Phishing-Simulationen im KMU: sinnvoll oder Zeitverschwendung?

Immer mehr KMU schicken gefälschte Phishing-Mails an ihr eigenes Team. Bringt das wirklich etwas – und wie setzt man es um, ohne das Betriebsklima zu beschädigen?

In den letzten Jahren ist es zur gängigen Praxis geworden: eine Fake-Mail „von der Geschäftsführung", die darum bittet, schnell Geschenkkarten zu kaufen, oder eine „Rechnung", die Kolleginnen und Kollegen zum Klicken verleitet. Nicht von einem Kriminellen, sondern von einem Tool, das das eigene Unternehmen beauftragt hat, um zu prüfen, wer darauf hereinfällt. Das nennt sich Phishing-Simulation. Große Unternehmen machen das schon seit Jahren, und Anbieter richten sich jetzt gezielt an KMU.

Die Frage, die wir von Office-Managern und Inhabern häufig hören: Sollten wir das auch einführen? Die ehrliche Antwort: manchmal ja, manchmal nein – und die Art der Umsetzung entscheidet über alles.

Warum es grundsätzlich eine gute Idee ist

Phishing bleibt mit Abstand die häufigste Methode, über die kleine Unternehmen gehackt werden. Nicht durch einen raffinierten Zero-Day-Exploit, sondern durch eine E-Mail, die gerade überzeugend genug wirkte. Jemand klickt, gibt seine Zugangsdaten auf einer gefälschten Website ein – und eine Woche später liegt eine Rechnung mit einer anderen Kontonummer als üblich bereit.

Eine gute Simulation leistet drei Dinge:

• Sie macht das Abstrakte greifbar. „Vorsicht vor Phishing" ist eine Warnung, die niemand mehr ernst nimmt. Eine Mail, die einen persönlich fast erwischt hätte, bleibt im Gedächtnis.
• Sie zeigt, wo man steht. Klicken 5 % des Teams oder 40 %? Dieser Unterschied entscheidet darüber, ob ein Auffrischungskurs reicht oder ob strukturelle Maßnahmen nötig sind.
• Sie trainiert das reflexartige Melden. Nicht nur „ich habe nicht geklickt", sondern „ich habe es sofort gemeldet". Letzteres ist das eigentliche Ziel.

Warum es auch schiefgehen kann

Wir haben bei Kunden erlebt, wie es danebengehen kann. Die häufigsten Fehler:

Die Falle ist zu gemein

Eine Simulation, die im Dezember verspricht „Du bekommst einen Bonus von 800 Euro, klick hier zur Bestätigung" – das ist kein Training, das ist eine soziale Sprengladung. Mitarbeiter fühlen sich öffentlich bloßgestellt, das Vertrauen in den Arbeitgeber sinkt, und die nächste echte Phishing-Mail wird trotzdem geöffnet.

Es gibt keine Nachbereitung

Jemand klickt, bekommt einen roten Bildschirm mit „REINGEFALLEN" – und das war es. Keine Erklärung, kein kurzes Training, keine zweite Chance. Die Person fühlt sich ertappt, ohne etwas gelernt zu haben.

Die „Ergebnisse" werden geteilt

Listen mit den Namen derer, die hereingefallen sind, werden an Vorgesetzte weitergeleitet oder schlimmer noch in der Küche ausgehängt. Das ist bei den meisten KMU auch schlicht DSGVO-relevant, denn es handelt sich um personenbezogene Daten über die Arbeitsleistung.

Die Schwelle liegt zu niedrig

Manchmal sind die Test-Mails so offensichtlich gefälscht (Tippfehler, seltsamer Absender, merkwürdige Domain), dass alle sie erkennen und man einen Bericht erhält, der rosig aussieht – aber nichts über echte Angriffe aussagt, die deutlich professioneller sind.

