Zurück zum Blog

Simulierte Phishing-Dienste: Was Sicherheitsteams verlangen sollten (Sicherheit, Datenschutz und Nachweis)

„Simuliertes Phishing“ klingt einfach, bis man versucht, es als tatsächliches Programm statt als einmalige Kampagne auszuführen.

Von Autophish Team|Veröffentlicht am 3/29/2026
Cover image for Simulierte Phishing-Dienste: Was Sicherheitsteams verlangen sollten (Sicherheit, Datenschutz und Nachweis)

Eine gefälschte Phishing-E-Mail zu versenden ist einfach. Ein Simulationsprogramm zu betreiben, das sicher, vertretbar, datenschutzbewusst, betrieblich nachhaltig und für die Führungsebene nützlich ist, ist es nicht. Genau hier scheitern viele Programme. Nicht, weil Sicherheitsteams keinen überzeugenden Köder entwerfen können, sondern weil das umgebende System zur eigentlichen Belastung wird: Genehmigungen, Erwartungen der Mitarbeiter, Zustellung in den Posteingang, Governance, Qualität der Berichterstattung, Nachschulungen und die ständige Frage, ob die Übung die Widerstandsfähigkeit verbessert oder lediglich Lärm erzeugt.

Deshalb sollten Teams aufhören, Phishing-Simulationstools als „E-Mail-Testprodukte“ zu bewerten, und anfangen, sie als operative Kontrollen zu betrachten. Ein guter Phishing-Simulationsdienst ist nicht nur eine Bibliothek mit Vorlagen. Er ist teils Schulungssystem, teils Governance-Workflow, teils Messrahmenwerk und teils Vertrauensvertrag mit den Mitarbeitern.

Dieser Leitfaden erklärt, was Sicherheitsteams von simulierten Phishing-Diensten erwarten sollten, wie man Anbieter bewertet, ohne unnötige Risiken einzugehen, und welche Nachweise ein ausgereiftes Programm für die Führungsebene, Auditoren und interne Stakeholder liefern sollte.

Was sind simulierte Phishing-Dienste eigentlich?

Auf dem Markt bezieht sich der Begriff „simulierte Phishing-Dienste“ in der Regel auf eines von drei Modellen:

  1. Managed Service – der Anbieter plant und führt Kampagnen für dich durch
  2. Plattform – dein Team ist für Design, Planung und Betrieb verantwortlich
  3. Hybridmodell – Self-Service-Tools plus Onboarding, Beratung und optionale verwaltete Ausführung

Diese Kategorien sind wichtig, treffen aber nicht den Kern der Entscheidung.

Die sinnvollere Frage lautet:

Kann dieses Programm sicher, konsistent und glaubwürdig weiterlaufen, auch wenn die Person, die es ursprünglich eingerichtet hat, nicht verfügbar ist?

Dieser Test zeigt, ob du eine echte Kontrollmaßnahme kaufst oder nur ein weiteres Tool, das viel Verwaltungsaufwand erfordert.

Ein ausgereifter Simulated-Phishing-Dienst sollte die Abhängigkeit von einzelnen „Helden“ verringern. Er sollte die Kontrollmaßnahme wiederholbar machen. Er sollte Sicherheitsvorkehrungen in die Arbeitsabläufe einbauen. Er sollte das institutionelle Gedächtnis durch Vorlagen, Genehmigungen, Dokumentation und Berichte bewahren, die auch sechs Monate später noch Sinn ergeben. Und all das sollte er tun, ohne dass Sicherheitsteams dazu gezwungen werden, nebenbei als E-Mail-Betreiber zu arbeiten.

Mit anderen Worten: Was du tatsächlich kaufst, sind keine „gefälschten Phishing-E-Mails“. Du kaufst eine Möglichkeit, eine wiederkehrende Kontrolle von menschlichen Risiken mit akzeptablen Betriebskosten durchzuführen.

Die eigentliche Frage zur Reife: nicht „verwaltet oder Self-Service“, sondern „wie viel betrieblichen Aufwand können wir uns leisten?“

Teams formulieren die Entscheidung oft als „Managed Service“ versus „Plattform“. Das ist zu eng gefasst.

