Wie führen Sie Phishing-Tests durch, ohne das Vertrauen Ihrer Belegschaft zu zerstören?

Als IT-Sicherheitsbeauftragter stehen Sie vor einem Dilemma: Sie müssen die menschliche Abwehr gegen Phishing testen, riskieren dabei aber das wertvollste Gut im Unternehmen – das Vertrauen Ihrer Mitarbeiter. Die Angst, blossgestellt zu werden, oder das Gefühl, permanent ausgetrickst zu werden, schafft eine Kultur der Furcht, nicht der Wachsamkeit. Viele Unternehmen greifen daher zu Standard-Phishing-Tests, die so plump sind, dass sie zwar Klicks generieren, aber keine echte Resilienz aufbauen. Man testet, ob jemand auf eine gefälschte „Sie haben gewonnen“-Mail klickt, während die echten Bedrohungen in Form von Spear-Phishing, CEO-Fraud oder manipulierten Rechnungen lauern.

Die gängige Meinung ist, dass eine hohe Klickrate ein Versagen der Mitarbeiter darstellt. Doch was, wenn dieser Ansatz fundamental falsch ist? Was, wenn der Klick nicht das Problem, sondern der Beginn einer Lösung ist? Der wahre Zweck eines Phishing-Tests sollte nicht darin bestehen, Fehler zu bestrafen, sondern eine sichere Umgebung zu schaffen, in der Fehler zu Lernchancen werden. Es geht darum, eine „psychologische Sicherheit“ zu etablieren, in der Mitarbeiter sich trauen, einen Verdacht zu melden, selbst wenn sie unsicher sind, anstatt aus Angst vor Konsequenzen untätig zu bleiben.

Dieser Artikel bricht mit der traditionellen Sichtweise. Wir betrachten Phishing-Tests nicht als Prüfung, sondern als Training. Anstatt sich auf die Klickrate als einzigen Resilienz-Indikator zu versteifen, zeigen wir Ihnen, wie Sie eine Vertrauenskultur aufbauen, die Ihre menschliche Firewall nachhaltig stärkt. Wir tauchen tief in die psychologischen, ethischen und rechtlichen Aspekte ein, die speziell für den Schweizer Kontext relevant sind, und geben Ihnen eine Blaupause für Simulationen, die wirken, ohne zu verletzen. Sie lernen, wie Sie anspruchsvolle Szenarien entwerfen, Schulungen ohne Blossstellung durchführen und die technischen Hürden überwinden, um Ihre Organisation wirklich sicherer zu machen.

Dieser Leitfaden ist in präzise Abschnitte gegliedert, die Sie durch die strategische Planung und ethische Durchführung Ihrer nächsten Phishing-Kampagne führen. Die folgende Übersicht hilft Ihnen, direkt zu den für Sie relevantesten Themen zu navigieren.

Warum plumpe „Sie haben gewonnen“-Mails Ihre Mitarbeiter nicht auf echte Angriffe vorbereiten?

Die Bedrohungslandschaft in der Schweiz hat sich dramatisch verschärft. Laut dem Nationalen Zentrum für Cybersicherheit (NCSC) wurden allein im Jahr 2024 über 975’309 Phishing-Meldungen registriert, und die Zahl der identifizierten Phishing-Websites hat sich verdoppelt. Diese Angriffe sind längst keine generischen Massen-Mails mehr. Moderne Angreifer nutzen präzises Social Engineering und kontextbezogene Informationen. Eine „Sie haben gewonnen“-Mail testet daher nicht die Abwehrbereitschaft gegen eine realistische Bedrohung, sondern lediglich die Impulskontrolle bei einem unrealistischen Szenario. Sie erzeugt Rauschen, aber keine wertvollen Daten.

