Fallensteller

von Tam Hanna

Phishing bleibt einer der effektivsten Angriffsvektoren in Unternehmensnetzen – und menschliches Verhalten der größte Risikofaktor. Mit gezielten Phishingtests können Sie Ihre Mitarbeitenden sensibilisieren, Schwachstellen erkennen und die Sicherheitskultur im Unternehmen stärken. Der Beitrag zeigt Ihnen praxiserprobte Methoden, von einfachen Mailkampagnen über physische USB-Drop-Tests bis hin zu selbst gehosteten Open-Source-Kits. Sie erfahren außerdem, worauf Sie rechtlich achten müssen – und wie Sie Vertrauen statt Angst schaffen.

Der Begriff der Phishingsimulation – auch als Phishingtest bekannt – steht für verschiedene Verfahren, mit denen Sie Ihren Anwendern die realen Gefahren von Phishingangriffen verdeutlichen. Ziel ist es, besonders anfällige Mitarbeiter zu identifizieren und gezielt zu schulen. Solche Methoden existieren seit den 2010er-Jahren.

Angesichts der Vielzahl am Markt verfügbarer Lösungen lässt sich in einem einzelnen Artikel jedoch kein vollständiger Überblick geben. Stattdessen erhalten Sie einen praxisnahen Einblick in die gängigen Varianten von Phishingtests – als Entscheidungshilfe bei der Auswahl der für Ihr Unternehmen passenden Methode. Die Wahl eines geeigneten Anbieters gelingt dann in der Regel zügig.

Neben klassischen E-Mail-Angriffen gewinnen physische Angriffsvektoren an Bedeutung. Diese lassen sich durch sogenannte USB-Drop-Tests simulieren: Dabei platzieren Sie bewusst präparierte USB-Sticks an öffentlich zugänglichen Orten – etwa in der Nähe von Eingängen oder auf dem Firmenparkplatz. Diese Technik wurde in der Vergangenheit häufig in den Medien thematisiert, denn sie funktioniert leider nach wie vor erschreckend gut – insbesondere dann, wenn Sie auf Methoden des Social Engineerings setzen.

Eine Analyse verschiedener Studien [1] zeigt Erfolgsquoten zwischen 20 und über 80 Prozent. Gravieren Sie zusätzlich ein Unternehmenslogo auf das Gehäuse oder hängen Sie einen Schlüsselanhänger an, steigt die Konversionsrate weiter. Viele Nutzer reagieren dabei aus gutem Willen: Sie öffnen die Dateien auf dem Stick in der Hoffnung, den Besitzer ermitteln und Stick oder Schlüssel zurückgeben zu können.

Achten Sie bei der Durchführung vor allem auf den Aufbau der Nutzlast. Da moderne Konfigurationsrichtlinien den automatischen Start von Dateien in der Regel unterbinden, müssen Sie das Verhalten der Nutzer gezielt provozieren – ein manueller Klick ist also erforderlich. Sowohl kommerzielle Anbieter wie KnowBe4 [2] als auch quelloffene Alternativen, wie in diesem Beitrag zu GoPhish [3] beschrieben, setzen auf ein ähnliches Vorgehen: Die USB-Sticks enthalten ein oder mehrere Dokumente, die beim Öffnen eine Verbindung zu einem Trackingserver aufbauen.

Passen Sie die Dateiformate und Inhalte an Ihre Zielgruppe im Unternehmen an. Wenn Ihre Mitarbeitenden ausschließlich mit OpenOffice arbeiten, wird ein Makro in Microsoft-Office-Dateien wirkungslos bleiben. Auch bei der Wahl des Dateinamens lohnt sich Kreativität: Während im Verteidigungsumfeld eine Präsentation namens "Tupolev-TU-144-pictures.ppt" Neugier weckt, wirkt in anderen Branchen ein Lebenslauf im Word-Format überzeugender.

Wie bei allen Formen sozial motivierter Angriffe zählen auch hier die Details. Eine hervorragende Checkliste zur Durchführung und Bewertung von USB-Drop-Tests finden Sie unter [4]. Diese geht unter anderem auf sinnvolle Platzierungen der Sticks und häufige Stolperfallen ein.

