Skip to content
CyberXplore - Xplore the Unseen

Phishing-Simulationen richtig gemacht: das menschliche Risiko messen

cyberxploreVon cyberxplore11 Min. Lesezeit

Eine Fallen-E-Mail, die jeden bloßstellt, der klickt, bringt niemandem etwas. So führen wir eine Phishing-Simulation durch, die das menschliche Risiko misst und die entscheidenden Kennzahlen bewegt: Meldequote, Reaktionszeit und Wiederholungsklicker.

Phishing-Simulationen richtig gemacht: das menschliche Risiko messen

Freitag, 16:55 Uhr. Eine Sachbearbeiterin in der Finanzabteilung eines Unternehmens, das wir acme-corp nennen, öffnet eine E-Mail vom “CFO”. Überweisen Sie jetzt an den Lieferanten, die Rechnung ist bereits überfällig, ich stecke in einem Meeting, also rufen Sie mich nicht an. Ihr Cursor lag auf dem Freigabe-Button.

Sie hielt inne. Nicht, weil ein Filter angeschlagen hatte, und nicht, weil sie klüger wäre als der Rest der Abteilung. Zwei Wochen zuvor hatte sie auf eine Phishing-Simulation geklickt, die genau dasselbe Muster nutzte: Dringlichkeit gepaart mit Autorität, ein Vorwand, den man am Telefon nicht überprüfen kann. Die Lektion saß. Stattdessen leitete sie die echte E-Mail an den Melde-Button weiter.

Darum geht es im Kern. Bei einer Phishing-Simulation geht es nicht darum, Menschen zu überführen. Es geht darum, zu messen, wie sich Ihre Belegschaft unter einem glaubwürdigen Köder verhält, und dann den Abstand zwischen denen, die klicken, und denen, die melden, zu verkleinern. Betreiben Sie sie als Schuldzuweisungsmaschine, und Sie bringen den Mitarbeitenden bei, ihre Fehler zu verbergen. Betreiben Sie sie richtig, und Sie erhalten eine belastbare Kennzahl für das menschliche Risiko und eine Trendlinie, die Sie tatsächlich bewegen können.

Die wichtigsten Erkenntnisse

  • Eine Phishing-Simulation misst das menschliche Risiko unter einem realistischen Köder. Sie ist ein Diagnoseinstrument, keine Falle und kein Bestrafungswerkzeug.
  • Die Meldequote zählt mehr als die Klickrate. Eine Belegschaft, die schnell meldet, dämmt einen Angriff schneller ein als eine, die einfach nur weniger klickt.
  • Führen Sie sie ethisch durch: schriftliche Freigabe der Geschäftsleitung, eine informierte HR-Abteilung und ein informiertes SOC, niemals gespeicherte echte Passwörter und keine namentliche Nennung Einzelner.
  • Verknüpfen Sie jede Kampagne mit kurzen Schulungen im richtigen Moment. Die lehrreiche Sekunde ist direkt nach dem Klick, nicht in einer vierteljährlichen Foliensammlung.
  • Verfolgen Sie über mehrere Runden hinweg Klickrate, Eingaberate, Meldequote, die Zeit bis zur ersten Meldung und Wiederholungsklicker. Eine einzelne Kampagne ist eine Momentaufnahme; der Wert liegt im Trend.

Was eine Phishing-Simulation wirklich ist

Eine Phishing-Simulation ist eine kontrollierte Übung, bei der Ihr Sicherheitsteam, oder eine Firma wie unsere, harmlose, aber realistische Phishing-E-Mails an Ihre eigenen Mitarbeitenden verschickt, festhält, wer darauf reagiert, und das Ergebnis in Schulungen und Prozessverbesserungen übersetzt. Die E-Mails sehen echt aus. Die schädliche Nutzlast existiert nicht. Niemandes Laptop wird kompromittiert, und es werden niemals echte Zugangsdaten erfasst.

Das bildet sauber ab, wie Angreifer eindringen. Phishing fällt unter die MITRE ATT&CK-Technik T1566, mit Untertechniken für Spearphishing-Links (T1566.002) und -Anhänge (T1566.001). Das Abgreifen von Zugangsdaten über eine gefälschte Login-Seite ist die Variante, die wir am häufigsten nachbilden, weil sie günstig umzusetzen ist und funktioniert. Business Email Compromise, das oben beschriebene Überweisungsbetrugs-Szenario, ist der teure Verwandte und lohnt sich besonders für die Simulation in Finanz- und Vorstandsassistenz-Rollen.