Der Schlüssel zu effektiven Tests liegt in der Szenario-Intelligenz. Statt alle Mitarbeiter mit derselben plumpen Nachricht zu konfrontieren, müssen die Simulationen auf die spezifischen Risiken der jeweiligen Abteilung zugeschnitten sein. Ein solcher segmentierter Ansatz erhöht den Realismus und damit den Lerneffekt massiv. Für eine aussagekräftige Messung des Reifegrads sollten Sie folgende abteilungsspezifische Szenarien in Betracht ziehen:

• Buchhaltung: Simulieren Sie E-Mails von bekannten Schweizer Lieferanten, die eine Änderung der IBAN für zukünftige Zahlungen ankündigen. Der Druckpunkt ist die Routine der Rechnungsbearbeitung.
• HR-Abteilung: Versenden Sie Bewerbungs-Mails mit angeblich infizierten Lebensläufen im Anhang. Hier wird die berufliche Neugier und der Arbeitsalltag als Einfallstor genutzt.
• IT-Team: Nutzen Sie gefälschte SaaS-Benachrichtigungen (z.B. von Microsoft 365 oder Salesforce) oder dringende System-Update-Aufforderungen, die Administrator-Rechte anfordern.
• Geschäftsleitung: Üben Sie klassische CEO-Fraud-Szenarien, bei denen eine dringende und vertrauliche Zahlungsanweisung von einem imitierten Vorgesetzten kommt.
• Alle Mitarbeiter: Für breite Tests eignen sich Phishing-Versuche im Namen bekannter lokaler Marken wie SwissPass, SBB oder der Post, die auf die alltäglichen Interaktionen der Mitarbeiter abzielen.

Indem Sie die Köder an das Arbeitsumfeld anpassen, testen Sie nicht nur, ob jemand klickt, sondern ob die etablierten Prozesse und Kontrollmechanismen greifen. Das Ergebnis ist kein blosser Klick-Report, sondern ein echter Resilienz-Indikator für Ihre Organisation.

Wie schulen Sie Mitarbeiter nach, die auf den Test hereingefallen sind, ohne sie blosszustellen?

Ein Klick auf einen Phishing-Link ist kein moralisches Versagen, sondern ein menschlicher Moment der Unachtsamkeit. Die Reaktion des Unternehmens auf diesen Klick entscheidet darüber, ob eine Vertrauenskultur gefördert oder zerstört wird. Öffentliche „Walls of Shame“, Ranglisten der Klickraten oder tadelnde E-Mails vom Vorgesetzten sind toxisch. Sie führen dazu, dass Mitarbeiter zukünftige Angriffe aus Angst nicht mehr melden und untergraben die psychologische Sicherheit, die für eine effektive Abwehrkultur unerlässlich ist.

Die Lösung ist ein diskretes und unmittelbares „Just-in-Time“-Mikrolernen. Anstatt den Mitarbeiter an den Pranger zu stellen, wird der Klick als Auslöser für eine sofortige, private und positive Lernerfahrung genutzt. Sobald der Mitarbeiter auf den Link klickt, wird er nicht auf eine Fehlerseite, sondern auf eine dedizierte Landingpage weitergeleitet. Diese Seite erklärt freundlich und ohne Vorwurf, dass es sich um eine Simulation handelte, und zeigt präzise auf, welche Merkmale der E-Mail (z.B. Absenderadresse, generische Anrede, dringlicher Ton) auf einen Phishing-Versuch hindeuteten.

Dieses Vorgehen verwandelt einen potenziell negativen Moment in eine stärkende Erfahrung. Der Lerneffekt ist am grössten, wenn das Feedback unmittelbar erfolgt, da der Kontext noch frisch im Gedächtnis ist. Die Schulung bleibt eine private Angelegenheit zwischen dem Mitarbeiter und dem Sicherheitsteam.

Wie diese Abbildung andeutet, findet der Lernprozess direkt am Arbeitsplatz statt, ungestört und ohne die Aufmerksamkeit von Kollegen zu erregen. Für das Reporting an das Management werden ausschliesslich anonymisierte und aggregierte Daten verwendet. Statt „Mitarbeiter X hat geklickt“ heisst es „In Abteilung Y wurde eine Zunahme der Klickrate bei Rechnungs-Phishing um 5% beobachtet, was auf einen Bedarf an prozessualen Anpassungen hindeutet.“ So wird das Problem von der individuellen auf die organisatorische Ebene gehoben.

