🚨 NIS2 ist nun in Kraft getreten. Sicherheitsbewusstsein ist in der EU nun gesetzlich vorgeschrieben.

Einhaltung prüfen
Starten Sie Ihre kostenlose Testphase
Zurück zum Ressourcenzentrum

Phishing-Simulationen für Unternehmen: Selbst durchführen oder einen Partner hinzuziehen?

Was ist Phishing?

Für die meisten Unternehmen ist Phishing eine der häufigsten Methoden, mit denen Angreifer in ihre Systeme eindringen, und seit Inkrafttreten der NIS2-Richtlinie sind viele Organisationen verpflichtet, ihre Mitarbeiter nachweislich zu schulen. Eine Phishing-Simulationist der konkreteste Weg, dies zu erreichen: Sie nutzen realistische, aber harmlose Phishing-E-Mails, um zu testen, wie Ihre Mitarbeiter reagieren, bevor ein echter Angreifer zuschlägt.

Die eigentliche Frage ist, wie Sie das organisieren. Sie können einen Partner hinzuziehen, der Ihnen die Durchführung von Phishing-Tests vollständig abnimmt, oder sich für eine Lösung entscheiden, die Ihr eigenes Unternehmen betreibt. In diesem Artikel behandeln wir beide Möglichkeiten, einschließlich der drei Arten von Unternehmen, die Ihnen dabei helfen können, sowie der Kriterien für die Auswahl zwischen ihnen.

Was macht ein Anbieter von Phishing-Simulationen?

Ein Anbieter von Phishing-Simulationen versendet kontrollierte, gefälschte Phishing-E-Mails an Ihre Mitarbeiter. Die Nachrichten sehen echt aus – mit dringenden Betreffzeilen, gefälschten Absendern und Links zu nachgebildeten Anmeldeseiten –, doch wenn jemand darauf hereinfällt, passiert nichts. Stattdessen werden die Ergebnisse erfasst: Wer hat die E-Mail geöffnet, wer hat darauf geklickt, wer hat Anmeldedaten eingegeben?

Diese Ergebnisse zeigen, wo in Ihrem Unternehmen Schwachstellen bestehen, und bilden – was noch wichtiger ist – den Ausgangspunkt für Schulungsmaßnahmen. Eine Simulation ohne Folgemaßnahmen ist lediglich eine Momentaufnahme. Der eigentliche Nutzen entsteht erst, wenn die Mitarbeiter, die auf die entsprechenden Punkte geklickt haben, gezielte Sensibilisierungsschulungen erhalten und der Test regelmäßig wiederholt wird, damit Sie feststellen können, ob sich das Verhalten tatsächlich verbessert.

Es gibt auch eine formale Seite. Wenn Ihre Organisation unter die NIS2-Richtlinie fällt, gehören regelmäßige Simulationen in Verbindung mit Schulungen zu den konkretesten Möglichkeiten, um nachzuweisen, dass Ihr Sensibilisierungsprogramm tatsächlich existiert und nicht nur auf dem Papier steht.

Drei Arten von Unternehmen, die Phishing-Simulationen anbieten

Der Markt lässt sich grob in drei Arten von Anbietern unterteilen. Diese überschneiden sich zwar hinsichtlich ihres Angebots, unterscheiden sich jedoch darin, inwieweit sie Ihnen Arbeit abnehmen und wie viel Kontrolle Sie selbst behalten.

1. Sicherheitsberater

Berater unterstützen Unternehmen dabei, ihre Informationssicherheit insgesamt zu verbessern. Eine Phishing-Simulation ist dabei Teil eines umfassenderen Programms: einer Bestandsaufnahme, Sensibilisierungskampagnen, Richtlinien und häufig auch der Vorbereitung auf Zertifizierungen wie ISO 27001 oder die Einhaltung der NIS2-Vorschriften. Ein Unternehmen wie Fendix arbeitet auf diese Weise und unterstützt Unternehmen in allen Bereichen der Informationssicherheit und des Phishing-Schutzes.

Dieser Ansatz eignet sich für Unternehmen, die intern nur über wenig Sicherheits-Know-how verfügen oder die sich in einem Compliance- oder Zertifizierungsprozess befinden und von Anfang bis Ende fachkundige Begleitung wünschen.

