Phishing-Simulationen im Unternehmen: Lohnt sich der Aufwand?

E-Mails mit täuschend echten Rechnungen, gefälschten Absendern oder angeblichen Passwort-Updates – Phishing ist heute die häufigste Angriffsform in Schweizer Unternehmen….

ng

E-Mails mit täuschend echten Rechnungen, gefälschten Absendern oder angeblichen Passwort-Updates – Phishing ist heute die häufigste Angriffsform in Schweizer Unternehmen. Rund 90 % aller Cybervorfälle beginnen laut Studien mit einer einzigen unbedachten Klickhandlung – das bestätigen auch aktuelle Zahlen aus dem BAG mit 6643 Meldungen im ersten Halbjahr 2024

Technische Schutzmassnahmen wie Spamfilter oder Firewalls sind wichtig, aber sie greifen zu spät, wenn ein Mitarbeiter auf einen Link klickt oder Daten preisgibt. Hier setzen Phishing-Simulationen an: gezielte Testangriffe, mit denen das Sicherheitsbewusstsein realitätsnah geschult wird.

Doch lohnen sich solche Trainings wirklich? Oder sind sie nur ein weiteres Tool, das kurzfristig Aufmerksamkeit erzeugt, aber langfristig wenig bewirkt?

Warum Phishing-Simulationen für Schweizer Unternehmen relevant sind

Schweizer KMU sind ein attraktives Ziel – gerade, weil sie oft gut organisiert, aber nicht systematisch geschult sind. Während IT-Systeme zunehmend abgesichert werden, bleibt der „Faktor Mensch“ häufig der schwächste Punkt.

Typische Situationen:

  • Mitarbeiter erhalten täuschend echte E-Mails mit vermeintlichen Office- oder Dienstleister-Links
  • Passwort-Resets oder Sicherheitswarnungen wirken glaubwürdig
  • Rechnungsfreigaben oder HR-Anfragen werden unkritisch beantwortet

Die Folge: Malware-Downloads, Ransomware-Infektionen oder der Verlust sensibler Kundendaten. Phishing-Simulationen bieten hier eine kontrollierte Lernumgebung: Statt im Ernstfall Opfer zu werden, erleben Mitarbeitende in sicherem Rahmen, wie täuschend echt Angriffe aussehen können – und lernen, Warnsignale frühzeitig zu erkennen.

Wie Phishing-Simulationen funktionieren – und worauf es ankommt

Eine Phishing-Simulation im Unternehmen ist kein „Spiel mit der Angst“, sondern ein gezieltes Awareness-Instrument. Der Ablauf folgt meist vier Schritten:

  1. Planung und Zieldefinition
    Welche Abteilungen sollen getestet werden? Welches Ziel wird verfolgt – Sensibilisierung, Messung oder Schulung?
    Wichtig ist, die Übung nicht als Misstrauenssignal, sondern als Teil der Sicherheitskultur zu kommunizieren.

  2. Erstellung realistischer, aber fairer Phishing-Mails
    Gute Simulationen arbeiten mit realistischen Szenarien, die im Arbeitsalltag vorkommen können – z. B. gefälschte Microsoft-Loginseiten, angebliche Lieferbenachrichtigungen oder interne Mitteilungen.
    Übertriebene oder absurde Mails (z. B. „Sie haben im Lotto gewonnen“) bringen keinen Lerneffekt.

  3. Auswertung und Feedback
    Nach dem Versand werden Klick- und Öffnungsraten anonymisiert ausgewertet. Entscheidend ist nicht, wer klickt, sondern warum.
    Konstruktives Feedback hilft, Muster zu erkennen: Welche Art von Nachricht wird am ehesten angeklickt? Welche Formulierungen täuschen besonders gut?

Awareness-Training und Follow-up
Simulationen sind kein Selbstzweck. Sie müssen mit konkreter Wissensvermittlung verbunden sein – etwa durch kurze Schulungen, E-Learning oder Team-Workshops. Eine gute Orientierung bieten hier die Empfehlungen der European Union Agency for Cybersecurity (ENISA) zum Thema „Cybersecurity Awareness Training“.