Whitelisting und Spamfilter: Wie kommt Ihre Test-Mail überhaupt im Posteingang an?

Ein häufig übersehener Aspekt bei der Planung von Phishing-Simulationen ist die technische Zustellbarkeit. Ironischerweise können Ihre eigenen, gut konfigurierten Sicherheitsmassnahmen – wie Spamfilter, Secure Email Gateways und Firewalls – Ihre Test-Mails blockieren, bevor sie überhaupt einen Mitarbeiter erreichen. Dies führt zu verfälschten Ergebnissen, da Sie nicht wissen, ob die niedrige Klickrate auf die Wachsamkeit der Mitarbeiter oder die Effektivität Ihrer Technik zurückzuführen ist. Um aussagekräftige Daten zu erhalten, ist eine strategische Herangehensweise an das Whitelisting erforderlich.

Eine bewährte Methode ist die Durchführung einer Zwei-Phasen-Kampagne. In der ersten Phase wird die IP-Adresse oder Domain Ihres Phishing-Simulations-Tools gezielt auf die Whitelist gesetzt. Dadurch umgehen Sie die technischen Filter und testen ausschliesslich die „menschliche Firewall“. In einer zweiten Phase wird das Whitelisting deaktiviert. Nun testen Sie das Zusammenspiel von Mensch und Technik. Der Vergleich der Klickraten aus beiden Phasen liefert wertvolle Erkenntnisse über die Wirksamkeit Ihrer technischen Kontrollen.

Diese Zwei-Phasen-Strategie ermöglicht eine differenzierte Analyse Ihrer Abwehrfähigkeit. Die folgende Tabelle fasst die Ziele und Erwartungen der beiden Phasen zusammen, basierend auf einer Analyse gängiger Simulations-Tools:

Darüber hinaus können Sie die technische Konfiguration selbst zu einem Lehrmoment machen. Anstatt die technischen Details zu verbergen, nutzen Sie sie, um Ihre IT-affinen Mitarbeiter zu schulen. Zeigen Sie ihnen, wie man E-Mail-Header analysiert und die Gültigkeit von SPF, DKIM und DMARC-Einträgen überprüft. Ein Workshop, in dem Sie demonstrieren, wie eine korrekt signierte E-Mail aussieht und wie eine Fälschung erkannt werden kann, verwandelt eine technische Notwendigkeit in eine wertvolle, praxisnahe Schulung.

Der Fehler, im Namen der HR über Lohnkürzungen zu phishen: Ein No-Go

In dem Bestreben, möglichst realistische und emotionale Tests zu gestalten, überschreiten manche Unternehmen eine kritische Grenze. Phishing-Szenarien, die mit existenziellen Ängsten spielen – wie angedrohte Lohnkürzungen, Kündigungen oder negative Leistungsbeurteilungen – sind nicht nur ethisch höchst fragwürdig, sondern auch rechtlich problematisch. In der Schweiz ist der Arbeitgeber gesetzlich zur Fürsorgepflicht gegenüber seinen Mitarbeitern verpflichtet. Diese Pflicht ist kein reiner Appell, sondern eine klare rechtliche Vorgabe.

Das Schweizerische Obligationenrecht hält diesen Grundsatz unmissverständlich fest. Wie es im entsprechenden Artikel formuliert ist, hat der Arbeitgeber die Integrität seiner Angestellten zu wahren:

Der Arbeitgeber hat im Arbeitsverhältnis die Persönlichkeit des Arbeitnehmers zu achten und zu schützen, auf dessen Gesundheit gebührend Rücksicht zu nehmen.

