So bauen Sie ein Phishing-Resilienzprogramm auf, das tatsächlich wirkt

Ihre technischen Sicherheitsmaßnahmen sind stark, doch Ihre Mitarbeitenden bleiben das primäre Ziel für Phishing-Angriffe. Dieser Leitfaden beschreibt einen strukturierten, an ISO 27001 ausgerichteten Weg zum Aufbau eines Phishing-Resilienzprogramms, das Ihr Team von einer Schwachstelle zu Ihrer stärksten Verteidigungslinie macht, menschliche Fehler reduziert und regulatorische Anforderungen aus Regelwerken wie NIS2 und DORA erfüllt.

Worum es geht

Technische Schutzmaßnahmen wie E-Mail-Filter und Endpunktschutz sind unverzichtbar, aber nicht unfehlbar. Angreifer wissen, dass der einfachste Weg in ein geschütztes Netzwerk häufig über eine Person führt. Ein einziger Klick auf einen schädlichen Link kann Sicherheitstechnologie im Wert von mehreren Millionen Pfund umgehen. Benutzerkonten gehören zu den am häufigsten angegriffenen Einstiegspunkten für Cyberangriffe, und eine erfolgreiche Phishing-Kampagne kann zum Diebstahl von Zugangsdaten, zur Infektion mit Schadsoftware und zu unbefugtem Zugriff führen. Die Folgen sind nicht nur technischer Natur, sondern haben unmittelbare geschäftliche Auswirkungen. Ein kompromittiertes Konto kann betrügerische Überweisungen, die Offenlegung sensibler Kundendaten und erhebliche Betriebsunterbrechungen nach sich ziehen, während Systeme bereinigt und wiederhergestellt werden.

Auch das regulatorische Umfeld ist kompromisslos. Regelwerke wie GDPR, NIS2 und DORA verlangen ausdrücklich, dass Organisationen Sicherheitsmaßnahmen umsetzen, die laufende Mitarbeiterschulungen und Sensibilisierung einschließen. Article 21 der NIS2-Richtlinie verpflichtet beispielsweise wesentliche und wichtige Einrichtungen, Cybersicherheitsschulungen bereitzustellen und grundlegende Cyberhygienepraktiken zu fördern. Ebenso verlangt Article 13 von DORA, dass Finanzunternehmen umfassende Schulungsprogramme einrichten. Kann kein belastbares Sensibilisierungsprogramm nachgewiesen werden, drohen erhebliche Sanktionen, Reputationsschäden und ein Verlust des Kundenvertrauens. Das Risiko ist nicht abstrakt; es bedroht unmittelbar Ihre finanzielle Stabilität und Ihre rechtliche Position. Menschliches Fehlverhalten ist eine zentrale Risikoquelle, und Aufsichtsbehörden erwarten, dass Sie es mit derselben Ernsthaftigkeit behandeln wie jede technische Schwachstelle.

Betrachten wir ein mittelgroßes Logistikunternehmen. Ein Mitarbeitender in der Finanzabteilung erhält eine überzeugende E-Mail, scheinbar von einem bekannten Lieferanten, mit der Bitte um eine dringende Zahlung auf ein neues Bankkonto. Die E-Mail-Signatur wirkt korrekt, der Ton ist vertraut. Unter dem Druck, Rechnungen schnell zu bearbeiten, veranlasst der Mitarbeitende die Überweisung ohne mündliche Verifikation. Einige Tage später fragt der echte Lieferant wegen der ausstehenden Zahlung nach. Das Unternehmen hat 50.000 £ verloren, und die anschließende Untersuchung verursacht erhebliche Störungen. Dieser Vorfall wäre mit einem starken Phishing-Resilienzprogramm vollständig vermeidbar gewesen: Mitarbeitende hätten gelernt, Warnsignale zu erkennen und ungewöhnliche Anfragen über einen separaten Kommunikationskanal zu verifizieren.

