Phishing-Simulation für KMU — Ablauf, Kosten und was Sie wirklich lernen

April 2026

Schulungen vermitteln Wissen. Phishing-Simulationen zeigen, ob dieses Wissen im Alltag angewendet wird. Dieser Unterschied ist entscheidend: Die meisten Mitarbeitenden wissen, dass sie nicht auf verdächtige Links klicken sollten. Die Frage ist, ob sie es auch tun, wenn eine täuschend echte E-Mail in einem stressigen Moment eintrifft.

Warum Phishing-Simulationen wirksamer sind als reine Schulungen

Die Forschung zeigt ein klares Muster: Es gibt eine Lücke zwischen Wissen und Verhalten. Mitarbeitende, die in einem Quiz alle Fragen richtig beantworten, klicken trotzdem auf Phishing-Links — weil die reale Situation anders ist als die Übung.

Der entscheidende Faktor ist das, was in der Forschung als Context-Message Fit bezeichnet wird: Wenn die Phishing-Mail perfekt zum aktuellen Kontext des Empfängers passt — eine Lieferbenachrichtigung am Tag nach einer Bestellung, eine IT-Warnung während eines echten System-Updates — steigt die Klickwahrscheinlichkeit drastisch.

Phishing-Simulationen trainieren genau diesen Reflex: In der echten Arbeitssituation, im echten Posteingang, unter echtem Zeitdruck eine Entscheidung treffen. Das kann kein Quiz und kein Video ersetzen.

Ablauf einer realistischen Phishing-Kampagne

Eine professionelle Phishing-Kampagne läuft in vier Phasen.

In der Vorbereitungsphase werden die Templates ausgewählt. Realistische Szenarien sind entscheidend: CEO-Fraud, IT-Support-Anfragen, Lieferanten-Rechnungen, Termineinladungen oder Passwortreset-Aufforderungen. Die Templates sollten zum Unternehmen passen — eine „Amazon-Bestellung"-Mail ist weniger relevant als eine „neuer Zugang zum Firmen-VPN"-Nachricht.

In der Durchführungsphase werden die Mails über einen definierten Zeitraum versendet — idealerweise nicht alle gleichzeitig, sondern verteilt über mehrere Monate. Eine 365-Tage-Challenge mit vier unangekündigten Kampagnen pro Jahr ist ein bewährtes Modell. So wird die Wachsamkeit dauerhaft trainiert, nicht nur einmalig getestet.

In der Tracking-Phase wird gemessen: Wer hat die Mail geöffnet? Wer hat auf den Link geklickt? Wer hat Daten eingegeben? Und besonders wichtig: Wer hat die Mail als verdächtig gemeldet? Die Melderate ist mindestens so aussagekräftig wie die Klickrate.

In der Auswertungsphase entsteht der Benchmark-Report. Er zeigt die Ergebnisse im Branchen- und Abteilungsvergleich, identifiziert Risikogruppen und dokumentiert die Entwicklung über Zeit.

Was ein Benchmark-Report zeigt

Ein guter Report beantwortet drei Fragen.

Wie steht das Unternehmen im Vergleich? Eine Klickrate von 15 Prozent klingt beunruhigend — ist aber bei einer Erstmessung ohne vorheriges Training ein durchschnittlicher Wert. Ohne Kontext ist eine Zahl bedeutungslos.

Wo liegen die Risiken? Typischerweise klicken bestimmte Abteilungen häufiger als andere. Finance, HR und Assistenz sind oft stärker betroffen, weil sie täglich mit externen E-Mails arbeiten und Anfragen schnell bearbeiten wollen. Der Report identifiziert diese Muster.

Wie entwickelt sich das Unternehmen? Der größte Wert des Reports liegt in der Veränderung über Zeit. Eine Klickrate, die von 22 Prozent auf 7 Prozent sinkt, ist der stärkste Nachweis, dass das Awareness-Programm wirkt.

DSGVO-konforme Durchführung

Phishing-Simulationen verarbeiten personenbezogene Daten — E-Mail-Adressen und Verhaltensdaten. Für eine DSGVO-konforme Durchführung sind mehrere Punkte zu beachten.

Die Auswertung erfolgt anonymisiert. Es geht nicht darum, einzelne Mitarbeitende zu identifizieren, die geklickt haben. Es geht um aggregierte Ergebnisse: Abteilungen, Standorte, Entwicklung über Zeit. Kein Mitarbeiter wird namentlich bloßgestellt.

Ein Auftragsverarbeitungsvertrag (AVV) mit dem Anbieter ist Pflicht. Die Daten müssen auf EU-Servern verarbeitet werden.

Die Information des Betriebsrats ist empfehlenswert. Phishing-Simulationen sind keine verdeckte Leistungsüberwachung, sondern eine Schutzmaßnahme — aber der Betriebsrat sollte vor der ersten Kampagne informiert werden.

Häufige Bedenken — und ehrliche Antworten

„Werden Mitarbeiter das als Kontrolle empfinden?" — Das hängt von der Kommunikation ab. Wenn die Geschäftsführung die Kampagne als „Wir testen, wer den Fehler macht" positioniert, wird sie negativ wahrgenommen. Wenn die Botschaft ist „Wir trainieren als Team, um uns gemeinsam zu schützen", steigt die Akzeptanz deutlich.

„Was wenn die Klickrate peinlich hoch ist?" — Eine hohe Klickrate bei der Erstmessung ist normal und kein Grund zur Panik. Im Gegenteil: Sie zeigt den Handlungsbedarf klar auf und macht den Wert des Trainings sichtbar. Nach sechs bis zwölf Monaten mit regelmäßigem Training und Simulationen sind Reduktionen um 50 bis 70 Prozent realistisch.