Phishing-Awareness: Wie Sie Ihre Mitarbeiter wirklich schulen

Key Takeaways

• 82 % aller Sicherheitsvorfälle haben laut Verizon DBIR 2024 eine menschliche Komponente
• Einmalige Jahresschulung per Pflicht-Video ist nachweislich wirkungslos
• Ein strukturiertes Programm aus Simulation, Schulung und Feedback senkt Klickraten von 30 % auf unter 5 %
• Rechtliche Anforderungen (Betriebsrat, DSGVO) müssen vor dem ersten Test geklärt sein
• NIS-2 schreibt nachweisliche Schulungsmaßnahmen explizit vor — Awareness-Training ist Compliance-Pflicht

---

Warum die meisten Schulungen nicht funktionieren

Eine jährliche Pflichtschulung per E-Learning-Video, abgeschlossen mit einem Multiple-Choice-Test, dessen Fragen identisch mit dem Vorjahr sind: Das ist der Status quo in vielen deutschen Unternehmen. Der Effekt ist marginal. Laut einer Studie des Ponemon Institute sinkt die Klickrate auf Phishing-E-Mails nach einer einmaligen Schulung zwar kurzfristig, kehrt aber innerhalb von vier Monaten auf das Ausgangsniveau zurück, wenn keine Wiederholung folgt.

Der Grund ist neurobiologisch trivial: Lernen durch einmaliges Rezipieren von Informationen führt zu flüchtiger Erinnerung. Lernen durch wiederholte Konfrontation mit realistischen Situationen erzeugt nachhaltige Verhaltensänderungen.

Phishing-Awareness ist deshalb kein Schulungs-Projekt, sondern ein dauerhaftes Programm. Die gute Nachricht: Ein gut gestaltetes Programm ist für KMU erschwinglich und zeigt messbare Ergebnisse innerhalb von sechs Monaten.

---

Die Anatomie eines modernen Phishing-Angriffs

Bevor Sie schulen, müssen Sie verstehen, was Ihre Mitarbeiter erkennen sollen. Phishing 2024/2025 ist weit differenzierter als die nigerianischen Prinzen-E-Mails vergangener Jahrzehnte.

Spear-Phishing: Gezielt auf Einzelpersonen zugeschnittene E-Mails, die Informationen aus LinkedIn, Unternehmens-Websites oder früheren Datenlecks nutzen. Der „CEO" bittet die Buchhaltung um eine dringende Überweisung — und die E-Mail-Adresse unterscheidet sich nur in einem Buchstaben von der echten.

Business E-Mail Compromise (BEC): Kompromittierung echter Unternehmens-E-Mail-Konten, typischerweise bei Lieferanten. Angreifer lesen Korrespondenz mit und ersetzen zum richtigen Zeitpunkt Kontodaten.

QR-Code-Phishing (Quishing): Links werden als QR-Codes versendet, die E-Mail-Filter nicht scannen können. Besonders wirkungsvoll bei Mitarbeitern, die QR-Codes aus dem Alltag kennen.

Vishing und Smishing: Telefonische und SMS-basierte Phishing-Angriffe, die E-Mail-Filter vollständig umgehen.

Ihre Schulung muss alle diese Vektoren abdecken — nicht nur die klassische E-Mail.

---

Das 4-Phasen-Programm

Phase 1: Baseline-Messung (Woche 1–2)

Bevor Sie schulen, messen Sie den Ist-Zustand. Führen Sie eine erste Phishing-Simulation durch, ohne vorherige Ankündigung (aber nach rechtlicher Klärung — dazu später mehr). Ziel ist nicht, Mitarbeiter zu beschämen, sondern einen Ausgangswert zu haben.

Wichtige Metriken:

• Klickrate: Anteil der Empfänger, die auf den simulierten Link klicken
• Melderate: Anteil der Empfänger, die die Phishing-E-Mail als verdächtig melden
• Dateneingaberate: Anteil der Klicker, die tatsächlich Zugangsdaten eingeben

Eine hohe Melderate ist positiver als eine niedrige Klickrate allein — sie zeigt, dass Mitarbeiter aktiv zur Sicherheitskultur beitragen.