Wie ein guter Zielzustand aussieht

Ein erfolgreiches Phishing-Resilienzprogramm führt Ihre Organisation von einer reaktiven in eine proaktive Haltung. Es fördert eine sicherheitsbewusste Kultur, in der Mitarbeitende nicht nur passive Empfänger von Schulungen sind, sondern aktiv an der Verteidigung des Unternehmens mitwirken. Dieser Zustand ist durch messbare Verhaltensverbesserungen und eine greifbare Reduzierung menschenbezogener Risiken gekennzeichnet. Er adressiert unmittelbar die Anforderungen von ISO/IEC 27001:2022, insbesondere Abschnitt 7.3 zur Sensibilisierung sowie Anhang A, Maßnahme A.6.3 zu Sensibilisierung, Ausbildung und Schulung im Bereich Informationssicherheit. Ein guter Zielzustand bedeutet: Die Belegschaft versteht ihre Sicherheitsverantwortung und verfügt über die Kompetenz, dieser Verantwortung nachzukommen.

In diesem Zielbild können Mitarbeitende verdächtige E-Mails sicher erkennen und melden, statt sie zu ignorieren oder, schlimmer noch, anzuklicken. Der Meldeprozess ist einfach, bekannt und in den täglichen Arbeitsablauf integriert. Wird eine simulierte Phishing-Kampagne durchgeführt, ist die Klickrate niedrig und nimmt kontinuierlich ab, während die Meldequote hoch ist und steigt. Diese Daten liefern Auditoren, Management und Aufsichtsbehörden klare Nachweise für die Wirksamkeit des Programms. Noch wichtiger: Sie zeigen, dass Ihre Mitarbeitenden zu einer menschlichen Firewall geworden sind, die Bedrohungen erkennen kann, die automatisierte Systeme möglicherweise übersehen. Diese Kultur der Wachsamkeit ist ein Kernbestandteil von Cyberhygiene, einem zentralen Prinzip moderner Vorschriften wie NIS2.

Stellen Sie sich ein KMU in der Softwareentwicklung vor, in dem ein Entwickler eine ausgefeilte Spear-Phishing-E-Mail erhält. Die E-Mail scheint von einem Projektmanager zu stammen und enthält einen Link zu einem Dokument mit der Bezeichnung „dringende Änderungen der Projektspezifikation“. Der Entwickler, darauf geschult, unerwartete dringliche Anfragen kritisch zu prüfen, bemerkt eine geringfügige Abweichung in der E-Mail-Adresse des Absenders. Statt zu klicken, nutzt er die dedizierte Schaltfläche „Phishing melden“ in seinem E-Mail-Client. Das Sicherheitsteam wird sofort alarmiert, analysiert die Bedrohung und blockiert die schädliche Domain in der gesamten Organisation, wodurch eine potenzielle Sicherheitsverletzung verhindert wird. Genau so sieht ein guter Zielzustand aus: Ein geschulter, aufmerksamer Mitarbeitender agiert als kritischer Sensor in Ihrer Sicherheitsarchitektur.

Praktischer Weg

Der Aufbau eines belastbaren Phishing-Resilienzprogramms ist ein systematischer Prozess, kein einmaliges Ereignis. Er erfordert einen strukturierten Ansatz, der Bewertung, Schulung und kontinuierliche Verstärkung verbindet. Wenn Sie die Umsetzung in handhabbare Phasen gliedern, können Sie schnell Fortschritte erzielen und Nutzen nachweisen. Dieser Weg stellt sicher, dass Ihr Programm nicht nur eine Pflichtübung zur Einhaltung von Anforderungen ist, sondern Ihr Risikoprofil in der Informationssicherheit tatsächlich verbessert. Unser Umsetzungsleitfaden, der Zenith Blueprint, bietet das übergreifende Rahmenwerk, um diese Art von Sensibilisierungsinitiative in Ihr Informationssicherheitsmanagementsystem (ISMS) zu integrieren.¹

