Wie führen Sie Phishing-Simulationen durch, ohne das Vertrauen der Belegschaft zu zerstören?

Stellen Sie sich vor, Sie sind der Angreifer. Ihr Ziel: ein Klick. Ihre Methode: Social Engineering. Doch als IT-Security-Manager in einem Schweizer Unternehmen spielen Sie ein doppeltes Spiel. Sie müssen die Abwehrkräfte Ihrer Organisation testen – die vielzitierte „menschliche Firewall“ –, ohne dabei genau die Menschen zu verprellen, die diese Firewall bilden. Die meisten Ratgeber sprechen vage davon, Tests durchzuführen und die „Durchfaller“ zu schulen. Doch dieser Ansatz greift zu kurz und führt oft zu Misstrauen, Angst und einer Kultur des Versteckens, anstatt die kollektive Wachsamkeit zu fördern.

Die Gefahr ist real. Das Nationale Zentrum für Cybersicherheit (NCSC) verzeichnete im Jahr 2024 62’954 gemeldete Cyber-Vorfälle in der Schweiz, ein signifikanter Anstieg, der die Dringlichkeit effektiver Abwehrmassnahmen unterstreicht. Doch Effektivität entsteht nicht durch das blosse Aufdecken von Schwächen. Was wäre, wenn wir aufhören, Fallen zu stellen, und anfangen, Vertrauensübungen zu konstruieren? Was, wenn der entscheidende Moment nicht der Klick selbst ist, sondern das, was unmittelbar danach geschieht?

Dieser Artikel bricht mit der traditionellen Sichtweise von Phishing-Tests. Er ist ein Plädoyer für einen strategischen, fairen und lehrreichen Ansatz, der speziell auf die Schweizer Arbeitskultur zugeschnitten ist. Wir werden den schmalen Grat zwischen einem realistischen Angriff und einer unfairen Falle ausloten, die rechtlichen Rahmenbedingungen des EDÖB beleuchten und aufzeigen, wie Sie selbst Mitarbeiter, die wiederholt auf Tests hereinfallen, zu wachsamen Verbündeten machen. Es geht darum, die menschliche Firewall nicht nur zu testen, sondern sie gezielt zu kalibrieren – mit Raffinesse und Respekt.

Der folgende Leitfaden bietet Ihnen eine strukturierte Übersicht über die strategischen, technischen und psychologischen Aspekte, die eine Phishing-Simulation in der Schweiz erfolgreich machen. Er dient als Ihre Landkarte, um Sicherheit zu erhöhen, ohne das wertvollste Gut zu opfern: das Vertrauen Ihrer Belegschaft.

Plumpe Rechtschreibfehler vs. gezieltes Spear-Phishing: Wie schwer darf der Test sein?

Die Frage nach dem richtigen Schwierigkeitsgrad ist zentral und entscheidet über Akzeptanz oder Ablehnung Ihres Programms. Ein zu einfacher Test mit offensichtlichen Fehlern langweilt und wird als Zeitverschwendung empfunden. Ein zu perfider Angriff, der selbst Sicherheitsexperten ins Schwitzen brächte, frustriert und demotiviert. Der Schlüssel liegt in einer progressiven und zielgruppengerechten Eskalation. Hier hat sich ein strategisches Vorgehen bewährt, das wir als „Matterhorn-Modell“ bezeichnen können.

Stellen Sie sich die Schwierigkeit als eine Bergbesteigung in drei Etappen vor:

• Basislager (Alle Mitarbeitenden): Beginnen Sie mit breit gestreuten Simulationen, die grundlegende Warnsignale enthalten. Das können generische Anreden oder eben doch der klassische, aber nicht zu plumpe Rechtschreibfehler sein. Ziel ist es, ein Basisbewusstsein zu schaffen und die Meldefunktion zu trainieren.
• Höhenlager (Abteilungsspezifisch): Die nächste Stufe nutzt Kontext. Eine Phishing-Mail an die Buchhaltung könnte eine gefälschte Rechnung enthalten, während das HR-Team eine Mail zu Bewerbungsunterlagen erhält. Hier werden bereits spezifische Schweizer Elemente wie Köder im Namen der AHV/IV, kantonaler Steuerverwaltungen oder der Swiss Post integriert.
• Gipfel (Schlüsselpersonen): Für das C-Level, deren Assistenzen oder Mitarbeitende in kritischen Positionen sind hochpersonalisierte Spear-Phishing-Angriffe angebracht. Diese Angriffe sind aufwendig recherchiert und ahmen Kommunikationsstile perfekt nach.