Phishing per Post und QR-Code

Die klassische Briefpost – insbesondere Einschreiben – eröffnet neue Möglichkeiten zur Simulation von Phishingangriffen. Während USB-Sticks als Angriffsträger in vielen sensiblen Branchen inzwischen bekannt sind, genießen postalisch zugestellte Informationen oft noch ein höheres Vertrauen. Genau das macht Einschreiben zu einem interessanten Vektor für realitätsnahe Testszenarien.

Dabei handelt es sich keineswegs um eine theoretische Idee. Ein Beispiel aus der Praxis findet sich unter [5]: Ein mit Ransomware infizierter USB-Stick wurde in Form vermeintlicher Microsoft-Office-Installationsmedien per Post verschickt. Gerade spezialisierte Softwareanbieter – etwa aus den Bereichen Simulation oder elektronische Designautomatisierung – setzen traditionell auf physische Datenträger. Wird ein solcher Stick präpariert und scheinbar im Namen eines bekannten Anbieters versendet, lässt sich mit hohen Öffnungs- und Ausführungsraten rechnen – selbst bei ausführbaren Dateien.

Auch QR-Codes eignen sich als Trägermedium für Phishinginhalte. In Österreich tauchen zunehmend Briefe auf, die auf dem Gehweg liegen und QR-Codes enthalten. Versprochen wird ein Geschenk – etwa kostenlose Bitcoins. In Wahrheit führen die Codes auf täuschend echt gestaltete Phishingwebseiten.

Ähnliche Vorfälle meldet das Landeskriminalamt Niedersachsen. Angreifer nutzen dabei den Namen bekannter Banken, um mit gefälschten Briefen und QR-Codes Vertrauen zu erschleichen. Die technische Umsetzung solcher Tests ist einfach: Sie erstellen über einen Test-URL-Generator die Zieladresse und wandeln diese anschließend mit einem QR-Code-Generator in ein grafisches Element um. Dieses betten Sie in ein professionell gestaltetes Schreiben ein. Achten Sie jedoch darauf, keine Markenrechte zu verletzen – wer etwa das Logo eines bekannten Herstellers missbraucht, riskiert eine Abmahnung oder Klage.

Webbasierte Tests als erste Verteidigungslinie

Der Schutz vor Phishing beginnt mit der Aufklärung Ihrer Mitarbeiter. Schulen Sie gezielt – etwa durch interne Workshops, Awareness-Kampagnen oder interaktive Besprechungen. Gerade nicht-technische Beschäftigte benötigen eine klare, verständliche Einweisung in die Gefahrenlage.

Erfahrungsgemäß nehmen viele Mitarbeiter Hinweise externer Fachkräfte ernster als die Warnungen des hauseigenen IT-Teams. Ziehen Sie daher in Erwägung, externe Dienstleister mit entsprechenden Trainings zu beauftragen – idealerweise mit professioneller Rhetorik und praxisnahen Szenarien.

Im nächsten Schritt folgen interaktive Phishing-Testdienste. Diese simulieren typische Angriffsmails über klickbare Oberflächen. Mithilfe von JavaScript verhalten sich die Links in den simulierten Nachrichten wie in einem echten E-Mail-Client oder Browser.

Die Teilnehmer klicken sich rund fünf Minuten lang durch eine Reihe vermeintlicher E-Mails. Ihre Aufgabe besteht darin, echte von gefälschten Nachrichten zu unterscheiden. Im Anschluss erhalten sie eine Rückmeldung – meist in Form eines kompakten Analyseberichts, der auf falsche Einschätzungen hinweist. Zwei empfehlenswerte Dienste für solche Tests sind:

- Google-Phishingquiz [6]

- SonicWall-Phishing-IQ-Test [7]

Diese Tools bieten jedoch keine technischen Kontrollmechanismen zur Überprüfung der Teilnahme. Sie sind daher auf die Rückmeldung Ihrer Mitarbeiter angewiesen – ein Punkt, der insbesondere bei weniger technikaffinen Nutzern zum Problem werden kann.

