Hausinterne Phishing-Kampagnen - Wie interne Tests die IT-Sicherheit Deines Unternehmens auf ein neues Level heben Foto bei Marco Griep - Canva

Hausinterne Phishing-Kampagnen - Wie interne Tests die IT-Sicherheit Deines Unternehmens auf ein neues Level heben

Veröffentlicht:

Wenn die größte Sicherheitslücke menschlich ist

Es passiert an einem Dienstagmorgen: Das Büro füllt sich langsam, der Duft von Kaffee liegt in der Luft, und die ersten E-Mails trudeln ein. Eine davon sieht überraschend echt aus – sie stammt scheinbar von der Personalabteilung und kündigt „wichtige Änderungen an der Gehaltsabrechnung“ an. Neugierig klickt eine Mitarbeiterin auf den enthaltenen Link. Sekunden später hat ein Angreifer erfolgreich einen Fuß in das interne Netzwerk gesetzt. Diese Szene ist keine Ausnahme, sondern Alltag. Über 90 % aller erfolgreichen Cyberangriffe beginnen mit einer Phishing-E-Mail.

Doch die gute Nachricht: Unternehmen können diese Gefahr effektiv entschärfen – durch systematische Awareness-Trainings und realistische hausinterne Phishing-Kampagnen. In diesem Artikel lernst Du, warum solche Kampagnen unverzichtbar sind, wie sie professionell umgesetzt werden – und wie Tools wie GoPhish dabei helfen, Schwachstellen sichtbar zu machen, bevor es echte Angreifer tun.

Warum Awareness-Trainings der Grundpfeiler moderner IT-Sicherheit sind

Der Faktor Mensch als Einfallstor Technische Schutzmechanismen wie Firewalls, EDR-Systeme und Passwort-Policies sind wertlos, wenn der Mensch am kürzesten Hebel sitzt. Ein Klick auf einen täuschend echten Link, ein zu gutgläubiger Umgang mit Passwörtern oder ein vertrauliches Dokument im falschen E-Mail-Anhang – und schon ist das Sicherheitskonzept durchbrochen.

Awareness-Trainings sollen genau das verhindern. Sie schulen Mitarbeitende darin, Phishing, Social Engineering und andere Täuschungsversuche zu erkennen, kritisch zu hinterfragen und sicher zu handeln. Lernpsychologie trifft IT-Sicherheit

Doch Theorie allein reicht selten. Menschen erinnern sich nicht daran, was sie in einem Vortrag gehört, sondern was sie selbst erlebt haben. Deshalb sind praktische Simulationen so effektiv:

  • Sie erzeugen ein spürbares Aha-Erlebnis.
  • Sie zeigen reale Schwachstellen, nicht nur hypothetische.
  • Sie schaffen Gesprächsanlässe – Sicherheit wird ein Thema im Büroalltag.

Ein gutes Awareness-Programm kombiniert daher regelmäßige Schulungen (wie das BITS IT-Sicherheitstraining des BSI, das niedrigschwellig und praxisorientiert ist) mit gezielten Tests, um den tatsächlichen Wissensstand zu prüfen.

Warum interne Phishing-Kampagnen der ultimative Realitätscheck sind

Testen statt nur schulen

Awareness ohne Prüfung ist wie Sport ohne Wettkampf: Die Theorie mag stimmen – aber erst wenn’s zählt, zeigt sich, was wirklich sitzt. Hausinterne Phishing-Kampagnen sind ein realistischer, kontrollierter Weg, um:

  • die Effektivität von Awareness-Trainings messbar zu machen,
  • gefährdete Abteilungen oder Personen zu identifizieren,
  • und vor allem: die Belegschaft aktiv in Sicherheitsprozesse einzubinden.

Das Ziel ist nie „zu erwischen“, sondern zu sensibilisieren und zu verbessern.