Der praktische Unterschied liegt darin, wie viel von den folgenden Aufgaben dein Team übernehmen will:

  • Szenarioauswahl
  • Zielgruppenabgrenzung
  • Abstimmung mit Rechtsabteilung/HR/Betriebsrat
  • Datenschutzentscheidungen
  • Einrichtung der Zustellung und Fehlerbehebung
  • Kampagnenplanung
  • Helpdesk oder Eskalationsmanagement
  • Gestaltung von Post-Click-Schulungen
  • Erstellung von Nachweisen
  • Quartalsberichte und Trendanalyse

Eine Self-Service-Plattform kann hervorragend sein, wenn du bereits jemanden hast, für den Sensibilisierung eine echte Verantwortung ist und keine Nebenaufgabe. Ein Managed Service kann die bessere Wahl sein, wenn Sensibilisierung wichtig ist, aber intern niemand die Kapazitäten hat, die damit verbundenen Abläufe kontinuierlich zu steuern. Ein Hybridmodell ist oft am besten, wenn du interne Eigenverantwortung wünschst, aber auch Struktur, Einarbeitung und ein Sicherheitsnetz in Spitzenzeiten benötigst.

Entscheide dich für einen Managed Service, wenn

Ein Managed-Modell ist in der Regel sinnvoll, wenn Sensibilisierung zwar notwendig, aber nicht im Mittelpunkt der Aufgaben deines Teams steht.

Typische Anzeichen:

  • dein Sicherheits- oder IT-Team ist klein und bereits überlastet
  • Phishing-Simulationen müssen regelmäßig stattfinden, werden aber immer wieder hinter Aufgaben mit höherer Priorität zurückgestellt
  • das Stakeholder-Management ist ein Engpass, insbesondere bei HR, der Rechtsabteilung, Compliance oder der Arbeitnehmervertretung
  • du vorlegefertige Zusammenfassungen oder Audit-Nachweise benötigst, ohne den Berichtsprozess von Grund auf neu aufbauen zu müssen

Managed Services sind auch dann wertvoll, wenn die unsichtbare Arbeit wichtiger ist als die sichtbare. Die meisten Teams können auf „Kampagne starten“ klicken. Weniger Teams wollen das dahinterstehende Betriebsmodell entwerfen.

Entscheide dich für eine Plattform, wenn

Ein plattformorientierter Ansatz funktioniert gut, wenn du mehr Kontrolle willst und die interne Reife hast, ihn verantwortungsvoll zu nutzen.

Typische Anzeichen:

  • du hast bereits einen Verantwortlichen für das Bewusstsein oder jemanden mit genügend Eigenverantwortung, um ein Programm kontinuierlich zu betreiben
  • du möchtest eine engere Integration mit Identitätssystemen, HRIS oder häufigen Änderungen im Nutzerlebenszyklus
  • du beabsichtigst, rollenbasierte oder szenariobasierte Programme statt generischer Kampagnen durchzuführen
  • du möchtest mit verschiedenen Schulungsansätzen experimentieren und die Ergebnisse nutzen, um das Programm zu optimieren
  • du hast bereits interne Richtlinien, die definieren, was erlaubt ist und was nicht

Eine Plattform bietet Flexibilität, aber Flexibilität ohne Governance führt meist zu Inkonsistenz.

Entscheide dich für ein Hybridmodell, wenn

Das Hybridmodell ist oft die realistischste Lösung.

Es funktioniert besonders gut, wenn:

  • du langfristige interne Eigenverantwortung anstrebst, aber nicht alles von Grund auf neu entwerfen möchtest
  • dein Unternehmen eine erste Struktur, Vorlagen oder Unterstützung bei der Governance benötigt
  • du ein MSP oder ein Betreiber mit mehreren Einheiten bist, der ein einheitliches Modell für alle Kunden oder Tochtergesellschaften wünscht
  • du je nach Quartalsenddruck, Audits oder Personalveränderungen zwischen Selbstbedienung und „Bitte erledige das für uns“ wechseln können musst

Für viele Organisationen ist das Hybridmodell kein Kompromiss. Es ist das ausgereifte Betriebsmodell.

Was „von Haus aus sicher“ eigentlich bedeuten sollte

Ein Anbieter sollte nicht von dir verlangen, dass du deine eigenen ethischen und operativen Leitplanken von Grund auf selbst aufbaust. Diese Leitplanken sollten bereits im Produkt und im Servicemodell vorhanden sein.

