Von Hakan Akcan · Reepa Solutions
Rund 80 Prozent aller Ransomware-Vorfälle im deutschen Mittelstand beginnen nach Auswertungen des BSI mit einer erfolgreichen Phishing-Mail an Mitarbeitende — eine einzelne unachtsame Sekunde reicht, um die gesamte Belegschaft offline zu setzen, Backups zu verschlüsseln und sechs- bis siebenstellige Folgekosten auszulösen. Für Geschäftsführung, CFO und IT-Leitung ist das aus drei Gründen unmittelbar relevant: erstens verlangt die DSGVO regelmäßige Schulungen als technisch-organisatorische Maßnahme nach Artikel 32, zweitens fordert die NIS2-Richtlinie seit Oktober 2024 dokumentierte und messbare Awareness-Programme für einen großen Teil des Mittelstands, drittens empfiehlt das BSI in seinem IT-Grundschutz wiederkehrende Phishing-Simulationen als wirksamste Einzelmaßnahme gegen Social-Engineering. Wer hier Lücken hat, riskiert nicht nur den Betriebsausfall, sondern persönliche Haftung der Leitungsebene. Dieser Artikel zeigt, was ein wirksames Phishing-Simulations-Programm ausmacht, welche Kennzahlen wirklich aussagen, welche Vendoren im Markt relevant sind und mit welchen Kosten Sie realistisch rechnen. Für die Einordnung in die Gesamtstrategie siehe unseren Cybersecurity-Guide für den Mittelstand.
Warum Phishing-Schulung Vorstandssache ist
Der Verizon Data Breach Investigations Report 2025 nennt eine Zahl, die in jeder Geschäftsführungs-Präsentation stehen sollte: 68 Prozent aller untersuchten Datenpannen waren auf den menschlichen Faktor zurückzuführen — Phishing, Pretexting, Fehler im Umgang mit Anmeldedaten. Diese Quote ist über die letzten fünf Jahre nahezu konstant geblieben, obwohl die technische Abwehr — E-Mail-Gateways, EDR, SIEM — deutlich besser geworden ist. Der Engpass liegt nicht mehr in der Technik, sondern in der Belegschaft. Das ist eine unangenehme Wahrheit, weil sie aus der Verantwortung der IT-Abteilung in die Verantwortung der Geschäftsführung verschoben wird.
Für deutsche mittelständische Unternehmen verstärken drei regulatorische Hebel die Dringlichkeit. Erstens die DSGVO mit Artikel 32, der „Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung“ verlangt — Schulungs-Mängel haben in mehreren dokumentierten Fällen zu Bußgeld-Aufschlägen geführt. Zweitens NIS2, das in den deutschen Umsetzungs-Gesetzen explizit „Schulungen“ als verpflichtende Maßnahme nennt und Geschäftsleitungen persönlich in die Haftung nimmt, wenn Aufsichtspflichten verletzt werden. Drittens ISO 27001 in der Fassung 2022 mit Control A.6.3, das nachweisbare Awareness-Programme über den gesamten Mitarbeiter-Lebenszyklus fordert.
Operativ kommen versicherungstechnische und vertragliche Anforderungen hinzu. Cyber-Versicherungen schließen heute Phishing-Schäden teilweise aus, wenn kein dokumentiertes Awareness-Programm vorliegt. Lieferanten-Audits großer Industrie-Kunden enthalten standardmäßig Fragen nach Frequenz und Ergebnissen von Phishing-Simulationen. Wer hier keine belastbaren Zahlen liefern kann, verliert Aufträge oder zahlt deutlich höhere Versicherungsprämien.
Eine Beobachtung aus unserer Praxis: in den meisten mittelständischen Unternehmen, die wir auditiert haben, liegt die anfängliche Klick-Rate bei der ersten Simulation zwischen 18 und 32 Prozent. Nach zwölf Monaten mit einem strukturierten Programm — monatliche Wellen, kurze Lern-Snacks nach Klick, sichtbare Melde-Schaltfläche im Outlook — landen dieselben Unternehmen typischerweise bei 4 bis 8 Prozent. Diese Reduktion ist messbar, dokumentierbar und steht in einem dramatischen Verhältnis zum Aufwand. Es ist eine der wenigen Sicherheits-Maßnahmen, deren Wirksamkeit so direkt belegbar ist.
