Zurück zum Blog

SaaS-Tools für Phishing-Tests zur Compliance: Was Käufer eigentlich fragen sollten

Die meisten Kaufratgeber in dieser Kategorie vergleichen Vorlagen und Klickraten. Das ist nicht das, worauf Auditoren achten – und es ist auch nicht das, woran Käufer uns bewerten sollen.

Von Autophish Team|Veröffentlicht am 5/22/2026
Cover image for SaaS-Tools für Phishing-Tests zur Compliance: Was Käufer eigentlich fragen sollten

Ein paar Monate nach dem Start von AutoPhish zeigte sich bei Verkaufsgesprächen ein Muster. Die auf Compliance bedachten Käufer – die SOC-2-Leute, die ISO-27001-Leute, die betriebspolitikbewussten Europäer – fragten nicht nach Vorlagen oder Klickraten. Sie fragten etwas viel Langweiligeres: Wie sehen die Nachweise tatsächlich aus, wenn ein Auditor sie anfordert?

Das ist die richtige Frage. Und genau diese Frage fehlt in den meisten öffentlichen Vergleichen von SaaS-Tools für Compliance-Phishing-Tests.

Dieser Beitrag ist ein Einkaufsführer, der aus der Perspektive der Branche selbst verfasst wurde. Es ist das Gespräch, das wir uns wünschen, dass mehr Käufer mit mehr Anbietern führen würden – und das gilt stellenweise auch für uns. Wenn du SaaS-Tools für Compliance-Phishing-Tests evaluierst und deine Auswahlliste schneller eingrenzen möchtest, sind dies die Fragen, die dir dabei helfen.

Hör auf, Anbieter nach Klickraten zu bewerten

Der häufigste Fehler, den wir in dieser Kategorie beobachten – und das sogar bei gut geführten Sicherheitsteams, die es eigentlich besser wissen sollten –, ist, die „Klickrate der Kampagne im Zeitverlauf“ als wichtigste Kennzahl zu betrachten.

Das ist eine nützliche Diagnose. Als Nachweis für die Compliance ist es jedoch völlig ungeeignet.

Ein klarer Abwärtstrend bei der Klickrate sagt einem Auditor so gut wie nichts darüber aus, ob dein Sensibilisierungsprogramm kontrolliert wird. Er verrät ihnen nicht, wer die Kampagne genehmigt hat, wer die namentlichen Ergebnisse sehen konnte, was mit den Personen passiert ist, die geklickt haben, ob jemand nachgeschult wurde oder ob die Daten länger aufbewahrt wurden, als es deine eigenen Richtlinien zulassen.

Der interne Test, auf den wir immer wieder zurückkommen, wenn wir bei AutoPhish Funktionen entwickeln, lautet: Wenn ein SOC-2-Prüfer oder ein Beschaffungsprüfer bei einem Kunden uns bitten würde, dies in fünfzehn Minuten zu demonstrieren, könnten wir das? Diese Messlatte – fünfzehn Minuten, keine panischen Slack-Threads, keine Screenshots von Screenshots – ist ein viel besserer Maßstab für die Priorisierung von Funktionen als „was in einer Demo gut aussehen würde“.

Also: Wenn ein Anbieter mit Dashboards zur Klickrate wirbt, ist das nicht unbedingt ein Warnsignal. Aber es ist ein Zeichen dafür, dass du die nächste Frage selbst stellen musst, denn sie werden es nicht tun.

Was „compliance-ready“ eigentlich bedeutet

Der Begriff wird überstrapaziert. Hier ist, was er in der Praxis bedeutet und was jedes seriöse SaaS-Tool für Compliance-Phishing-Tests einfacher machen sollte, als es ohne wäre:

  1. Wiederkehrende Abläufe. Kampagnen, die in regelmäßigen Abständen geplant sind, statt jedes Quartal heldenhaft von einer Person organisiert zu werden, die kurz vor dem Burnout steht.
  2. Eindeutige Nachweise. Exporte, die ein Prüfer lesen kann, ohne dass du sie interpretieren musst – mit Angaben zu Umfang, Genehmigungen, Ergebnissen und Abhilfemaßnahmen.
  3. Verteidigungsfähige Governance. Rollentrennung, Genehmigungsprotokolle, Admin-Prüfpfade. Die unscheinbaren Mechanismen, dank derer du ohne mit der Wimper zu zucken beantworten kannst: „Wer hat was wann getan?“
  4. Angemessener Umgang mit Daten. Anonymisierung, wo es angebracht ist, konfigurierbare Aufbewahrungsfristen, nachweisbare Löschungen, Sichtbarkeit benannter Ergebnisse, die du verteidigen kannst.

