Phishing-Simulation 2026: Anbieter, Methodik und was wirklich funktioniert
Mehr als 90% aller erfolgreichen Cyberangriffe in deutschen Unternehmen beginnen mit Phishing — und 12-25% der Mitarbeitenden klicken auch in 2026 noch auf realistische Phishing-Mails. Phishing-Simulationen sind die effektivste Methode, dieses Risiko messbar zu reduzieren. Dieser Leitfaden erklaert, was funktioniert, was nicht und welche Anbieter fuer deutsche Unternehmen relevant sind.
Warum Phishing-Simulationen mehr sind als ein Klick-Test
Eine reine "Wer klickt?"-Statistik ist Verschwendung. Eine gute Phishing-Simulation:
- Misst nicht nur Klicks, sondern Eingaben (Credential-Theft) und Anhaenge-Ausfuehrungen
- Differenziert nach Rollen (Finanz, IT-Admin, HR sind hochwertige Ziele und sollten anders trainiert werden als Werkstatt-Mitarbeiter)
- Reflektiert reale Trends (BEC, MFA-Phishing, QR-Code-Phishing)
- Liefert direktes Just-in-Time-Training statt Jahres-Schulung
- Verbessert Reporting-Verhalten (gemeldete Phishings als KPI, nicht nur Klicks)
Methodik: 5 Stufen einer reifen Phishing-Simulation
Stufe 1: Baseline-Messung
Erste Kampagne ohne Vorabinformation. Realistisches Szenario, mittlere Schwierigkeit. Ergebnis: Ihre rohe Click-Rate. Typisch in DE: 18-32% Klicks, 4-8% Credential-Eingaben.
Stufe 2: Segment-spezifische Kampagnen
- Finanz-Team: gefaelschte Lieferantenrechnung, Aenderung der Bankverbindung (BEC-Stil)
- IT-Admins: Microsoft-Sicherheitswarnung, OAuth-App-Konsens
- HR: Bewerbung mit "Lebenslauf.zip"
- Vertrieb: angeblicher Kunden-Vertrag
Stufe 3: Schwierigkeitsgrad steigern
Mit der Zeit werden Mitarbeitende besser. Die Simulationen muessen auch besser werden:
- Verifizierte Domains via Display-Name-Spoofing
- Inhaltliche Reaktion auf vorherige Mails (Threadhijacking-Stil)
- Mehrstufige Angriffe (Mail + SMS + Voice)
- Live-Imitate aktueller Vorfaelle (z.B. echte Datenleck-Notifications)
Stufe 4: MFA-Phishing simulieren
2026 ist MFA-Phishing der naechste grosse Vektor. Eine reife Phishing-Simulation umfasst:
- AiTM-Angriffe (Adversary-in-the-Middle, z.B. Evilginx-Style — simuliert)
- MFA-Fatigue (mehrere Push-Anfragen in Folge)
- OAuth-App-Konsens
Stufe 5: Reporting-Kultur etablieren
KPI-Wechsel: nicht "wer klickt?", sondern "wer meldet?". Ziele:
- Phishing-Meldebutton in Outlook/Gmail
- Echte und simulierte Phishings beide messen
- Schnelles positives Feedback bei Meldung
- Reporting-Rate > 60% innerhalb 12 Monaten
Anbieter-Landschaft 2026
Internationale Plattformen
| Anbieter | Staerken | Preisspanne (200 MA) |
|---|---|---|
| KnowBe4 | Marktfuehrer, riesige Vorlagenbibliothek | EUR 5-12 / User / Jahr |
| Proofpoint Security Awareness | Threat-Intelligence-Integration | EUR 8-15 / User / Jahr |
| Microsoft Defender Attack Simulator | In M365-Lizenz enthalten | "Kostenlos" mit M365 E5 |
| Cofense PhishMe | Reporting-Engine "Triage" | EUR 10-18 / User / Jahr |
| SoSafe | Berlin-basiert, deutsch-erstklassig, DSGVO-stark | EUR 6-14 / User / Jahr |
| Hornet Security | DACH-Fokus, integriert mit M365-Backup-Suite | EUR 4-10 / User / Jahr |
Deutsche Spezialisten
- G DATA Security Awareness — Bochum, BSI-Listed
- IT-Seal — Heilbronn, BAIT/VAIT-konform fuer Banken
- Lucy Security — Schweiz, on-premise verfuegbar (DSGVO-Vorteil)
Microsoft Defender Attack Simulator
Bei M365 E5 oder Defender for Office 365 Plan 2 in der Lizenz enthalten. Nicht so polished wie KnowBe4, aber:
- Direkte Integration in M365
- Realistische Angriffsmuster aus echten Microsoft-Telemetrie-Daten
- Kostenfrei wenn man E5 ohnehin hat
Fuer M365-Stacks oft die richtige Wahl.
Rechtliche Rahmenbedingungen in Deutschland
Phishing-Simulationen sind in DE rechtlich heikel — beachten Sie:
Betriebsrats-Mitbestimmung (BetrVG)
Das Sammeln von Klick-Daten pro Mitarbeiter ist mitbestimmungspflichtig (§87 Abs. 1 Nr. 6 BetrVG). Loesung: Betriebsvereinbarung mit Anonymisierungs-Regeln. Praktikabel: aggregierte Statistiken pro Abteilung, nicht pro Person. Ausnahme bei Wiederholungstaetern: dokumentierte Eskalation.