Wenn ein Simulationsprogramm nur in den Händen eines erfahrenen Administrators sicher funktioniert, ist es nicht wirklich von Haus aus sicher.

Hier ist, was das in der Praxis bedeuten sollte.

1. Schutzmechanismen, die Schäden an Menschen und Systemen reduzieren

Die erste Frage lautet nicht: „Wie realistisch sind die Simulationen?“ Sondern: „Wie verhindert der Anbieter, dass Realismus zu Leichtsinn wird?“

Sicherheitsteams sollten sich vor Anbietern hüten, die Reife mit Aggressivität gleichsetzen. Übermäßig realistische Simulationen können Verwirrung, Misstrauen, eine Überlastung des Helpdesks oder Reputationsschäden verursachen, ohne bessere Lernergebnisse zu liefern.

Frag nach, wie der Anbieter standardmäßig mit folgenden Punkten umgeht:

  • Keine Erfassung von Zugangsdaten, sofern nicht ausdrücklich begründet und geregelt
    Viele Unternehmen sollten das gar nicht erst brauchen. Wenn das Produkt dies unterstützt, sollte es explizite Kontrollen, Genehmigungen und sichtbare Sicherheitsvorkehrungen geben.

  • Keine Workflows zur Emulation von Malware oder Payloads
    Schulungen sollten das Erkennen, Überprüfen und Melden fördern. Sie sollten riskante Bereitstellungsmechanismen nicht normalisieren oder operationalisieren.

  • Keine als Engagement getarnten Strafmechanismen
    Auf Scham basierende Ranglisten, „Hall of Shame“-Dashboards oder Demütigungsinstrumente für Führungskräfte schaden dem Vertrauen oft schneller, als sie das Verhalten verbessern.

  • Klare Lernmomente nach der Interaktion
    Ein Klick sollte zu sofortigem, kontextspezifischem Lernen führen: Welche Hinweise wurden übersehen, was hätte Zweifel wecken sollen und wie hätte man besser reagieren können?

  • Ein klarer Eskalationsweg, wenn Mitarbeiter die Simulation für einen echten Vorfall halten
    Das ist kein Umgang mit Ausnahmefällen. Es ist eine Kernanforderung. Wenn jemand eine Simulation als echt meldet oder eskaliert, sollte der Prozess klar, schnell und nicht chaotisch sein.

Ein erfahrener Anbieter versteht, dass der Sinn einer Simulation nicht darin besteht, Menschen so effektiv wie möglich zu täuschen. Der Sinn besteht darin, das Urteilsvermögen unter realistischen Bedingungen zu verbessern und gleichzeitig das Vertrauen und die operative Kontrolle zu wahren.

Wenn du dich eingehender mit der Gestaltung von Berichten befassen möchtest, ohne falsche Anreize zu schaffen, lies Phishing-Simulationsberichte: 12 Funktionen, die Sicherheitsteams vergleichen sollten (Dashboards, Kennzahlen und Audit-Nachweise).

2. Ein Datenschutzkonzept, das du intern verteidigen kannst

Die meisten Teams sprechen zu spät über Datenschutz, meist erst nach der Beschaffung oder nach der ersten unangenehmen Reaktion eines Mitarbeiters.

Das ist verkehrt herum.

Das Datenschutzmodell eines Phishing-Simulationsprogramms sollte vor der Tool-Auswahl festgelegt werden, denn es bestimmt, was „Erfolg“ überhaupt bedeutet. Manche Organisationen wollen namentliche Daten für gezieltes Coaching. Andere wünschen sich Berichte auf Teamebene oder anonymisierte Berichte, da Vertrauen, Erwartungen des Betriebsrats oder die interne Kultur eine individuelle Überwachung kontraproduktiv machen.

Keines der Modelle ist automatisch das richtige. Entscheidend ist, dass der Anbieter das Modell unterstützt, das du verteidigen kannst.

Ein glaubwürdiger Anbieter sollte mindestens Folgendes unterstützen:

  • Datenminimierung
    Sammle nur Daten, die für den Schulungszweck erforderlich sind, und nicht jedes messbare Ereignis, nur weil die Plattform dazu in der Lage ist.

  • konfigurierbare Aufbewahrungsdauer
    Alte detaillierte Kampagnendaten sollten nicht standardmäßig für immer gespeichert bleiben. Teams sollten in der Lage sein, detaillierte Datensätze zu löschen, während Aggregate oder Trendübersichten erhalten bleiben.