Ein Beispiel für einen „Gipfel“-Angriff ist die Simulation von Deepfake-Anrufen. Die Swiss Infosec AG etwa nutzt diese Methode, um zu prüfen, ob Mitarbeitende auf eine Videoanweisung eines gefälschten CEO hereinfallen würden. Solche Tests sind extrem, zeigen aber, wohin die Reise der Bedrohungen geht und rechtfertigen den hohen Aufwand für eine kleine, hochgefährdete Zielgruppe.

Die „Teachable Moment“-Seite: Was sollte erscheinen, wenn ein Mitarbeiter in die Falle tappt?

Der Klick ist passiert. Ein kalter Schauer, das Gefühl, einen Fehler gemacht zu haben. Dieser Moment ist der kritischste Punkt der gesamten Simulation. Hier entscheidet sich, ob Sie einen Mitarbeiter für die Sicherheitssache verlieren oder einen wachsamen Verbündeten gewinnen. Eine schlecht gestaltete Landingpage mit der Aufschrift „Reingefallen!“ zerstört Vertrauen. Eine gut gestaltete Seite verwandelt den Fehler in einen „Teachable Moment“ – einen fairen und stärkenden Lernmoment.

Das Ziel ist nicht Beschämung, sondern Deeskalation und Aufklärung. Die Seite muss sofort signalisieren: „Keine Sorge, dies war eine kontrollierte Übung, um unsere gemeinsame Verteidigung zu verbessern.“ Anstatt den Fehler zu bestrafen, wird die Teilnahme positiv verstärkt. Dieser Ansatz, wie ihn etwa die Plattform von Phished mit integrierten Nanolearning-Modulen verfolgt, gibt dem Nutzer eine zweite Chance. Direkt nach dem Klick wird in wenigen, einfachen Schritten erklärt, welche Anzeichen auf Phishing hindeuteten und wie man es beim nächsten Mal besser machen kann.

Der psychologische Effekt ist enorm. Der Mitarbeiter fühlt sich nicht als Opfer, sondern als aktiver Teil der Sicherheitsstrategie. Die emotionale Reaktion wandelt sich von Scham zu Erleichterung und einem echten Lernerfolg, wie die folgende Darstellung eines solchen Moments zeigt.

Diese positive Verstärkung ist der Kern des psychologischen Vertrags zwischen Unternehmen und Belegschaft. Sie signalisiert, dass Fehler menschlich sind und das gemeinsame Ziel die kontinuierliche Verbesserung ist, nicht die Suche nach Schuldigen.

Wie verhindern Sie, dass Ihre eigene Simulation im Spam-Filter landet (Whitelisting)?

Es gibt kaum eine peinlichere Panne bei einer Phishing-Simulation: Sie entwerfen eine clevere Kampagne, versenden sie – und nichts passiert. Der Grund: Ihre eigene Mail wurde von den internen Sicherheitssystemen, wie dem Spam-Filter oder der E-Mail-Security-Gateway, als bösartig erkannt und blockiert. Um dies zu verhindern, ist das sogenannte Whitelisting unerlässlich. Dabei teilen Sie Ihren Systemen mit, dass E-Mails von einer bestimmten IP-Adresse oder Domain, nämlich der Ihres Simulationsanbieters, vertrauenswürdig sind und zugestellt werden sollen.

Dieser Prozess ist ein einmaliger technischer Aufwand, der vor der ersten Kampagne erledigt werden muss. Anbieter wie IS-FOX, die Open-Source-Lösungen wie GoPhish für Schweizer Unternehmen einsetzen, stellen dafür detaillierte Anleitungen zur Verfügung. Die genauen Anforderungen hängen von Ihrer E-Mail-Infrastruktur ab. Die Konfiguration umfasst typischerweise das Eintragen von IP-Adressen in eine „Allow List“ oder das Anpassen von Regeln für SPF, DKIM und DMARC.

Die folgende Tabelle gibt einen vereinfachten Überblick über die gängigen Methoden bei den in der Schweiz weit verbreiteten E-Mail-Providern:

Das Whitelisting ist nicht nur eine technische Notwendigkeit. Es ist auch ein wichtiger Schritt im Rahmen des psychologischen Vertrags mit der Belegschaft. Es stellt sicher, dass die Tests fair sind, weil alle die gleiche Chance haben, die Mail zu erhalten. Eine Simulation, die nur bei der Hälfte der Mitarbeitenden ankommt, weil sie bei den anderen im Spam-Ordner landet, liefert keine validen Ergebnisse und untergräbt die Glaubwürdigkeit des gesamten Programms.