DSGVO Art. 6 + Art. 88
Datenverarbeitung muss Rechtsgrundlage haben (berechtigtes Interesse + Verhaeltnismaessigkeit). DPIA empfohlen.
Mitarbeiter-Vorabinformation
Rechtsmeinung in DE: Mitarbeitende muessen wissen, dass Phishing-Simulationen stattfinden, aber nicht wann. Klare Information im Onboarding und im Intranet.
Strafbarkeit fuer Tester
"Hacking" gegen den eigenen Arbeitgeber ist strafrechtlich nur erlaubt, wenn schriftliche Auftragslage besteht (StGB §202a, §202c). Phishing-Simulationen ueber externe Anbieter brauchen einen klaren Auftrag + AVV.
Was funktioniert, was nicht
Funktioniert
- Just-in-Time-Microlearning direkt nach Klick (30-60 Sekunden, kein 30-Min-Video)
- Differenzierung nach Rolle
- KPIs auf Reporting-Rate, nicht nur Click-Rate
- Quartalsweise statt jaehrlich
- Realistische Themen (echte Geschaeftsprozesse imitieren)
Funktioniert nicht
- Naming and shaming ("Schau, der hat geklickt!") — toetet Kultur und Reporting-Rate
- Lange Schulungs-Module als Strafe
- Generische US-Vorlagen auf DE-Mitarbeitende ("Your Amazon Prime account has been suspended")
- Einmal pro Jahr — Click-Rate steigt zwischen Kampagnen wieder
- Fokus nur auf Click-Rate ohne Reporting
Phishing-Simulationen in Compliance-Programmen
NIS2 Art. 21 lit. h)
Fordert "Konzepte und Verfahren fuer die Cyber-Hygiene und Schulung im Bereich der Cybersicherheit". Phishing-Simulation ist die nachweisbarste Umsetzung.
DORA Art. 13 (Schulung)
Verpflichtende Schulungs-Programme fuer alle Mitarbeitenden in Finanzinstituten. Phishing-Simulationen mit Reporting sind Best Practice.
ISO 27001:2022 Annex A 6.3
"Information security awareness, education and training". Phishing-Simulation als messbare Metrik.
TISAX
Schulungs- und Awareness-Programme sind Pruefungsbestandteil. Phishing-Simulation hilft Nachweis zu erbringen.
DSGVO Art. 32
"Massnahmen zur Gewaehrleistung eines Sicherheitsniveaus" — schliesst Mitarbeiter-Bewusstsein ein.
Typische KPIs und Zielwerte
| KPI | Baseline | Nach 12 Mo | Best Practice |
|---|---|---|---|
| Click-Rate (gesamt) | 22% | 8-12% | < 5% |
| Credential-Eingabe | 6% | 2% | < 1% |
| Reporting-Rate | 10% | 45% | > 70% |
| Wiederholungs-Klicker (3+ Klicks/Jahr) | 8% | 2% | < 1% |
| Time-to-Report (Median) | n/a | 12 Min | < 5 Min |
Empfohlenes Programm fuer einen 200-Mitarbeiter-Mittelstand
- Q1: Baseline-Kampagne + Mitarbeiter-Information + Betriebsvereinbarung
- Q2: Erste Themen-Kampagne (Finanz: Lieferantenrechnung)
- Q3: MFA-Phishing-Simulation fuer IT- und Privileg-User
- Q4: Multi-Channel-Angriff (Mail + SMS) als Reife-Test
Plus: monatliche Microlearning-Module (5 Min) zu aktuellen Threat-Landschaften.
Budget: EUR 8-15k im ersten Jahr (Plattform + Onboarding), danach EUR 6-10k/Jahr laufend.
Wie Matproof passt
Phishing-Simulationen sind nicht Matproofs Kerngeschaeft — dort sind spezialisierte Plattformen wie SoSafe oder KnowBe4 staerker. Aber:
- Matproof dokumentiert Ihre Phishing-Simulation als Compliance-Evidenz fuer NIS2/ISO/DORA
- Findings aus Phishing-Tests fliessen automatisch in das Compliance-Mapping
- Falls Sie Pentest + Phishing-Simulation kombinieren wollen (Red-Team-aehnlich): Matproof orchestriert
Fuer reine Phishing-Simulation: SoSafe oder KnowBe4 als Spezialwerkzeug, Matproof als Compliance-Layer drumherum.
Fazit
Phishing-Simulationen sind 2026 unverzichtbar — die Click-Rate-Reduktion liegt bei serioesen Programmen bei 60-80% innerhalb 12 Monaten. Aber: das wahre Mass ist nicht Click-Rate, sondern Reporting-Kultur. Wer in 12 Monaten 70% seiner Mitarbeitenden zu aktiven Phishing-Meldern macht, hat eine ganz andere Verteidigungsschicht als wer nur die Klicks senkt.
Wichtig fuer DE-Unternehmen: Betriebsrat einbinden, anonymisieren, nicht "naming and shaming". Sonst zerstoert das Programm die Kultur, die es schaffen sollte.
Weiter lesen: Red Teaming Leitfaden | Pentest-Anbieter-Vergleich | NIS2 und Penetrationstests