Phishing-Klickrate — Was ist normal und wie verbessert sich Ihr Unternehmen?

April 2026

Nach der ersten Phishing-Simulation kommt die unvermeidliche Frage: „Ist unsere Klickrate gut oder schlecht?" Die ehrliche Antwort: Ohne Kontext ist eine einzelne Zahl bedeutungslos.

Eine Klickrate von 15 Prozent kann hervorragend sein — wenn das Template ein hochpersonalisierter CEO-Fraud war. Oder alarmierend — wenn es eine offensichtliche Spam-Mail war. Der Benchmark allein erzählt nicht die ganze Geschichte.

Durchschnittliche Klickraten — Orientierungswerte

Als grobe Orientierung aus aggregierten Branchendaten:

Bei einer Erstmessung ohne vorheriges Training liegen die Klickraten typischerweise zwischen 20 und 35 Prozent. Das bedeutet: Jeder fünfte bis dritte Mitarbeiter klickt auf einen simulierten Phishing-Link. Das klingt alarmierend, ist aber der erwartbare Ausgangswert.

Nach sechs Monaten regelmäßigem Training und mindestens zwei Simulationen sinkt die Klickrate typischerweise auf 8 bis 15 Prozent.

Nach zwölf Monaten mit kontinuierlichem Programm — Basis-Training, Vertiefung und vierteljährliche Simulationen — sind Klickraten unter 5 Prozent erreichbar.

Diese Werte sind Durchschnitte und variieren stark nach Branche, Unternehmensgröße und Template-Schwierigkeit.

Warum die Klickrate allein nicht reicht

Die Klickrate misst, wie viele Mitarbeitende auf den Angriff hereingefallen sind. Sie misst nicht, wie viele den Angriff erkannt und richtig gehandelt haben.

Die Melderate — also der Anteil der Mitarbeitenden, die die verdächtige E-Mail aktiv gemeldet haben — ist mindestens so aussagekräftig. Eine Klickrate von 10 Prozent bei einer Melderate von 40 Prozent erzählt eine andere Geschichte als eine Klickrate von 10 Prozent bei einer Melderate von 2 Prozent.

Noch interessanter ist die Frage nach Social Sharing: Warnen sich Mitarbeitende gegenseitig? Schickt jemand eine Nachricht in den Team-Chat: „Vorsicht, diese Mail sieht verdächtig aus"? Diese informelle Warnung ist der stärkste Schutzfaktor in einer Organisation — stärker als jedes technische Tool.

Forschungsergebnisse bestätigen: In Organisationen, in denen Mitarbeitende sich gegenseitig warnen, ist die Wahrscheinlichkeit eines erfolgreichen Phishing-Angriffs signifikant geringer als in Organisationen ohne diese Kultur des Social Sharing.

Faktoren die die Klickrate beeinflussen

Die Abteilung und Rolle spielen eine große Rolle. Finance- und HR-Teams haben typischerweise höhere Klickraten — nicht weil sie weniger kompetent sind, sondern weil sie täglich mit externen E-Mails arbeiten und gewohnt sind, schnell zu reagieren. Empfangsmitarbeitende, Assistenzen und Kundenservice sind ebenfalls stärker exponiert.

Der Zeitpunkt der Kampagne hat Einfluss. Montag morgens, wenn die Postfächer voll sind, wird schneller und weniger aufmerksam geklickt als Mittwoch nachmittags.

Die Template-Qualität ist der größte Faktor. Ein generischer „Ihr Paket wurde zugestellt"-Template hat eine deutlich niedrigere Klickrate als ein personalisierter CEO-Fraud mit korrektem Namen und aktuellem Bezug. Deshalb sind Vergleiche zwischen verschiedenen Kampagnen nur sinnvoll, wenn die Template-Schwierigkeit berücksichtigt wird.

Von der Messung zur Verbesserung

Eine Phishing-Simulation ist kein Selbstzweck. Der Wert liegt in den Maßnahmen, die aus den Ergebnissen folgen.

Risikogruppen gezielt schulen: Wenn die Finance-Abteilung eine Klickrate von 30 Prozent hat, während der Rest bei 12 Prozent liegt, braucht Finance ein zusätzliches Training — nicht einen Tadel.

Template-Schwierigkeit steigern: Wenn die Klickrate nach drei Kampagnen unter 10 Prozent liegt, ist das ein gutes Zeichen. Jetzt kann die Schwierigkeit erhöht werden — realistischere Templates, personalisierte Angriffe, Multi-Channel-Szenarien. Die Messlatte muss mitwachsen.

Positives Feedback statt Bestrafung: Mitarbeitende, die verdächtige E-Mails melden, sollten eine Bestätigung erhalten. „Gut erkannt, das war eine Simulation" stärkt das gewünschte Verhalten. Bestrafung für Klicks bewirkt das Gegenteil — Mitarbeitende verbergen Fehler, statt sie zu melden.

Transparenz gegenüber dem Team: Die Ergebnisse sollten aggregiert und anonymisiert mit dem Team geteilt werden. „Unsere Klickrate ist von 22 auf 9 Prozent gesunken" ist eine Erfolgsgeschichte, die Motivation schafft.

Die wichtigste Kennzahl ist die Entwicklung

Ob die Klickrate bei der Erstmessung 15 oder 30 Prozent liegt, ist weniger wichtig als die Frage: Wo steht sie nach sechs Monaten? Nach zwölf Monaten? Die Entwicklung über Zeit ist der aussagekräftigste Indikator für die Wirksamkeit eines Awareness-Programms — und der überzeugendste Nachweis für jeden Auditor.