– Schweizerisches Obligationenrecht, Art. 328 OR – Fürsorgepflicht des Arbeitgebers

Ein Phishing-Test, der bewusst Panik, Stress oder Demütigung auslöst, stellt eine klare Verletzung dieser Fürsorgepflicht dar. Die potenziellen Folgen reichen von einem massiven Vertrauensverlust über eine Verschlechterung des Arbeitsklimas bis hin zu rechtlichen Konsequenzen. Angesichts der Tatsache, dass laut einer Erhebung des SVV von 2024 nur etwa 10% der Schweizer Unternehmen adäquat gegen Cyberrisiken versichert sind, kann eine solche Pflichtverletzung auch finanziell empfindliche Folgen haben. Emotional wirksame Tests sind möglich, ohne Angst und Schrecken zu verbreiten. Der Schlüssel liegt in der Nutzung positiver oder alltäglicher Emotionen wie Neugier, Hilfsbereitschaft oder dem Wunsch nach einem Vorteil. Statt negativer Szenarien sollten Sie auf positive Alternativen setzen:

• Ankündigung eines exklusiven Firmen-Sommerfestes mit limitierter Platzzahl und Anmeldelink.
• Information über ein neues Halbtax-Abo als attraktiver Mitarbeiter-Benefit.
• Einladung zur Teilnahme an einer Umfrage zur Verbesserung der Kantine, verbunden mit einem kleinen Gewinnspiel.
• Ankündigung neuer, flexibler Arbeitszeitmodelle, die eine Registrierung erfordern.

Solche Szenarien erzeugen ebenfalls Dringlichkeit und Neugier, tun dies aber in einem positiven Rahmen. Sie testen die Wachsamkeit der Mitarbeiter, ohne ihre psychische Gesundheit und das Vertrauensverhältnis zum Arbeitgeber zu gefährden.

Wann tritt der Gewöhnungseffekt ein, wenn Sie zu oft testen?

Regelmässigkeit ist ein zweischneidiges Schwert. Führen Sie Phishing-Tests zu selten durch, verpufft der Lerneffekt. Testen Sie jedoch zu oft oder zu vorhersehbar – zum Beispiel immer am ersten Montag des Monats – tritt ein gefährlicher Gewöhnungseffekt ein, die sogenannte „Banner Blindness“ für Phishing-Mails. Die Mitarbeiter erwarten den Test, erkennen ihn sofort und klicken nicht, was zu einer trügerisch niedrigen Klickrate führt. Diese Wachsamkeit ist jedoch nur temporär und auf die erwartete Simulation beschränkt. Gegenüber einem unerwarteten, echten Angriff sind sie dadurch nicht besser geschützt.

Einige Mitarbeiter könnten sogar eine „Test-Müdigkeit“ entwickeln und verdächtige E-Mails pauschal ignorieren oder löschen, anstatt sie dem Sicherheitsteam zu melden. Dies beraubt Sie wertvoller Informationen über reale Angriffsversuche. Das Ziel ist nicht, die Mitarbeiter zu trainieren, Ihre spezifischen Tests zu erkennen, sondern ihre Fähigkeit zu schärfen, die Merkmale von Phishing generell zu identifizieren. Um diesem Gewöhnungseffekt entgegenzuwirken, ist eine Strategie der unvorhersehbaren Variabilität entscheidend.

Dies bedeutet, sowohl die Frequenz als auch die Art der Tests unregelmässig zu gestalten. Anstatt eines starren quartalsweisen Rhythmus sollten die Simulationen in zufälligen Intervallen erfolgen. Mal vergehen zwei Monate, mal nur drei Wochen. Gleichzeitig müssen die Szenarien ständig variieren – von einer gefälschten Paketbenachrichtigung über eine Einladung zu einem Webinar bis hin zu einer simulierten internen IT-Mitteilung.