Phase 1: Grundlagen und Baseline-Bewertung

Bevor Sie Resilienz aufbauen können, müssen Sie Ihren Ausgangspunkt kennen. In der ersten Phase wird eine Baseline für das aktuelle Sicherheitsbewusstsein Ihres Teams erstellt, und es werden die spezifischen Kompetenzen ermittelt, die für unterschiedliche Rollen erforderlich sind. Das geht über die Annahme hinaus, dass alle dieselbe generische Schulung benötigen. Ihr Finanzteam ist anderen Bedrohungen ausgesetzt als Ihre Softwareentwickler. Eine gründliche Bewertung hilft, das Programm auf maximale Wirkung auszurichten und sicherzustellen, dass die Inhalte für die Zielgruppe relevant und praxisnah sind. Dies steht im Einklang mit ISO 27001 Abschnitt 7.2, wonach Organisationen sicherstellen müssen, dass Personen auf Grundlage angemessener Ausbildung und Schulung kompetent sind.

• Erforderliche Kompetenzen ermitteln: Ordnen Sie das spezifische Sicherheitswissen zu, das unterschiedliche Rollen benötigen. Mitarbeitende in der Personalabteilung müssen beispielsweise verstehen, wie personenbezogene Daten sicher verarbeitet werden, während IT-Administratoren fundierte Kenntnisse sicherer Konfiguration benötigen.
• Aktuelles Sicherheitsbewusstsein bewerten: Führen Sie eine erste, unangekündigte Phishing-Simulation durch, um eine Baseline-Klickrate zu ermitteln. Damit erhalten Sie eine konkrete Kennzahl, an der zukünftige Verbesserungen gemessen werden können.
• Programmziele festlegen: Definieren Sie klare, messbare Ziele. Zum Beispiel: „Reduzierung der Klickrate in Phishing-Simulationen innerhalb von sechs Monaten um 50 %“ oder „Steigerung der Meldequote für Phishing innerhalb eines Jahres auf 75 %“.
• Werkzeuge auswählen: Wählen Sie eine Plattform für die Bereitstellung von Schulungen und die Durchführung von Simulationen. Stellen Sie sicher, dass sie detaillierte Auswertungen zur Benutzerleistung und zum Meldeverhalten bereitstellen kann.

Phase 2: Inhaltsentwicklung und Erstschulung

Mit einer klaren Baseline und definierten Zielen besteht der nächste Schritt darin, die zentralen Schulungsinhalte zu entwickeln und bereitzustellen. Hier beginnen Sie, die in Phase 1 identifizierten Wissenslücken zu schließen. Entscheidend ist, dass die Schulung praktisch, relevant und kontinuierlich ist. Eine einzelne jährliche Schulung reicht nicht aus. Wirksame Programme verankern Sensibilisierung für Informationssicherheit im gesamten Beschäftigungslebenszyklus, beginnend am ersten Tag. Ziel ist es, jede Person in die Lage zu versetzen, typische Bedrohungen wie Phishing und Schadsoftware zu erkennen und zu vermeiden.

• Rollenbasierte Schulungsmodule entwickeln: Erstellen Sie spezifische Inhalte für Hochrisikobereiche. Finanzteams sollten Schulungen zu Business Email Compromise und Rechnungsbetrug erhalten, während Entwickler in sicheren Programmierpraktiken geschult werden.
• Grundlagenschulung ausrollen: Stellen Sie ein verpflichtendes Modul zur Sensibilisierung für Informationssicherheit für alle Mitarbeitenden bereit. Es sollte die Grundlagen von Phishing, Passwortsicherheit, Social Engineering und der Meldung eines Sicherheitsvorfalls abdecken.
• In das Onboarding integrieren: Stellen Sie sicher, dass alle neuen Mitarbeitenden im Rahmen ihres Onboarding-Prozesses eine Sensibilisierungsschulung zur Informationssicherheit absolvieren. So werden die Erwartungen vom ersten Tag an klar gesetzt. Nutzen Sie diese Gelegenheit, um die Kenntnisnahme zentraler Richtlinien bestätigen zu lassen.

