E-Mail-Hygiene und Phishing-Sensibilisierungstraining

Sie können perfektes SPF, DKIM und DMARC konfigurieren. Sie können das beste E-Mail-Sicherheitsgateway deployen. Und jemand in Ihrem Team wird trotzdem auf einen Phishing-Link klicken, weil die E-Mail genau wie eine Passwort-Reset-Anfrage von Slack aussah.

Technische Kontrollen fangen vieles ab. Aber die letzte Verteidigungslinie ist immer das menschliche Urteilsvermögen. Dieses Kapitel handelt davon, dieses Urteilsvermögen in Ihrem Team zu entwickeln – ohne alle Sicherheitsschulungen zu hassen zu lassen.

Warum die meisten Sicherheitsschulungen scheitern

Traditionelle Sicherheitsbewusstseinsschulungen sehen so aus: Einmal im Jahr schaut sich jeder ein 45-minütiges Video über Passwörter und Phishing an, klickt durch einige Folien, besteht einen Test und vergisst innerhalb einer Woche alles.

Das funktioniert nicht, weil:

Es ist abstrakt — Generische Beispiele fühlen sich nicht relevant an. „Jemand könnte Ihnen eine gefälschte E-Mail schicken" bereitet Menschen nicht auf eine überzeugende E-Mail vor, die genau so aussieht, als käme sie von Ihrem CEO.

Es ist selten — Eine Schulung pro Jahr bedeutet 364 Tage ohne Wiederholung. Fähigkeiten verblassen schnell.

Es ist passiv — Videos schauen baut keine Instinkte auf. Menschen brauchen Übung.

Es fühlt sich wie Strafe an — Obligatorische Compliance-Schulungen, die die eigentliche Arbeit unterbrechen, ärgern die Leute nur.

Das Ziel ist nicht, ein Compliance-Kästchen abzuhaken. Es geht darum, tatsächlich das Verhalten zu ändern.

Die Grundlagen: Was jeder wissen muss

Bevor wir in Schulungsmethoden eintauchen, hier das Kernwissen, das jeder Mitarbeiter braucht.

Was ist Phishing?

Erklären Sie es einfach: „Phishing ist, wenn sich jemand als jemand anderes ausgibt, um Sie dazu zu bringen, Zugang oder Informationen preiszugeben. Sie könnten sich als IT, Ihre Bank, einen Lieferanten oder sogar Ihren CEO ausgeben."

Das Ziel ist meist:

• Login-Zugangsdaten stehlen (über gefälschte Anmeldeseiten)
• Malware installieren (über Anhänge oder Downloads)
• Geld bekommen (über gefälschte Rechnungen oder Überweisungsanfragen)
• Daten stehlen (über als legitim getarnte Anfragen)

Warum sollte uns jemand ins Visier nehmen?

Kleine Unternehmen denken oft, sie sind es nicht wert, angegriffen zu werden. Erklären Sie die Realität:

„Angreifer zielen nicht immer gezielt. Phishing-Kampagnen gehen an Tausende von Unternehmen. Wenn 1 % der Mitarbeiter bei 1 % der Unternehmen klickt, sind das trotzdem Tausende von Opfern. Wir werden nicht persönlich ins Visier genommen – wir werden in Massenkampagnen erfasst."

Und manchmal werden Sie gezielt angegriffen: „Unsere Lieferanten, unsere Kunden und alle, mit denen wir Geschäfte machen, können gegen uns eingesetzt werden. Wenn jemand unsere E-Mail kompromittiert, kann er sich gegenüber unseren Kunden als uns ausgeben."

Die Grundregeln

Geben Sie Menschen einfache, umsetzbare Regeln:

1. Unerwartete Anfragen verifizieren

Jede E-Mail, die Sie auffordert:

• Geld zu senden oder Zahlungsdetails zu ändern
• Sensible Daten zu teilen
• Auf einen Link zu klicken und Zugangsdaten einzugeben
• Etwas herunterzuladen und auszuführen

...sollte über einen separaten Kanal verifiziert werden. Rufen Sie die Person unter einer bekannten Nummer an. Gehen Sie zu ihrem Schreibtisch. Schreiben Sie ihr auf Slack. Antworten Sie nicht auf die E-Mail.