Die visuelle Metapher eines zersplitterten Kalenders verdeutlicht das Prinzip: Vorhersehbarkeit ist der Feind der Wachsamkeit. Ein variabler Testkalender hält die Aufmerksamkeit hoch, da die Mitarbeiter nie genau wissen, wann oder in welcher Form der nächste Test (oder der nächste echte Angriff) kommt. Die optimale Frequenz hängt von der Grösse und dem Reifegrad Ihrer Organisation ab, aber eine gute Faustregel ist, jeden Mitarbeiter durchschnittlich 4-6 Mal pro Jahr mit unterschiedlichen Szenarien zu konfrontieren, jedoch in unregelmässigen Abständen.

Die Gefahr, wenn Mitarbeiter aus Gewohnheit jede Push-Benachrichtigung auf dem Handy bestätigen

Die Multi-Faktor-Authentifizierung (MFA) gilt als Goldstandard der Accountsicherung. Doch Angreifer haben längst eine Methode gefunden, auch diese Hürde zu überwinden: die MFA-Fatigue oder auch „Push-Benachrichtigungs-Spam“. Diese Social-Engineering-Technik zielt nicht auf das Stehlen von Passwörtern, sondern auf die Ausnutzung menschlicher Gewohnheiten und Ermüdung. In einer Welt, in der wir ständig mit Benachrichtigungen bombardiert werden, neigen viele dazu, aufpoppende Anfragen auf dem Smartphone reflexartig zu bestätigen, ohne den Kontext genau zu prüfen.

Der Angriff ist perfide und einfach. Nachdem der Angreifer an das Passwort eines Mitarbeiters gelangt ist (z.B. durch einen früheren Phishing-Angriff oder ein Datenleck), versucht er sich wiederholt anzumelden. Jede Anmeldung löst eine MFA-Push-Benachrichtigung auf dem Smartphone des Mitarbeiters aus. Der Angreifer wiederholt diesen Vorgang dutzende Male, oft ausserhalb der normalen Arbeitszeiten – spät in der Nacht oder am Wochenende. Das Ziel ist, den Mitarbeiter so lange zu nerven, bis er entnervt auf „Bestätigen“ tippt, nur um die Flut an Benachrichtigungen zu stoppen. In diesem Moment öffnet er dem Angreifer Tür und Tor zum Unternehmensnetzwerk.

Dieses Szenario ist besonders gefährlich, da es eine als sicher geltende Technologie untergräbt, indem es auf die menschliche Psyche abzielt. Die Gewohnheit, schnell auf Anfragen zu reagieren, wird zur Waffe gegen den Benutzer selbst. Die Sensibilisierung für diese spezifische Bedrohung ist daher von entscheidender Bedeutung. Mitarbeiter müssen geschult werden, bei unerwarteten MFA-Anfragen sofort misstrauisch zu werden. Anstatt sie zu bestätigen oder zu ignorieren, muss der Prozess klar sein: Die Anfrage ablehnen und den Vorfall umgehend dem IT-Sicherheitsteam melden. Nur so kann ein laufender Übernahmeversuch eines Kontos rechtzeitig erkannt und gestoppt werden.

Die Schulung sollte auch die Funktionsweise von „Number Matching“ bei MFA-Systemen wie Microsoft Authenticator beinhalten. Hier muss der Benutzer eine auf dem Anmeldebildschirm angezeigte Zahl in der App eingeben. Dies verhindert eine versehentliche Bestätigung und zwingt den Benutzer zu einer bewussten Handlung, was die Effektivität von MFA-Fatigue-Angriffen erheblich reduziert.

Wann haben Sie das letzte Mal ein Szenario geübt, bei dem die Geschäftsleitung ausfällt?

Die meisten Business-Continuity-Pläne konzentrieren sich auf technische Ausfälle: ein Servercrash, ein Stromausfall, ein Ransomware-Angriff. Doch eine der kritischsten und oft übersehenen Schwachstellen ist der menschliche Faktor an der Spitze der Organisation: der Ausfall eines oder mehrerer Mitglieder der Geschäftsleitung. Was passiert, wenn der CEO, der CFO oder andere Zeichnungsberechtigte aufgrund eines erfolgreichen Spear-Phishing-Angriffs, eines plötzlichen Account-Lockouts oder einer anderen Krise handlungsunfähig sind? Sind die Stellvertreterregelungen nicht nur auf dem Papier im Handelsregister, sondern auch in den digitalen Systemen (E-Banking, ERP) hinterlegt und funktionsfähig?

