Phishing-Simulationen für Unternehmen — Mitarbeiter als stärkste Verteidigungslinie

Die IT-Budgets vieler sächsischer kleiner und mittelständischer Unternehmen (KMU) fließen historisch bedingt fast ausschließlich in technische Maßnahmen: Firewalls, Virenscanner und Spam-Filter. Doch die Taktiken der Cyberkriminellen haben sich drastisch verändert. Der einfachste Weg in Ihr Unternehmensnetzwerk führt heute nicht mehr über das Knacken einer Firewall, sondern über den Klick eines Mitarbeiters.

Der Faktor Mensch: Die „Human Firewall“

Social Engineering, insbesondere in Form von Phishing-E-Mails oder CEO-Fraud (Chef-Masche), ist die Hauptursache für erfolgreiche Ransomware-Angriffe. Täter nutzen psychologische Tricks, erzeugen Zeitdruck oder fälschen E-Mail-Absender so täuschend echt, dass selbst technische Filter versagen.

Phishing-Simulationen als Trainingsinstrument

Ein modernes ISMS, wie es von der ISO 27001 oder der NIS-2-Richtlinie gefordert wird, setzt daher massiv auf das „Awareness Training“ (Sensibilisierung) der Mitarbeiter. Ein hochwirksames Instrument sind dabei geführte Phishing-Simulationen.

• Der Ablauf: Dabei werden harmlose, aber realistisch gestaltete Phishing-Mails (z.B. angebliche Passwort-Resets oder Paketbenachrichtigungen) an die Belegschaft gesendet.
• Der Lerneffekt: Klickt ein Mitarbeiter auf den Link, passiert nichts Schlimmes. Stattdessen landet er auf einer Aufklärungsseite („Teachable Moment“), die ihm genau zeigt, woran er den Betrugsversuch hätte erkennen können.
• Messbarkeit: Das Management erhält (anonymisierte) Auswertungen über die Klickraten und kann so den Erfolg der Schulungsmaßnahmen messen und nachweisen – ein wichtiger Punkt für jedes Audit.

Die DATUREX GmbH konzipiert solche Kampagnen spezifisch für Ihr Unternehmen und integriert sie nahtlos in Ihre Sicherheitsstrategie.

---

IT-Sicherheit für Ihr Unternehmen in Sachsen

Bedrohungen und Cyberangriffe zeigen täglich, wie wichtig ein vollständiges Informationssicherheits-Managementsystem (ISMS) ist. Als zertifizierter externer Informationssicherheitsbeauftragter (ISB) und spezialisierter IT-Dienstleister in Dresden und ganz Sachsen unterstützt die DATUREX GmbH Sie bei der vorausschauenden Absicherung Ihrer Systeme. Wir bereiten Sie effizient auf Audits nach ISO 27001, TISAX und BSI IT-Grundschutz vor und helfen Ihnen bei der rechtssicheren Umsetzung der NIS-2-Richtlinie. Kontaktieren Sie uns für ein unverbindliches Beratungsgespräch.

Die DATUREX GmbH vereint Datenschutzberatung, Informationssicherheit und KI-Lösungen unter einem Dach.

Neu: IT-Sicherheitskonzept | KRITIS-Beratung | Schwachstellenanalyse | IT-Notfallmanagement | IT-Sicherheitsaudit

Warum Phishing-Simulationen unverzichtbar sind

Über 90 Prozent aller Cyberangriffe beginnen mit einer Phishing-E-Mail. Technische Schutzmaßnahmen wie Firewalls und Spam-Filter fangen zwar einen Großteil ab, aber die raffiniertesten Angriffe schaffen es durch jede technische Barriere. Der Mensch ist die letzte Verteidigungslinie — und genau hier setzen Phishing-Simulationen an.

Eine Phishing-Simulation testet unter realistischen Bedingungen, wie Ihre Mitarbeiter auf gefälschte E-Mails reagieren. Klicken sie auf verdächtige Links? Geben sie Zugangsdaten auf gefälschten Seiten ein? Melden sie verdächtige E-Mails? Die Ergebnisse liefern wertvolle Erkenntnisse für gezielte Security Awareness Trainings.

Ablauf einer Phishing-Simulation

Phase 1: Planung und Baseline

Zunächst wird der aktuelle Sicherheitsstand erfasst. Wie hoch ist die Klickrate bei einer ersten unangekündigten Simulation? Typische Baseline-Werte liegen bei 20-30 Prozent — das heißt, jeder dritte bis fünfte Mitarbeiter klickt auf den Phishing-Link. Diese Baseline dient als Referenz für die Fortschrittsmessung.

Phase 2: Simulation durchführen

Realistische Phishing-E-Mails werden an definierte Mitarbeitergruppen versendet. Die Szenarien reichen von einfachen Paketbenachrichtigungen über gefälschte IT-Support-Mails bis zu gezieltem Spear-Phishing. Jede Interaktion wird anonym protokolliert.