Achte darauf, was nicht auf dieser Liste steht: Vorlagen, KI-generierte Köder, Gamification-Ranglisten, für Führungskräfte ansprechende Heatmaps. Diese Dinge sind in Ordnung. Manche davon sind sogar nützlich. Aber keines davon ist der Grund, warum ein auf Compliance bedachter Käufer eine Plattform einer anderen vorziehen sollte.

Für die ausführlichere Version unserer Sichtweise speziell zum Thema Berichterstattung ist Phishing-Simulationsberichte das, was AutoPhish einer öffentlichen Spezifikation dafür am nächsten kommt, wie gute Nachweise aussehen sollten.

Die Fragen, die du bei einer Demo stellen solltest

Vergiss die Standard-Ausschreibung. Wenn du dreißig Minuten Zeit mit einem Anbieter hast und dir Compliance-Nachweise wichtig sind, solltest du diese Zeit wie folgt nutzen.

„Zeig mir eine Kampagne, die bereits gelaufen ist, und führe mich durch jedes Artefakt, das ein Auditor heranziehen könnte.“

Beobachte, was passiert. Die guten Anbieter zeigen dir einen übersichtlichen Export – Daten, Umfang, wer es genehmigt hat, wer welche Maßnahmen ergriffen hat, welche Folgemaßnahmen zugewiesen wurden, was abgeschlossen wurde. Die schwächeren scrollen durch ein Dashboard, zeigen auf Dinge und sagen: „Du könntest davon einen Screenshot machen.“

Screenshots sind keine Nachweise. Oder besser gesagt, sie sind es – aber sie sind schlechte Nachweise. Leicht anzufechten, mühsam zu reproduzieren, wenn der Prüfer ein Jahr später wiederkommt.

„Wer in unserer Organisation kann sehen, dass Sarah aus der Buchhaltung auf den Link geklickt hat?“

Die meisten Plattformen können diese Frage beantworten. Weniger können sie konfigurierbar beantworten, mit rollenbasierter Sichtbarkeit, die tatsächlich dem entspricht, wie eine echte Organisation ihr Sensibilisierungsprogramm betreibt. Und fast keine macht es einfach, einem Betriebsrat oder einem Datenschutzbeauftragten zu zeigen, dass der Zugriff auf namentliche Ergebnisse von Grund auf eingeschränkt ist und nicht nur auf guten Absichten beruht.

Wenn du in Europa oder an einem anderen Ort mit einer starken Tradition des Datenschutzes für Mitarbeiter tätig bist, ist dies die Frage, die stillschweigend darüber entscheidet, ob dein Programm die Überprüfung übersteht. Mehr zu diesem spezifischen Fehlermodus findest du unter Datenschutzfreundliches Phishing-Training.

„Was passiert, nachdem jemand geklickt hat?“

Die ehrliche Antwort für viele Plattformen lautet: „Wir zeichnen es auf.“ Das ist kein Programm – das ist Überwachung mit einem angehängten Schulungsmodul.

Eine Compliance-konforme Antwort sieht so aus: sofortiges Feedback auf Benutzerseite, eine automatische Folgeaufgabe für das Training, ein dokumentierter Überprüfungsweg für wiederholtes Verhalten und ein geschlossener Kreislauf, der belegt, dass die Korrektur tatsächlich stattgefunden hat. Wenn ein Anbieter diesen Arbeitsablauf nicht ohne Ausflüchte beschreiben kann, wird die Plattform Beweise für das Scheitern liefern, ohne dass Verbesserungen nachweisbar sind – und das ist wirklich schlimmer, als gar kein Programm zu betreiben, denn es dokumentiert dein Problem, ohne deine Reaktion zu dokumentieren.

„Welche Compliance-Behauptungen weigerst du dich aufzustellen?“

Das ist die Frage, die die Anbieter, die die Kategorie verstehen, von denen unterscheidet, die nur auf dem Zug mitfahren.

Die ehrliche Antwort – die, die wir geben und die jeder Anbieter, bei dem es sich lohnt zu kaufen, ebenfalls geben sollte – lautet: Wir machen dich nicht compliant. SaaS-Tools für Compliance-Phishing-Tests helfen dir dabei, Nachweise zu erstellen, die Sensibilisierungs- und Schulungsmaßnahmen innerhalb eines Rahmens wie SOC 2 oder ISO 27001 belegen, der auf etwas wie NIST SP 800-50. Sie zertifizieren dich nicht. Das können sie nicht. Keine Plattform kann das.

Ein Anbieter, der etwas anderes andeutet, geht entweder sorglos mit Worten um oder verkauft dir eine Geschichte. So oder so, das ist das Gespräch, das du höflich beendest.