Jetzt der unbequeme Teil. Ihre technischen Kontrollen können hervorragend sein, und eine einzige überzeugende E-Mail an eine einzige abgelenkte Person spaziert trotzdem direkt an ihnen vorbei. Menschen sind nicht das schwächste Glied, weil sie nachlässig sind. Sie sind das Ziel, weil sie erreichbar sind und weil ein guter Vorwand Instinkte kapert, die wir uns bei Mitarbeitenden eigentlich wünschen: hilfsbereit sein, schnell sein, den Chef nicht warten lassen.

Wie führt man eine Phishing-Simulation ethisch durch?

Holen Sie sich eine schriftliche Autorisierung, bevor auch nur eine einzige E-Mail den Postausgang verlässt. Bei unseren Projekten startet die Kampagne erst, wenn wir die Freigabe der Geschäftsleitung, eine abgestimmte Zielliste und ein Sperrfenster haben, das laufende Vorfälle, Bilanztage und alles ausschließt, was einer Unternehmenstragödie ähnelt. Social Engineering ist die eine Testart, bei der das Ziel ein Mensch ist, kein Server. Die Ethik ist tragend.

Ein paar Grenzen, die wir nicht überschreiten:

  • Informieren Sie die richtigen Leute, nicht alle. HR, die Rechtsabteilung und die SOC-Leitung brauchen eine Vorwarnung. Die breite Belegschaft darf sie nicht bekommen, sonst messen Sie Theater statt Verhalten.
  • Bewahren Sie niemals echte Zugangsdaten auf. Hat die Landing-Page ein Passwortfeld, landet der eingegebene Wert im Nichts. Wir protokollieren, dass eine Eingabe erfolgt ist, niemals, was getippt wurde. Es gibt keinen vertretbaren Grund, ein echtes Passwort aufzubewahren.
  • Kein öffentliches Bloßstellen. Die Auswertung bleibt aggregiert. “Die Meldequote der Finanzabteilung lag bei 40 Prozent” ist in Ordnung. Dave aus der Finanzabteilung in einem Firmenkanal namentlich zu nennen, killt das Programm in einer einzigen Kampagne.
  • Dosieren Sie die Härte. Gefälschte Bonusschreiben, gefälschte Kündigungsmitteilungen und gefälschte Spendenaufrufe nach einer echten Katastrophe erzielen alle enorme Klickraten und verbrennen Vertrauen genauso schnell. Wir verzichten auf emotional missbräuchliche Vorwände. Uns geht es um Verhaltensänderung, nicht um eine Beschwerde bei der Personalabteilung.

Wie wir die Kampagne aufbauen und versenden

Der Ablauf spiegelt den des Angreifers wider, nur ohne den Schaden. Zuerst kommt die Aufklärung. Wie sehen Ihre echten E-Mails eigentlich aus? Wir untersuchen den Ton der internen Kommunikation, die SaaS-Dienste, die Sie tatsächlich nutzen (Microsoft 365, Okta, welches HR-Portal auch immer Ihren Alltag bestimmt), und die Domains, von denen Sie versenden. Ein überzeugender Köder gibt sich als etwas aus, das das Ziel jede Woche sieht, nicht als generische “IT-Abteilung”, die niemand wiedererkennt.

Dann die Infrastruktur. Das quelloffene GoPhish deckt Versand, Tracking und die Erfassung auf der Landing-Page für die meisten Sensibilisierungsprojekte ab. Für eine täuschend ähnliche Domain registrieren wir etwas Plausibles, etwa acme-corp-hr.com oder einen fast homoglyphen Klon des Originals, wärmen sie an und richten SPF, DKIM und DMARC ein, damit sie im Posteingang statt im Spam-Ordner landet. Bevor wir überhaupt etwas versenden, prüfen wir als Erstes unter anderem die Aufstellung des Ziels selbst:

$ dig +short TXT _dmarc.acme-corp.com
"v=DMARC1; p=none; rua=mailto:[email protected]"

Eine Richtlinie von p=none bedeutet, dass die Domain gefälschte Mails überwacht, aber nicht ablehnt, was schon vor dem Start der Kampagne einiges verrät. Wenn Ihr eigenes Gateway den Test in Quarantäne steckt, haben Sie etwas Echtes über das Gateway gelernt und rein gar nichts über die Menschen, weshalb das Feintuning der Zustellbarkeit Teil der Arbeit ist.

Der Tracking-Ablauf selbst ist simpel. Jeder Link trägt ein Token pro Empfänger, sodass sich jedes Ereignis ohne Raten einer Person zuordnen lässt:

GET /login?rid=7f3a9c2e HTTP/1.1
Host: acme-corp-hr.com
User-Agent: Mozilla/5.0 ...