Phase 3: Auswertung und Schulung

Die Ergebnisse werden analysiert: Klickrate, Credential-Eingabe-Rate, Meldequote. Mitarbeiter die auf die Simulation hereingefallen sind, erhalten sofort ein Lernmodul mit Erklärung. Es geht nicht um Bestrafung, sondern um Lernen.

Phase 4: Wiederholung und Verbesserung

Phishing-Simulationen sollten regelmäßig wiederholt werden — idealerweise monatlich mit variierenden Szenarien. Die Klickrate sinkt typischerweise von 25 Prozent auf unter 5 Prozent innerhalb von 6-12 Monaten.

Arten von Phishing-Simulationen

Standard-Phishing: Massenmails mit generischen Themen (Paket, Gewinnspiel, Passwort-Reset). Einfachstes Level, ideal für den Einstieg.

Spear-Phishing: Gezielte Angriffe auf bestimmte Personen oder Abteilungen mit personalisierten Inhalten. Deutlich schwerer zu erkennen.

Vishing (Voice Phishing): Telefonische Angriffe, bei denen sich Anrufer als IT-Support, Bank oder Behörde ausgeben.

Smishing (SMS Phishing): Phishing per SMS oder Messenger mit gefälschten Links.

USB-Drop: Präparierte USB-Sticks werden an strategischen Stellen platziert. Wer steckt sie in den Rechner?

Phishing-Simulation Tools

Professionelle Phishing-Simulation-Plattformen bieten vorgefertigte Templates, automatische Kampagnen und detailliertes Reporting. Zu den führenden Anbietern gehören KnowBe4, Cofense PhishMe, Proofpoint Security Awareness, Barracuda PhishLine und die Open-Source-Lösung Gophish. DATUREX setzt auf bewährte Enterprise-Plattformen und passt die Szenarien individuell an Ihr Unternehmen an.

Häufig gestellte Fragen

Ist eine Phishing-Simulation legal?

Ja, wenn sie vom Arbeitgeber autorisiert ist und die Ergebnisse anonymisiert ausgewertet werden. Der Betriebsrat sollte vorab informiert werden. Die Simulation dient der IT-Sicherheit und ist durch das berechtigte Interesse des Arbeitgebers gedeckt.

Wie oft sollte man Phishing-Simulationen durchführen?

Idealerweise monatlich mit wechselnden Szenarien. Mindestens vierteljährlich, um den Lerneffekt aufrechtzuerhalten. Einmalige Simulationen haben nur kurzfristigen Effekt.

Was kostet eine Phishing-Simulation?

Die Kosten hängen von der Unternehmensgröße und der gewählten Plattform ab. Für KMU beginnen die Kosten bei etwa 2 bis 5 Euro pro Mitarbeiter und Monat. Kontaktieren Sie DATUREX für ein individuelles Angebot.

Phishing-Statistiken: Die aktuelle Bedrohungslage

Die Zahlen sprechen eine deutliche Sprache: Laut dem BSI-Lagebericht 2025 ist Phishing der häufigste initiale Angriffsvektor bei Cyberangriffen auf deutsche Unternehmen. Die wichtigsten Kennzahlen im Überblick:

• 91 Prozent aller erfolgreichen Cyberangriffe beginnen mit einer Phishing-E-Mail
• 36 Prozent aller Datenschutzverletzungen in Deutschland sind auf Phishing zurückzuführen
• Die durchschnittlichen Kosten eines erfolgreichen Phishing-Angriffs auf ein mittelständisches Unternehmen liegen bei über 150.000 Euro
• Die Zahl der gemeldeten Phishing-Vorfälle in Sachsen hat sich seit 2022 mehr als verdoppelt
• Nur 3 Prozent der KMU in Deutschland führen regelmäßige Phishing-Simulationen durch

Besonders alarmierend: Die Qualität der Phishing-E-Mails hat sich durch den Einsatz von künstlicher Intelligenz massiv verbessert. Grammatikfehler und sprachliche Auffälligkeiten — einst die typischen Erkennungsmerkmale — werden zunehmend seltener. Umso wichtiger ist es, Mitarbeiter durch realistische Simulationen auf die neuen Angriffsmuster vorzubereiten.

Social Engineering Methoden: Über Phishing hinaus

Phishing ist nur eine von vielen Social-Engineering-Techniken, die Cyberkriminelle einsetzen. Ein vollständiges Security Awareness Programm muss alle gängigen Methoden abdecken:

CEO-Fraud (Business Email Compromise)

Bei dieser Methode geben sich Angreifer als Geschäftsführer oder Vorstand aus und fordern Mitarbeiter per E-Mail zu dringenden Überweisungen auf. Die E-Mails wirken authentisch und erzeugen enormen Zeitdruck. In Deutschland wurden seit 2020 mehrere Fälle mit Schäden von über einer Million Euro dokumentiert — auch in sächsischen Unternehmen.

Pretexting

Der Angreifer konstruiert ein glaubwürdiges Szenario (Pretext), um an vertrauliche Informationen zu gelangen. Beispiel: Ein angeblicher IT-Techniker ruft an und bittet um Zugangsdaten für eine „dringende Wartung“. Ohne Schulung fallen Mitarbeiter auf solche Szenarien herein, weil sie hilfsbereiter sein wollen.