Simulierte Angriffe ohne eigene Infrastruktur

Wenn Sie keine eigene Testumgebung aufbauen möchten, können Sie auf externe Phishing-Testdienste zurückgreifen. Im Gegensatz zu browserbasierten Pull-Tests, bei denen Nutzer freiwillig teilnehmen, arbeiten diese Dienste proaktiv: Sie als Administrator beauftragen den Anbieter, gezielt E-Mails an ausgewählte Mitarbeiter zu versenden. Die Anbieter stellen bewährte Angriffsvorlagen bereit, die Nutzer zur Interaktion mit schädlichen Links verleiten sollen. Über ein zentrales Auswertungsdashboard identifizieren Sie im Anschluss schnell, welche Benutzer auf die Täuschung hereingefallen sind. So erhalten Sie eine solide Grundlage für gezielte Awareness-Schulungen.

Neben spezialisierten Anbietern bieten auch viele größere Sicherheitsplattformen integrierte Phishingsimulationen an. Ein Beispiel ist Microsoft Defender for Office 365. Das dort enthaltene Modul "Attack Simulation" ermöglicht realitätsnahe Angriffe – inklusive typischer Bedrohungsszenarien wie Credential Harvesting, Link-Köder und Malwareverbreitung. In erweiterten Versionen unterstützt der Dienst sogar QR-Code-basierte Tests: Sie erhalten druckfertige Vorlagen, die Sie an neuralgischen Punkten im Unternehmen auslegen können. Der Ablauf einer solchen Kampagne bleibt stets gleich: Sie definieren eine Zielgruppe – idealerweise über eine bestehende Verbindung zum Identity-Management-System – und starten die Simulation. Das System versendet die Angriffsmails automatisch und generiert im Anschluss einen Bericht, der die Reaktionen der einzelnen Benutzer dokumentiert.

Wenn Spamfilter den Test blockieren

In der Praxis stoßen Phishingtests schnell auf technische Hürden: Moderne Sicherheitsdienste wie Firewalls, Spamfilter oder Secure-E-Mail-Gateways blockieren verdächtige Inhalte – auch dann, wenn diese Teil einer Simulation sind. Das Idealverhalten eines geschulten Nutzers bestünde darin, die verdächtige Nachricht zu markieren. Wird diese Kennzeichnung in eine intelligente Sicherheitsinfrastruktur eingespeist, landen die verwendeten Domains und Server zügig auf einer Sperrliste. Damit wäre der Test zwar erfolgreich – aber auch beendet. Weitere Simulationen über denselben Dienst wären technisch nicht mehr möglich.

Die Lösung für dieses Problem besteht in enger Zusammenarbeit mit dem jeweiligen Dienstleister. Microsoft etwa informiert Sie im Vorfeld über die Domains, die während der Tests zum Einsatz kommen. Ihre Aufgabe als Administrator ist es dann, diese Adressen gezielt auf die Whitelist zu setzen.

Vermeiden Sie unbedingt den Versuch, die Nutzlast absichtlich zu tarnen, um Filtermechanismen zu umgehen. Ein Phishingtest ist kein Penetrationstest gegen Ihre Sicherheitssysteme – beides sind unterschiedliche Aufgaben und sollten strikt getrennt behandelt werden. Eine praktikablere Methode ist der Einsatz spezieller Header-Attribute in den E-Mails. Ihre Spamfilter oder Firewalls können so konfiguriert werden, dass sie Nachrichten mit diesen Markierungen immer durchlassen. Beachten Sie jedoch: Dieses Sonderregime darf nur temporär aktiv sein. In der Vergangenheit haben Angreifer genau solche Mechanismen ausgenutzt, um gezielt in Unternehmensnetze einzudringen.

Alternativ bieten einige Dienste die Option der "Direct Delivery": Die Phishingnachrichten gelangen direkt in die Postfächer der Zielpersonen, ohne den üblichen Transportweg über Mailserver, Spamfilter oder Firewalls. Diese Methode garantiert zwar die Zustellung, birgt aber neue Risiken. Eine unachtsame Konfiguration kann ein ungewolltes Einfallstor schaffen – und reale Angreifer könnten es ausnutzen.

