
  • Welche Unterstützung bietet ihr für die interne Kommunikation und die Abstimmung mit den Stakeholdern?

Frag nach dem operativen Aufwand

Eine Plattform, die bei der Beschaffung gut aussieht, aber einen ständigen Verwaltungsaufwand verursacht, wird still und leise scheitern.

Frag:

  • Mit wie viel monatlichem Aufwand muss ein normaler Kunde rechnen?
  • Wie werden Neuzugänge, Wechsel und Abgänge gehandhabt?
  • Wie sieht die wiederkehrende Planung aus?
  • Wie schnell können wir nach einer Kampagne eine für die Führungsebene geeignete Zusammenfassung erstellen?

Eine gute NIS2-Antwort ist meist langweilig

Das ist ein Kompliment.

Die beste Antwort auf „Wie gehst du unter NIS2 mit Phishing-Sensibilisierung um?“ ist nicht dramatisch.

Sie klingt meist so:

  • Wir führen ein wiederholbares Sensibilisierungsprogramm durch
  • Wir dokumentieren Umfang und Genehmigungen
  • Wir messen das Meldeverhalten und die Verbesserung im Laufe der Zeit
  • Wir berücksichtigen Datenschutz und das Vertrauen der Mitarbeiter
  • Wir überprüfen die Ergebnisse und passen die Kontrollen an

Das ist die Art von Antwort, die Führungskräfte, Auditoren und Kunden gleichermaßen verstehen können.

FAQ

Verlangt NIS2 Phishing-Simulationen?

Nicht als einzelnes, allheilendes Wundermittel.

Entscheidend ist, dass dein Unternehmen angemessene und verhältnismäßige Sicherheitsmaßnahmen umsetzt, einschließlich Sensibilisierung und Governance, wo dies relevant ist. Phishing-Simulationen können dies unterstützen, sind aber nur eine Kontrollmaßnahme innerhalb eines umfassenderen Programms.

Kann eine Phishing-Simulationsplattform uns NIS2-konform machen?

Nein.

Eine Plattform kann Nachweise, Wiederholbarkeit und einen sichereren Programmablauf unterstützen. Die Compliance hängt von deiner gesamten Kontrollumgebung, der Governance und der Umsetzung ab.

Was ist die nützlichste Phishing-Kennzahl für ein NIS2-konformes Programm?

Meistens nicht die Klickrate allein.

Für viele Teams sind die Melderate, die Zeit bis zur Meldung und Trenddaten über mehrere Zyklen hinweg nützlicher, da sie einen besseren Bezug zur operativen Bereitschaft haben.

Sollten wir strengere Simulationen durchführen, weil der regulatorische Druck höher ist?

Normalerweise nicht.

Eine strengere Kontrolle bedeutet im Allgemeinen, dass du stärkere Leitplanken, klarere Genehmigungen und eine bessere Dokumentation benötigst – nicht aggressivere Täuschungsmanöver.

Was sollten Compliance-Teams von Sicherheitsteams verlangen?

Mindestens:

  • Programmcharta
  • Aufzeichnungen zu Häufigkeit und Genehmigungen
  • Trendberichte
  • Entscheidungen zu Datenschutz und Aufbewahrungsfristen
  • Nachweis, dass die Ergebnisse zu Folgemaßnahmen führen

Willst du ein Phishing-Simulationsprogramm, das Belege liefert, ohne neue Governance-Probleme zu verursachen?

AutoPhish wurde für Teams entwickelt, die sicherere Simulationen, geringen Verwaltungsaufwand, datenschutzbewusste Berichterstattung und eine übersichtlichere Darstellung für Führungskräfte und Compliance-Prüfungen wünschen.

Anmelden

Zurück zu allen Beiträgen

Starte deinen ersten Phishing-Test in 10 Minuten.

Kostenlose Anmeldung — keine Kreditkarte. Probiere Pro 7 Tage gratis, wenn du so weit bist.

Jetzt Simulation startenDemo für ein größeres Team gewünscht? Sprich mit uns →