Zurück zum Blog

Phishing-Simulationsberichte: 12 Funktionen, die Sicherheitsteams vergleichen sollten (Dashboards, Metriken und Audit-Nachweise)

Von Autophish Team|Veröffentlicht am 2/10/2026
Cover image for Phishing-Simulationsberichte: 12 Funktionen, die Sicherheitsteams vergleichen sollten (Dashboards, Metriken und Audit-Nachweise)

Phishing-Simulationen stehen und fallen mit der Berichterstattung.

Nicht mit „schönen Diagrammen“, sondern mit Berichten, die dir helfen

  • Verbesserungen im Laufe der Zeit nachzuweisen (ohne Einzelpersonen zu beschuldigen),
  • zu erkennen, wo Schulungen geändert werden müssen,
  • und Beweise zu liefern, die bei Sicherheitsüberprüfungen und Audits Bestand haben.

Wenn du eine Lösung für Phishing-Simulationen/Sensibilisierungsschulungen evaluierst, findest du in diesem Leitfaden eine Übersicht über die Berichterstattungsfunktionen für Phishing-Simulationen, die für Sicherheitsingenieure, IT-Administratoren, CISOs und Compliance-Teams am wichtigsten sind.

Außerdem erfährst du, was für jede Funktion als „gut“ gilt, sodass du die Tools einheitlich vergleichen kannst.

Wozu dient die Berichterstattung bei Phishing-Simulationen (und wozu nicht)?

Ein ausgereiftes Phishing-Simulationsprogramm nutzt Berichte, um drei Fragen zu beantworten:

  1. Risiko und Verhalten: Erkennen und melden Benutzer verdächtige Nachrichten schneller?
  2. Programmqualität: Trainieren wir die richtigen Dinge (nach Rolle, Region und Bedrohungsmuster)?
  3. Governance und Nachweise: Können wir zeigen, was wir durchgeführt haben, warum wir es durchgeführt haben und was wir aufgrund der Ergebnisse geändert haben?

Was Berichte nicht sein sollten:

  • Eine Rangliste, um jemanden zu überführen
  • Ein Bestrafungsmechanismus
  • Eine Eitelkeitsmetrik (z. B. die Fixierung auf die Klickrate, ohne die Melderate oder die Folge-Schulungen zu betrachten)

Wenn Berichte richtig eingesetzt werden, bilden sie die Verbindung zwischen Sicherheit, IT-Betrieb und Compliance.

Die 12 Funktionen von Phishing-Simulationsberichten im Vergleich

1) Klare KPIs auf Kampagnenebene (nicht nur Ereignisse auf Benutzerebene)

Dein Reporting sollte mindestens folgende Infos pro Kampagne leicht erkennbar machen:

  • Zustellrate (gesendet vs. zugestellt vs. zurückgewiesen)
  • Öffnungsrate (optional, abhängig von E-Mail-Clients und Datenschutzbeschränkungen)
  • Klickrate
  • Melderate (wie viele Benutzer haben die Simulation als verdächtig gemeldet)
  • Abschlussrate für Folgeschulungen

Warum das wichtig ist: Mit KPIs auf Kampagnenebene kannst du gleichartige Durchläufe vergleichen (z. B. „Rechnungsthema” im 1. Quartal vs. 3. Quartal) und vermeidest es, unnötigen Datenmengen hinterherzujagen.

2) Segmentierung nach Rolle, Abteilung und Standort (mit Sicherheitsvorkehrungen)

Sicherheitsteams brauchen Segmentierung, um Schulungen anzupassen:

  • Finanzen vs. Personalwesen vs. IT vs. Führungskräfte
  • Regionen/Sprachen
  • Büroangestellte vs. Remote-Mitarbeiter

Segmentierung birgt aber auch Datenschutzrisiken. Achte auf:

  • konfigurierbare Sichtbarkeit (wer kann was sehen)
  • standardmäßig aggregierte Ansichten
  • die Möglichkeit, einzelne Ergebnisse bei Bedarf zu minimieren oder zu anonymisieren

Wenn Datenschutz in deiner Organisation Priorität hat, schau dir den Ansatz von AutoPhish hier an: https://autophish.io/anonymization

3) Zustellbarkeit und E-Mail-Zustandsberichte

Viele Programme „scheitern stillschweigend” aufgrund der Zustellbarkeit:

