Phishing gehört zu den größten Cyberrisiken für Organisationen. Viele Firmen setzen deshalb auf Phishing-Simulationen: Ungefährliche Testmails, die zeigen, wie aufmerksam Mitarbeitende sind und ob Sicherheitsbewusstsein auch in Stresssituationen funktioniert.
Richtig umgesetzt, sind Phishing-Simulationen aus unserer Sicht ein mächtiges Awareness-Werkzeug, mit dem Sie spürbar das Schutzniveau Ihrer Organisation steigern können: Sie sensibilisieren, schärfen den Blick für Gefahren im Posteingang und helfen dabei, sichere Gewohnheiten zu entwickeln.
Falsch umgesetzt, können sie jedoch das Gegenteil bewirken – Frust, Unsicherheit oder sogar Abwehrhaltung – also genau das Gegenteil, was wir ansonsten mit cleveren Awareness-Maßnahmen erreichen wollen.
In dieser dreiteiligen Serie geben wir Ihnen zehn erprobte Tipps aus unserer Praxis, wie Ihre Phishing-Simulation wirklich ein Erfolg wird. Heute starten wir mit den ersten drei.
Kündigen Sie die Phishing-Simulation an
Eine Phishing-Simulation kann schnell übergriffig wirken: „Mein eigener Arbeitgeber will mich reinlegen?!“ Umso wichtiger ist es, dass Sie die Aktion vorher ankündigen und klar kommunizieren: Es geht nicht darum, einzelne Personen bloßzustellen, sondern gemeinsam zu lernen und Risiken realistisch einzuschätzen. Eine garantierte anonyme Auswertung schafft zusätzlich Vertrauen.
Allein die Ankündigung kann Sportsgeist erzeugen: „Ich werde ganz sicher nicht auf eine dieser Mails hereinfallen.“ Wenn Sie diesen Spirit erzeugen, haben Sie schon die halbe Miete.
Das häufigste Argument gegen eine vorherige Ankündigung ist: „Dann wissen ja meine Mitarbeitenden, dass wir so etwas durchführen und verhalten sich automatisch unüblich achtsam. Die gewonnenen Zahlen spiegeln ja dann kein normales Verhalten wider.“
Unsere Zahlen zeigen: Wenn Sie zwischen der Ankündigung der Phishing-Simulation und der ersten versandten Mail zwei bis vier Wochen vergehen lassen, hat sich die Alarmiertheit der Mitarbeitenden wieder gelegt. Das Verhalten ist realistisch, die Zahlen sind belastbar – und im Fall eines Klicks wissen die Mitarbeitenden trotzdem sofort, dass es Teil der Simulation ist, da sie den Kontext kennen.
Lösen Sie bei Fehlverhalten die Situation sofort auf
Klingt selbstverständlich, wird aber oft nicht konsequent umgesetzt: Fällt jemand auf eine Phishing-Mail herein, sollte sofort klar werden, dass es sich nur um eine Simulation handelt. Sonst bleibt Unsicherheit zurück – und die Person könnte glauben, gerade einen echten Sicherheitsvorfall ausgelöst zu haben.
Typische Fehlhandlungen sind zum Beispiel:
- Klick auf einen gefährlichen Link
- Scannen eines QR-Codes
- Aktivieren eines Makros
- Eingabe sensibler Daten auf einem Fake-Portal
In diesen Fällen informieren Sie die Person sofort, dass das Erlebte ein Teil der Simulation war. Weisen Sie darauf hin, dass Fehlhandlung zwar gezählt wurde, jedoch sichergestellt ist, dass in der Auswertung kein Rückbezug auf die Person genommen werden kann. Zumeist bieten die Simulationslösungen eine entsprechende Funktion an, die Ihren Mitarbeitenden diesen Hinweis geben.
Nutzen Sie den Moment der größten Lernbereitschaft
Wenn jemand doch einmal eine Fehlhandlung begangen hat, wird die Person sich ertappt fühlen: „Mist, das hätte ich nicht gedacht, dass mir das passiert. Wie konnte es dazu kommen?“ Genau das ist der Moment, in dem die Lernbereitschaft am höchsten ist. Nutzen Sie ihn und zeigen bestenfalls an der konkreten Mail auf, welche Warnsignal erkennbar waren.
Erklären Sie dabei nicht nur technische Merkmale (Lookalike-Domains, überzeugende Links und fehlende persönliche Ansprachen), sondern betonen auch psychologische Tricks, die Angreifende nutzen. Viele Plattformen bieten diese Art der Aufklärung als integriertes Feedback.
Im zweiten Teil dieser Serie stellen wir Ihnen vier weitere Tipps vor.
Wir beraten Sie gerne, wie Sie eine wirksame Phishing-Simulation in Ihrem Haus planen, kommunizieren und umsetzen. Profitieren Sie von unserer Erfahrung und unserer Partnerlandschaft, aus der wir die passende Lösung für Ihr Haus auswählen können. Erzielen Sie mit uns eine messbare Veränderung, indem Sie einfach Kontakt mit uns aufnehmen.