Was eine gute Phishing-Simulation auszeichnet
Phishing-Simulationen sind nicht gleich Phishing-Simulationen. Die Unterschiede zwischen einem wirksamen Programm und einem Pflicht-Übungs-Theater sind erheblich. Vier Qualitäts-Merkmale entscheiden:
| Merkmal | Was zählt | Was nicht zählt |
|---|---|---|
| Realismus | Echte Marken-Look-alikes, branchen-typische Themen (Lieferschein, Rechnung, HR), regionale Anpassung mit deutschen Texten und Absendern | Generische „You won a prize“-Mails, offensichtliche Tippfehler, englische Standard-Templates |
| Frequenz | Monatliche Wellen, gestaffelt nach Abteilungen, mit aufsteigender Schwierigkeit über das Jahr | Eine jährliche Großaktion, bei der „alle“ gleichzeitig getestet werden |
| Lerneffekt | Sofortiges, kurzes, freundliches Feedback nach Klick mit den drei bis vier Warnsignalen, die der Mitarbeitende übersehen hat | Lange Lern-Module, Tests mit Bestehensnoten, anonyme Listen mit Klick-Quoten |
| KPI-Tiefe | Klick-Rate, Melde-Rate, Wiederholungs-Quote, Reaktionszeit, Manager-Engagement — segmentiert nach Abteilung und Risiko-Profil | Nur eine Gesamt-Klick-Rate ohne Kontext oder Vergleichswerte |
Ein zentraler Punkt: die Simulation darf nie als Falle wahrgenommen werden, sondern als Training. Wenn die Belegschaft das Gefühl hat, dass ein Klick zu Konsequenzen im Personalakten-Sinne führt, sinkt die Melde-Bereitschaft bei echten Vorfällen sofort. Das ist messbar und einer der häufigsten Fehler unprofessionell aufgesetzter Programme. Eine gute Simulation ist transparent kommuniziert — Mitarbeitende wissen, dass es ein Programm gibt, sie wissen aber nicht, wann genau die nächste Welle kommt. Genau diese Mischung produziert realistische Verhaltens-Daten, ohne Vertrauen zu beschädigen.
Wichtig ist außerdem die Einbettung in die Unternehmens-Kultur. Programme, die top-down ohne Information des Betriebsrats oder ohne Abstimmung mit der Personalabteilung gestartet werden, scheitern an Akzeptanz. Erfolgreiche Programme haben einen Betriebsrats-Beschluss, eine kommunizierte Datenschutz-Folgenabschätzung, eine ausdrückliche No-Blame-Policy und einen sichtbaren Sponsor aus der Geschäftsführung.
Kostenlose Awareness-Beratung anfordern
Sie überlegen, Phishing-Simulationen einzuführen oder Ihr bestehendes Programm zu professionalisieren? Wir bieten ein 30-minütiges Erstgespräch ohne Kosten — wir bewerten Ihre aktuelle Awareness-Reife, schlagen einen passenden Vendor-Mix vor und geben einen realistischen Kostenrahmen.
Kostenlose Awareness-Beratung anfordernKPIs die wirklich aussagen
Die Auswahl der Kennzahlen entscheidet darüber, ob ein Awareness-Programm gesteuert oder nur dokumentiert wird. Wer nur die Klick-Rate misst, optimiert auf die falsche Zielgröße — ein Programm mit sinkender Klick-Rate kann gleichzeitig die Melde-Bereitschaft kaputt machen, was im Ernstfall fatal ist. Die folgenden fünf KPIs liefern gemeinsam ein belastbares Bild:
- Klick-Rate im ZeitverlaufAnteil der Mitarbeitenden, die in einer Simulations-Welle auf den Test-Link klicken. Der Trend ist wichtiger als die Einzelzahl — sinkende Klick-Raten über mehrere Quartale sind ein klares Wirksamkeits-Signal. Zielwert nach 12 Monaten Programm: unter 8 Prozent.
- Melde-RateAnteil der Mitarbeitenden, die verdächtige Mails aktiv über den Melde-Knopf reportieren. Diese Zahl ist die wichtigste positive Kennzahl, weil sie Engagement misst statt nur Vermeidung. Zielwert nach 12 Monaten: über 30 Prozent, in reifen Programmen 50 bis 70 Prozent.
- Repeat-Offender-RateAnteil der Mitarbeitenden, die innerhalb von 12 Monaten zweimal oder häufiger geklickt haben. Diese Gruppe braucht gezielte 1-zu-1-Coachings, nicht weitere Massen-Simulationen. Eine Repeat-Rate über 10 Prozent zeigt, dass das Lerneffekt-Konzept überarbeitet werden muss.