-- click logged for rid=7f3a9c2e
-- page renders a fake Okta login
-- if the user submits:
POST /login  { username, password }
-- submit logged, credentials discarded, redirect to training

Wer etwas eingibt, landet in dem Moment, in dem er Enter drückt, auf einer kurzen Nachbesprechung. Hier ist die E-Mail, die Sie erhalten haben. Hier sind die drei Anzeichen, die Sie hätten erkennen können. Hier ist der Melde-Button. Diese Seite schlägt jedes jährliche Schulungsmodul, aus einem einzigen Grund: Die Lektion kommt an, solange der Fehler noch frisch ist.

Bei Kunden mit höherem Reifegrad gehen wir über E-Mail hinaus. Vishing (ein Vorwand per Telefon) und Smishing (SMS) runden das Bild ab, und ein QR-Code-Köder testet, ob “Quishing” Ihre E-Mail-Abwehr komplett umgeht. Angreifer beschränken sich nicht auf einen einzigen Kanal, also sollte es ausgereiftes Testen auch nicht tun.

Welche Phishing-Kennzahlen wirklich zählen?

Die Klickrate ist die Zahl, nach der jeder Stakeholder fragt, und die, der ich für sich genommen am wenigsten traue. Sie lässt sich trivial manipulieren. Verschicken Sie einen faulen, offensichtlichen Köder, und Ihre Klickrate sieht glänzend aus. Die Zahlen, die Ihnen wirklich etwas sagen:

  • Meldequote. Welcher Anteil der Empfänger drückt den Melde-Button? Das ist der mit Abstand beste Indikator dafür, wie schnell ein echter Angriff eingedämmt wird. Ein Team, das zu 15 Prozent klickt, aber zu 60 Prozent meldet, ist weitaus besser aufgestellt als eines, das zu 8 Prozent klickt und gar nichts meldet.
  • Eingaberate. Wie viele von denen, die geklickt haben, haben Zugangsdaten eingegeben? Der Klick ist ein Stolpern. Die Eingabe ist die Kompromittierung.
  • Zeit bis zur ersten Meldung. Die Minuten vom Versand bis zur ersten Meldung durch einen Nutzer. Schnelles Melden erlaubt es dem SOC, die schädliche Mail aus jedem Postfach zu entfernen, bevor mehr Leute anbeißen.
  • Wiederholungsklicker. Der kleine Anteil, der Kampagne um Kampagne klickt, ist Ihr geballtes Risiko. Diese Personen brauchen gezieltes Coaching, keine weitere Massen-E-Mail.

Eine Kampagne liefert Ihnen eine Momentaufnahme. Vier über ein Jahr verteilt, nach Abteilung segmentiert, liefern einen Trend, und der Trend ist das eigentliche Ergebnis. Das ist es, was ein Vorstand wirklich sehen will und was ein Auditor als Nachweis akzeptiert, dass eine Sensibilisierungsmaßnahme tatsächlich wirkt und nicht nur auf dem Papier existiert.

Wie senkt man das Risiko tatsächlich?

Testen ohne Konsequenz bedeutet nur, Menschen nach Zeitplan zu nerven. Die Reduzierung kommt aus zwei Quellen: schnelle, konkrete Schulungen, die an jede Simulation gekoppelt sind, und das Schließen der Prozesslücken, die die Übung ans Licht bringt.

Machen Sie das Melden zur einfachen Standardoption und belohnen Sie es. Ein Melde-Button mit einem Klick in Outlook oder Gmail, beantwortet mit einem schlichten “Danke, wir sehen uns das an”, schlägt eine Bestrafungskultur jedes Mal. Auf der technischen Seite fördert dieselbe Kampagne fast immer Lücken zutage, die es zu schließen lohnt, egal wie die Menschen abgeschnitten haben: DMARC steht immer noch auf p=none, es gibt kein Banner für externe Absender, eine MFA, die phishbare SMS-Codes akzeptiert, keine Mail-Flow-Regel, um eine gemeldete Phishing-Mail auf einen Schlag aus jedem Postfach zu ziehen. Drängen Sie wertvolle Konten in Richtung phishing-resistenter MFA wie FIDO2 oder Passkeys, denn das nimmt dem Abgreifen von Zugangsdaten vollständig den Anreiz. Kein Passwort zum Stehlen, keine gefälschte Login-Seite, die sich zu bauen lohnt.

Seien Sie auch bei der Nachbesprechung ehrlich. Sich um ein schlechtes Ergebnis herumzuformulieren (“die Beteiligung war wegen des Zeitpunkts gering”) hilft niemandem. Wenn die Hälfte der Finanzabteilung einem Überweisungsbetrugs-Köder Zugangsdaten überlassen hat, dann ist das der Befund. Schreiben Sie es auf. Es ist behebbar, und etwas anderes vorzugeben garantiert nur, dass Sie im nächsten Quartal dasselbe von einem echten Angreifer erfahren.