Phase 2: Grundlagen-Training (Woche 3–6)

Nach der Baseline folgt ein strukturiertes Training — aber nicht als 60-minütiges Pflicht-Video. Bewährt haben sich:

Micro-Learning-Einheiten: 5–10-Minuten-Module zu einem spezifischen Thema (z. B. „Wie erkenne ich eine gefälschte Absenderadresse?"), wöchentlich per E-Mail oder Intranet verteilt.

Interaktive Szenarien: Mitarbeiter bewerten verdächtige E-Mails und erhalten unmittelbares Feedback — richtig oder falsch, und warum.

Rollenspeziifische Vertiefung: Buchhaltung erhält Szenarien zu Rechnungsbetrug, IT-Administration zu gefälschten Helpdesk-Anfragen, Führungskräfte zu Executive Impersonation.

Phase 3: Simulation mit sofortigem Lernmoment (fortlaufend)

Ab Monat 2 laufen regelmäßige Simulationen im Hintergrund — mindestens monatlich für Risikogruppen, vierteljährlich für alle anderen. Entscheidend ist der Lernmoment unmittelbar nach dem Klick: Statt einer Fehlermeldung erscheint eine kurze Erklärung, was verraten hätte, dass es sich um Phishing handelte.

Effektive Simulations-Szenarien für den deutschen Mittelstand:

Szenario	Klickrate (typisch)	Begründung
DHL-Paketbenachrichtigung	35–45 %	Hohe Alltagsplausibilität
Microsoft 365 Login-Warnung	30–40 %	Bekannte UI, Dringlichkeit
IT-Helpdesk Passwort-Reset	25–35 %	Vertrauter Absender
Gehaltsabrechnung verfügbar	20–30 %	Emotionaler Reiz
Interne HR-Ankündigung	15–25 %	Glaubwürdige Quelle

Phase 4: Messung und Optimierung (quartalsweise)

KPIs werden quartalsweise ausgewertet und mit dem Vorquartal verglichen:

• Klickrate gesamt und nach Abteilung
• Melderate (positive Kennzahl)
• Dateneingaberate (kritischste Kennzahl)
• Schulungsabschlussrate
• Wiederholungsklicker (Mitarbeiter, die mehrfach klicken — Hochrisikogruppe)

Abteilungen mit überdurchschnittlichen Klickraten erhalten gezielte Zusatzschulungen.

---

Häufige Fehler und wie Sie diese vermeiden

Fehler 1: Beschämendes Outing Phishing-Simulationen werden manchmal als Strafmaßnahme missverstanden. Manager zeigen öffentlich, wer geklickt hat. Das Ergebnis: Mitarbeiter melden echte Verdachtsfälle nicht mehr aus Angst vor Konsequenzen. Kontraproduktiv.

Richtig: Anonymisierte Auswertung auf Teamebene, offene Kommunikation über Ziel und Methode des Programms, Lernkultur statt Überwachungskultur.

Fehler 2: Immer gleiche Szenarien Angreifer variieren ihre Methoden. Ein Programm, das jährlich dieselben drei E-Mail-Templates verwendet, erzeugt Wiedererkennung — aber keine Transferleistung auf neue Angriffsformen.

Richtig: Szenarienpool aus mindestens 15 verschiedenen Vorlagen, jährliche Aktualisierung um neue Angriffsmuster.

Fehler 3: Keine rechtliche Grundlage In Deutschland mit einem Betriebsrat durchgeführte Simulationen ohne Mitbestimmung können zu Klagen führen. Selbst ohne Betriebsrat müssen DSGVO-Anforderungen (Datensparsamkeit, Zweckbindung) erfüllt sein.

Richtig: Vor dem ersten Test Betriebsvereinbarung oder Einigung mit dem Betriebsrat herbeiführen, Datenschutzbeauftragten einbinden, Speicherfristen für Simulationsdaten definieren.

Fehler 4: Technischer Fokus, kein Meldeprozess Mitarbeiter lernen, Phishing zu erkennen — aber wohin damit? Ein klarer, niedrigschwelliger Meldeprozess (eine E-Mail-Adresse, ein Button im E-Mail-Client) erhöht die Melderate und schafft Frühwarnpotenzial für echte Angriffe.