  • granulare rollenbasierte Zugriffskontrolle
    Der Zugriff auf namentlich genannte Ergebnisse, Trendansichten und administrative Aktionen sollte nach Rolle eingeschränkt sein. Die administrative Einsicht sollte nicht nach dem Alles-oder-Nichts-Prinzip funktionieren.

  • Nachvollziehbarkeit von Zugriffen und Änderungen
    Wenn sensible Ergebnisse einsehbar sind, sollte man nachweisen können, wer wann auf welche Daten zugegriffen hat.

  • Transparenz in einfacher Sprache
    Mitarbeiter sollten verstehen können, was gemessen wird, warum es gemessen wird, wie lange Daten aufbewahrt werden und wer sie einsehen kann.

  • Unterstützung für anonymisierte oder pseudonymisierte Modi
    Das ist nicht nur ein „nettes Extra“ für Umgebungen mit starkem europäischem Einfluss. In vielen Organisationen entscheidet dies darüber, ob ein Programm akzeptiert oder abgelehnt wird.

Das zugrunde liegende Problem ist nicht nur das rechtliche Risiko. Es geht um Legitimität. Ein Programm, das technisch konform ist, aber kulturell auf Misstrauen stößt, wird es schwer haben, echtes Engagement zu erzeugen.

Wenn du in Umgebungen mit starker Arbeitnehmervertretung oder strengeren internen Erwartungen tätig bist, lies Datenschutzfreundliches Phishing-Training: Betriebsräte, Einwilligung und DSGVO-Grundlagen.

3. Nachweise, die sich auf erkennbare Kontrollsprache beziehen

Simuliertes Phishing sorgt nicht von selbst für Compliance. Es erfüllt nicht auf magische Weise die Anforderungen von Frameworks. Es beweist nicht, dass die Nutzer „sicher“ sind.

Was es jedoch leisten kann, wenn es gut konzipiert ist, ist der Nachweis, dass du eine Sensibilisierungsmaßnahme mit Governance, regelmäßiger Durchführung und kontinuierlicher Verbesserung durchführst.

Dieser Unterschied ist wichtig. Auditoren und Führungskräfte interessieren sich in der Regel weniger für spektakuläre Kampagnenergebnisse als dafür, ob die Maßnahme bewusst, dokumentiert und nachhaltig ist.

Eine nützliche Möglichkeit, das Programm zu gestalten, besteht darin, es auf etablierte Erwartungen an Sensibilisierung und Schulung abzustimmen. Zum Beispiel behandelt das NIST Sensibilisierung und Schulung als formelle Kontrollfamilie in NIST SP 800-53 Rev. 5.

Was Führungskräfte und Auditoren normalerweise sehen wollen, ist banaler, als viele Anbieter vermuten lassen:

  • eine dokumentierte Sensibilisierungsrichtlinie oder Programmbeschreibung
  • Zuständigkeit und Rechenschaftspflicht
  • ein festgelegter Rhythmus
  • Aufzeichnungen über Genehmigungen oder Governance-Entscheidungen
  • Dokumentation der verwendeten Szenarien oder Schulungsinhalte
  • Zusammenfassungen der Ergebnisse im Zeitverlauf
  • Nachweise dafür, dass die Ergebnisse bestimmte Folgeaktionen ausgelöst haben

Dieser letzte Punkt ist besonders wichtig. Ein ausgereiftes Programm misst nicht nur Verhalten. Es verändert etwas auf der Grundlage dessen, was es lernt. Vielleicht ist ein bestimmter Genehmigungsprozess schwach. Vielleicht brauchen Finanzteams eine strengere Rückrufregel. Vielleicht übersehen Mitarbeiter wiederholt denselben Hinweis in Nachrichten zum Thema Rechnungen. Der nützliche Beweis ist nicht nur, dass Leute geklickt haben. Es ist, dass sich die Organisation angepasst hat.

4. Berichterstattung, die einer genauen Prüfung standhält

Viele Dashboards sind optisch ausgefeilt und operativ schwach.

Ein Dashboard ist kein Beweis, nur weil es Diagramme enthält. Eine Kennzahl ist nicht aussagekräftig, nur weil sie leicht zu zählen ist. Und ein Quartalsbericht ist nutzlos, wenn niemand erklären kann, was die Zahlen tatsächlich bedeuten.