- Time-to-ReportDurchschnittliche Zeit zwischen Zustellung einer verdächtigen Mail und der ersten Meldung durch einen Mitarbeitenden. Eine sinkende Time-to-Report unter 15 Minuten ist ein starkes Signal, dass die Belegschaft routiniert reagiert. Diese Zahl ist im echten Vorfall überlebenswichtig.
- Manager-EngagementAnteil der Führungskräfte und Bereichsleitungen, die ihr Abteilungs-Ergebnis aktiv mit dem Team besprechen. Programme, in denen Führungskräfte die Auswertung nur passiv konsumieren, erreichen die Belegschaft nicht. Manager-Engagement ist der stärkste Prädiktor für nachhaltigen Lernerfolg.
Diese fünf KPIs gehören in jedes Quartals-Reporting an die Geschäftsführung. Wer sie segmentiert nach Abteilung, Standort und Funktion auswertet, erkennt die echten Risiko-Cluster — typischerweise sind das Buchhaltung, Einkauf und Personal-Abteilung, weil sie viele Mails mit Anhängen und externen Absendern bearbeiten.
Vendor-Landschaft
Der Markt für Awareness-Plattformen ist seit 2020 stark gewachsen und für mittelständische Unternehmen heute gut bedienbar. Die folgende Übersicht ordnet die wichtigsten Anbieter in drei Kategorien — sie ist bewusst als Orientierung gedacht, ohne Detail-Vergleich, weil die Auswahl stark von Sprache, Branche und Integrations-Anforderungen abhängt.
Marktführer mit breitem Funktions-Umfang. Geeignet für Unternehmen mit mehreren hundert bis tausenden Mitarbeitenden und hohem Compliance-Anspruch.
- KnowBe4 — größter Anbieter weltweit, sehr breite Vorlagen-Bibliothek, umfangreiche Reporting-Funktionen, deutscher Content vorhanden
- Proofpoint Security Awareness — eng verzahnt mit der Proofpoint-Mail-Sicherheits-Plattform, gut für bestehende Proofpoint-Kunden
- Mimecast Awareness — sinnvoll bei vorhandener Mimecast-E-Mail-Sicherheit, integrierte Risiko-Bewertung pro Mitarbeitenden
Europäische Spezialisten mit Fokus auf DACH und EU. Geeignet, wenn Datenschutz-Standorte in der EU, deutsche Inhalte und DSGVO-Konformität Priorität haben.
- SoSafe — Kölner Anbieter, vollständig deutsche Inhalte, starker Fokus auf gamifiziertes Lernen, DACH-Marktführer
- Hoxhunt — finnischer Anbieter mit adaptivem Lern-Algorithmus, der die Schwierigkeit pro Mitarbeitenden automatisch anpasst
Managed-Service-Modelle und kleinere Spezial-Anbieter. Geeignet für Unternehmen ohne eigene IT-Sicherheits-Kapazität, die das gesamte Programm outsourcen wollen.
- IT-Seal — deutscher Anbieter mit starkem Pentest-Hintergrund, oft im Managed-Service-Modell
- G Data Security Awareness — Bochumer Anbieter, sinnvoll bei bestehender G-Data-Endpoint-Landschaft
Aus unserer Beratungs-Praxis: für deutsche mittelständische Unternehmen unter 500 Mitarbeitenden sind SoSafe und Hoxhunt die häufigsten Empfehlungen, weil sie deutsche Inhalte, DSGVO-konforme Datenverarbeitung in der EU und einen handhabbaren Preis kombinieren. KnowBe4 lohnt sich ab größeren Strukturen mit Multi-Sprachen-Bedarf. Die Auswahl sollte immer einem zwei- bis vierwöchigen Probe-Lauf mit echten Mitarbeitenden vorangehen — die Inhalts-Qualität ist je nach Sprache und Branche sehr unterschiedlich.
Was kostet ein Awareness-Programm?
Die Kosten eines Awareness-Programms hängen von drei Variablen ab: Anzahl der Mitarbeitenden, Inhouse- oder Managed-Service-Modell und Tiefe der Reporting- und Compliance-Funktionen. Die folgende Tabelle zeigt typische Spannen für mittelständische Unternehmen — sie ist als Orientierung gedacht, präzise Angebote brauchen einen kurzen Scope-Workshop.