Wie man es richtig macht

Ein paar Grundsätze, die den Unterschied machen:

1. Zunächst das Fundament legen. Eine Simulation hat erst dann Sinn, wenn die technischen Grundlagen stimmen. Funktionieren SPF, DKIM und DMARC? Ist MFA für alle Konten aktiviert, nicht nur für die Microsoft 365-Umgebung? Falls nicht – fang dort an. Eine Simulation bei bestehenden Schwachstellen ist wie Wasser schöpfen mit einem löchrigen Eimer.
2. Vorab kommunizieren, dass es passieren wird. Nicht wann, nicht wie – aber dass es zum normalen Arbeitsalltag gehören wird. „Wir werden gelegentlich Test-Mails verschicken, um zu üben. So kannst du verdächtige Mails melden." Das ist kein Verrat am Test – es ist genau das, was man erreichen will.
3. Melden einfacher machen als Klicken. Ein Button „Verdächtige Mail melden" in Outlook oder Gmail. Eine feste E-Mail-Adresse. Etwas, das in drei Sekunden erledigt ist. Wenn Melden schwieriger ist als Klicken, weiß man, was passiert.
4. Direktes, persönliches Feedback nach einem Klick geben. Eine kurze Erklärung in verständlichem Deutsch, was hier problematisch war, drei Tipps – und fertig. Kein umfangreiches E-Learning-Paket. Keine Beschämung. Kein Bericht an die Führungskraft.
5. Die richtigen Dinge messen. Die Klickrate ist interessant, aber die eigentliche KPI ist die Melderate. Wie viel Prozent des Teams meldet eine verdächtige Mail innerhalb einer Stunde? Darin liegt der echte Wert.
6. Den Schwierigkeitsgrad schrittweise erhöhen. Mit leicht erkennbaren Vorlagen beginnen und sie im Laufe des Jahres realistischer gestalten (interner Absender, kontextbezogen, dringend). Sonst trainiert man Kolleginnen und Kollegen auf einem Niveau, das mit der Realität nichts zu tun hat.

Praktisch: wie oft und in welchem Umfang?

Für KMU funktioniert ein leichter Rhythmus am besten: eine Simulation pro Quartal, für das gesamte Team – außer für Mitarbeitende, die gerade erst angefangen haben (denen geben wir zunächst eine kurze Einführung). Kein täglicher Dauerfeuer – das geht auf Kosten der Produktivität und führt zu Frustration.

Welches Tool? Für 5–50 Mitarbeitende gibt es sehr günstige Optionen bei spezialisierten Anbietern. Microsoft Defender hat die Funktion integriert, wenn eine M365 Business Premium-Lizenz vorhanden ist; damit ist man in der Regel gut aufgestellt, ohne etwas Zusätzliches kaufen zu müssen. Wichtig: ein Tool wählen, das auf Deutsch mit den Mitarbeitenden kommuniziert – sonst verfehlt man möglicherweise den Punkt.

Die andere Seite: Sollte die Geschäftsführung auch mitmachen?

Ja. Sogar ganz besonders. CEO-Betrug und Rechnungsbetrug zielen bevorzugt auf Personen mit Unterschriftsberechtigung ab. Wenn der Inhaber oder die finanzverantwortliche Person außen vor bleibt – „keine Zeit" –, trainiert man den falschen Teil der Organisation.

Fazit

Phishing-Simulationen sind kein Allheilmittel. Was sie leisten können: einen sicheren Übungsraum schaffen, in dem das Team lernt zu erkennen, was es im echten Alltag immer häufiger antrifft. Aber nur, wenn man es ohne Bloßstellungen angeht und die technische Basis stimmt.

Unsicher, ob die eigene E-Mail-Sicherheit in Ordnung ist, bevor man über Trainings redet? Fang dort an. Wir führen regelmäßig einen SPF/DKIM/DMARC-Check für KMU durch, die wissen wollen, wie phishing-resistent ihre eigene Domain wirklich ist – oft ein sinnvollerer erster Schritt als eine Simulation.