Dürfen Sie namentlich auswerten, wer geklickt hat? Die Sicht des EDÖB

Dies ist die heikelste Frage, die an der Schnittstelle von Cybersicherheit und Datenschutz liegt. Die Antwort ist, typisch für juristische Themen in der Schweiz, ein klares „Es kommt darauf an“. Grundsätzlich bewegen sich Phishing-Simulationen in einem Spannungsfeld. Einerseits gibt es ein berechtigtes Interesse des Arbeitgebers, die Wirksamkeit seiner Sicherheitsmassnahmen zu überprüfen. Andererseits steht dem das Recht der Mitarbeitenden auf Schutz ihrer Persönlichkeitsdaten gegenüber, wie es das neue Datenschutzgesetz (nDSG) vorsieht.

Eine rein anonymisierte Auswertung, die nur eine Gesamt-Klickrate für das Unternehmen oder eine Abteilung liefert, ist datenschutzrechtlich unproblematisch. Sie hat jedoch einen entscheidenden Nachteil: Sie erlaubt kein gezieltes, individuelles Nachschulen von Mitarbeitenden, die wiederholt auf Phishing-Versuche hereinfallen. Eine namentliche Auswertung ist daher aus Sicherheitssicht oft wünschenswert, aber nur unter strengen Auflagen zulässig: Sie muss verhältnismässig sein, transparent kommuniziert werden und darf nicht zur Leistungsbeurteilung oder Sanktionierung der Mitarbeitenden führen.

Die Relevanz wird durch die stetig steigende Bedrohungslage untermauert. Laut dem Anti-Phishing Report 2024 des NCSC wurden in der Schweiz 20’872 Phishing-Websites identifiziert, was einem Anstieg von 108% gegenüber dem Vorjahr entspricht. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) selbst hat hierzu eine klare Haltung, insbesondere wenn es um echte Angriffe geht. Wie Roland Mathys, ein Experte auf diesem Gebiet, in einem Beitrag für Computerworld erläutert:

Das verantwortliche Unternehmen muss eine Verletzung der Datensicherheit nur dann an den EDÖB melden, wenn die Verletzung zu einem voraussichtlich hohen Risiko für die betroffenen Personen führt. Dies ist etwa der Fall, wenn Personendaten geleakt und mit grosser Wahrscheinlichkeit für Phishing-Attacken eingesetzt werden.

– Roland Mathys, Computerworld – Data Breach Notifications in der Schweiz

Dies unterstreicht, wie ernst der Regulator das Risiko durch Phishing nimmt. Für Simulationen bedeutet das: Holen Sie idealerweise die Zustimmung der Mitarbeitervertretung ein, verankern Sie die Massnahme in einer Weisung und fokussieren Sie die Auswertung ausschliesslich auf das Ziel der Sensibilisierung und Schulung.

Einmal jährlich oder monatlich: Welche Testfrequenz bringt den grössten Lerneffekt?

Die Frage nach der idealen Frequenz von Phishing-Simulationen ist entscheidend für den nachhaltigen Erfolg Ihres Awareness-Programms. Ein einmaliger jährlicher Test ist kaum mehr als ein Placebo. Der Lerneffekt verpufft schnell, und das Bewusstsein sinkt wieder auf das Ausgangsniveau. Die Psychologie spricht hier von der „Vergessenskurve“: Ohne regelmässige Wiederholung geht Gelerntes rasch verloren. Die Bedrohungslage schläft ebenfalls nicht. Das NCSC erhielt 2024 insgesamt 975’309 Phishing-Reports – ein Anstieg um 79% und ein klares Indiz für die Notwendigkeit kontinuierlicher Wachsamkeit.

Ein monatlicher Test wäre zwar effektiv, kann aber bei den Mitarbeitenden zu einer „Test-Müdigkeit“ führen, insbesondere wenn die Simulationen nicht abwechslungsreich sind. Die Lösung liegt in einer unvorhersehbaren, aber stetigen Frequenz, die wir als „Puls-Strategie“ bezeichnen. Diese Strategie kombiniert verschiedene Ansätze, um das Bewusstsein dauerhaft hochzuhalten, ohne die Belegschaft zu überfordern.