2. Den Absender sorgfältig prüfen

Schauen Sie sich die tatsächliche E-Mail-Adresse an, nicht nur den Anzeigenamen. Angreifer verwenden:

• [email protected] (Null statt „o")
• [email protected] (falsche TLD)
• [email protected] (andere Domain ganz)
• [email protected] (persönliche E-Mail imitiert Arbeit)

3. Vor dem Klicken hovern

Bevor Sie auf einen Link klicken, hovern Sie darüber, um zu sehen, wohin er tatsächlich führt. Der Text könnte sagen „Klicken Sie hier, um Ihre Rechnung anzusehen", aber der Link führt zu malicious-site.com/invoice.

4. Dringlichkeit hinterfragen

Phishing-E-Mails erzeugen Panik: „Ihr Konto wird gesperrt!" „Antworten Sie sofort!" „Das ist dringend!" Echte IT-Probleme erfordern nicht, dass Sie innerhalb von 10 Minuten auf einen Link klicken.

5. Im Zweifel melden

Wenn etwas seltsam wirkt, melden Sie es. Besser 10 legitime E-Mails melden als einen Phishing-Versuch verpassen. Machen Sie das Melden einfach und bestrafen Sie Menschen niemals fürs Melden.

Phishing erkennen: Der detaillierte Leitfaden

Gehen Sie tiefer für Menschen, die die Mechanismen verstehen wollen.

Warnsignale beim Absender

Anzeigename stimmt nicht mit E-Mail-Adresse überein

From: "Microsoft Support" <[email protected]>

Der Name sagt Microsoft, aber die Adresse ist eine zufällige Gmail-Adresse.

Look-alike-Domains

From: [email protected]  (rn looks like m)
From: [email protected]  (1 instead of l)
From: [email protected]  (extra words added)

Kostenlose E-Mail für geschäftliche Zwecke Legitime Unternehmen senden keine offiziellen Mitteilungen von @gmail.com oder @yahoo.com.

Warnsignale im Inhalt

Allgemeine Anreden „Sehr geehrter Kunde" oder „Sehr geehrter Nutzer" statt Ihrem Namen. Legitime Dienste kennen meist Ihren Namen.

Rechtschreib- und Grammatikfehler Nicht immer bei raffinierten Angriffen vorhanden, aber bei Massenkampagnen häufig. „Ihr Konto wurde kompromittirt."

Nicht übereinstimmende URLs Der Link-Text sagt eine Sache, die tatsächliche URL ist eine andere:

<a href="http://malicious-site.com/fake-login">https://accounts.google.com/login</a>

Drohungen und Dringlichkeit „Ihr Konto wird in 24 Stunden gekündigt, es sei denn, Sie verifizieren Ihre Identität sofort."

Anfragen, die den normalen Prozess umgehen „Ich brauche Sie, um Geschenkkarten für ein Kundentreffen zu kaufen" – seit wann tun wir das?

Unerwartete Anhänge Unerwartete Rechnungen, Verträge oder Dokumente von Personen, die Sie nicht kennen.

Warnsignale im Kontext

Timing Phishing kommt oft zu arbeitsreichen Zeiten (Ende des Quartals, Freitagsnachmittag), wenn Menschen hetzen und weniger aufmerksam sind.

Aus dem Rahmen fallende Anfragen Der CEO, der plötzlich einen Praktikanten bittet, Geld zu überweisen? Die IT-Abteilung, die von einer Gmail-Adresse mailt? Vertrauen Sie Ihren Instinkten.

Antworten auf E-Mails, die Sie nicht gesendet haben „Wie gewünscht, hier das Dokument" – aber Sie haben keine Anfrage gestellt.