Von Misstrauen zu Teamgeist

Wichtig ist, dass solche Kampagnen rein lernorientiert durchgeführt werden. Kommunikation ist entscheidend: Mitarbeitende sollen verstehen, dass es nicht um Kontrolle, sondern um Schutz geht.

Wer den Klick macht, hat nicht „versagt“, sondern eine Chance, daraus zu lernen. Und wer eine Phishing-Mail erfolgreich erkannt hat, darf das ruhig feiern. Das stärkt das Bewusstsein und fördert eine positive Sicherheitskultur.

Wie leicht KI heute überzeugende Phishing-Mails schreibt

Noch vor wenigen Jahren waren Phishing-E-Mails leicht zu erkennen – grammatikalisch holprig, schlecht formatiert, offensichtlich dubios. Einfach schnell mal zusammengeschustert und rausgeschickt. Heute ist das anders. Mit modernen Sprachmodellen lassen sich täuschend echte Nachrichten formulieren:

  • professionell im Ton,
  • fehlerfrei formuliert,
  • und oft mit personalisiertem Kontext („Hallo Herr Müller, wie neulich beim Meeting besprochen…“).

Cyberkriminelle nutzen diese Technologien längst. Für Unternehmen muss das ein Weckruf sein, das Sicherheitsbewusstsein der eigenen Belegschaft zu stärken – denn der Unterschied zwischen echt und fake ist heute schmal wie nie zuvor. Ein interner Phishing-Test zeigt eindrucksvoll, wie überzeugend solche Nachrichten sein können – ohne echtes Risiko.

Der Werkzeugkasten für interne Tests: GoPhish

Was ist GoPhish?

GoPhish ist eine Open-Source-Plattform, die speziell für Phishing-Simulationen entwickelt wurde. Sie erlaubt es, Kampagnen zu planen, E-Mails zu gestalten, Landing Pages zu konfigurieren und Ergebnisse auszuwerten – alles in einer intuitiven Weboberfläche. Das ganze sogar erschreckend einfach: In wenigen Minuten ist eine realistische Phishing Seite erstellt, die Mitarbeiter zum Klicken verleitet – und das ganz legal und sicher innerhalb des eigenen Netzwerks

Achtung: Immer mit Zustimmung der Geschäftsleitung / Personalrat und unter Einhaltung aller Datenschutzbestimmungen!.

Warum GoPhish ideal für Unternehmen ist

  • Kostenfrei und flexibel: Keine Lizenzkosten, anpassbar auf eigene Anforderungen.
  • Selbst gehostet: Volle Kontrolle über Daten, keine Cloud-Abhängigkeit.
  • Übersichtliches Dashboard: Ergebnisse auf Nutzer-, Abteilungs- und Kampagnenebene auswertbar.
  • Kompatibel mit Office 365, Exchange & Co.

GoPhish installieren – eine grobe Anleitung

1. Voraussetzungen

  • Eine dedizierte oder virtuelle Maschine mit Linux oder Windows.
  • Zugriff auf das interne Netzwerk.
  • Eine Domäne oder Subdomäne für den E-Mail-Versand.

Achtung: GoPhish sollte niemals öffentlich erreichbar sein, um Missbrauch zu verhindern! Schalten Sie den Server aus sofern die Kampagne nicht läuft.

2. Download und Einrichtung

Am einfachsten ist die Installation über Docker-Compose:

services:
  gophish:
    image: gophish/gophish
    container_name: app-gophish
    restart: unless-stopped
    volumes:
      - ./data:/opt/gophish/data
    ports:
      - "3333:3333" # Admin Interface
      - "80:80"     # Phishing Landing Pages

3. Absender-Konfiguration

Beim Versand von Testmails sollten legitime, aber kontrollierte Absenderadressen verwendet werden. Beispielsweise über eine Subdomain wie security-alerts.deinefirma.de. So werden keine echten Absender kompromittiert – gleichzeitig wirkt der Test realistisch. Legen Sie im zweifelsfall eine eigene Testdomäne an, um Verwechslungen zu vermeiden.