Die Puls-Strategie für Schweizer Unternehmen basiert auf folgenden Prinzipien:

• Basisfrequenz etablieren: Führen Sie quartalsweise Tests als einen festen Grundrhythmus ein. Dies schafft eine gewisse Routine, ohne inflationär zu wirken.
• Ereignisbasierte Tests durchführen: Reagieren Sie flexibel auf aktuelle, reale Bedrohungen. Gibt es eine Welle von gefälschten Twint-Aufforderungen oder Phishing-Mails im Kontext einer nationalen Abstimmung? Nutzen Sie diesen aktuellen Bezug für eine hochrelevante Ad-hoc-Simulation.
• Risikobasierte Segmentierung anwenden: Nicht alle Mitarbeitenden sind dem gleichen Risiko ausgesetzt. Abteilungen wie Finanzen, HR und das Management, die attraktivere Ziele für Angreifer sind, sollten eine höhere Testfrequenz erhalten als andere Bereiche.
• Simulationen in den Awareness-Fahrplan integrieren: Verknüpfen Sie die Tests mit anderen Sensibilisierungsmassnahmen. Ein Test kann beispielsweise den Auftakt zu einem neuen E-Learning-Modul oder einer Info-Session bilden.

Dieser Mix aus Regelmässigkeit und Unvorhersehbarkeit sorgt dafür, dass das Thema Cybersicherheit im Bewusstsein der Mitarbeitenden verankert bleibt. Es geht nicht darum, sie ständig zu prüfen, sondern eine Kultur der gesunden Skepsis und Achtsamkeit im Umgang mit digitalen Nachrichten zu fördern.

Warum Passwörter allein im Zeitalter von Phishing keinen Schutz mehr bieten?

Ein Passwort ist heute kein massives Burgtor mehr, sondern bestenfalls ein einfacher Vorhang. Im Zeitalter des professionellen Phishings bietet es allein keinen ausreichenden Schutz mehr. Der Grund ist simpel: Das stärkste und komplexeste Passwort ist nutzlos, wenn ein Mitarbeiter es arglos auf einer perfekt gefälschten Login-Seite eingibt. Phishing-Angriffe zielen nicht darauf ab, Passwörter zu knacken, sondern sie dem Benutzer direkt zu entlocken.

Das Problem wird durch mehrere Faktoren verschärft:

• Credential Stuffing: Angreifer erbeuten bei einem Datenleck (z.B. bei einem Onlineshop) Millionen von E-Mail-Passwort-Kombinationen. Diese probieren sie dann automatisiert bei unzähligen anderen Diensten, wie Firmen-Logins, aus. Da viele Menschen Passwörter wiederverwenden, ist die Erfolgsquote erschreckend hoch.
• Passwort-Spraying: Hierbei probieren Angreifer ein einziges, sehr häufig verwendetes Passwort (z.B. „Sommer2024!“) bei einer grossen Anzahl von Benutzerkonten aus. Dies umgeht oft die Sperrmechanismen, die nach mehreren falschen Eingaben bei einem einzigen Konto greifen.
• Social Engineering: Wie bereits erwähnt, ist der direkteste Weg für einen Angreifer, das Passwort einfach zu erfragen – verpackt in einer überzeugenden E-Mail, die den Nutzer auf eine gefälschte Seite lockt.

Aus diesem Grund ist die Multi-Faktor-Authentifizierung (MFA) keine Option mehr, sondern eine absolute Notwendigkeit. Selbst wenn ein Angreifer das Passwort eines Mitarbeiters erbeutet, kann er sich ohne den zweiten Faktor – sei es ein Code aus einer Authenticator-App, ein Fingerabdruck oder ein Hardware-Token – nicht anmelden. MFA ist die entscheidende zusätzliche Sicherheitsebene, die einen erfolgreichen Phishing-Angriff auf ein Passwort in den meisten Fällen ins Leere laufen lässt.

Wie schulen Sie Mitarbeiter nach, die immer wieder auf Test-Mails hereinfallen?

Es gibt sie in jedem Unternehmen: die „Wiederholungstäter“. Mitarbeiter, die trotz Schulungen und regelmässiger Tests immer wieder auf Phishing-Simulationen klicken. Hier mit Druck oder gar Sanktionen zu reagieren, wäre kontraproduktiv und würde genau das Vertrauen zerstören, das wir aufbauen wollen. Stattdessen ist ein empathischer und analytischer Ansatz gefragt. Oft liegt das Problem nicht an mangelndem Willen, sondern an tieferliegenden Ursachen.