---

NIS-2 und die Schulungspflicht

Die NIS-2-Richtlinie schreibt in Artikel 21 Abs. 2 lit. g explizit „grundlegende Schulungen zur Cybersicherheitshygiene und Cybersicherheitsschulungen" vor. Das BSI wertet bei Prüfungen aus, ob Schulungen dokumentiert, regelmäßig wiederholt und für alle Mitarbeiter nachweislich durchgeführt wurden.

Eine jährliche Onlineschulung ohne Nachweis, Datum und Inhalt reicht nicht. Ein strukturiertes Awareness-Programm mit Simulationsdokumentation ist dagegen ein solides Compliance-Nachweisdokument — und unterstützt gleichzeitig andere NIS-2-Pflichtbereiche wie Incident-Erkennung und Meldewesen.

Mehr zur NIS-2-Compliance insgesamt: NIS-2 Checkliste 2026: 10 Fragen zur Compliance.

---

Tools und Plattformen im Vergleich

Für KMU ohne eigenes Security-Team empfehlen sich spezialisierte SaaS-Plattformen für Phishing-Simulationen:

Plattform	Stärken	Eignung
KnowBe4	Größter Szenarienpool, starke Reportings	Ab 100 Mitarbeiter
Awarego	Gute DSGVO-Konformität, DE-Support	KMU-freundlich
SoSafe	Deutsch, DSGVO-nativ, Gamification	Mittelstand D/A/CH
Proofpoint Security Awareness	Enterprise-Grade, teuer	Ab 500 Mitarbeiter
Phishing Tackle (Open Source)	Kostenlos, selbst gehostet	IT-affine KMU

Für die technische Absicherung auf Infrastrukturebene ergänzen Vyrex Edge und das Managed SIEM das Awareness-Programm — Simulation und Schulung schützen vor menschlichen Fehlern, technisches Monitoring erkennt erfolgreiche Angriffe trotzdem frühzeitig.

---

FAQ

Wie oft sollten Phishing-Simulationen durchgeführt werden? Mindestens vierteljährlich. Jährliche Simulationen zeigen zwar eine Momentaufnahme, aber die Lernkurve flacht ohne regelmäßige Wiederholung schnell ab. Bei Mitarbeitern in exponierten Rollen — Buchhaltung, Geschäftsführungsassistenz, IT-Administration — empfehlen sich monatliche Tests mit variierenden Szenarien.

Was ist die realistische Klickrate bei einer ersten Phishing-Simulation? Bei Unternehmen ohne vorherige Awareness-Schulung liegen Klickraten bei der ersten Simulation häufig zwischen 20 und 40 %. Nach einem strukturierten Schulungsprogramm über 12 Monate sinken sie in der Regel auf unter 5 %. Der Abstand zwischen Ersttest und Zielwert zeigt den Trainingsbedarf.

Dürfen Phishing-Simulationen ohne Einwilligung der Mitarbeiter durchgeführt werden? In Deutschland ist eine Betriebsvereinbarung oder zumindest die Einbindung des Betriebsrats erforderlich, wenn eine Simulation dazu genutzt wird, das Verhalten einzelner Mitarbeiter zu beobachten und auszuwerten. Eine anonymisierte Auswertung auf Abteilungsebene ist in der Regel unkritisch. Klären Sie dies vorab mit Ihrer Rechtsabteilung.

Welche Phishing-Szenarien sind am effektivsten für Schulungszwecke? Die wirksamsten Szenarien imitieren Situationen, die im Arbeitsalltag plausibel sind: Paketbenachrichtigungen, IT-Helpdesk-Anfragen, Gehaltsabrechnungen per E-Mail, Microsoft-365-Login-Warnungen und interne HR-Ankündigungen. Szenarien mit Zeitdruck oder emotionalem Reiz erzielen die höchsten Klickraten und damit den größten Lerneffekt.

Was passiert mit Mitarbeitern, die auf Phishing-Simulationen hereinfallen? Phishing-Simulationen sind Lernwerkzeug, kein Überwachungsinstrument. Mitarbeiter, die klicken, erhalten unmittelbar nach dem Klick eine Lernseite mit Erklärung. Disziplinarmaßnahmen sind kontraproduktiv — sie fördern eine Kultur der Vertuschung statt der offenen Meldung echter Verdachtsfälle.

---

Brauchen Sie Unterstützung beim Aufbau Ihres Awareness-Programms? Fordern Sie einen kostenlosen Security-Check an oder sprechen Sie direkt mit unserem Team.