Sicherheitsteams sollten Anbieter in Bezug auf die Berichtsqualität viel stärker unter Druck setzen, als sie es normalerweise tun.

Zumindest sollte die Berichterstattung:

  • exportierbar sein
    Du solltest deine Nachweise nicht per Screenshot festhalten müssen.

  • über die Zeit hinweg konsistent
    Ein Bericht im nächsten Quartal sollte strukturell mit dem Bericht dieses Quartals vergleichbar sein.

  • definiert
    Jede Schlüsselkennzahl sollte mit einer Definition und bekannten Einschränkungen versehen sein.

  • interpretierbar
    Ein Stakeholder sollte verstehen, was sich geändert hat und warum es wichtig ist.

  • handlungsorientiert
    Die Ergebnisse sollten auf nächste Schritte hinweisen, nicht nur auf vergangene Ereignisse.

Wenn du Berichte bewertest, bitte den Anbieter um Erläuterung:

  • wie er Zustell-, Öffnungs-, Klick-, Berichts- und Abschlussereignisse definiert
  • welche technischen Störfaktoren diese Zahlen verfälschen können
  • wie er mit E-Mail-Sicherheitstools, Bild-Proxying, Safe-Link-Umschreibung oder automatisierten Vorschauen umgeht
  • ob die „Öffnungsrate“ als aussagekräftig oder lediglich als verfügbar angesehen wird
  • wie sich Kennzahlen im anonymisierten oder pseudonymisierten Modus verhalten
  • ob Berichte Trends auf Teamebene, rollenbasierte Ansichten und Längsschnittanalysen unterstützen

In der Praxis sind die irreführendsten Kennzahlen oft die bequemsten. Öffnungen sind bekanntermaßen verrauscht. Rohe Klickraten ohne Kontext können ebenfalls irreführend sein, insbesondere wenn sich die Szenarien im Schwierigkeitsgrad unterscheiden oder wenn sich das Meldeverhalten verbessert hat, auch wenn die Klicks nicht sofort zurückgingen.

Gute Berichte helfen dir bei der Beantwortung folgender Fragen: Erkennen Nutzer Hinweise besser? Melden sie schneller? Häufeln sich wiederholte Fehler um bestimmte Themen oder Rollen? Lernt die Organisation dazu?

Schlechte Berichterstattung liefert dir lediglich eine hübschere Version von „X Personen haben versagt“.

Was du Anbieter fragen solltest, wenn du die tatsächlichen Betriebskosten aufdecken willst

Viele Kosten zeigen sich erst nach Vertragsunterzeichnung. Die richtigen Fragen bei der Demo decken sie frühzeitig auf.

Programmablauf

Frag:

  • Wie lange dauert es, eine Kampagne von Anfang bis Ende zu starten, einschließlich Genehmigungen?
  • Können wir unsere eigenen Sicherheitsvorkehrungen in wiederverwendbare Vorlagen oder Richtlinieneinstellungen einbauen?
  • Welche Teile des Workflows sind tatsächlich automatisiert, und was erfordert noch manuelle Verwaltungsarbeit?
  • Was passiert, wenn jemand eine Simulation mit einem echten Vorfall verwechselt?
  • Wie werden Ausnahmen für sensible Gruppen, Führungskräfte oder Sonderfälle behandelt?

Diese Fragen zeigen, ob das Produkt ein Programm unterstützt oder nur eine Funktion.

E-Mail-Zustellung, ohne dein Team in Mail-Ingenieure zu verwandeln

Die Zustellung ist oft der Punkt, an dem die Begeisterung verpufft.

Frag:

  • Welche Absenderdomains werden verwendet und wer kontrolliert sie?
  • Welche Maßnahmen zur Zustellbarkeit werden von uns erwartet?
  • Wie verringert ihr das Risiko von Verwechslungen mit echten Vorfällen oder interner Kommunikation?
  • Wie geht der Anbieter mit Sicherheitstools um, die Links umschreiben, Nachrichten in der Vorschau anzeigen oder das Öffnen automatisch auslösen?
  • Welche operativen Leitlinien gibt es für die Koexistenz mit sicheren E-Mail-Gateways und Mailbox-Schutzmaßnahmen?

