Komplettes Training · kostenlos testbar
Complete training · free to test
NIS2 · ISO 27001 · SCORM · EU-Hosting
WebguardiolaPhishing-Kampagnen richtig gestaltenGetting Phishing Campaigns Right
Für Admins & Security-Verantwortliche · Kein Simulations-ToolFor Admins & Security Leads · Not a Simulation Tool

Interne Phishing-Kampagnen, die Kultur statt Misstrauen schaffen.

Internal phishing campaigns that build culture, not mistrust.

Das Problem
The problem

Die meisten Programme optimieren auf die falsche Zahl — und ruinieren mit ein paar typischen Fehlern das Vertrauen, das sie aufbauen wollten.

Most programs optimize for the wrong number — and a handful of typical mistakes destroy the trust they were meant to build.

Das Training
The training

30 Minuten, forschungsbasiert: Meldequote statt Klickrate, Recht & Mitbestimmung, Kampagnen-Design, 90-Tage-Playbook.

30 minutes, research-based: reporting rate over click rate, law & co-determination, campaign design, 90-day playbook.

Training anfragen → Inquire now → Was ist enthalten? What's included?
30 Minuten · nur für Admins/Security
30 minutes · admins/security only
Laufend um neue Erkenntnisse erweitert
Continuously updated with new insights
Forschungsbasiert, mit Quellenangaben
Research-based, with citations

Wissen ist selten das Problem — die Anwendung ist es

Eine interne Phishing-Kampagne heißt: Sie schicken Ihren eigenen Mitarbeitenden harmlose Test-Phishing-Mails, um den Ernstfall zu üben, bevor er passiert. Klingt einfach — ist es aber nicht. Zu Phishing-Tests gibt es zwei Geschichten, die sich zu widersprechen scheinen: Manche Studien zeigen kaum Wirkung, andere deutliche Verbesserungen. Der Unterschied liegt fast immer im Wie, nicht im Ob.

Genau hier setzt dieses Training an. Es basiert auf der Doktoratsforschung von Webguardiola-Gründer Fabian Hable zu Overconfidence Bias im Phishing-Kontext und fasst zusammen, was Studien, NIST-Empfehlungen und die Praxis aus Hunderten Kampagnen tatsächlich zeigen — kompakt, mit Quellenangaben, ohne Marketingversprechen.

Knowledge is rarely the problem — application is

An internal phishing campaign means sending your own employees harmless test phishing emails to rehearse the real thing before it happens. Sounds simple — it isn't. There are two seemingly contradictory stories about phishing tests: some studies show barely any effect, others show clear improvement. The difference almost always lies in the how, not the whether.

That's exactly where this training comes in. It's built on the doctoral research of Webguardiola founder Fabian Hable on overconfidence bias in the phishing context, and summarizes what studies, NIST recommendations and practice from hundreds of campaigns actually show — compact, with citations, without marketing promises.

InhalteContents

Was das Training vermittelt

What the training covers

Acht Kapitel, kompakt auf 30 Minuten verdichtet — von der Kennzahl bis zum fertigen 90-Tage-Plan.

Eight chapters, condensed into 30 minutes — from the right metric to a ready-to-use 90-day plan.

Die zwei Zahlen, die zählen
The Two Numbers That Matter

Warum die Meldequote die wichtigere Kennzahl ist als die Klickrate — und wie beide richtig gewichtet werden.

Why the reporting rate matters more than the click rate — and how to weigh both correctly.

Was die Wissenschaft wirklich sagt
What the Science Actually Says

Warum sich Studien zu widersprechen scheinen — und was tatsächlich über Wirksamkeit von Phishing-Tests bekannt ist.

Why studies seem to contradict each other — and what's actually known about the effectiveness of phishing tests.

Recht & Mitbestimmung
Law & Co-Determination

Datenschutz und Arbeitnehmervertretung von Anfang an sauber einbinden — bevor die erste Test-Mail verschickt wird.

Involving data protection and employee representation cleanly from the start — before the first test email goes out.

Kampagnen-Design
Campaign Design

Welche Köder Vertrauen zerstören (Bonus-Mails, Kündigungsdrohungen) und welche Kampagnen tatsächlich lernen lassen.

Which lures destroy trust (bonus emails, termination threats) and which campaigns actually create learning.

Metriken & Reporting
Metrics & Reporting

Meldequote, Köder-Schwierigkeit nach der NIST Phish Scale und Management-Reporting ohne Einzelpersonen-Tracking.

Reporting rate, lure difficulty per the NIST Phish Scale, and management reporting without individual tracking.

