Mit Phishing-Simulationen zu einer starken Sicherheitskultur

Kaum ein Angriff ist so einfach und gleichzeitig so wirkungsvoll wie Phishing. Angreifer setzen nicht auf komplexe Exploits, sondern auf Psychologie. Sie spielen mit Dringlichkeit, Autorität und Interesse, verpackt in Nachrichten, die täuschend echt aussehen. Selbst die beste Abwehrlösung kann solche Mails nicht immer zuverlässig abfangen. Dann entscheidet allein die Antwort der Nutzer*innen. Ein falscher Klick genügt, und der Verlust kann enorm sein.

Der BSI-Lagebericht zur IT-Sicherheit in Deutschland von 2025 bestätigt, dass Phishing weiterhin zu den häufigsten Angriffsformen zählt und Organisationen jeder Größe betrifft. Genau hier zeigen Phishing-Trainings ihre Stärke. Sie bilden reale Szenarien nach, decken gängige Lücken auf und trainieren Belegschaften in einer geschützten Trainingssituation. Aus abstraktem Wissen wird so praktisches Handeln – und damit ein wichtiger Beitrag zu mehr Cyber-Resilienz.

Simulationen als Booster für Awareness-Programme

Awareness-Trainings, wie z. b. von unserem Partner Hornetsecurity, Präsentationen und E-Learnings haben ihre Berechtigung. Sie erklären Angriffsarten, sensibilisieren für Risiken und schaffen eine wichtige Grundlage. Doch Papier und Folien bleiben Theorie und die verpufft im hektischen Arbeitsalltag schnell. Sobald eine Mail dringlich formuliert wirkt oder eine Führungskraft imitiert, ist die Widerstandskraft gering. Dann entscheidet nicht das Erlernte, sondern der Impuls.

Phishing-Simulationen setzen genau dort an. Sie platzieren Mails, die wie authentische Mitteilungen aussehen, in den Posteingang und erzeugen dadurch eine Praxisnähe. Der Unterschied ist deutlich: Während Schulungen Informationen liefern, trainieren Simulationen Verhalten. Klicks, Reaktionen und Meldewege werden sichtbar. Der Trainingseffekt ist höher, weil er aus eigenem Handeln entsteht. Hinzu kommt der praktische Vorteil: Kurze Übungen lassen sich leichter in den Tagesablauf einbinden als mehrstündige Seminare und führen langfristig zu einer spürbaren Verbesserung der Awareness-Kultur.

Angriffsmuster realistisch nachstellen

Phishing existiert in zahlreichen Ausprägungen – von einfach bis sehr ausgefeilt. Manche Nachrichten sind voll mit Rechtschreibfehlern und daher schnell entlarvt. Andere kopieren realistisch die Markenidentität von Finanzinstituten, Versanddiensten oder der eigenen Firma. Besonders kritisch ist gezieltes Phishing, bei dem Angriffe gezielt auf einzelne Personen zugeschnitten sind. Noch raffinierter ist CEO-Fraud: Kriminelle täuschen Führungskräfte vor, arbeiten mit Dringlichkeitsparolen und veranlassen unrechtmäßige Geldtransfers.

Auch bewährte Maschen wie gefälschte Paketbenachrichtigungen, angebliche Passwort-Resets oder manipulierte Rechnungen gehören zum Repertoire der Angreifer*innen. Immer öfter nutzen Täter*innen andere Kommunikationswege: Textnachrichten, Chat-Apps und QR-Verweise werden als Köder eingesetzt. Entscheidend sind dabei stets die psychologischen Hebel:

• Neugier,
• Autorität,
• Belohnung,
• oder Angst.

Gute Trainings greifen diese Muster auf, variieren Schwierigkeitsgrad und Aufmachung und steigern die Komplexität schrittweise. So trainieren Beschäftigte, nicht nur einfache Täuschungen zu erkennen, sondern auch raffinierte Täuschungen im Alltagsstress zu erkennen.

Klickrate allein reicht nicht: Metriken im Überblick

Die reine Anklickrate auf eine Phishing-Nachricht ist ein offensichtlicher, aber begrenzter Messwert. Aussagekräftiger wird es, wenn mehrere Metriken kombiniert werden. Besonders wichtig ist die Melderate: Wie viele Mitarbeiter*innen erkennen eine auffällige Nachricht und geben sie an die IT-Sicherheit weiter? Sind die Meldekanäle überhaupt allen Mitarbeitern bekannt? Auch die Dauer bis zur Meldung ist ausschlaggebend. Denn klar ist: Je schneller ein Vorfall bemerkt wird, desto besser lässt sich entgegentreten.

Darüber hinaus liefert die Wiederholfehlerrate wertvolle Hinweise. Wenn einzelne Teilnehmende immer wieder auf ähnliche Fallen hereinfallen, deutet das auf Lücken im Lernprozess hin. Solche Kennzahlen ermöglichen nicht nur eine präzisere Bewertung, sondern zeigen auch Entwicklungen im Unternehmen: Steigt die Zahl der Benachrichtigungen? Werden Reaktionszeiten schneller? Geht die Anklickrate dauerhaft nach unten? Genau darin liegt der eigentliche Wert – im Beleg, dass Sicherheit zur Routine wird.