Eine gute Antwort sollte anerkennen, dass die Zustellung im absoluten Sinne nie „einmal einrichten und vergessen“ ist, aber auch zeigen, dass der Anbieter seine Lösung auf diese Realität abgestimmt hat.

Identität und Benutzerlebenszyklus

Frage:

  • Wie werden Benutzer hinzugefügt, aktualisiert und entfernt?
  • Kann der Zugriffsbereich nach Rolle, Abteilung, Einheit, Standort oder anderen organisatorischen Attributen gesteuert werden?
  • Was passiert, wenn sich die Organisationsstruktur ändert?
  • Wie wird mit ausscheidenden Mitarbeitern umgegangen?
  • Können verteilte Administratoren in separaten Bereichen arbeiten, ohne den gesamten Überblick zu haben?

Dies ist besonders wichtig, wenn du Tochtergesellschaften, von Partnern betriebene Umgebungen oder MSP-ähnliche Anwendungsfälle hast.

Datenschutz und Governance

Frage:

  • Welche Daten werden standardmäßig erfasst?
  • Welche Daten sind optional?
  • Wie wird der Zugriff eingeschränkt und protokolliert?
  • Kann die Aufbewahrungsdauer ohne Support-Tickets oder individuelle Verträge konfiguriert werden?
  • Welche Transparenzmaterialien stehen für die interne Kommunikation zur Verfügung?
  • Können benannte und anonymisierte Modi auf geregelte Weise nebeneinander existieren, wenn verschiedene Teile der Organisation unterschiedliche Ansichten benötigen?

Eine vage Antwort ist hier meist ein schlechtes Zeichen.

Warnsignale, die Sicherheitsteams stutzig machen sollten

Ein Anbieter von Phishing-Simulationen sollte organisatorische Reibungsverluste und Risiken reduzieren. Wenn während der Evaluierung das Gegenteil der Fall zu sein scheint, solltest du diesem Signal Glauben schenken.

Sei vorsichtig, wenn du eines der folgenden Anzeichen siehst:

„Maximaler Realismus“ wird als Ersatz für gutes Design verwendet

Realismus ist wichtig, aber er ist nicht dasselbe wie Wirksamkeit. Ein Anbieter, der davon besessen ist, wie überzeugend er Nutzer täuschen kann, investiert möglicherweise zu wenig in Sicherheit, Lerndesign oder Governance.

Bestrafung wird als Verantwortlichkeit dargestellt

Wenn das Beteiligungsmodell des Programms auf Blamage, Eskalation oder öffentlicher Demütigung durch Führungskräfte basiert, kaufst du dir wahrscheinlich eher einen kurzfristigen Emotionsschub als eine dauerhafte Verhaltensverbesserung.

Die Berichterstattung sieht auf dem Bildschirm beeindruckend aus, ist aber inhaltlich schwach

Wenn Berichte nicht sauber exportiert, klar erklärt oder über einen längeren Zeitraum verglichen werden können, wird das Programm bei Audits und Gesprächen mit der Führungsebene Probleme haben.

Antworten zum Datenschutz sind vage oder vom Support abhängig

Wenn Löschungen, Änderungen bei der Aufbewahrungsdauer oder Zugriffskontrollen improvisiert wirken, kannst du davon ausgehen, dass sie später zu Problemen führen werden.

Der Kunde wird zum Workflow-Motor

Wenn die einzige Möglichkeit, das Programm zuverlässig zu betreiben, darin besteht, Tabellen, manuelle Zeitpläne und Nebenkanal-Dokumentation zu pflegen, reduziert das Tool den Betriebsaufwand nicht. Es verlagert ihn lediglich.

Ein Rollout-Ansatz, der in den meisten Organisationen funktioniert

Teams machen den ersten Rollout oft unnötig kompliziert. Die Versuchung ist groß, sofort hochrealistische Szenarien zu entwerfen und die erste Kampagne wie einen Stresstest zu behandeln.

Das ist meistens ein Fehler.

Das Ziel der ersten Phase ist kein theatralischer Realismus. Es geht darum, Legitimität, einen Rhythmus und einen geschlossenen Feedback-Kreislauf zu etablieren.