90-Tage-Playbook
90-Day Playbook

Von Fundament (Recht, Meldeweg) über Baseline-Welle bis zu rollenbasiertem Rhythmus — Schritt für Schritt.

From foundation (law, reporting channel) through a baseline wave to a role-based cadence — step by step.

Kein Simulations-Tool — sondern das Wissen dahinter

Not a simulation tool — the knowledge behind it

Webguardiola führt selbst keine Phishing-Kampagnen an Mitarbeitenden durch. Dieses Training richtet sich an die Menschen, die eine eigene Kampagne planen — unabhängig vom eingesetzten Simulationstool. Es zeigt, wie ein Programm Kultur statt Misstrauen schafft: eine Kampagne trainiert nur einen Angriffskanal, nachhaltige Sicherheit entsteht erst im Zusammenspiel mit kontinuierlichem Awareness-Lernen. Genau dafür ist das Webguardiola E-Learning gebaut.

Webguardiola does not run phishing campaigns on employees itself. This training is for the people planning their own campaign — regardless of which simulation tool is used. It shows how a program builds culture instead of mistrust: a campaign trains only one attack channel; lasting security only emerges together with continuous awareness learning. That's exactly what the Webguardiola e-learning is built for.

Die häufigsten KunstfehlerThe Most Common Pitfalls

Sieben Fehler, die Programme immer wieder ruinieren

Seven mistakes that keep ruining programs

Ein Ausschnitt aus dem Training — jeder dieser Punkte wird im Detail mit Quellenangaben erklärt.

A sample from the training — each point is explained in detail with citations.

01 · „Gotcha"-Kultur & Sanktionen
01 · "Gotcha" Culture & Sanctions

Wer bestraft, erzeugt Angst und Vertuschung statt Meldungen — und zerstört genau die Kultur, die aufgebaut werden soll.

Punishing creates fear and cover-ups instead of reports — destroying exactly the culture you're trying to build.

02 · Fake-Bonus-Köder
02 · Fake Bonus Lures

Gehalts- und Bonus-Mails als Köder zerstören das Vertrauen dauerhaft — der klassische PR-Unfall der Branche.

Salary and bonus emails as lures permanently destroy trust — the industry's classic PR disaster.

03 · Lange Belehrungs-Landingpage
03 · Long Lecture Landing Pages

Lange Textwände nach dem Klick machen selbstsicher, aber nicht besser. Kurzes Feedback wirkt mehr.

Long text walls after a click make people confident, not better. Short feedback works better.

04 · Keine organisationsweite Nachbereitung
04 · No Organization-Wide Debrief

Wenn nur die Lernseite nach dem Klick zeigt, lernt nur, wer klickt. Eine Nachbereitung für alle erreicht die Mehrheit.

If only the post-click page teaches, only clickers learn. An organization-wide debrief reaches the majority.

05 · Klickrate als einzige Kennzahl
05 · Click Rate as the Only Metric

Ohne Meldequote sehen Sie nur die halbe Wahrheit — und ohne Schwierigkeits-Einordnung sagt die Klickrate wenig aus.

Without the reporting rate you only see half the truth — and without a difficulty rating, click rate alone says little.

06 · Köder ohne Schwierigkeits-Rating
06 · Lures Without a Difficulty Rating

Eine niedrige Klickrate bei einem leichten Köder ist keine gute Nachricht. Die NIST Phish Scale macht Wellen vergleichbar.

A low click rate on an easy lure isn't good news. The NIST Phish Scale makes waves comparable.

Fehler 07 — „Recht & Vertretung zu spät" — und alle Details, Quellen und das vollständige 90-Tage-Playbook gibt es im Training selbst.

Mistake 07 — "Law & representation too late" — and all details, sources, and the full 90-day playbook are in the training itself.

Für wenWho It's For

Ein Training für Verantwortliche, nicht für alle

A training for those responsible, not for everyone

Wer es bekommt
Who gets it

IT-Administratoren, Security-Verantwortliche, CISOs und Datenschutzbeauftragte — auf der Webguardiola Cloud-Plattform freigeschaltet. Nicht die breite Belegschaft: Für alle Mitarbeitenden gibt es das reguläre Security Awareness Training.

IT administrators, security leads, CISOs and data protection officers — activated on the Webguardiola cloud platform. Not the general workforce: for all employees there's the regular security awareness training.

Immer aktuell
Always current

Das Training wird laufend um neue Erkenntnisse erweitert — neue Studien, neue Angriffsmuster, neue Rechtsprechung. Kein SCORM-Download, sondern eine lebende Ressource auf der Plattform.