4. Authentizität testen (SPF/DKIM/DMARC)

Damit Mails nicht sofort im Spamfilter landen, muss die Versanddomäne korrekt mit SPF, DKIM und DMARC eingerichtet werden.

Eine gefälschte Login-Seite mit GoPhish erstellen

Ein realistisches Szenario braucht eine realistische Landing Page. GoPhish erlaubt das Klonen bestehender Seiten (z. B. einer Microsoft-Loginseite oder eines Intranet-Portals) – natürlich nur zu internen Testzwecken! In unserem Szenario haben wir die OWA Seite von Microsoft Exchange nachgebaut, um zu sehen, wie viele Mitarbeiter auf eine gefälschte Anmeldeseite hereinfallen.

Phishing Landing Page in GoPhish

Der Phishing Test war für eine Verbandsgemeinde in Rheinland-Pfalz. Gemeinden müssen Ihre E-Mail Adressen öffentlich machen, damit Bürger Kontakt aufnehmen können. Das macht sie zu besonders attraktiven Zielen für (Spear-) Phishing-Angriffe und ein OWA Zugang ist hier besonders kritisch da der erste Faktor bereits öffentlich zugänglich ist.

So gehst Du vor

  1. Öffne im Browser die Originalseite, die Du simulieren möchtest.
  2. Kopiere die URL der Seite und füge sie in GoPhish ein, um die Seite zu klonen.
  3. Passe die Seite an (z. B. Logo, Texte) – aber halte sie so nah wie möglich am Original, um die Glaubwürdigkeit zu maximieren.
  4. Ergänze Dein eigenes Formular für die Eingabe von Testdaten.
  5. Definiere, wohin Benutzer nach der Eingabe weitergeleitet werden – z. B. auf eine Schulungsseite mit Hinweis und Lernmaterial.

Wichtig. Stelle in der Kampagne ein, das die Eingegeben Daten nicht gespeichert werden, sondern nur die Tatsache, dass jemand auf die Seite geklickt und Daten eingegeben hat. So vermeidest Du Datenschutzprobleme und kannst trotzdem wertvolle Erkenntnisse gewinnen. Wir wollen hier ja niemanden bloßstellen, sondern sensibilisieren.

Phishing Mail vorbereiten

Die E-Mail ist der Köder, die Landing Page die Falle. Gestalte die Mail so, dass sie möglichst echt wirkt – z. B. mit einem Betreff, der Neugier weckt („Dringende Sicherheitswarnung“), einem Absender, der vertraut erscheint („IT-Support“), und einem Text, der zum Handeln auffordert („Bitte aktualisieren Sie Ihr Passwort“). Achte darauf, dass die Mail nicht zu offensichtlich ist – sonst klicken nur die „Sicherheitsprofis“ und der Test verliert an Aussagekraft. Gleichzeitig sollte sie aber auch nicht zu komplex sein, damit sie nicht sofort als Fake erkannt wird. Ein guter Tipp: Nutze aktuelle Phishing-Beispiele aus dem Internet als Vorlage – so bleibt die Simulation realistisch und relevant.

Phishing Email Vorlage

Ethik und Verantwortung

Selbstverständlich darf diese Landing Page nur intern genutzt werden. Der Zweck ist immer Awareness, nie Manipulation. Ein gutes Beispiel: Nach dem Klick zeigt sich ein freundlicher Hinweistext:

Diese Nachricht war Teil einer internen Awareness-Kampagne. Keine Sorge – Sie waren nicht Ziel eines echten Angriffs. Nutzen Sie diese Gelegenheit, um zu lernen, wie Sie sich in Zukunft schützen können.“

Userlisten vorbereiten und importieren

Damit GoPhish Mails an realistische Zielgruppen versenden kann, wird eine Empfängerliste benötigt. Empfehlenswert ist die Nutzung echter interner E-Mail-Adressen, jedoch ausschließlich mit Zustimmung der Geschäftsführung und des Datenschutzbeauftragten. Damit nicht jede Mitarbeiterin einzeln angelegt werden muss, können Userlisten auch als CSV-Datei importiert werden.