Woche 1: Definiere die operativen Grenzen

Entscheide vor der ersten Kampagne:

  • welche Szenarien zulässig sind
  • welche Szenarien unzulässig sind
  • wie die Ergebnisse ausgewertet werden
  • wer Zugriff hat
  • wie lange Daten aufbewahrt werden
  • wie das Programm intern beschrieben wird
  • wie Berichte über „mögliche echte Vorfälle“ behandelt werden

Das ist die Grundlage. Überspringst du das, wird die erste Kampagne zu einer Diskussion über Absichten statt zu einer Lernübung.

Wochen 2–3: Führe eine unspektakuläre Basislinie durch

Beginne mit einem Szenario, das ein oder zwei Hinweise klar vermittelt, anstatt zu versuchen, einen ausgeklügelten Angriff perfekt nachzuahmen.

Konzentriere dich auf:

  • die Etablierung der Programmabläufe
  • die Beobachtung des Meldeverhaltens
  • die Überprüfung, ob das Post-Click-Training konstruktiv wirkt
  • das Testen interner Eskalations- und Kommunikationswege
  • die Erstellung deines ersten Basisberichts

Die erste erfolgreiche Kampagne ist die, die Klarheit und Vertrauen schafft, nicht die mit der höchsten Klickrate.

Woche 4: Schließe den Kreis öffentlich und ruhig

Eine ausgereifte Einführung schließt den Kreis.

Dazu kann gehören:

  • zusammenzufassen, welche Hinweise häufig übersehen wurden
  • einfache Erkenntnisse zu teilen
  • einen Prozess oder eine Richtlinie auf Basis der Ergebnisse anzupassen
  • den Rhythmus für die nächste Kampagne festzulegen
  • zu zeigen, dass das Ziel die Verbesserung der Organisation ist, nicht die Bloßstellung der Mitarbeiter

Hier wird das Vertrauen entweder gestärkt oder beschädigt. Wenn Mitarbeiter sehen, dass die Übung zu nützlichen Leitlinien statt zu Schuldzuweisungen geführt hat, verbessert sich die langfristige Beteiligung.

Was die besten Programme tatsächlich zu messen versuchen

Ein häufiger Fehler bei Phishing-Simulationen ist die Annahme, dass die entscheidende Frage lautet: „Wer hat geklickt?“

Das ist nur ein Teil des Gesamtbildes und oft nicht der wichtigste Teil.

Sinnvollere Fragen sind zum Beispiel:

  • Melden Mitarbeiter verdächtige Nachrichten häufiger?
  • Melden sie sie schneller?
  • Wiederholen sich dieselben Fehler oder verschieben sich die Muster?
  • Benötigen bestimmte Rollen oder Teams bessere Prozessunterstützung und nicht nur mehr Schulungen?
  • Führen die Simulationen zu Veränderungen im Überprüfungsverhalten?
  • Wird die Organisation besser darin, riskante Handlungen zu unterbinden, bevor sie zu einem Vorfall werden?

Deshalb konzentrieren sich ausgereifte Programme mehr auf die Qualität der Reaktion und Lernsignale als auf Metriken, bei denen es nur darum geht, jemanden zu erwischen und zu beschuldigen.

FAQ

Sind simulierte Phishing-Dienste dasselbe wie Schulungen zur Sicherheitssensibilisierung?

Nicht unbedingt.

Manche Anbieter bündeln beides. Andere konzentrieren sich hauptsächlich auf Simulationen. Aber die bessere Unterscheidung ist die zwischen Aktivität und Ergebnis.

Eine Plattform, die Kampagnen versendet, aber keine messbare Verhaltensänderung bewirkt, ist kein richtiges Schulungssystem. Umgekehrt arbeitet ein Anbieter, der Simulationen mit unmittelbaren, relevanten Lernmomenten und guter Berichterstattung kombiniert, viel näher an einer echten Sensibilisierungskontrolle.

Die entscheidende Frage ist nicht, ob Inhalte vorhanden sind. Es geht darum, ob das Programm das Verhalten messbar verändert.

Können Phishing-Simulationen das Vertrauen der Mitarbeiter beeinträchtigen?

Das können sie, wenn sie geheimnisvoll, strafend oder nicht auf die Unternehmenskultur abgestimmt sind.