The training is continuously expanded with new insights — new studies, new attack patterns, new case law. Not a SCORM download, but a living resource on the platform.

FAQ

Häufige Fragen zum Phishing-Kampagnen-Training

Frequently Asked Questions

Nein. Webguardiola führt keine Phishing-Kampagnen an Ihren Mitarbeitenden durch und bietet auch kein Tool dafür. Dieses Training ist E-Learning für die Menschen, die eine eigene Kampagne planen oder durchführen — es vermittelt, wie eine Kampagne wissenschaftlich fundiert und rechtlich sauber aufgesetzt wird, unabhängig davon, welches Simulationstool Sie einsetzen.
No. Webguardiola does not run phishing campaigns on your employees and doesn't offer a tool for it either. This training is e-learning for the people planning or running their own campaign — it teaches how to set up a campaign in a research-based, legally sound way, regardless of which simulation tool you use.
Für Administratoren und Security-Verantwortliche, die eine interne Phishing-Kampagne planen, durchführen oder auswerten — IT-Sicherheitsbeauftragte, CISOs, Datenschutzbeauftragte und alle, die intern für das Programm verantwortlich sind. Es ist kein Training für die breite Belegschaft.
For administrators and security leads who plan, run or evaluate an internal phishing campaign — IT security officers, CISOs, data protection officers and anyone internally responsible for the program. It's not a training for the general workforce.
Die Klickrate zeigt nur, wer getäuscht wurde — die Meldequote zeigt, ob Ihre Organisation eine Kultur hat, in der Vorfälle gemeldet statt versteckt werden. Im Branchenschnitt wird nur etwa jede fünfte bis sechste Test-Mail gemeldet; reife Programme erreichen ein Vielfaches davon. Eine niedrige Klickrate bei einem leicht erkennbaren Köder ist zudem keine gute Nachricht — ohne Schwierigkeits-Einordnung (z. B. nach der NIST Phish Scale) sagt die Klickrate allein wenig aus.
The click rate only shows who got fooled — the reporting rate shows whether your organization has a culture where incidents are reported instead of hidden. On industry average, only about one in five to six test emails gets reported; mature programs achieve several times that. A low click rate on an easily recognizable lure is also not good news — without a difficulty rating (e.g. per the NIST Phish Scale), click rate alone says little.
Ein Phishing-Test misst, wie einzelne Mitarbeitende reagieren — das berührt in den meisten Rechtsordnungen den Datenschutz und teils auch Mitbestimmungsrechte (z. B. Betriebsrat bei Verhaltens- oder Leistungskontrolle). Das Training zeigt, wie Sie Datenschutz, Arbeitnehmervertretung und Kommunikation von Anfang an einbinden — bevor die erste Test-Mail verschickt wird.
A phishing test measures how individual employees react — in most jurisdictions this touches data protection and, in some cases, co-determination rights (e.g. works council for behavior or performance monitoring). The training shows how to involve data protection, employee representation and communication from the start — before the first test email is sent.
Rund 30 Minuten. Das Training wird ausschließlich auf der Webguardiola Cloud-Plattform für Administratoren und Security-Verantwortliche freigeschaltet — nicht als SCORM-Paket, da es sich an die Programmverantwortlichen richtet, nicht an die gesamte Belegschaft. Es wird laufend um neue Erkenntnisse erweitert.
About 30 minutes. The training is activated exclusively on the Webguardiola cloud platform for administrators and security leads — not as a SCORM package, since it's aimed at program owners, not the entire workforce. It's continuously expanded with new insights.
Es ist Teil des Business-Angebots und wird individuell nach Unternehmensgröße und Umfang angeboten. Eine kurze Anfrage per E-Mail genügt — wir melden uns mit einem konkreten Vorschlag.
It's part of the Business offering and is priced individually based on company size and scope. A short email inquiry is enough — we'll get back to you with a concrete proposal.

Die Kampagne, die Kultur baut — nicht Misstrauen.

The campaign that builds culture — not mistrust.

30 Minuten für Ihr Security-Team, forschungsbasiert und laufend aktualisiert. Schreiben Sie uns — wir schalten das Training für Ihre Verantwortlichen frei.

30 minutes for your security team, research-based and continuously updated. Write to us — we'll activate the training for your program owners.

Training anfragen → Inquire now →

Für die breite Belegschaft: Security Awareness Training kostenlos testen →

For the general workforce: test the security awareness training for free →