Ein individuelles Coaching-Programm, das Diskretion im typischen Schweizer Stil wahrt, ist hier der wirksamste Weg. Es geht darum, herauszufinden, warum der Fehler passiert, nicht nur, dass er passiert. Ein solches Programm kann folgende Elemente umfassen:

• 1:1-Coaching statt Gruppenschulung: Ein vertrauliches Gespräch mit einem Sicherheitsexperten nimmt die Angst und ermöglicht es, offen über die Situation zu sprechen.
• Ursachenanalyse durchführen: Liegt das Problem im Wissen (Merkmale nicht gekannt), in der Einstellung („Mir passiert schon nichts“) oder im Verhalten (Stress, E-Mail-Flut, zu schnelles Klicken)? Oft sind organisatorische Faktoren wie ein permanent überfüllter Posteingang ein wesentlicher Treiber für Fehler.
• Umgekehrte Praxisschulung: Eine äusserst wirksame, wenn auch unkonventionelle Methode. Der betroffene Mitarbeiter erhält die Aufgabe, selbst eine überzeugende Phishing-Mail zu entwerfen. Dieser Perspektivwechsel schärft den Blick für die Tricks der Angreifer wie kaum eine andere Massnahme.
• Security Champions einsetzen: Manchmal ist die Hemmschwelle gegenüber der IT-Abteilung hoch. Freiwillige „Security Champions“ aus den Fachabteilungen können als Vertrauenspersonen und Ansprechpartner auf Augenhöhe fungieren.

Wichtig ist die Erkenntnis, dass Phishing-Simulationen nur ein Werkzeug in einem grösseren Kasten sind. Wie die Experten von IS-FOX betonen, ist es eine von vielen wichtigen Massnahmen.

Kontinuierliche Phishing-Tests adressieren einen wichtigen Angriffsvektor. Aber nur einen. Wir sehen Phishing-Simulationen als eine von vielen Massnahmen in einer umfassenden Security-Awareness-Kampagne.

– IS-FOX Security Experts, IS-FOX Phishing Simulations

Wie sichern Sie den Zugriff auf Firmendaten effektiv ohne die Nutzerakzeptanz zu verlieren?

Die effektivste Sicherung von Firmendaten ist eine Symbiose aus robuster Technologie und einer wachsamen, engagierten Belegschaft. Wie wir gesehen haben, sind technische Massnahmen wie die Multi-Faktor-Authentifizierung unverzichtbar. Doch ihre Einführung und die Durchführung von Kontrollen wie Phishing-Simulationen stehen und fallen mit der Akzeptanz der Nutzer. Niemand mag es, kontrolliert oder gegängelt zu werden. Der Schlüssel zur Akzeptanz liegt, wie so oft in der Schweizer Konsenskultur, in radikaler Transparenz und Partizipation.

Erklären Sie proaktiv das „Warum“ hinter jeder Massnahme. Warum wird MFA eingeführt? Weil Passwörter allein nicht mehr sicher sind und dies der beste Schutz für die Daten des Unternehmens und die persönlichen Daten der Mitarbeitenden ist. Warum werden Phishing-Tests gemacht? Weil wir gemeinsam üben müssen, um gegen echte Angreifer gewappnet zu sein. Ein hervorragendes Beispiel für diesen Ansatz auf nationaler Ebene ist die Einführung der Meldepflicht für Cyberangriffe. Wie das NCSC berichtet, war das bereits bestehende Vertrauensverhältnis ein massgeblicher Erfolgsfaktor für die hohe Akzeptanz und die zahlreichen Meldungen, die nun die Widerstandsfähigkeit der gesamten Schweiz erhöhen.

Übertragen auf Ihr Unternehmen bedeutet dies, die Mitarbeitenden nicht als potenzielles Risiko, sondern als entscheidenden Teil der Lösung zu betrachten. Bauen Sie aktiv eine „menschliche Firewall“ auf, die auf einem Gemeinschaftsprojekt beruht:

• Security Champions Programm: Bilden Sie freiwillige Enthusiasten aus jeder Abteilung zu Multiplikatoren und Ansprechpartnern aus. Sie übersetzen die Sicherheitsthemen in die Sprache ihrer Kollegen.
• Kontinuierlicher Dialog: Etablieren Sie regelmässige, unkomplizierte Feedback-Kanäle, um Sicherheitsmassnahmen zu diskutieren und zu verbessern. Das zeigt, dass die Meinung der Mitarbeitenden zählt.
• Verknüpfung mit dem Alltag: Zeigen Sie auf, wie Cybersicherheit im Beruflichen auch das Private schützt. Wer gelernt hat, eine Phishing-Mail im Büro zu erkennen, erkennt auch die gefälschte Paket-SMS auf dem privaten Handy.

Beginnen Sie noch heute damit, Ihre Phishing-Simulationen von reinen Tests zu wirksamen Vertrauensübungen weiterzuentwickeln. Kalibrieren Sie Ihre menschliche Firewall fair, transparent und mit strategischer Weitsicht – für eine nachhaltig gestärkte Cyber-Resilienz in Ihrem Unternehmen.