Phase 3: Simulation, Meldung und Feedback

Schulung allein reicht nicht aus; Verhalten muss getestet und gefestigt werden. Diese Phase konzentriert sich auf regelmäßige, kontrollierte Phishing-Simulationen, die Mitarbeitenden eine sichere Umgebung bieten, um ihre Fähigkeiten anzuwenden. Ebenso wichtig ist ein reibungsarmer Prozess zur Meldung verdächtiger Nachrichten. Wenn ein Mitarbeitender eine potenzielle Bedrohung meldet, liefert er wertvolle Bedrohungsinformationen in Echtzeit. Ihre Reaktion auf diese Meldungen ist entscheidend, um Vertrauen aufzubauen und zukünftige Meldungen zu fördern. Ein klarer und praxistauglicher Incident-Response-Plan (IRP) ist hier unverzichtbar.

• Regelmäßige Phishing-Simulationen einplanen: Wechseln Sie vom Baseline-Test zu einem regelmäßigen Rhythmus, etwa monatlich oder quartalsweise. Variieren Sie Schwierigkeitsgrad und Themen der Vorlagen, damit Mitarbeitende wachsam bleiben.
• Einfachen Meldemechanismus einrichten: Implementieren Sie eine Schaltfläche „Phishing melden“ in Ihrem E-Mail-Client. So können Benutzer verdächtige E-Mails mit einem Klick melden, ohne Reibung oder Unsicherheit darüber, was zu tun ist.
• Unmittelbares Feedback geben: Wenn ein Benutzer auf einen Simulationslink klickt, geben Sie sofortiges, nicht sanktionierendes Feedback und erklären Sie die übersehenen Warnsignale. Meldet ein Benutzer eine Simulation, senden Sie eine automatisierte Dankesnachricht, um das positive Verhalten zu verstärken.
• Ergebnisse analysieren und teilen: Verfolgen Sie Kennzahlen wie Klickraten, Meldequoten und Zeit bis zur Meldung. Teilen Sie anonymisierte Ergebnisse auf aggregierter Ebene mit Management und Teams, um Fortschritt sichtbar zu machen und die Beteiligung aufrechtzuerhalten.

Richtlinien, die das Programm verankern

Ein erfolgreiches Phishing-Resilienzprogramm kann nicht isoliert bestehen. Es muss durch ein klares und durchsetzbares Richtlinienwerk unterstützt werden, das Erwartungen formalisiert, Verantwortlichkeiten definiert und Sensibilisierung für Informationssicherheit in der Organisation verankert. Richtlinien übersetzen strategische Ziele in operative Vorgaben, die das Verhalten von Mitarbeitenden steuern und eine Grundlage für Verantwortlichkeit schaffen. Ohne diese dokumentierte Basis können Schulungsmaßnahmen optional wirken, und ihre Wirkung lässt mit der Zeit nach. Das zentrale Dokument dafür ist die Richtlinie zur Sensibilisierung und Schulung für Informationssicherheit.² Diese Richtlinie legt das Mandat für das gesamte Programm fest, vom Onboarding bis zur laufenden Schulung.

Diese Kernrichtlinie sollte nicht alleinstehen. Sie muss mit anderen kritischen Governance-Dokumenten verknüpft werden, um eine konsistente Sicherheitskultur zu schaffen. Beispielsweise legt Ihre Richtlinie zur zulässigen Nutzung³ die Grundregeln für die Nutzung von Unternehmenstechnologie durch Mitarbeitende fest und ist damit ein naheliegender Ort, um deren Verantwortung für Wachsamkeit gegenüber Phishing zu verankern. Wenn ein Sicherheitsereignis eintritt, muss die Richtlinie zur Behandlung von Informationssicherheitsvorfällen⁴ klar definieren, welche Schritte ein Mitarbeitender zur Meldung unternehmen muss, damit die aus einem gemeldeten Phishing-Versuch gewonnenen Informationen schnell und wirksam verarbeitet werden. Zusammen bilden diese Richtlinien ein System ineinandergreifender Maßnahmen, das sicheres Verhalten verstärkt.

Beispielsweise stellt der CISO in einer quartalsweisen ISMS-Managementbewertung die neuesten Ergebnisse der Phishing-Simulation vor. Sie zeigen einen leichten Anstieg der Klicks bei Vorlagen zu Rechnungsbetrug. Das Team entscheidet, die Richtlinie zur Sensibilisierung und Schulung für Informationssicherheit zu aktualisieren und vor dem nächsten Quartal spezifische, gezielte Schulungen für die Finanzabteilung vorzuschreiben. Diese Entscheidung wird dokumentiert, und die aktualisierte Richtlinie wird allen relevanten Mitarbeitenden kommuniziert. So passt sich das Programm strukturiert und auditierbar an neue Risiken an.