Ein reales Szenario kann die fatalen Lücken in der Vorbereitung aufzeigen. Genau dies wurde in einer Simulation bei einem Schweizer KMU deutlich, die die Konsequenzen eines gezielten Angriffs auf die Führungsebene testete.

Diese Fallstudie zeigt, dass rechtliche Regelungen allein nicht ausreichen. Die operative Handlungsfähigkeit muss in der digitalen Welt sichergestellt sein. Eine Krisenübung, die gezielt den Ausfall eines C-Level-Executives simuliert, ist kein Luxus, sondern eine Notwendigkeit. Sie zwingt das Unternehmen, die gesamte Kette zu überprüfen: von der Alarmierung über die Aktivierung der Stellvertreter bis hin zur technischen Zugriffsberechtigung auf kritische Systeme.

Um für einen solchen Fall gewappnet zu sein, ist die Erstellung eines digitalen Notfallkoffers für die Geschäftsleitung unerlässlich. Die folgende Checkliste fasst die wichtigsten Punkte zusammen, die Sie vorbereiten sollten.

Wie härten Sie Ihre Buchhaltung gegen den „Enkeltrick für Unternehmen“ ab?

Der „Enkeltrick“, bei dem sich Betrüger als Verwandte ausgeben, um ältere Menschen um ihr Geld zu bringen, hat ein unternehmerisches Pendant: den CEO-Fraud oder Business Email Compromise (BEC). Hierbei geben sich Angreifer als CEO oder ein anderes hochrangiges Mitglied der Geschäftsleitung aus und weisen Mitarbeiter der Buchhaltung an, dringende und streng vertrauliche Überweisungen zu tätigen. Der Erfolg dieser Angriffe beruht auf einer raffinierten Mischung aus Social Engineering, Autoritätshörigkeit und künstlich erzeugtem Zeitdruck. Der Schaden kann immens sein, wie reale Fälle in der Schweiz immer wieder zeigen.

Die wirksamste Verteidigung gegen diese Art von Betrug ist nicht technischer, sondern prozessualer Natur. Es müssen klare, unumstössliche Regeln für die Freigabe von Zahlungen etabliert werden, die auch in Stresssituationen greifen. Der wichtigste Prozess ist das Callback-Verfahren: Bei jeder ausserordentlichen Zahlungsanweisung, insbesondere bei Änderungen von Bankverbindungen oder bei Anweisungen, die per E-Mail eingehen, muss eine Verifikation über einen zweiten, unabhängigen Kanal erfolgen. Dies bedeutet einen telefonischen Rückruf bei der anweisenden Person über eine bekannte, im System hinterlegte Telefonnummer – niemals über eine in der E-Mail angegebene Nummer.

Um diesen Prozess zu operationalisieren, sollten klare Schwellenwerte und Verifikationsmethoden definiert werden. Die folgende Tabelle bietet einen praxisnahen Rahmen für ein robustes Callback-Verfahren:

Die konsequente Einhaltung solcher Prozesse ist die stärkste Waffe gegen CEO-Fraud. Sie verwandelt die menschliche Schwachstelle – die Bereitschaft, einer Autorität zu folgen – in eine Stärke, indem sie einen Moment der Überprüfung erzwingt.

Um diese Strategien erfolgreich in Ihrer Organisation zu verankern, ist der nächste logische Schritt eine detaillierte Analyse Ihrer spezifischen Risikolandschaft und die Entwicklung eines massgeschneiderten, langfristigen Sensibilisierungsprogramms. Beginnen Sie noch heute damit, Ihre menschliche Firewall systematisch und mit der gebotenen Sorgfalt aufzubauen.