2. IT-Partner und Managed-Service-Anbieter

Viele Unternehmen verfügen bereits über einen bewährten IT-Partner, der ihre Arbeitsplätze, ihr Netzwerk und ihre Microsoft 365-Umgebung verwaltet. Immer mehr dieser Partner bieten Phishing-Simulationen als Teil ihres Leistungsangebots an, meist in Verbindung mit einer Plattform zur Sensibilisierung für Sicherheitsfragen. Promo Systems ist ein Beispiel für einen IT-Partner, der das tägliche IT-Management mit Sicherheitsdienstleistungen kombiniert.

Der Vorteil ist ein zentraler Ansprechpartner, der Ihre IT-Umgebung bereits kennt. Die Simulation, die Nachbereitung und die damit verbundenen technischen Maßnahmen, wie beispielsweise E-Mail-Filterung und Multi-Faktor-Authentifizierung, kommen somit aus einer Hand.

3. Plattformen zur Sensibilisierung für Sicherheitsfragen

Der dritte Ansatz ist eine Plattform, die Sie selbst oder gemeinsam mit Ihrem IT-Partner nutzen können. Mit Guardey richten Sie innerhalb weniger Minuten eine realistische Phishing-Simulation ein, sehen genau, wer darauf klickt, und kombinieren den Test mit einem spielerisch gestalteten Sicherheitsschulungsprogramm, das die Mitarbeiter Woche für Woche motiviert.

Dies eignet sich für Unternehmen, die kontinuierlich statt nur einmal im Jahr Tests durchführen möchten und die die Kontrolle über Zeitplanung, Vorlagen und Nachbereitung behalten wollen. Es ist zudem der Weg mit der geringsten Einstiegshürde: kein Projekt, keine Vorlaufzeit – einfach loslegen.

Neugierig, wer in Ihrem Unternehmen darauf klicken würde?

Richten Sie innerhalb weniger Minuten eine realistische Phishing-Simulation ein und verfolgen Sie die Ergebnisse in Echtzeit. Es sind keine Zahlungsdaten erforderlich.

Testen Sie Guardey 14 Tage lang kostenlos

Die Phishing-Simulation auslagern oder selbst durchführen?

Wenn Sie Ihre Phishing-Simulation vollständig auslagern und einen einmaligen Test durch einen externen Anbieter durchführen lassen, erhalten Sie einen Ausgangswert. Doch Widerstandsfähigkeit gegen Phishing ist eine Frage des Verhaltens, und Verhalten ändert sich nur durch Wiederholung. Deshalb ist die Frage nach der Häufigkeit wichtiger als die Frage nach dem Anbieter. Für welchen Weg Sie sich auch entscheiden: Stellen Sie sicher, dass die Simulationen das ganze Jahr über regelmäßig stattfinden und mit Schulungen verknüpft sind.

In der Praxis entscheiden sich viele Organisationen letztendlich für ein Hybridmodell: eine Plattform für kontinuierliche Simulationen und Schulungen, ergänzt durch einen Berater oder IT-Partner, der sie in Fragen der Richtlinien, der Technologie und des übergeordneten Sicherheitskontexts unterstützt. Die drei oben genannten Unternehmenstypen stehen nicht so sehr in Konkurrenz zueinander, sondern ergänzen sich vielmehr.

So wählen Sie einen Anbieter für Phishing-Simulationen aus

Unabhängig davon, mit welcher Art von Anbieter Sie sprechen – dies sind die Kriterien, die eine gute Phishing-Simulation von einer reinen Abhakübung unterscheiden:

  • Realistische Vorlagen in Ihrer Sprache. Eine übersetzte amerikanische Vorlage fällt sofort auf. Die Simulationen müssen die E-Mails widerspiegeln, die Ihre Mitarbeiter tatsächlich auf Niederländisch von Absendern erhalten, die sie kennen.
  • Berichterstattung auf Teamebene, ohne Namen zu nennen und Personen an den Pranger zu stellen. Das Ziel ist Lernen, nicht Bestrafung. Gute Anbieter erstatten Bericht auf Organisations- und Abteilungsebene und gehen mit individuellen Ergebnissen behutsam um.
  • Mit dem Test verknüpfte Schulung. Ein Mitarbeiter, der darauf klickt, sollte sofort einen kurzen Lernimpuls erhalten. Ohne diese Verknüpfung dient eine Simulation lediglich der Messung, führt jedoch zu keiner Verbesserung.
  • Häufigkeit. Können Sie Simulationen problemlos mehrmals im Jahr mit unterschiedlichen Parametern durchführen, oder ist jeder Test ein neues Projekt?
  • Datenschutz und Betriebsrat. Bei den Simulationen werden Mitarbeiterdaten verwendet. Prüfen Sie, wie der Anbieter die DSGVO umsetzt, und ziehen Sie Ihren Betriebsrat ein, bevor Sie beginnen.
  • Berichterstattung zur Einhaltung von Vorschriften. Wenn NIS2 oder ISO 27001 für Sie gilt, sollten Sie nachweisen können, dass Sensibilisierungsschulungen stattfinden. Fragen Sie den Anbieter, wie er Sie bei der Dokumentation dieser Maßnahmen unterstützt.