| Programm-Variante | Pro Mitarbeitenden/Jahr | Einmalige Setup-Kosten | Personalaufwand intern |
|---|---|---|---|
| Einstiegs-Plattform, selbst betrieben (50–200 MA) | 15–25 € | 2.500–5.000 € | 10–15 % einer Stelle |
| Standard-Programm, selbst betrieben (200–1.000 MA) | 25–40 € | 5.000–10.000 € | 20–30 % einer Stelle |
| Premium-Plattform mit Compliance-Modul (500–2.000 MA) | 35–60 € | 8.000–15.000 € | 30–50 % einer Stelle |
| Managed Service über externen Dienstleister | 40–80 € | 3.000–8.000 € | 5–10 % einer Stelle |
Die Wirtschaftlichkeits-Rechnung ist in fast allen Fällen positiv. Ein Mittelständler mit 300 Mitarbeitenden zahlt für ein solides Standard-Programm rund 7.500 bis 12.000 Euro pro Jahr. Dem gegenüber stehen Schadens-Szenarien aus realen Vorfällen: ein erfolgreiches Phishing mit Ransomware-Folge kostet deutsche mittelständische Unternehmen nach Bitkom-Berichten zwischen 150.000 und 1,2 Millionen Euro pro Vorfall — Betriebsunterbrechung, Wiederherstellungs-Aufwand und Lieferketten-Folgen eingerechnet.
Die Entscheidung zwischen Inhouse-Betrieb und Managed Service ist primär eine Frage der Kapazität, nicht der Kosten. Inhouse-Betrieb ist günstiger, braucht aber konsequent jemanden, der monatlich Wellen plant, Reports auswertet und mit Personalabteilung und Betriebsrat abgestimmt bleibt. Wer diese Kapazität nicht bereitstellen kann, fährt mit einem Managed-Service-Modell typischerweise besser — die etwas höheren Lizenz-Kosten werden durch geringeren internen Aufwand mehr als ausgeglichen.
Compliance-Bezug: DSGVO, NIS2, ISO 27001
Awareness-Programme bedienen mehrere regulatorische Anforderungen gleichzeitig. Die folgende Zuordnung zeigt die wichtigsten Mappings — sie ersetzt keine vollständige Compliance-Analyse, hilft aber bei der Argumentation gegenüber Aufsicht, Versicherung und Lieferanten-Auditoren.
| Programm-Bestandteil | DSGVO Artikel 32 | NIS2 Artikel 21 | ISO 27001:2022 |
|---|---|---|---|
| Regelmäßige Awareness-Schulungen | Schulung als TOM | Cyber-Hygiene und Schulungen | A.6.3, A.7.2.2 |
| Phishing-Simulationen mit Messung | Wirksamkeits-Nachweis | Bewertung der Wirksamkeit | A.6.3, A.5.36 |
| Melde-Funktion in Outlook | Erkennung von Vorfällen | Vorfall-Erkennung und Meldung | A.5.24, A.6.8 |
| Dokumentation der Teilnahme | Nachweis-Pflicht TOMs | Dokumentations-Pflichten | A.5.37, A.7.2.2 |
| Gezielte Inhalte für Führungskräfte | Risiko-orientierte Maßnahmen | Leitungsverantwortung | A.5.4, A.6.3 |
Besonders relevant für NIS2: Artikel 21 nennt „Cyber-Hygiene-Praktiken und Schulungen“ explizit als verpflichtende Maßnahme, und der deutsche Umsetzungs-Text ergänzt die Pflicht zur Wirksamkeits-Messung. Wer Awareness-Schulungen ohne Simulations-Metriken betreibt, erfüllt formal die Schulungspflicht, aber nicht die Mess-Pflicht — ein häufiger Audit-Befund. Detaillierter zur NIS2-Umsetzung siehe unseren Cluster zu NIS2 Mittelstand.
Häufige Fragen
Wie oft sollte eine Phishing-Simulation im Mittelstand laufen?
Eine wirksame Frequenz liegt bei monatlichen Simulations-Wellen über das gesamte Jahr verteilt, mit unterschiedlichen Schwierigkeitsgraden und thematischen Schwerpunkten. Quartalsweise Simulationen sind das Mindest-Maß, jährliche Einzel-Aktionen haben nachweislich keinen Lerneffekt. Wichtig ist die Verteilung über das Jahr — nicht alle Mitarbeitenden gleichzeitig, sondern in Wellen, damit kein Flurfunk-Effekt entsteht und realistische Reaktionen messbar bleiben.
Sollten Mitarbeitende bestraft werden, wenn sie auf einen simulierten Phishing-Link klicken?