  • Nachrichten landen im Spam-Ordner/in der Quarantäne
  • Domains oder die Sendeinfrastruktur werden blockiert
  • Tracking-Funktionen werden entfernt

Eine aussagekräftige Berichterstattung umfasst:

  • Klassifizierung und Trends von Bounces
  • Signale zur Reputation von Domains/Absendern (sofern verfügbar)
  • Ergebnisse pro Empfänger-Domain (z. B. Microsoft 365 vs. Google Workspace)

Tipp: Bevor du Nutzern oder Vorlagen die Schuld gibst, überprüfe dein DNS und deine Ausrichtung. AutoPhish bietet eine schnelle Vorabprüfung: https://autophish.io/dns-check

4) Beweisfreundliche Exporte (PDF) mit einheitlichen Definitionen

Compliance- und Führungsberichte erfordern oft Offline-Artefakte.

Achte auf Folgendes:

  • PDF-Exporte für Vorstands-/Audit-Pakete
  • Konsistente Metrikdefinitionen über einen bestimmten Zeitraum (z. B. was genau als „Klick” zählt)
  • Stabile Identifikatoren für Kampagnen und Vorlagen

Wenn du keine konsistenten Exporte erstellen kannst, kannst du keine glaubwürdigen Verbesserungen nachweisen.

5) Trendansichten, die eine kontinuierliche Verbesserung unterstützen

Eine einzelne Kampagne ist nur eine Momentaufnahme. Gute Berichte zeigen Trends über folgende Zeiträume:

  • Quartale und Jahre
  • rollenbasierte Kohorten
  • Vorlagenthemen (Anmeldeinformationen vs. Zustellungsbenachrichtigungen vs. Dokumentenfreigabe)

Achte auf:

  • gleitende Durchschnitte
  • Kohortenvergleiche
  • saisonale Ansichten (vermeide den Vergleich von Feiertagsperioden mit dem normalen Betrieb)

7) Berichterstattung zum Schulungsworkflow (was passiert nach dem Ereignis)

Eine Phishing-Simulation sollte nicht mit „angeklickt” enden.

Bessere Programme verfolgen, was als Nächstes passiert:

  • automatisch zugewiesene Mikro-Schulungen
  • Überwachung des Abschlusses
  • sich wiederholende Muster (z. B. Benutzer, die wiederholt dieselben Warnsignale übersehen)

Wenn deine Plattform eine Schulungserfahrung beinhaltet, sollte diese durchgängig berichtsfähig sein. Siehe: https://autophish.io/training-platform

8) Bewertung und Risikosignale (vorsichtig, aber nützlich)

Einige Tools erstellen eine „Risikobewertung“. Das kann nützlich sein, wenn:

  • die Berechnung der Bewertung transparent ist
  • sie nicht als Strafe eingesetzt wird
  • sie durch Verhaltensverbesserungen und den Abschluss von Schulungen unterstützt wird

Vermeide Black-Box-Bewertungen, die du der Geschäftsleitung oder dem Betriebsrat nicht erklären kannst.

9) Integrationssignale (Ticketing, SIEM/SOAR, Identität)

Auch wenn du nicht gleich am ersten Tag integrierst, sollte die Berichterstattung die Integration plausibel machen:

  • Verfügbarkeit von Webhooks/APIs (zum Abrufen von Kampagnenergebnissen)
  • Identitätszuordnung (damit du genau segmentieren kannst)
  • Nachweis, dass die Plattform zu deinem Workflow für die Meldung von Vorfällen passt

Berichte, die das Tool nicht verlassen können, sind nutzlos. Kontaktiere uns, um API-Zugriff für AutoPhish zu erhalten!

10) Datenschutzkontrollen und Berichte zur Aufbewahrung

Daten zum Sicherheitsbewusstsein können sensibel sein.

Achte auf Funktionen, die einen verantwortungsvollen Umgang unterstützen:

  • konfigurierbare Aufbewahrungsfristen
  • rollenbasierte Zugriffskontrolle
  • standardmäßig aggregierte Berichterstattung
  • Optionen zur Anonymisierung oder Datenminimierung

Wenn du eine datenschutzorientierte Ausgangsbasis brauchst, fang hier an: https://autophish.io/anonymization

11) „Erklärbarkeit” für Stakeholder außerhalb des Sicherheitsbereichs

CISOs und Compliance-Verantwortliche müssen oft folgende Fragen beantworten:

  • Was haben wir gemacht?
  • Was hat sich geändert?
  • Verbessert das Programm das Risikomanagement?