Typische Fehler bei Phishing-Simulationen

Trotz guter Absicht führen viele Unternehmen Simulationen so durch, dass sie mehr Schaden als Nutzen bringen. Die häufigsten Stolperfallen:

  • „Naming and shaming“: Wenn Klicks öffentlich gemacht oder Mitarbeitende blossgestellt werden, entsteht Angst statt Lernen.

  • Fehlende Kommunikation: Wird die Simulation nicht angekündigt, empfinden viele sie als Misstrauensakt.

  • Einmalige Aktionen: Eine einzelne Kampagne bewirkt wenig, regelmässige und variierende Übungen führen zu nachhaltigem Bewusstsein.

  • Fehlende Integration: Wenn Simulationen isoliert stattfinden, ohne anschliessendes Training, verpufft der Effekt.

Ziel ist nicht, Mitarbeitende zu überlisten, sondern sie zu stärken – und die Sensibilität über alle Hierarchien hinweg zu fördern.

So erzielen Phishing-Simulationen nachhaltige Wirkung

Damit der Aufwand sich lohnt, müssen Phishing-Simulationen strategisch eingebettet sein – als Teil einer ganzheitlichen Sicherheitskultur.
Dazu gehören:

  • Regelmässigkeit statt Einmalübung
    Quartalsweise Kampagnen mit wechselnden Szenarien schaffen Routine und Vergleichbarkeit.
  • Transparente Kommunikation
    Mitarbeitende sollten verstehen, warum getestet wird und wie die Ergebnisse genutzt werden. So entsteht Akzeptanz statt Widerstand.
  • Verknüpfung mit Schulungen
    Klickt jemand auf eine Phishing-Mail, ist das kein Versagen – sondern eine Lernchance. Kurze Follow-up-Videos oder Micro-Trainings festigen das Gelernte.
  • Management als Vorbild
    Wenn Führungskräfte selbst teilnehmen und offen über eigene Fehler sprechen, sinkt die Hemmschwelle für andere, Fragen zu stellen oder Verdachtsfälle zu melden.

Messbare Kennzahlen
Eine sinkende Klickrate oder steigende Meldequote zeigt Fortschritt – und macht den Erfolg sichtbar.

Was Phishing-Simulationen kosten – und was sie bringen

Die Kosten variieren je nach Umfang und Anbieter. In der Schweiz liegen sie typischerweise zwischen CHF 2000 und 8000 pro Jahr für regelmässige Simulationen mit Berichten und Awareness-Modulen.

Der ROI zeigt sich weniger in eingesparten Franken, sondern in verhinderten Vorfällen:
Ein einziger erfolgreicher Phishing-Angriff kann weit über CHF 50000 Schaden verursachen – durch Produktionsausfälle, Wiederherstellung oder Reputationsverlust.

Unternehmen, die Simulationen regelmässig durchführen, berichten über:

  • Deutlich geringere Klickraten nach 6 Monaten

  • Bessere interne Kommunikation über verdächtige E-Mails

  • Höhere Sicherheitsdisziplin auch in anderen Bereichen (z. B. Passwortmanagement)

Externe Unterstützung: Wann sie sinnvoll ist

Nicht jedes Unternehmen verfügt über Ressourcen oder Know-how, um realistische Phishing-Kampagnen selbst durchzuführen. Ähnlich wie bei professionellen Penetrationstests, die wir auf unserer Seite Pentesting Schweiz näher vorstellen, profitieren Unternehmen auch hier von der Erfahrung spezialisierter IT-Security-Teams.

 Ein externer Partner kann helfen bei:

  • der Erstellung realistischer, aber fairer E-Mail-Vorlagen

  • der anonymisierten Auswertung und Berichterstattung

  • der Durchführung anschliessender Awareness-Trainings

 

Wichtig: Ein guter Anbieter ersetzt nicht die Verantwortung des Unternehmens, sondern stärkt interne Strukturen. Ziel ist es, Wissen und Prozesse aufzubauen – nicht Abhängigkeiten.

Wir von n’guard unterstützen Schweizer KMU mit praxisnahen Phishing-Simulationen und kompakten Awareness-Formaten. Unsere Tests sind realistisch, transparent und respektvoll – damit Ihre Mitarbeitenden nicht verunsichert, sondern befähigt werden.

Ähnliche Beiträge