Die meisten Programme optimieren auf die falsche Zahl — und ruinieren mit ein paar typischen Fehlern das Vertrauen, das sie aufbauen wollten.
Most programs optimize for the wrong number — and a handful of typical mistakes destroy the trust they were meant to build.
30 Minuten, forschungsbasiert: Meldequote statt Klickrate, Recht & Mitbestimmung, Kampagnen-Design, 90-Tage-Playbook.
30 minutes, research-based: reporting rate over click rate, law & co-determination, campaign design, 90-day playbook.
Eine interne Phishing-Kampagne heißt: Sie schicken Ihren eigenen Mitarbeitenden harmlose Test-Phishing-Mails, um den Ernstfall zu üben, bevor er passiert. Klingt einfach — ist es aber nicht. Zu Phishing-Tests gibt es zwei Geschichten, die sich zu widersprechen scheinen: Manche Studien zeigen kaum Wirkung, andere deutliche Verbesserungen. Der Unterschied liegt fast immer im Wie, nicht im Ob.
Genau hier setzt dieses Training an. Es basiert auf der Doktoratsforschung von Webguardiola-Gründer Fabian Hable zu Overconfidence Bias im Phishing-Kontext und fasst zusammen, was Studien, NIST-Empfehlungen und die Praxis aus Hunderten Kampagnen tatsächlich zeigen — kompakt, mit Quellenangaben, ohne Marketingversprechen.
An internal phishing campaign means sending your own employees harmless test phishing emails to rehearse the real thing before it happens. Sounds simple — it isn't. There are two seemingly contradictory stories about phishing tests: some studies show barely any effect, others show clear improvement. The difference almost always lies in the how, not the whether.
That's exactly where this training comes in. It's built on the doctoral research of Webguardiola founder Fabian Hable on overconfidence bias in the phishing context, and summarizes what studies, NIST recommendations and practice from hundreds of campaigns actually show — compact, with citations, without marketing promises.
Acht Kapitel, kompakt auf 30 Minuten verdichtet — von der Kennzahl bis zum fertigen 90-Tage-Plan.
Eight chapters, condensed into 30 minutes — from the right metric to a ready-to-use 90-day plan.
Warum die Meldequote die wichtigere Kennzahl ist als die Klickrate — und wie beide richtig gewichtet werden.
Why the reporting rate matters more than the click rate — and how to weigh both correctly.
Warum sich Studien zu widersprechen scheinen — und was tatsächlich über Wirksamkeit von Phishing-Tests bekannt ist.
Why studies seem to contradict each other — and what's actually known about the effectiveness of phishing tests.
Datenschutz und Arbeitnehmervertretung von Anfang an sauber einbinden — bevor die erste Test-Mail verschickt wird.
Involving data protection and employee representation cleanly from the start — before the first test email goes out.
Welche Köder Vertrauen zerstören (Bonus-Mails, Kündigungsdrohungen) und welche Kampagnen tatsächlich lernen lassen.
Which lures destroy trust (bonus emails, termination threats) and which campaigns actually create learning.
Meldequote, Köder-Schwierigkeit nach der NIST Phish Scale und Management-Reporting ohne Einzelpersonen-Tracking.
Reporting rate, lure difficulty per the NIST Phish Scale, and management reporting without individual tracking.
Von Fundament (Recht, Meldeweg) über Baseline-Welle bis zu rollenbasiertem Rhythmus — Schritt für Schritt.
From foundation (law, reporting channel) through a baseline wave to a role-based cadence — step by step.
Webguardiola führt selbst keine Phishing-Kampagnen an Mitarbeitenden durch. Dieses Training richtet sich an die Menschen, die eine eigene Kampagne planen — unabhängig vom eingesetzten Simulationstool. Es zeigt, wie ein Programm Kultur statt Misstrauen schafft: eine Kampagne trainiert nur einen Angriffskanal, nachhaltige Sicherheit entsteht erst im Zusammenspiel mit kontinuierlichem Awareness-Lernen. Genau dafür ist das Webguardiola E-Learning gebaut.
Webguardiola does not run phishing campaigns on employees itself. This training is for the people planning their own campaign — regardless of which simulation tool is used. It shows how a program builds culture instead of mistrust: a campaign trains only one attack channel; lasting security only emerges together with continuous awareness learning. That's exactly what the Webguardiola e-learning is built for.
Ein Ausschnitt aus dem Training — jeder dieser Punkte wird im Detail mit Quellenangaben erklärt.
A sample from the training — each point is explained in detail with citations.
Wer bestraft, erzeugt Angst und Vertuschung statt Meldungen — und zerstört genau die Kultur, die aufgebaut werden soll.
Punishing creates fear and cover-ups instead of reports — destroying exactly the culture you're trying to build.
Gehalts- und Bonus-Mails als Köder zerstören das Vertrauen dauerhaft — der klassische PR-Unfall der Branche.
Salary and bonus emails as lures permanently destroy trust — the industry's classic PR disaster.
Lange Textwände nach dem Klick machen selbstsicher, aber nicht besser. Kurzes Feedback wirkt mehr.
Long text walls after a click make people confident, not better. Short feedback works better.
Wenn nur die Lernseite nach dem Klick zeigt, lernt nur, wer klickt. Eine Nachbereitung für alle erreicht die Mehrheit.
If only the post-click page teaches, only clickers learn. An organization-wide debrief reaches the majority.
Ohne Meldequote sehen Sie nur die halbe Wahrheit — und ohne Schwierigkeits-Einordnung sagt die Klickrate wenig aus.
Without the reporting rate you only see half the truth — and without a difficulty rating, click rate alone says little.
Eine niedrige Klickrate bei einem leichten Köder ist keine gute Nachricht. Die NIST Phish Scale macht Wellen vergleichbar.
A low click rate on an easy lure isn't good news. The NIST Phish Scale makes waves comparable.
Fehler 07 — „Recht & Vertretung zu spät" — und alle Details, Quellen und das vollständige 90-Tage-Playbook gibt es im Training selbst.
Mistake 07 — "Law & representation too late" — and all details, sources, and the full 90-day playbook are in the training itself.
IT-Administratoren, Security-Verantwortliche, CISOs und Datenschutzbeauftragte — auf der Webguardiola Cloud-Plattform freigeschaltet. Nicht die breite Belegschaft: Für alle Mitarbeitenden gibt es das reguläre Security Awareness Training.
IT administrators, security leads, CISOs and data protection officers — activated on the Webguardiola cloud platform. Not the general workforce: for all employees there's the regular security awareness training.
Das Training wird laufend um neue Erkenntnisse erweitert — neue Studien, neue Angriffsmuster, neue Rechtsprechung. Kein SCORM-Download, sondern eine lebende Ressource auf der Plattform.
The training is continuously expanded with new insights — new studies, new attack patterns, new case law. Not a SCORM download, but a living resource on the platform.
30 Minuten für Ihr Security-Team, forschungsbasiert und laufend aktualisiert. Schreiben Sie uns — wir schalten das Training für Ihre Verantwortlichen frei.
30 minutes for your security team, research-based and continuously updated. Write to us — we'll activate the training for your program owners.
Training anfragen → Inquire now →Für die breite Belegschaft: Security Awareness Training kostenlos testen →
For the general workforce: test the security awareness training for free →