Vertrauen lässt sich viel leichter bewahren, wenn das Programm in seinen Zielen transparent ist, konservative Standard-Sicherheitsvorkehrungen hat und sich auf das Lernen statt auf Demütigung konzentriert. Datenschutzbewusste Berichterstattung, klare Kommunikation und respektvolle Nachverfolgung sind genauso wichtig wie die technische Qualität.

Welche Kennzahlen sind am wichtigsten?

Die nützlichsten Kennzahlen sind in der Regel:

  • Melderate
  • Zeit bis zur Meldung
  • Wiederkehrende Risikomuster
  • Szenario- oder hinweisspezifische Schwachstellen
  • Trendentwicklung im Zeitverlauf

Öffnungsraten sind oft technisch verzerrt. Rohe Klickraten können ebenfalls irreführend sein, wenn sie isoliert betrachtet werden. Die sinnvollere Frage lautet nicht „Wie viele haben geklickt?“, sondern „Was haben wir gelernt und was hat sich danach geändert?“

Müssen Simulationen sehr realistisch sein, um zu funktionieren?

Nein.

Realismus hilft nur so lange, wie er das Lernen verbessert. Jenseits dieses Punktes kann er Verwirrung und organisatorische Kosten erhöhen, ohne einen entsprechenden Nutzen zu bringen. Ein progressives Modell ist meist besser: Beginne klar und einfach, steigere dann im Laufe der Zeit die Komplexität, während du dich innerhalb der vereinbarten Grenzen bewegst.

Wie sollten wir bei Audits oder Bewertungen über Phishing-Simulationen sprechen?

Vermeide es zu behaupten, dass ein Phishing-Test allein schon Compliance schafft.

Eine bessere Formulierung ist, dass das Programm den Nachweis einer geregelten Sensibilisierungsmaßnahme liefert durch:

  • Richtlinien und Verantwortlichkeiten
  • planmäßige Durchführung
  • dokumentierte Ergebnisse
  • aufbewahrte Nachweise
  • kontinuierliche Verbesserung

Das ist eine stärkere und besser vertretbare Position.

Was Sicherheitsteams letztendlich fordern sollten

Ein starker Phishing-Simulationsdienst sollte mehr leisten, als nur überzeugende Köder zu versenden.

Er sollte deinem Unternehmen helfen, eine wiederholbare Kontrollmaßnahme durchzuführen, die:

  • standardmäßig sicher ist
  • von Grund auf datenschutzbewusst gestaltet ist
  • betrieblich nachhaltig ist
  • gegenüber der Führungsebene erklärbar ist
  • gegenüber Auditoren vertretbar ist
  • für Mitarbeiter glaubwürdig ist

Das ist der Maßstab, den du bei Bewertungen anlegen solltest.

Denn der eigentliche Fehler bei Phishing-Simulationsprogrammen ist selten, dass „uns Vorlagen fehlten“. Der Fehler besteht darin, dass das Programm still und leise zu manuell, zu laut, zu strafend, zu vage oder zu schwer zu verteidigen wird. An diesem Punkt hört es auf, eine Kontrollmaßnahme zu sein, und wird zu einer Quelle interner Reibung.

Die Anbieter, die es wert sind, ernst genommen zu werden, sind diejenigen, die diese Reibung reduzieren und gleichzeitig messbare Lernergebnisse und glaubwürdige Nachweise liefern.

Bist du bereit, simuliertes Phishing sicher durchzuführen?

AutoPhish wurde für standardmäßig sichere Phishing-Simulationen entwickelt, die Teams dabei helfen, das menschliche Risiko zu reduzieren, ohne das Bewusstsein für Sicherheitsrisiken in eine Schuldzuweisungsmaschine oder einen Nebenjob für ohnehin schon überlastete Administratoren zu verwandeln.

  • Führe Simulationen mit klaren Leitplanken durch
  • Schütze die Privatsphäre und das Vertrauen der Mitarbeiter
  • Erstelle Berichte, die Führungskräfte und Auditoren tatsächlich nutzen können
  • Halte den operativen Aufwand niedrig genug, um das Programm aufrechtzuerhalten

Denn ein Phishing-Programm funktioniert nur, wenn es sowohl effektiv als auch durchführbar bleibt.

Zurück zu allen Beiträgen

Bereit, deine menschliche Firewall zu stärken?

Melde dich an und starte deine erste Phishing-Simulation in wenigen Minuten.

Jetzt Simulation startenKontakt aufnehmen