Tailgating und Piggybacking

Physische Social-Engineering-Methoden, bei denen Unbefugte durch das Folgen autorisierter Personen Zugang zu gesicherten Bereichen erlangen. In Bürogebäuden mit mehreren Mietern — wie sie in Dresden häufig vorkommen — ist diese Gefahr besonders groß.

Watering-Hole-Angriffe

Angreifer kompromittieren Websites, die von der Zielgruppe häufig besucht werden, und infizieren Besucher mit Schadsoftware. Für Tech-Unternehmen können dies Fachforen, Entwickler-Dokumentationen oder Branchenportale sein.

KPIs für Phishing-Simulationen messen und bewerten

Der Erfolg von Phishing-Simulationen und Security-Awareness-Programmen muss messbar sein. Folgende Key Performance Indicators (KPIs) sollten erfasst und regelmäßig ausgewertet werden:

• Klickrate (Click Rate): Prozentsatz der Mitarbeiter, die auf den Phishing-Link klicken. Ziel: unter 5 Prozent nach 12 Monaten Training.
• Credential-Eingabe-Rate: Prozentsatz der Mitarbeiter, die auf der gefälschten Seite tatsächlich Zugangsdaten eingeben. Dieser KPI ist kritischer als die reine Klickrate.
• Meldequote (Report Rate): Prozentsatz der Mitarbeiter, die die Phishing-Mail korrekt als verdächtig melden. Ziel: über 70 Prozent. Dieser KPI zeigt, ob eine positive Sicherheitskultur etabliert wurde.
• Time-to-Report: Wie schnell melden Mitarbeiter verdächtige E-Mails? Schnelle Meldungen ermöglichen eine schnelle Reaktion und minimieren den Schaden.
• Wiederholungsrate: Klicken dieselben Mitarbeiter bei aufeinanderfolgenden Simulationen erneut? Dieser KPI identifiziert Personen mit erhöhtem Schulungsbedarf.

DATUREX erstellt für jede Kampagne detaillierte Reports mit Trendanalysen, Abteilungsvergleichen und konkreten Handlungsempfehlungen. Die Ergebnisse fließen direkt in das ISMS ein und dienen als Nachweis für Audits nach ISO 27001 und NIS-2.

Security Awareness Programm: Der vollständige Ansatz

Phishing-Simulationen sind am wirksamsten, wenn sie in ein vollständiges Security Awareness Programm eingebettet sind. DATUREX empfiehlt einen Vier-Säulen-Ansatz:

• Regelmäßige Phishing-Simulationen: Monatliche Kampagnen mit steigendem Schwierigkeitsgrad und variierenden Szenarien
• E-Learning-Module: Kurze, interaktive Online-Schulungen zu aktuellen Bedrohungen, die Mitarbeiter im eigenen Tempo absolvieren können
• Präsenzschulungen: Jährliche Live-Workshops mit praktischen Übungen und aktuellen Fallbeispielen aus der Region
• Sicherheitskultur: Etablierung eines positiven Meldeprozesses, bei dem das Melden verdächtiger E-Mails belohnt und nicht bestraft wird

Ein solches Programm reduziert das Risiko erfolgreicher Phishing-Angriffe nachweislich um über 80 Prozent und erfüllt gleichzeitig die Schulungsanforderungen der NIS-2-Richtlinie und der ISO 27001.

Praxisbeispiel: Phishing-Kampagne für ein sächsisches Fertigungsunternehmen

Ein produzierendes Unternehmen aus der Region Dresden mit 120 Mitarbeitern beauftragte die DATUREX GmbH mit der Durchführung eines Phishing-Awareness-Programms. Die Ausgangssituation war typisch für den sächsischen Mittelstand: Die IT-Infrastruktur war technisch gut abgesichert, aber es gab keine systematischen Schulungen zur Erkennung von Phishing-Angriffen.

In der ersten unangekündigten Simulation — eine E-Mail mit einer angeblichen Paketbenachrichtigung — klickten 28 Prozent der Mitarbeiter auf den enthaltenen Link. Sechs Mitarbeiter gaben sogar ihre Zugangsdaten auf der gefälschten Anmeldeseite ein. Nach der Aufklärung und einem begleitenden E-Learning-Modul wurde die Kampagne monatlich mit steigendem Schwierigkeitsgrad wiederholt.

Nach sechs Monaten sank die Klickrate auf unter 4 Prozent, und die Meldequote verdächtiger E-Mails stieg auf über 65 Prozent. Besonders erfreulich: Die Mitarbeiter begannen, auch echte verdächtige E-Mails vorausschauend zu melden — in einem Fall konnte so ein realer CEO-Fraud-Versuch mit einem potenziellen Schaden von über 50.000 Euro verhindert werden.

Das Programm wurde als fester Bestandteil des ISMS etabliert und diente als Nachweis der Mitarbeitersensibilisierung beim ISO 27001-Audit. Kontaktieren Sie DATUREX für eine individuelle Phishing-Kampagne für Ihr Unternehmen.