Checklisten

Damit Ihr Programm umfassend und wirksam ist, hilft es, die Arbeit in klar abgegrenzte Stufen zu unterteilen: Grundlage schaffen, im Alltag betreiben und Wirkung überprüfen. Diese Checklisten bieten eine praktische Orientierung für jede Stufe, helfen Ihnen, auf Kurs zu bleiben, und unterstützen Sie dabei, die Erwartungen von Auditoren und Aufsichtsbehörden zu erfüllen. Ein gut dokumentiertes Programm lässt sich in einem Audit deutlich leichter vertreten.

Aufbau: ein Phishing-Resilienzprogramm etablieren

Eine starke Grundlage ist entscheidend für langfristigen Erfolg. Diese Anfangsphase umfasst strategische Planung, Ressourcensicherung und Gestaltung der Kernkomponenten Ihres Programms. Wer diese Phase überstürzt, landet häufig bei generischen, unwirksamen Schulungen, die Mitarbeitende nicht einbinden und das spezifische Risikoprofil nicht adressieren. Die notwendige Zeit für einen sauberen Aufbau zahlt sich in einem verbesserten Risikoprofil der Informationssicherheit und einer resilienteren Belegschaft aus.

• Definieren Sie klare Ziele und Leistungskennzahlen (KPIs) für das Programm.
• Sichern Sie die Unterstützung des Managements und ein angemessenes Budget für Werkzeuge und Ressourcen.
• Führen Sie eine Baseline-Phishing-Simulation durch, um die anfängliche Anfälligkeit zu messen.
• Identifizieren Sie Hochrisiko-Benutzergruppen und die spezifischen Bedrohungen, denen sie ausgesetzt sind.
• Entwickeln oder beschaffen Sie grundlegende und rollenspezifische Schulungsinhalte.
• Integrieren Sie Sensibilisierungsschulungen zur Informationssicherheit in den Onboarding-Prozess neuer Mitarbeitender.
• Richten Sie einen einfachen Ein-Klick-Prozess ein, mit dem Benutzer verdächtige E-Mails melden können.

Betrieb: Programmdynamik aufrechterhalten

Nach dem Start erfordert ein Phishing-Resilienzprogramm kontinuierliche Pflege, um wirksam zu bleiben. In dieser Betriebsphase geht es darum, einen regelmäßigen Rhythmus von Aktivitäten aufrechtzuerhalten, der Sicherheit bei allen Mitarbeitenden präsent hält. Dazu gehören Simulationen, Kommunikation der Ergebnisse und Anpassung des Programms auf Grundlage von Leistungsdaten und der sich entwickelnden Bedrohungslage. Hier wird aus einem einmaligen Projekt ein nachhaltiger Geschäftsprozess.

• Planen und führen Sie regelmäßige Phishing-Simulationen mit unterschiedlichen Vorlagen und Schwierigkeitsgraden durch.
• Geben Sie Benutzern, die auf Simulationslinks klicken, unmittelbares, lernorientiertes Feedback.
• Bestätigen und bedanken Sie sich bei Benutzern, die simulierte und echte Phishing-E-Mails korrekt melden.
• Veröffentlichen Sie regelmäßig anonymisierte Berichte zur Programmleistung für relevante Stakeholder.
• Stellen Sie laufende Sensibilisierungsinhalte über Newsletter, Tipps oder interne Kommunikation bereit.
• Aktualisieren Sie Schulungsmodule jährlich oder wenn wesentliche neue Bedrohungen auftreten.