Sicherheit trainieren wie Muskeln: Wiederholung zählt

Einmal im Kalenderjahr eine Phishing-Nachricht zu versenden, hat kaum Nutzen. Sicherheitsbewusstsein ist wie Muskeltraining: Nur durch regelmäßige Übung entsteht ein nachhaltiger Effekt. Übungen entfalten ihre volle Effizienz, wenn sie regelmäßig umgesetzt werden. Dabei ist Abwechslung wichtig – gleiche Lockmails mit gleichem Schema stumpfen ab. Unterschiedliche Versender, abwechslungsreiche Mailtitel und thematische Vielfalt halten die Aufmerksamkeit hoch.

Besonders exponierte Bereiche wie Finanzbuchhaltung oder Systemverwaltung profitieren von häufigeren Überprüfungen, während in anderen Bereichen eine moderate Frequenz ausreicht. Wichtig ist, das richtige Verhältnis zu wahren: zu unregelmäßige Tests führen zu Nachlässigkeit, zu intensive zu Ermüdung.

Unterstützung statt Bloßstellung im Training

Fehler sind unvermeidbar. Wichtig ist, was danach passiert. Wer nach einem Fehlklick sofort ein unmittelbares Kommentar erhält, begreift schneller, welche Warnsignale ignoriert wurden. Ein gutes System zeigt, auf Grundlage der Nachricht, warum sie auffällig war, und gibt konkrete Hinweise für die Zukunft. Kurze Lerneinheiten – etwa kurze Hinweise – genügen aus, um das Bewusstsein langfristig zu verankern.

Besonders bedeutsam ist der Umgangston. Bloßstellung oder Schuldzuweisung sind komplett hemmend! Stattdessen geht es um Hilfe und gemeinsames Lernen. Positive Reaktionen für richtiges Verhalten erhöhen den Lerneffekt zusätzlich. Auf Teamebene helfen anonymisierte Beispiele, Muster erkennbar zu machen und offen zu besprechen – ohne jemanden bloßzustellen.

Compliance beachten bei Simulationen

Phishing-Tests bewegen sich im Konfliktbereich zwischen Sicherheit und Datenschutz. Damit sie gesetzlich sauber sind, müssen klare Leitplanken befolgt werden. Die DSGVO fordert Offenheit, Zielklarheit und Datensparsamkeit. Das heißt: Erhoben werden darf nur, was für die Sicherheit relevant ist, und Informationen dürfen nicht länger aufbewahrt bleiben, als nötig.

In Deutschland gilt zusätzlich das Bundesdatenschutzgesetz mit den Mitbestimmungsrechten des Arbeitnehmervertreters. Dieser muss rechtzeitig eingebunden werden, und Betriebsvereinbarungen sollten genau festlegen, welche Informationen erfasst, wie lange sie aufbewahrt und wer Einsicht darauf hat. Essentiell: Simulationen dürfen nicht verdeckt durchgeführt werden und auf keinen Fall als versteckte Überwachungsmaßnahme dienen.

Und wenn es zum Ernstfall wird, spielt die Datenschutz-Grundverordnung auch in einem anderen Szenario eine Bedeutung: Sollten durch Phishing tatsächlich private Informationen – etwa Kundendatenbanken oder Passwörter – in falsche Hände gelangen, ist gemeinsam mit dem Datenschutzbeauftragten zu prüfen, ob ein berichtspflichtiger Datenschutzvorfall besteht. In der Regel müssen solche Zwischenfälle innerhalb von drei Tagen bei der Datenschutzbehörde eingereicht werden. Auch deshalb gilt: Eine zeitnahe Meldung des versehentlichen Klicks ist enorm relevant.

Sicherheitskultur stärken: Balance zwischen Schutz, Vertrauen und Recht

Technische Sicherheitslösungen wie Mail-Gateways, Spamfilter oder Protokolle wie DMARC und Sender Policy Framework blockieren viele Attacken. Doch kein Mechanismus ist fehlerfrei – gerade die am besten getarnten Mails gelangen oft an den Sicherheitsvorkehrungen vorbei. Deshalb bleibt der Mensch unverzichtbar. Awareness-Trainings unterstützen die Technologie, indem sie den aufmerksamen Umgang für Ausnahmen trainieren. So entsteht eine vielstufige Schutzstrategie.

Damit Simulationen effektiv sind und angenommen werden, gilt: Schulung ja, Kontrolle nein. Entscheidend sind klare Leitplanken:

• Angemessenheit wahren: Ziel ist Übung, nicht Überwachung.
• Transparenz schaffen: Resultate müssen zur Verbesserung der Sicherheit genutzt werden, nicht zur Bestrafung von Mitarbeitern.
• Unzulässige Maßnahmen vermeiden: Kein Mitschneiden von Screenshots und keine Verwendung sensibler Daten als Lockmittel.
• Akzeptanz sichern: Nur wer Rahmen respektiert, wahrt die Ausgewogenheit zwischen Schutz, Gesetz und Firmenkultur.