Wo SaaS wirklich punktet – und wo nicht

Gehostete SaaS-Tools für Compliance-Phishing-Tests punkten wirklich beim operativen Aufwand. Die Arbeit, die E-Mail-Infrastruktur zu betreiben, sich um die Zustellbarkeit zu kümmern, Patches zu installieren, Upgrades durchzuführen und bei Audits die Nachweise zusammenzuflicken, ist real – und meist unsichtbar, bis sie es nicht mehr ist. Eine gehostete Plattform, die diese Dinge als ihr Problem und nicht als deins betrachtet, lässt sich strukturell bei einer Überprüfung leichter verteidigen.

Was SaaS nicht löst und was keine Anbieter-Demo für dich lösen wird:

  • Die politische Arbeit, Personalabteilung, Rechtsabteilung und Betriebsräte darauf abzustimmen, was akzeptabel ist.
  • Die Richtlinienentscheidungen darüber, wer in deiner Organisation namentlich genannte Ergebnisse sieht.
  • Die schwierigere Frage, wozu dein Programm eigentlich dient – Risikominderung, Schulung, Verhaltensänderung, Nachweisführung –, denn das sind unterschiedliche Programme und die Plattformfunktionen, die ihnen dienen, unterscheiden sich.
  • Eure Incident Response, eure E-Mail-Sicherheitsmaßnahmen, eure Identitätskontrollen. Phishing-Simulationen sind ein Sensibilisierungsinstrument, keine kompensierende Kontrollmaßnahme.

Käufer reden sich manchmal ein, dass der Kauf einer Plattform Probleme gelöst hat, bei denen es eigentlich um Zuständigkeiten und Richtlinien ging. Das tut er nie. Das Beste, worauf ihr hoffen könnt, ist, dass die richtige Plattform keine neuen Probleme zu diesem Haufen hinzufügt. Die falsche Plattform wird still und leise neue Probleme schaffen – meist rund um Datenaufbewahrung und Zugriff auf benannte Ergebnisse –, die achtzehn Monate später zutage treten, wenn sich niemand mehr an die ursprüngliche Konfigurationsentscheidung erinnert.

Wenn dein Anwendungsbereich über ein einzelnes Team hinausgeht, ist Enterprise Compliance die Version dieses Leitfadens, die eher für die Beschaffung als für Praktiker geschrieben wurde.

Eine kurze, meinungsstarke Bewertungsrubrik

Wenn du schnell eine Auswahlliste von SaaS-Tools für Phishing-Tests auf Compliance-Konformität bewerten musst, solltest du genau das hier verwenden.

Starke Signale: Nachweise, die du einem Prüfer ohne Nachbearbeitung vorlegen kannst; rollenbasierte Einsicht in benannte Ergebnisse; konfigurierbare Aufbewahrung und Löschung; ein automatisierter Workflow, nachdem jemand geklickt hat; ein Anbieter, der klar sagen kann, was er in Bezug auf Compliance nicht verspricht.

Schwache Signale: Dashboards, die sich auf Klickraten konzentrieren; vage Antworten zu Genehmigungen und Admin-Protokollen; Anonymisierung, die theoretisch existiert, aber nicht in den konfigurierbaren Einstellungen; hoher Aufwand bei jedem Zyklus; jeder Satz, der den Ausdruck „macht dich konform“ enthält.

Die langweiligen Anbieter gewinnen in dieser Kategorie meist. Das ist keine Beschwerde – das ist das gesamte Verkaufsargument.

Der Montag-Test

Wenn du am Anfang dieser Bewertung stehst, ist hier der kleinste nützliche Schritt: Wähle zwei Anbieter aus deiner Auswahlliste aus und bitte jeden von ihnen, dir einen echten Nachweisexport aus einer echten (anonymisierten) Kampagne zu schicken. Kein vorgefertigtes PDF, kein Demo-Dashboard – die tatsächliche Datei, die ein Auditor erhalten würde.

Du wirst aus diesen beiden Anhängen mehr lernen als aus sechs Stunden Demos. Das ist der Test, den wir uns von mehr Käufern wünschen, denn die Anbieter, die ihn nicht bestehen, sind diejenigen, die es für alle anderen schwieriger machen, in dieser Kategorie Fuß zu fassen.

Wenn du sehen möchtest, wie die AutoPhish-Version dieses Exports aussieht, melde dich an – genau darauf basiert das Produkt.

Zurück zu allen Beiträgen

Starte deinen ersten Phishing-Test in 10 Minuten.

Kostenlose Anmeldung — keine Kreditkarte. Probiere Pro 7 Tage gratis, wenn du so weit bist.

Jetzt Simulation startenDemo für ein größeres Team gewünscht? Sprich mit uns →