Wie CyberXplore hilft

Unser Service für Social Engineering und Phishing-Simulationen betreibt das gesamte Programm von Anfang bis Ende: realistische Multi-Channel-Köder über E-Mail, Telefon, SMS und QR, ein sicherer Umgang mit Zugangsdaten, der nie ein echtes Passwort speichert, Kennzahlen pro Abteilung und Schulungen im richtigen Moment, die in der Sekunde ausgelöst werden, in der jemand klickt. Wir bauen Vorwände rund um Ihre echten Tools und Ihren Ton, briefen Ihr SOC, sodass die Übung zugleich als Training für Erkennung und Reaktion dient, und übergeben Ihnen eine Trendlinie, die Sie dem Vorstand oder einem Auditor vorlegen können. Möchten Sie Ihre wahre Meldequote kennen, bevor ein Angreifer sie für Sie misst? Fordern Sie ein Angebot an und wir schneiden eine Kampagne auf Ihre Mitarbeiterzahl und Ihr Risikoprofil zu.

FAQ

Wie oft sollten wir eine Phishing-Simulation durchführen?

Vierteljährlich ist für die meisten Organisationen der ideale Rhythmus. Monatlich führt tendenziell zu Ermüdung und Abstumpfung, während jährliche Kampagnen zu selten sind, um eine Gewohnheit aufzubauen oder einen Trend zu zeigen. Variieren Sie Vorwand und Schwierigkeitsgrad in jeder Runde, damit die Leute nicht einfach nach dem Muster “das muss der Quartalstest sein” reagieren.

Sollten Mitarbeitende, die durchfallen, bestraft werden?

Nein. Bestrafung bringt Menschen dazu, Fehler zu verbergen und dem Sicherheitsteam zu misstrauen, was das Gegenteil dessen ist, was Sie wollen. Konzentrieren Sie sich auf Coaching, einfaches Melden und die Unterstützung der kleinen Gruppe von Wiederholungsklickern. Behalten Sie formelle HR-Maßnahmen für echte Richtlinienverstöße vor, niemals für das Anklicken eines gut gemachten Tests.

Was ist eine gute Klickrate für eine Phishing-Simulation?

Es gibt keine universelle Wunderzahl, und einer niedrigen hinterherzujagen ist irreführend. Ein gut gemachter, gezielter Köder schlägt immer einen faulen, daher ist steigende Schwierigkeit bei stabiler oder fallender Klickrate der eigentliche Erfolg. Beobachten Sie Meldequote und Wiederholungsklicker über die Zeit, statt sich auf einen einzelnen Klick-Prozentsatz zu versteifen.

Ist eine Phishing-Simulation legal und sicher für unsere Mitarbeitenden?

Ja, wenn sie autorisiert und ethisch gehandhabt wird. Sie testen Ihre eigenen Mitarbeitenden auf Ihren eigenen Systemen mit Freigabe der Geschäftsleitung, also ist es legal. Die Sicherheit ergibt sich daraus, niemals echte Zugangsdaten zu speichern, missbräuchliche Vorwände zu vermeiden, HR und das SOC zu informieren und sämtliche Auswertungen aggregiert zu halten, statt Einzelne namentlich zu nennen.

Wie unterscheidet sich eine Phishing-Simulation von einem Red-Team-Einsatz?

Eine Phishing-Simulation ist eine fokussierte, messbare Übung, die auf das Verhalten der Belegschaft und Sensibilisierungskennzahlen über viele Empfänger hinweg abzielt. Ein Red-Team-Einsatz nutzt Phishing möglicherweise als einen Einstiegspunkt, verfolgt dann aber ein umfassenderes Ziel, etwa den Zugriff auf sensible Daten oder Domain-Admin-Rechte, um Erkennung und Reaktion in der gesamten Umgebung zu testen. Beide ergänzen sich: Die Simulation schafft die menschliche Ausgangsbasis, die ein Red Team später auf die Probe stellt.

Mit CyberXplore arbeiten

Social Engineering & Phishing

Sehen Sie dieses Risiko in Ihren eigenen Systemen? Unsere Senior-Tester finden und belegen genau solche Schwachstellen und zeigen Ihnen einen klaren Weg zur Behebung.

Ähnliche Artikel

Machen Sie aus diesen Insights ein Projekt

Erhalten Sie einen von Senior-Experten geführten Penetrationstest, zugeschnitten auf Ihren Stack - umsetzbare Ergebnisse statt Checkliste.

  • Kostenloser Nachtest für jeden Fix
  • Scope und Angebot innerhalb von 24 Stunden
  • Ausschließlich Senior-Tester
  • ISO 27001
  • ISO 9001
  • OSCP
  • CRTP
  • CREST
Angebot anfordern