Um die User aus Active Directory zu exportieren, kann folgendes PowerShell-Skript verwendet werden.

Import-Module ActiveDirectory

$allUsers = Get-ADUser -Filter {Enabled -eq $true} `
    -Properties GivenName, Surname, UserPrincipalName, Title

$csvData = foreach ($user in $allUsers) {
    [PSCustomObject]@{
        'First Name' = if ($user.GivenName) { $user.GivenName } else { "Unbekannt" }
        'Last Name'  = if ($user.Surname) { $user.Surname } else { "Unbekannt" }
        Email        = if ($user.UserPrincipalName) { $user.UserPrincipalName } else { "" }
        Position     = if ($user.Title) { $user.Title } else { "" }
    }
}

$csvLines = $csvData | ConvertTo-Csv -NoTypeInformation -Delimiter ","

# Entfernt äußere Quotes
$csvLines = $csvLines | ForEach-Object {
    $_ -replace '^"|"$',''
}

$csvPath = "C:\Temp\AD_Users.csv"

if (Test-Path $csvPath) {
    Remove-Item $csvPath
}

$csvLines | Set-Content -Path $csvPath -Encoding UTF8

Write-Output "Export abgeschlossen: $csvPath"

Öffne die CSV-Datei, überprüfe die Daten, werde gegebenfalls Postfächer wie Sammel- oder Testpostfächer raus und importiere sie dann in GoPhish.

Den Phishing-Test ausrollen

Nachdem Templates, Absender und Zielgruppen konfiguriert sind, kannst Du Deine Simulation starten. Doch bevor Du das tust, berücksichtige diese Best Practices:

1. Kommunikation vorbereiten

Informiere Führungskräfte und den Betriebsrat vorab. Transparenz schafft Vertrauen und verhindert Missverständnisse.

Nutzen Sie mein E-Mail Vorlage für Ihren Geschäftsführer oder Personalrat:

Sehr geehrte(r) Herr / Frau / Personalrat,

im Rahmen unserer kontinuierlichen Maßnahmen zur Stärkung der IT-Sicherheit planen wir, eine hausinterne Phishing-Simulation durchzuführen. 
Ziel dieser Kampagne ist es, das Bewusstsein aller Mitarbeitenden für mögliche Cyberangriffe zu erhöhen und die Wirksamkeit bisheriger Awareness-Maßnahmen objektiv zu prüfen.
Die Erfahrung zeigt, dass Schulungen allein nicht ausreichen, um dauerhaft sicheres Verhalten im Umgang mit E-Mails und vertraulichen 
Informationen zu fördern. Durch realistische, jedoch vollkommen risikofreie Tests können wir praxisnah erkennen, 
o Schulungsbedarf besteht und wie gut erlernte Schutzmechanismen tatsächlich angewendet werden.

Rahmenbedingungen der Maßnahme:
·	Die Simulation wird ausschließlich zu Schulungszwecken durchgeführt.
·	Es werden keine produktiven oder personenbezogenen Daten verarbeitet oder gespeichert.
·	Ergebnisse werden anonymisiert ausgewertet – es erfolgt keine personenbezogene Bewertung einzelner Mitarbeitender.
·	Nach Abschluss der Kampagne werden die Mitarbeitenden transparent über die Ergebnisse und Lernerfahrungen informiert.
·	Betroffene, die auf die simulierten Mails reagieren, werden unmittelbar nach der Aktion über den Trainingszweck aufgeklärt.
Selbstverständlich erfolgt die Umsetzung im Einklang mit den Vorgaben der DSGVO sowie interner Datenschutzrichtlinien.

Um die Maßnahme fair und transparent zu gestalten, bitten wir um formelle Zustimmung des Personalrats bzw. der 
Geschäftsführung sowie um eine kurze Abstimmung hinsichtlich des geeigneten Zeitraums.