Nein. Bestrafungen — Abmahnungen, öffentliche Listen, Gehalts-Konsequenzen — sind in jeder seriösen Awareness-Praxis verboten. Sie zerstören die Melde-Bereitschaft und führen dazu, dass echte Vorfälle verschwiegen werden. Wirksam ist ein lernorientierter Ansatz: nach einem Klick erscheint eine kurze, freundliche Erklärseite mit den drei oder vier Warnsignalen der Mail, die der Mitarbeitende übersehen hat. Konsequenzen gibt es nur bei wiederholtem Verhalten trotz mehrerer Lernangebote, und auch dann gemeinsam mit Personalabteilung und Betriebsrat.
Reicht reines E-Learning aus, oder braucht es Simulationen?
E-Learning allein reicht nicht. Statische Schulungs-Module erzeugen Wissen, aber kein Verhalten — Mitarbeitende klicken in Schulungs-Quizzen die richtige Antwort und im echten Posteingang trotzdem auf den Link. Erst die Kombination aus kurzem E-Learning und realistischen Simulationen mit sofortigem Feedback verändert nachweislich das Klickverhalten. Reine Simulationen ohne begleitende Lerninhalte sind ebenfalls suboptimal — sie messen ohne aufzubauen.
Was ist mit C-Level und Führungskräften — werden die mitsimuliert?
Ja, ausdrücklich. Geschäftsführung und Bereichsleitung sind das bevorzugte Ziel professioneller Bedrohungs-Szenarien — Stichwort CEO-Fraud, Business Email Compromise und gezielter Spear-Phishing. Wenn die obersten Ebenen nicht mitsimulieren, fehlt die wichtigste Risikogruppe in den Auswertungen, und gleichzeitig untergräbt es die Kultur, weil Mitarbeitende den fehlenden Vorbild-Charakter spüren. Eine seriöse Simulation hat eigene Szenarien für C-Level und Führungskräfte mit höherem Realismus.
Welche Frequenz ist DSGVO- und NIS2-konform?
Weder die DSGVO noch NIS2 nennen eine konkrete Frequenz. Beide verlangen aber, dass Schulungen regelmäßig stattfinden und ihre Wirksamkeit messbar ist. In der Audit-Praxis akzeptieren Datenschutz-Aufsichten und BSI-orientierte NIS2-Prüfer jährliche Einzelschulungen nicht mehr als ausreichend, wenn keine Wirksamkeits-Messung dokumentiert ist. Quartalsweise Simulationen mit dokumentierten KPIs gelten als solide Mindest-Anforderung, monatliche Wellen als gute Praxis.
Wie viel kostet ein Awareness-Programm pro Mitarbeitenden pro Jahr?
Für mittelständische Unternehmen liegen die jährlichen Kosten je nach Vendor und Programm-Tiefe zwischen 15 und 60 Euro pro Mitarbeitenden — Plattform-Lizenz, Simulations-Vorlagen, Lerninhalte und Reporting eingeschlossen. Hinzu kommen einmalige Setup-Kosten zwischen 2.500 und 12.000 Euro, abhängig davon, ob das Programm selbst betrieben oder als Managed Service eingekauft wird. Dazu Personalaufwand: eine Person mit etwa 10 bis 20 Prozent Stellenanteil reicht für den laufenden Betrieb in Unternehmen unter 500 Mitarbeitenden aus.
Wie misst man, ob ein Awareness-Programm wirklich wirkt?
Die wichtigste Kennzahl ist nicht die Klick-Rate allein, sondern die Melde-Rate — der Anteil der Mitarbeitenden, die verdächtige Mails aktiv über den Melde-Knopf reportieren. Eine sinkende Klick-Rate ohne steigende Melde-Rate ist ein schwaches Signal, weil die Mitarbeitenden die Mails möglicherweise nur ignorieren statt zu melden. Wirksam ist ein Programm, wenn nach 12 Monaten die Klick-Rate sinkt UND die Melde-Rate spürbar steigt — typische Zielwerte sind unter 5 Prozent Klick-Rate und über 30 Prozent Melde-Rate.
Bereit, Ihre Belegschaft systematisch zu schulen?
Sprechen wir 30 Minuten unverbindlich. Wir bewerten Ihre aktuelle Awareness-Reife, schlagen einen passenden Vendor und ein Frequenz-Modell vor, und liefern einen realistischen Fahrplan für die ersten 90 Tage — inklusive Betriebsrats- und Datenschutz-Argumentation.
30-minütiges Gespräch vereinbaren
IT-Sicherheits- und Cloud-Architekt mit über zehn Jahren Erfahrung. Entwickelt mit seinem Team Reepa Security, eine offensive Audit-Plattform für den Mittelstand. Schreibt regelmäßig über Cloud-Security, NIS2, DSGVO-Compliance und Security Awareness.
Geprüft am: 22. Mai 2026 · Mehr über Hakan