Selbst gehostete Phishingtests

Fremd gehostete Phishingdienste lassen sich schnell einrichten und verursachen kaum Verwaltungsaufwand. Gleichzeitig geben Sie jedoch sensible Informationen aus der Hand: Der Anbieter erhält eine Liste besonders anfälliger Mitarbeitender – und damit potenzielle Angriffsziele. Sollte eine Regierungsbehörde Zugriff verlangen, liegt eine detaillierte Übersicht verwundbarer Personen bereits vor. Um dieses Risiko auszuschließen, bietet sich eine selbst gehostete Variante an. Zwar erfordert der Eigenbetrieb mehr technisches Know-how und laufende Wartung, dafür behalten Sie die volle Datenhoheit. Vor allem bei sensiblen Nutzerinformationen ist das ein starkes Argument.

Die beste Option für selbst gehostete Umgebungen sind quelloffene Systeme. Offener Quellcode schafft Transparenz und ermöglicht Sicherheitsprüfungen – etwa auf Hintertüren oder unerwünschte Kommunikation mit Drittservern. Ein De-facto-Standard in diesem Bereich ist GoPhish. Die Software ist stabil, produktiv einsetzbar und steht unter einer Open-Source-Lizenz. Zwar lautet der Versionsstand zum Redaktionsschluss 0.12.1, doch das System gilt bereits als ausgereift.

Schnelleinstieg mit GoPhish

Wenn Sie keine tiefergehenden Kenntnisse in der Programmiersprache Go mitbringen, laden Sie am besten ein vorgefertigtes Release unter [8] herunter. GoPhish steht für Linux, macOS und Windows zur Verfügung, wobei nur 64-Bit-Versionen unterstützt werden.

Im nachfolgenden Beispiel setzen wir eine Windows-10-Workstation ein. Laden Sie hierfür das ZIP-Archiv "gophish-v0.12.1-windows-64bit.zip" herunter und entpacken Sie es in ein gut erreichbares Verzeichnis, zum Beispiel "C:\Users\ tamha\Downloads\gophish-v0.12.1-windows-64bit". Nach dem Entpacken sehen Sie eine typische Ordnerstruktur mit Konfigurationsdateien und Platz für eigene Vorlagen.

Starten Sie GoPhish über die PowerShell. Beim ersten Aufruf zeigt das System Statusmeldungen und ein automatisch generiertes Admin-Passwort an. Falls eine Firewallwarnung erscheint, müssen Sie den Zugriff auf lokale und entfernte Netzwerke erlauben. Die Steuerung erfolgt über eine lokale Weboberfläche, meist erreichbar unter "https://127.0.0.1: 3333/". Da das mitgelieferte SSL-Zertifikat nicht offiziell signiert ist, wird Ihr Browser einen Warnhinweis anzeigen – bestätigen Sie diesen manuell.

Für eine vollständige Kampagne benötigen Sie dann folgende Bausteine:

- E-Mail-Vorlage: Unter "Email Templates" legen Sie den Text der zu versendenden Nachricht fest.

- Landing Page: Hier definieren Sie die Zielseite, auf die Benutzer beim Klick geleitet werden.

- Versandprofil: Hier legen Sie SMTP-Parameter und Absenderinformationen fest.

- Zielgruppe: Wählen Sie die Benutzergruppe aus, die Sie testen möchten.

Frisch installierte GoPhish-Instanzen enthalten keine Vorlagen. Eine Auswahl finden Sie unter [9]. Platzhalter in geschweiften Klammern wie "{{.FirstName}}" oder "{{.Email}}" ersetzt GoPhish beim Versand automatisch:

Ein besonders wichtiger Platzhalter ist "{{.URL}}" – er wird beim Versand durch eine individuelle Tracking-URL ersetzt. Die Landing Pages lassen sich derweil sogar direkt von realen Formularen im Internet "ernten", um besonders glaubwürdige Nachbildungen zu erzeugen.

Bevor Sie die Kampagne starten, müssen Sie im Feld "URL" die öffentlich erreichbare Adresse Ihres GoPhish-Servers eintragen. Stimmen die Angaben hier nicht, können die Seiten nicht geladen werden – die Simulation läuft dann ins Leere. Sobald Sie die Kampagne starten, versendet GoPhish die vorbereiteten Nachrichten automatisch. Über das Dashboard verfolgen Sie in Echtzeit, wer geklickt, Daten eingegeben oder die Seite verlassen hat. Eine Schritt-für-Schritt-Anleitung zur Kampagnenerstellung finden Sie in der offiziellen Dokumentation unter [10].