Bei Fragen zur Durchführung, Methodik oder Datenauswertung stehe ich jederzeit gern zur Verfügung.
Mit freundlichen Grüßen

[Dein Name]
IT-Sicherheitsbeauftragter / Awareness-Verantwortlicher
[Unternehmen / Organisation]
[E-Mail-Adresse]
[Telefonnummer]

Hier kannst Du die Vorlage als Word-Dokument herunterladen

2. Testzeitraum planen

Ein sinnvoller Zeitraum liegt bei 5–10 Tagen. So deckst Du verschiedene Arbeitstage und Nutzerverhalten ab. Dies lässt sich in GoPhish in den Kampagnen einfach einstellen, damit die Mails nicht alle auf einmal rausgehen.

Kampagnenzeitraum in GoPhish einstellen

3. Lernmoment statt Schuldzuweisung

Wer klickt, soll nicht „erwischt“ werden. Vielmehr sollte der Klick zu einer direkt lernorientierten Seite führen – z. B. mit Tipps und Hinweisen.

4. Erfolgsmessung

GoPhish bietet übersichtliche Reports:

  • Anteil der geöffneten Mails
  • Klickrate auf Phishing-Links
  • Eingaben auf der Landing Page

Diese Daten sind Gold wert für Dein Awareness-Team.

Auswertung und Optimierung

Der wahre Wert einer Phishing-Kampagne liegt nicht im Test selbst, sondern in den Erkenntnissen daraus.

Typische Kennzahlen

  • Click Rate (CTR): Wie viele haben den Link geöffnet?
  • Submit Rate: Wie viele haben Daten eingegeben?
  • Reporting Rate: Wie viele haben die Mail gemeldet?

Gophish Auswertung

Schlüsselfragen nach dem Test

  • Welche Abteilungen sind anfälliger?
  • Welche Arten von Nachrichten waren am effektivsten?
  • Haben wir Fortschritte im Vergleich zu früheren Kampagnen erzielt?

Die Antworten bilden die Grundlage, um Schulungen gezielt zu verbessern.

Verbinde den Test mit echten Schulungsinhalten

Nach der Auswertung beginnt der wichtigste Teil: die Nachbereitung.

Meine Empfehlung ist es, die Ergebnisse der Kampagne mit einem passenden Schulungsangebot zu verknüpfen. Hier kommt das BITS IT-Sicherheitstraining des Bundesamts für Sicherheit in der Information: Das BITS IT-Sicherheitstraining des Bundesamts für Sicherheit in der Informationstechnik (BSI). Es ist modular aufgebaut, leicht verständlich und perfekt geeignet, um nach einem Phishing-Test das Erlernte zu festigen.

Mehr zum BITS IT-Sicherheitstraining findest Du hier: BITS IT-Sicherheitstraining

So kombinierst Du Test + Schulung = nachhaltige Awareness.

Wenn Du erkannt hast, wie wichtig eine realistische Phishing-Simulation für Dein Unternehmen ist, dann kontaktiere mich. Ich helfe Dir bei der Konzeption, Umsetzung und Auswertung einer hausinternen Awareness-Kampagne – praxisnah, datenschutzkonform und ganz ohne erhobenen Zeigefinger.

EIGENE PHISHING-KAMPAGNE STARTEN

Ich unterstütze Dich bei der Planung, Umsetzung und Auswertung Deiner hausinternen Phishing-Kampagne

Mehr erfahren

Sicherheit wächst durch Erfahrung

Awareness ist kein Zustand, sondern ein Prozess. Phishing-Tests sind kein Zeichen von Misstrauen, sondern von Verantwortung.

Indem Geschäftsführer und IT-Leiter den Mut haben, die Schwachstelle „Mensch“ nicht zu tabuisieren, sondern systematisch zu trainieren, schaffen sie das, was keine Firewall ersetzen kann: Ein Sicherheitsbewusstsein, das tief in der Unternehmenskultur verankert ist.