Effektive Phishing-Simulationen durchführen

Simulationen sind der beste Weg, echte Fähigkeiten aufzubauen. Über Phishing zu lesen ist kein Vergleich zum Erleben davon.

Simulationen einrichten

Ein Tool auswählen:

Kostenlos/Open Source:

• Gophish — Am beliebtesten, self-hosted
• King Phisher — Funktionsreich

Kommerziell:

• KnowBe4 — Größter Anbieter, hat kostenlosen Test
• Cofense
• Proofpoint

Für die meisten kleinen Unternehmen ist Gophish ausreichend und kostenlos.

Realistische Szenarien erstellen:

Machen Sie sie nicht offensichtlich. Verwenden Sie Szenarien, die zu Ihrer Umgebung passen:

• Gefälschter Passwort-Reset von Tools, die Sie tatsächlich verwenden (Slack, GitHub, Google)
• Gefälschte Versandbenachrichtigung (jeder bestellt online)
• Gefälschtes geteiltes Dokument vom Namen eines Kollegen
• Gefälschte IT-Anfrage, die plausibel klingt

Einfach beginnen, Schwierigkeit erhöhen:

Erste Simulation: offensichtliche Warnsignale (falscher Absender, Rechtschreibfehler) Zweite Simulation: subtiler (korrektes Branding, plausibler Inhalt) Spätere Simulationen: stark gezielt (Bezug auf echte Projekte, echte Kollegen)

Was messen

Klickrate — Welcher Prozentsatz hat auf den Link geklickt?

Melderate — Welcher Prozentsatz hat die E-Mail als verdächtig gemeldet?

Zeit bis zum Klick — Wie schnell haben Menschen geklickt? (Schneller = weniger Nachdenken)

Dateneingaberate — Wenn Sie eine gefälschte Anmeldeseite verwendet haben, wie viele haben Zugangsdaten eingegeben?

Verfolgen Sie diese im Laufe der Zeit. Sie suchen nach:

• Sinkender Klickrate
• Steigender Melderate

Ergebnisse handhaben

Schämen Sie öffentlich niemanden, der geklickt hat.

Das zerstört Vertrauen und lässt Menschen Fehler verbergen statt sie zu melden. Sicherheit erfordert psychologische Sicherheit.

Bieten Sie sofortige Schulung an:

Wenn jemand klickt, leiten Sie ihn auf eine Schulungsseite um, die erklärt:

• Was er übersehen hat
• Wie ähnliche Angriffe zu erkennen sind
• Dass das ein Test war und kein Schaden entstanden ist
• Wie verdächtige E-Mails künftig zu melden sind

Folgen Sie bei Personen nach, die Hilfe brauchen:

Wenn jemand wiederholt klickt, bieten Sie ein Einzelgespräch an. Manche Menschen brauchen mehr Hilfe – das ist in Ordnung, helfen Sie ihnen.

Häufigkeit

Führen Sie Simulationen mindestens vierteljährlich durch. Monatlich ist besser, wenn Ihr Tool das einfach macht.

Variieren Sie die Szenarien. Wenn Menschen jedes Mal einen „gefälschten Passwort-Reset" erwarten, erkennen sie ihn. Wechseln Sie die Angriffstypen ab.

Schulungsformate, die funktionieren

Kurze, häufige Berührungspunkte

Statt eines jährlichen Marathons versuchen Sie:

• 5-Minuten-Monatstipps in Team-Meetings
• Wöchentliche „Phishing Friday"-E-Mail mit einem echten Beispiel
• Kurze Erinnerungen vor Hochrisikozeiten (Steuerzeit, Feiertage)

Echte Beispiele zeigen

Sammeln Sie Phishing-E-Mails, die tatsächlich Ihr Unternehmen angegriffen haben. Anonymisieren Sie bei Bedarf, dann zeigen Sie:

• Wie der Angriff aussah
• Was ihn verraten hat
• Was passiert wäre, wenn jemand geklickt hätte

Echte Beispiele bleiben besser haften als hypothetische.