Rechtliche und soziale Rahmenbedingungen

Phishingtests dürfen die Unternehmenskultur nicht untergraben. Auch wenn Sicherheitsmaßnahmen wichtig sind, sollten sie nicht zu Verunsicherung, Frust oder Vertrauensverlust führen.

Ein bekanntes Negativbeispiel stammt aus dem Jahr 2014: Ein US-Armeekommandant ließ eine E-Mail verschicken, die angebliche Probleme mit der Rentenversicherung ankündigte. Um sie zu beheben, sollten die Empfänger – ganz im Stil eines klassischen Phishingangriffs – einem Link folgen. Was als kleiner Test für rund 100 Soldaten geplant war, entwickelte sich zur Katastrophe: Die E-Mail wurde massenhaft weitergeleitet, tausende Anfragen trafen bei der echten Rentenstelle ein – das Chaos war perfekt.

Bevor Sie mit einer Phishingsimulation starten, holen Sie unbedingt das Einverständnis Ihrer Rechtsabteilung ein. In vielen Organisationen ist auch die Zustimmung der Personalvertretung erforderlich. Nur so lassen sich spätere arbeitsrechtliche oder datenschutzbezogene Konflikte vermeiden. Vermeiden Sie außerdem Szenarien, die starke emotionale Reaktionen hervorrufen – etwa Todesfälle im Kollegenkreis, sexuelle Inhalte oder Themen mit existenzieller Tragweite. Auch wenn solche Inhalte kurzfristig höhere Klickraten erzeugen, untergraben sie das Vertrauen Ihrer Mitarbeitenden und gefährden die Akzeptanz zukünftiger Maßnahmen.

Keine Bestrafung oder Angstkultur

Phishingtests sollen aufklären, nicht bloßstellen. Verzichten Sie daher auf Konsequenzen wie Bonuskürzungen oder disziplinarische Maßnahmen bei Fehlverhalten. Sobald Nutzer Sanktionen befürchten, warnen sie sich gegenseitig – und untergraben damit die Aussagekraft des Tests. Noch schlimmer: In einer Kultur der Angst melden Mitarbeitende sicherheitsrelevante Vorfälle nur noch dann, wenn sie sich rechtlich abgesichert haben und keinen anderen Ausweg sehen. Das kostet wertvolle Zeit, in der Angreifer weiter Schaden anrichten können.

Ein Beispiel aus dem persönlichen Umfeld des Autors verdeutlicht das Risiko: Ein Buchhalter wurde Opfer einer Erpressung, nachdem er versehentlich sensible Informationen weitergegeben hatte. Aus Angst vor firmeninternen Konsequenzen verschwieg er den Vorfall monatelang – der Angreifer konnte ungestört weitermachen, bis schließlich aufwendige forensische Maßnahmen nötig wurden. Wenn Sie eine unternehmensweite Richtlinie für Phishingtests aufsetzen möchten, lohnt ein Blick auf die KnowBe4 Policy-Vorlage [11] als weit verbreitetes Template aus dem englischsprachigen Raum.

Fazit

Phishingtests gehören zu den wirkungsvollsten Werkzeugen, um Mitarbeiter für Cybergefahren zu sensibilisieren. Sie machen Risiken greifbar, bevor es zum Ernstfall kommt. Voraussetzung ist jedoch, dass Sie intern Rückhalt gewinnen: bei der Geschäftsführung, in der Personalabteilung und idealerweise bei den Testpersonen selbst. Führen Sie Ihre Tests mit Fingerspitzengefühl durch – technisch variantenreich, aber menschlich verantwortungsvoll. Nutzen Sie eine Kombination der in diesem Artikel vorgestellten Verfahren, um möglichst unterschiedliche Angriffsszenarien realitätsnah abzubilden. So erhalten Sie ein umfassendes Bild der aktuellen Sicherheitslage.

Phishingtests selbst durchführen