Phishing-Schulung, die wirklich funktioniert

Phishing-Tests gehören in jeden Sicherheitsplan. Aber sie wirken nur, wenn sie nicht zur Demütigung verkommen. Wir zeigen, wie nachhaltige Sensibilisierung aussieht.

Phishing-Tests gehören in jeden Sicherheitsplan. Aber sie wirken nur, wenn sie nicht zur Demütigung verkommen. Wir zeigen, wie nachhaltige Sensibilisierung aussieht.

Phishing bleibt 2026 das wirtschaftlich wirksamste Einfallstor in Unternehmen. Technische Schutzmaßnahmen wie Mail-Gateway, Spamfilter, DMARC und Endpoint-Schutz helfen — aber sie verhindern nicht, dass jemand auf einen guten Köder hereinfällt. Sobald eine täuschend echte Mail durchkommt, entscheidet die Reaktion am Bildschirm über den Schaden. Genau hier setzt Awareness-Schulung an.

Die meisten Unternehmen, mit denen wir sprechen, haben „irgendetwas mit Schulung“ schon einmal gemacht — typischerweise ein verpflichtendes E-Learning, das einmal pro Jahr abgehakt werden muss. Die Wirkung ist regelmäßig überschaubar: Die Klickraten in realen Vorfällen sinken kaum. Der Grund liegt selten am Bösen Willen der Mitarbeitenden, sondern an Format und Tonalität dieser Schulungen.

Was nicht funktioniert

  • Einmal-Schulungen pro Jahr im Pflichtprogramm — werden vergessen, sobald sie absolviert sind.
  • Phishing-Tests, deren einziges Ziel es ist, Klicker bloßzustellen oder in Statistiken anzuprangern.
  • Zu komplexe Inhalte — wer mit SPF-, DKIM- und DMARC-Records argumentiert, verliert das Publikum nach drei Minuten.
  • Generische Beispielmails, die offensichtlich aus den USA stammen und nichts mit dem eigenen Alltag zu tun haben.
  • Schulungen ohne klare Eskalationswege — wer eine verdächtige Mail meldet und nie eine Rückmeldung bekommt, meldet sie beim nächsten Mal nicht mehr.

Was wirklich wirkt

  • Kurze, regelmäßige Lerneinheiten (5–10 Minuten alle 4–6 Wochen) statt einer großen Jahressitzung.
  • Realistische Phishing-Simulationen mit klarem Lerneffekt — nicht mit Bestrafungscharakter.
  • Konkrete Beispiele aus dem eigenen Unternehmen — anonymisiert, aber realitätsnah (z. B. eine gefälschte Lieferantenrechnung mit echtem Briefkopf).
  • Eine niedrigschwellige Möglichkeit, verdächtige Mails zu melden — der „Phish-Knopf“ in Outlook oder ein einfaches Postfach phishing@firma.de.
  • Schnelles Feedback nach jeder Meldung: War die Mail echt oder simuliert? War der Verdacht berechtigt? Diese Rückmeldung baut die Meldekultur erst auf.

Wie ein realistisches Programm im KMU aussieht

Wir empfehlen für KMU einen Drei-Säulen-Aufbau: erstens eine kurze Onboarding-Schulung für neue Mitarbeitende (30 Minuten, interaktiv, mit Live-Beispielen), zweitens monatliche Phishing-Simulationen mit anschließendem Mini-Lernmodul nur für die, die geklickt haben, und drittens eine vierteljährliche Auswertung mit der Geschäftsführung — nicht zur Schuldzuweisung, sondern zur Steuerung. Die Auswertung beantwortet zwei Fragen: Wo stehen wir, und welche Themen brauchen wir als nächstes (z. B. CEO-Fraud, QR-Code-Phishing, Voice-Phishing über Teams)?

Kultur schlägt Klickrate

Die wichtigste Kennzahl ist nicht die Klickrate auf simulierte Phishing-Mails. Sie ist die Meldequote — wie schnell und wie viele Mitarbeitende eine verdächtige Mail aktiv melden. Eine hohe Meldequote ist gleichzeitig Frühwarnsystem und Kulturindikator. Eine niedrige Meldequote bei niedriger Klickrate bedeutet meistens nur: Die Leute sehen die Tests nicht — oder ignorieren sie.

Diese neueren Maschen sollten Sie 2026 üben

  • CEO- bzw. Lieferanten-Fraud per Mail oder WhatsApp — oft mit Zeitdruck und Hinweis auf Vertraulichkeit.
  • Phishing über Microsoft-Teams-Chat von extern eingeladenen Accounts.
  • QR-Code-Phishing („Quishing“) — der schädliche Link steckt im Code, nicht im Mail-Text, und entgeht klassischen Filtern.
  • Voice-Phishing („Vishing“) mit KI-generierten Stimmen — eine Stimme der Geschäftsführung am Telefon ist heute keine Garantie mehr.
  • Browser-in-the-Browser-Angriffe, bei denen eine täuschend echte Login-Maske über die echte gelegt wird.

Realistische Verbesserungen

Mit einem soliden Schulungsprogramm sinken Klickraten in unseren Projekten in 6–12 Monaten typischerweise von 18–25 % auf unter 5 %. Die Meldequote steigt parallel von oft unter 5 % auf 30–50 % der eingehenden Phishing-Versuche — und die IT-Abteilung hat erstmals echte Augen im Posteingang. Wichtig ist die ehrliche Erwartung: Eine Klickrate von 0 % ist unrealistisch. Ziel ist eine Organisation, in der ein Klick keine Katastrophe ist, weil er schnell gemeldet wird und technische Schutzschichten den Rest abfangen.

Was eine gute Schulungspartnerschaft auszeichnet

Awareness ist kein einmaliges Projekt, sondern ein Dauerthema. Eine gute Partnerschaft mit einem IT-Dienstleister oder einer Schulungsplattform zeichnet sich dadurch aus, dass Inhalte regelmäßig an aktuelle Bedrohungslagen angepasst werden, dass Auswertungen verständlich sind und dass Sie als Geschäftsführung jederzeit nachvollziehen können, wie es um Ihre Belegschaft steht. Wer Awareness ernst nimmt, behandelt sie wie Brandschutzübungen — nicht wie einmalige Pflichtfortbildungen.

Mehr zu diesem und ähnlichen Themen: Tila Tech ist Ihr Full-Service-IT-Partner aus Deggendorf für IoT, KI-Automatisierung, Managed IT und individuelle Softwareentwicklung. 30 Minuten kostenlose Erstberatung: Telefon +49 991 492-2852-0 oder E-Mail info@tila-tech.de.