Phishing-Schulungs-Konzept: 4 Quartals-Module + Simulation
TL;DR
- Quartals-Schulungsplan mit Phishing-Simulation: Q1 Basis, Q2 Targeted, Q3 Whaling, Q4 Refresher
- Klickrate halbiert in 6 Monaten bei strukturierter Wiederholung
- Pflicht-Basis: § 30 BSIG (NIS2) + Art. 32 DSGVO + ISO 27001 A.7.2.2
- Tools: KnowBe4, Proofpoint Security Awareness, Hornetsecurity (DACH)
- Kosten: 8–25 EUR/MA/Jahr je nach Anbieter und Umfang
Hauptartikel: Hauptartikel: § 30 BSIG: 10 Pflichtmaßnahmen — der vollständige Pillar-Artikel zum Thema.
Q1: Grundlagen + Erste Simulation
30-Min-Modul: Was ist Phishing, Beispiele, rote Flaggen. Anschließend Simulation 1 (einfaches Phishing). Klickrate-Baseline ermitteln.
Q2: Spear-Phishing + Whaling
30-Min-Modul: gezielte Angriffe, CEO-Fraud, Lieferanten-Betrug. Simulation 2 (mittel-schwer).
Q3: Voice-Phishing + Smishing
30-Min-Modul: Telefon-Betrug, SMS-Phishing, MFA-Bypass-Versuche. Simulation 3 (Voice-Komponente).
Q4: KI-Phishing + Deepfakes
30-Min-Modul: KI-generierte Phishing-Mails, Voice-Cloning, Deepfake-Videos. Simulation 4 (KI-Phishing-Mail).
Tools-Vergleich (Marktführer)
SoSafe (DE-Marktführer, 8-15 EUR/MA/Jahr), KnowBe4 (US, 12-20 EUR/MA/Jahr), Hoxhunt (FI, 10-18 EUR/MA/Jahr).
Eskalations-Plan
Bei Klick: anonymisierte Auswertung, 1:1-Coaching für Wiederholungstäter, Anonymisierte Klickraten-Tabelle pro Abteilung als Anreiz.
Häufig gestellte Fragen
Wie viel Klickrate ist 'gut' bei Phishing-Simulationen?
Branchen-Median 2025: 22% Klickrate bei erstem Test (KnowBe4 Phishing Industry Benchmarks Report 2025). Nach 6 Monaten konsequenter Schulung: 8-12% Klickrate. Nach 12 Monaten: 4-6% Klickrate ist erreichbares Top-Ziel. Top-Performer-Unternehmen erreichen <2%. 'Repeat Clickers' (mehrere Phishing-Klicks) sind das Hauptproblem — typisch 8-15% der Belegschaft. Diese benötigen 1:1-Coaching, sind aber keine 'Schulungs-Versager' — meist Stress + Workload-Faktoren. Pflicht-Schulung verschlimmert das Problem; positives Coaching ist effektiver.
Müssen wir den Betriebsrat bei Phishing-Simulationen einbinden?
Ja, zwingend nach § 87 Abs. 1 Nr. 6 BetrVG (technische Verhaltens-/Leistungs-Überwachungs-Einrichtungen). Auch wenn Phishing-Tests aggregiert ausgewertet werden, sind individuelle Klickraten technisch nachvollziehbar — daher mitbestimmungspflichtig. Praxis: Betriebsvereinbarung mit Anonymisierungs-Garantie, max. Anzahl Tests/Jahr, kein Bezug zu Performance-Reviews. Datenschutz: § 26 BDSG-Voraussetzung + Information der MA. Ohne BR-Zustimmung: Test-Ergebnisse nicht verwertbar, mögliche AGG-Klage bei sanktioniertem Verhalten.
Welcher Phishing-Schulungs-Anbieter ist DSGVO-konform?
EU-Hosting-Anbieter: SoSafe (DE-Marktführer, ab 8 EUR/MA/Jahr), Hoxhunt (FI, 10-18 EUR), Cyberday (FI), Lucy Security (CH). US-Anbieter mit DPF: KnowBe4 (12-20 EUR), Proofpoint Security Awareness, Cofense. Empfehlung für DACH-KMU: SoSafe wegen DSGVO-by-Design, multi-language (DE+EN+FR+IT), Betriebsrats-konformer Anonymisierung. Für ISO 27001-zertifizierte: KnowBe4 wegen umfangreicher Reports. Kosten 100-MA: 800-2.000 EUR/Jahr.
Wie kombiniert man Phishing-Tests mit Awareness-Schulungen?
12-Monats-Programm: Q1 Onboarding-Schulung (45 min) + erste Simulation (Baseline). Q2 Spear-Phishing-Modul (30 min) + Simulation 2 (mittel-schwer). Q3 Voice-Phishing/Smishing-Modul (30 min) + Simulation 3 (Voice-Komponente). Q4 KI-Phishing/Deepfake-Modul (30 min) + Simulation 4 (KI-generiert). Jeden Monat 'Lessons Learned'-Newsletter (5 Min Lesezeit). Reduktion erwartbar: 22% → 6-8% Klickrate in 12 Monaten. Plus: Phish-Reporting-Button im E-Mail-Client als 'positive' Metrik (Anzahl gemeldeter Phishings = Awareness-Indikator).
Quellen
- BSIG 2025 (konsolidierte Fassung) — § 30 Abs. 2 Nr. 7 (Cyberhygiene + Schulungen) (Stand: 02.05.2026)
- NIS-2-Umsetzungsgesetz — BGBl. 2025 I Nr. 301 (Stand: 02.05.2026)
- Richtlinie (EU) 2022/2555 (NIS2) — Art. 21 Abs. 2 lit. g (Cyberhygiene) (Stand: 02.05.2026)
- BSI — NIS-2 FAQ regulierte Unternehmen