Phishing-Simulationen als Teil des Angebots von Cybersicherheitsunternehmen

Phishing-Simulationen werden selten isoliert durchgeführt. Cybersicherheitsunternehmen bieten sie in der Regel als Teil eines umfassenderen Pakets an, das auch Penetrationstests, Sicherheitsüberwachung und Incident Response umfasst. Wenn Ihr Unternehmen mehr als nur Sensibilisierungsmaßnahmen benötigt – beispielsweise, weil Sie mit sensiblen Daten umgehen oder als kritische Einrichtung unter die NIS2-Richtlinie fallen –, ist es sinnvoll, das Gesamtbild zu betrachten.

Das Gleiche gilt auch umgekehrt: Wenn die menschliche Komponente Ihr schwächstes Glied ist, müssen Sie nicht gleich das Komplettpaket eines Cybersicherheitsunternehmens erwerben, um loszulegen. Eine gezielte Phishing-Simulation in Verbindung mit einer entsprechenden Schulung deckt den von Kriminellen am häufigsten genutzten Angriffsweg ab – und das mit nur einem Bruchteil des Aufwands.

Häufig gestellte Fragen

Wie oft sollte man eine Phishing-Simulation durchführen?

Häufiger als einmal im Jahr. Ein einzelner Test erfasst einen Moment; wiederkehrende Simulationen, die über das Jahr verteilt sind und unterschiedliche Szenarien abdecken, verändern das Verhalten tatsächlich und zeigen Ihnen, ob die Klickraten sinken.

Ist eine Phishing-Simulation gemäß der DSGVO zulässig?

Ja, vorausgesetzt, Sie gehen dabei sorgfältig vor. Informieren Sie die Mitarbeiter allgemein darüber, dass Simulationen Teil Ihrer Sicherheitsrichtlinien sind, beziehen Sie den Betriebsrat mit ein und berichten Sie über die Ergebnisse auf Konzernebene, anstatt einzelne Personen bloßzustellen.

Was passiert, nachdem jemand darauf geklickt hat?

Nichts Schlimmes. Bei einer gut durchdachten Umsetzung erhält der Mitarbeiter sofort eine kurze Erklärung oder eine kurze Einweisung. Der Klick wird so zu einer Lernmöglichkeit statt zu einem Zwischenfall.

Ganz gleich, ob Sie sich letztendlich für einen Berater, Ihren IT-Partner oder eine Plattform entscheiden – der erste Schritt ist immer derselbe: Finden Sie heraus, wo Sie heute stehen. Möchten Sie zunächst verschiedene Anbieter vergleichen? Werfen Sie einen Blick auf unsere Übersicht über die besten Software-Tools für Phishing-Simulationen.

Sie sind sich nicht sicher, welcher Weg für Ihr Unternehmen der richtige ist?

In einer 45-minütigen Demo zeigen wir Ihnen, wie Guardey Phishing-Simulationen mit Schulungen kombiniert, und beraten Sie ehrlich zu dem Ansatz, der am besten zu Ihrem Unternehmen passt.

Vereinbaren Sie eine persönliche Vorführung
Dinela Lokvancic
Dinela Lokvancic Marketing-Spezialistin Dinela hält die Online-Präsenz von Guardey auf dem neuesten Stand. Sie erstellt Inhalte, die komplexe Themen der Cybersicherheit verständlich machen, und hilft Unternehmen zu verstehen, warum Schulungen zum Sicherheitsbewusstsein für ihre Teams wichtig sind.
Sind Sie bereit, loszulegen?

Schließen Sie sich den über 500 Unternehmen an, die ihre Teams bereits mit Guardey schützen

Starten Sie Ihre kostenlose 14-tägige Testphase
14 Tage kostenlos · Keine Kreditkarte · Voller Zugriff · Einrichtung in 5 Minuten
Oder vereinbaren Sie eine individuelle Vorführung