Überprüfung: Wirksamkeit des Programms auditieren

Bei der Überprüfung geht es darum nachzuweisen, dass Ihr Programm funktioniert. Dazu werden Nachweise erhoben und gegenüber Auditoren, Aufsichtsbehörden und oberster Leitung dargestellt. Ein wirksames Programm ist datenbasiert, und Sie sollten eine klare Rendite durch Risikoreduzierung nachweisen können. Auditoren erwarten objektive Nachweise, keine bloßen Behauptungen. Eine strukturierte Bibliothek von Kontrollzielen wie die Zenith Controls kann helfen sicherzustellen, dass Ihre Nachweise an Standards wie ISO 27001 ausgerichtet sind.⁵

• Führen Sie detaillierte Aufzeichnungen zu allen Schulungsaktivitäten, einschließlich Zeitplänen und Anwesenheitslisten.
• Bewahren Sie Kopien aller verwendeten Schulungsmaterialien und Phishing-Simulationsvorlagen auf.
• Verfolgen und dokumentieren Sie Klickraten und Meldequoten aus Phishing-Simulationen über die Zeit.
• Sammeln Sie Nachweise aus Nachprüfungen nach Vorfällen, bei denen Phishing als Ursache festgestellt wurde.
• Führen Sie regelmäßige Bewertungen durch, etwa Interviews oder Wissensprüfungen, um die Wissensspeicherung einzuschätzen.
• Seien Sie darauf vorbereitet, Auditoren zu zeigen, wie das Programm menschenbezogene Risiken messbar reduziert hat.

Häufige Fehlerquellen

Auch mit den besten Absichten können Phishing-Resilienzprogramme hinter den Erwartungen zurückbleiben. Diese typischen Fehler zu vermeiden ist ebenso wichtig wie die Umsetzung bewährter Praktiken. Wer diese Fallstricke kennt, kann ein Programm gestalten, das ansprechend, wirksam und nachhaltig ist.

• Schulung als einmaliges Ereignis behandeln. Sensibilisierung für Informationssicherheit ist keine Aufgabe, die mit „einmal erledigt“ abgeschlossen ist. Sie erfordert kontinuierliche Verstärkung. Eine jährliche Schulung ist schnell vergessen und trägt wenig zum Aufbau einer dauerhaften Sicherheitskultur bei.
• Eine Schuldkultur schaffen. Benutzer zu bestrafen, die Phishing-Simulationen nicht bestehen, ist kontraproduktiv. Es verhindert Meldungen, erzeugt Angst und drängt Sicherheitsprobleme in den Untergrund. Ziel ist Befähigung, nicht Disziplinierung.
• Unrealistische oder generische Simulationen verwenden. Wenn Ihre Phishing-Vorlagen offensichtlich gefälscht oder für Ihren Geschäftskontext irrelevant sind, lernen Mitarbeitende schnell, Simulationen zu erkennen, aber nicht reale Angriffe.
• Die Geschäftsleitung ignorieren. Angreifer zielen häufig mit stark personalisierten Spear-Phishing-Angriffen auf obere Führungskräfte. Führungskräfte und ihre Assistenz müssen in Schulungen und Simulationen einbezogen werden.
• Meldungen erschweren. Wenn ein Mitarbeitender erst nach Anweisungen suchen muss, wie eine verdächtige E-Mail zu melden ist, wird er dies mit geringerer Wahrscheinlichkeit tun. Eine einfache Ein-Klick-Meldeschaltfläche ist unverzichtbar.
• Nicht auf gemeldete Vorfälle reagieren. Wenn Benutzer echte Phishing-E-Mails melden, liefern sie kritische Bedrohungsinformationen. Wenn das Sicherheitsteam diese Meldungen weder bestätigt noch darauf reagiert, werden Benutzer irgendwann aufhören, sich die Mühe zu machen.

Nächste Schritte

Der Aufbau einer resilienten menschlichen Firewall ist ein wesentlicher Bestandteil jeder modernen Sicherheitsstrategie. Durch die Umsetzung eines strukturierten, kontinuierlichen Phishing-Sensibilisierungsprogramms können Sie Ihr Risiko einer Sicherheitsverletzung deutlich reduzieren und die Einhaltung zentraler Vorschriften nachweisen.

• Zenith Suite
• Complete SME + Enterprise Combo Pack
• Full SME Pack

Referenzen