Phishing-Simulation richtig aufsetzen: GoPhish-Anleitung für deutsche KMU\n\n> Key Takeaways\n> - GoPhish ist ein Open-Source-Tool, mit dem sich realistische Phishing-Kampagnen intern simulieren lassen — ohne externe Dienstleister für den technischen Betrieb.\n> - Bevor die erste E-Mail verschickt wird, müssen rechtliche Grundlagen geklärt sein: Betriebsrat, Datenschutzbeauftragter und schriftliche Genehmigung der Geschäftsführung.\n> - Eine Simulation ohne Auswertung und Nachschulung ist wertlos — die Klick-Rate ist der Startpunkt, nicht das Ziel.\n> - NIS-2 fordert nachweisbare Awareness-Maßnahmen; dokumentierte Simulationen helfen beim Audit-Nachweis.\n\n## Warum Phishing-Simulationen für KMU unverzichtbar sind\n\nPhishing ist nach wie vor der häufigste Einstiegsvektor für Angriffe auf Unternehmensnetze. Laut BSI-Lagebericht 2024 beginnen über 70 % der erfolgreichen Ransomware-Angriffe mit einer Phishing-Mail. Technische Schutzmaßnahmen wie SPF, DKIM, DMARC und Antispam-Filter reduzieren das Risiko — eliminieren es aber nicht.\n\nDer Mensch bleibt der entscheidende Faktor. Und hier liegt das Problem: Viele IT-Verantwortliche in KMU wissen nicht, wie anfällig ihre Belegschaft tatsächlich ist. Eine Phishing-Simulation macht dieses Risiko messbar und schafft die Grundlage für gezielte Gegenmaßnahmen.\n\nNIS-2-Kontext: Artikel 21 der NIS-2-Richtlinie verpflichtet Betreiber wesentlicher und wichtiger Einrichtungen zu Schulungsmaßnahmen für Mitarbeitende. Eine dokumentierte Phishing-Simulation ist ein nachweisbares Element eines Awareness-Programms — sowohl intern als auch gegenüber Auditoren und Versicherern.\n\n## GoPhish: Was das Tool kann und was nicht\n\nGoPhish ist ein quelloffenes Framework für Phishing-Simulationen, ursprünglich von Jordan Wright entwickelt. Es läuft als einzelne Go-Binary ohne externe Abhängigkeiten, bietet eine Web-UI und eine REST-API für Automatisierung. Die Kernfunktionen im Überblick:\n\n- Kampagnenverwaltung: Zielgruppen, E-Mail-Templates, Landing Pages und Zeitpläne zentral verwalten\n- Tracking: Klicks auf Links, Öffnungsraten via Tracking-Pixel, Formulareingaben auf Landing Pages\n- Reporting: Live-Dashboard mit Ergebnissen pro Empfänger und Kampagnenübersicht\n- REST-API: Kampagnen automatisiert starten, Ergebnisse in externe Systeme exportieren\n\nGoPhish ist kein vollständiges Security-Awareness-Training. Es simuliert und misst, schult aber nicht. Nachschulung muss separat organisiert werden — das ist kein Mangel des Tools, sondern eine bewusste Designentscheidung.\n\n## Rechtliche Grundlagen vor dem Start\n\nDieser Abschnitt wird in technischen Anleitungen häufig übersprungen — und genau das erzeugt in deutschen Unternehmen ernsthafte Probleme.\n\n### Betriebsrat einbinden\n\nGibt es einen Betriebsrat, muss dieser nach § 87 Abs. 1 Nr. 6 BetrVG zustimmen, bevor Mitarbeitende durch technische Einrichtungen überwacht werden. Eine Phishing-Simulation, die individuelles Klickverhalten erfasst, fällt unter diese Mitbestimmungspflicht. Ohne Betriebsvereinbarung droht die Ungültigkeit der gesamten Maßnahme und im schlimmsten Fall ein Beschlussverfahren.\n\nEmpfehlung: Schließen Sie vorab eine Betriebsvereinbarung ab, die Zweck, Umfang, Auswertungsebene (Gruppe vs. Individuum) und Aufbewahrungsfristen verbindlich regelt.\n\n### Datenschutzbeauftragter und DSGVO\n\nTracking-Pixel und Formularerfassung verarbeiten personenbezogene Daten. Folgende Punkte sind vor dem Start zu klären:\n\n- Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) ist in der Regel anwendbar, muss aber dokumentiert sein\n- Datenschutz-Folgenabschätzung (DSFA), wenn Ergebnisse auf Einzelpersonen zurückführbar sind\n- Löschkonzept für Simulationsdaten — Credential-Harvest-Daten sind unmittelbar nach dem Audit zu löschen\n\n### Schriftliche Genehmigung der Geschäftsführung\n\nDokumentieren Sie die Genehmigung der GF schriftlich vor dem Start der ersten Kampagne. Im Zweifel gilt: Was nicht schriftlich genehmigt ist, hat im Nachgang kein Standing — weder intern noch gegenüber Behörden.\n\n## GoPhish installieren: Schritt für Schritt\n\n### Voraussetzungen\n\n- Linux-Server (z. B. Ubuntu 22.04 LTS) mit öffentlicher IP-Adresse\n- Dedizierte Domain für die Simulation — nicht die Unternehmens-Domain\n- TLS-Zertifikat via Let's Encrypt/Certbot\n- SMTP-Relay oder eigener Mailserver für den Versand\n\nWichtig zu Simulation-Domains: Verwenden Sie niemals Ihre echte Unternehmens-Domain als Absender-Domain. Registrieren Sie eine ähnlich klingende Domain nach dem Typosquatting-Prinzip — etwa mustergmbh-it-support.de statt mustergmbh.de. Diese Domain muss ausschließlich für Simulationszwecke genutzt werden.\n\n### Installation der GoPhish-Binary\n\nbash\n# Aktuelle Version auf github.com/gophish/gophish prüfen\nwget https://github.com/gophish/gophish/releases/download/v0.12.1/gophish-v0.12.1-linux-64bit.zip\nunzip gophish-v0.12.1-linux-64bit.zip -d /opt/gophish\ncd /opt/gophish\nchmod +x gophish\n\n# Separaten Systembenutzer anlegen\nuseradd -r -s /bin/false gophish\nchown -R gophish:gophish /opt/gophish\n\n\n### Konfiguration anpassen\n\nDie Datei config.json steuert alle wesentlichen Parameter:\n\n```json\n{\n \