Die Berichterstattung sollte eine übersichtliche Darstellung enthalten:

  • Zusammenfassung der Kampagne
  • Wichtigste Änderungen seit der letzten Kampagne
  • Empfohlene nächste Schritte auf Grundlage der Ergebnisse

Dies ist eine der größten Lücken bei DIY- und Programmen in der Anfangsphase.

12) Benchmarking (intern > extern)

Externe Benchmarks können irreführend sein, weil sich Unternehmen in folgenden Punkten unterscheiden:

  • Bedrohungsprofil der Branche
  • E-Mail-Sicherheitsstatus
  • Zusammensetzung der Belegschaft

Bevorzugen Sie internes Benchmarking:

  • „Unsere Melderate hat sich nach Änderungen der Richtlinien und Schulungen von X % auf Y % verbessert.“
  • „Die Zeit bis zur Meldung p90 ist um Z Tage gesunken.“

Das ist vertretbar und tatsächlich umsetzbar.

Eine praktische Checkliste zur Bewertung (kopieren/einfügen)

Bewerte jeden Punkt mit 0–2 (0 = fehlt, 1 = teilweise vorhanden, 2 = stark vorhanden):

  • Kampagnen-KPIs umfassen Melderate + Zeit bis zur Meldung
  • Segmentierung mit Zugriffskontrollen vorhanden
  • Zustellbarkeitsberichte sind nutzbar (Bounces, Trends)
  • Exportformate unterstützen Audits (CSV/PDF)
  • Audit-Trail vorhanden (Änderungen + Genehmigungen)
  • Trendansichten unterstützen Vergleiche über einen längeren Zeitraum
  • Es gibt Berichte zu Folgetrainings
  • Das Risiko/die Bewertung ist nachvollziehbar (oder bewusst nicht vorhanden)
  • Es gibt einen Integrationspfad (API/Webhooks)
  • Datenschutz- und Aufbewahrungskontrollen sind konfigurierbar
  • Es gibt eine Zusammenfassung
  • Internes Benchmarking ist einfach

Ein Tool mit einer niedrigeren Klickrate, aber einer höheren Melderate, besserer Governance und besseren Nachweisen ist oft die bessere Wahl in der Praxis.

FAQ

Was ist die wichtigste Kennzahl in Berichten zu Phishing-Simulationen?

Es gibt keine einzelne Kennzahl, aber die Meldequote und die Zeit bis zur Meldung korrelieren oft besser mit der Widerstandsfähigkeit einer Organisation als die Klickrate allein.

Sollten wir Öffnungsraten verfolgen?

Öffnungsraten können aufgrund von Datenschutzmaßnahmen von E-Mail-Clients und Bildblockierungen unzuverlässig sein. Verwende sie mit Vorsicht und konzentriere dich auf die Zustellung, Klicks (sofern messbar), das Meldeverhalten und den Abschluss von Schulungen.

Kann die Berichterstattung über Phishing-Simulationen bei der Einhaltung von ISO 27001, NIS2 oder DSGVO helfen?

Die Berichterstattung kann die Sammlung von Nachweisen und die kontinuierliche Verbesserung unterstützen, aber sie macht dich nicht „konform”. Die Konformität hängt von deinen Richtlinien, deiner Governance, deiner Rechtsgrundlage, deinen Zugriffskontrollen und der Art und Weise ab, wie du das Programm betreibst.

Wie verhindern wir, dass das Reporting zu einem Instrument der Schuldzuweisung wird?

Verwende standardmäßig aggregierte Berichte, beschränke den Zugriff, konzentriere dich auf die Schulungsergebnisse und vermeide individuelle öffentliche Rankings.

Nächster Schritt

Wenn du Plattformen vergleichst und ein Reporting wünschst, das operativ nützlich, datenschutzbewusst und leicht in auditfähige Beweise umzuwandeln ist, ist AutoPhish genau das Richtige für Sicherheitsteams, die ein wiederholbares Programm benötigen.

Zurück zu allen Beiträgen

Bereit, deine menschliche Firewall zu stärken?

Melde dich an und starte deine erste Phishing-Simulation in wenigen Minuten.

Jetzt Simulation startenKontakt aufnehmen