Interaktive Workshops

Verzichten Sie auf Folien. Versuchen Sie:

• Eine E-Mail auf dem Bildschirm zeigen, fragen: „Echt oder Phishing?" – abstimmen lassen
• Header gemeinsam analysieren
• Links hovern üben
• Den Verifizierungsprozess nachspielen

Machen Sie es zu einem Spiel. Wettbewerb hält Menschen bei der Sache.

Just-in-time-Schulung

Schulung liefern, wenn sie relevant ist:

• Neuer Mitarbeiter-Onboarding: Phishing-Grundlagen abdecken
• Nach einem Simulations-Fehler: Spezifische Anleitungen geben
• Nach einem echten Phishing-Versuch: „Das haben wir diese Woche gesehen"
• Vor wichtigen Ereignissen: „Achten Sie im April auf steuerrelevantes Phishing"

Eine Melde-Kultur aufbauen

Das Ziel ist nicht null Klicks – es ist 100 % Melderate. Menschen machen Fehler. Was zählt, ist schnelles Erkennen und Melden.

Melden trivial einfach machen

E-Mail-Schaltfläche:

• Google Workspace: „Phishing melden" in Gmail aktivieren
• Microsoft 365: „Nachricht melden"-Schaltfläche zu Outlook hinzufügen

Ein Klick. Keine Hürden.

Dedizierte E-Mail-Adresse: Richten Sie [email protected] oder [email protected] ein. Sagen Sie allen: „Wenn Sie unsicher sind, leiten Sie es hierher weiter."

Slack/Teams-Kanal: Erstellen Sie #security-reports, wo Menschen Screenshots verdächtiger E-Mails posten können. Das schult auch andere, die die Posts sehen.

Auf Meldungen reagieren

Jede Meldung bestätigen. „Danke fürs Melden! Das war tatsächlich ein Phishing-Versuch" oder „Danke fürs Prüfen – diese hier war legitim."

Wenn Sie nicht reagieren, hören Menschen auf zu melden.

Melder würdigen. In Team-Meetings: „Sarah hat diese Woche einen Phishing-Versuch entdeckt, der schlimm hätte sein können. Danke, Sarah!" Machen Sie Melden zu etwas Positivem.

Falsch-Positives niemals bestrafen. Wenn jemand eine legitime E-Mail meldet, danken Sie trotzdem. „Lieber einmal zu viel prüfen" sollte die Kultur sein.

Meldungsmetriken verfolgen

Überwachen Sie:

• Anzahl der Meldungen pro Woche
• Prozentsatz der Meldungen, die tatsächliche Bedrohungen sind
• Zeit von Eingang bis Meldung
• Wer meldet vs. wer nicht

Wenn bestimmte Teams nie etwas melden, brauchen sie möglicherweise extra Schulung (oder wissen nicht wie).

Mit Mitarbeitern kommunizieren

Wie Sie über Sicherheit sprechen, ist genauso wichtig wie was Sie sagen.

Angst und Schuld vermeiden

Schlecht: „Wenn Sie auf einen Phishing-Link klicken, könnten Sie das Unternehmen zerstören." Gut: „Phishing ist verbreitet und wird immer raffinierter. Hier ist, wie wir uns schützen."

Angst lässt Menschen Fehler verbergen. Sie wollen, dass sich Menschen sicher fühlen, Fehler zu melden.

Praktisch, nicht moralisierend

Schlecht: „Sicherheit ist jedermanns Verantwortung, und wir müssen alle jederzeit wachsam sein." Gut: „Hier sind drei Dinge, die Sie prüfen sollten, bevor Sie auf einen Link in einer E-Mail klicken."

Spezifische, umsetzbare Ratschläge schlagen vage Prinzipien.

Das Warum erklären

Schlecht: „Sie müssen Überweisungsanfragen telefonisch verifizieren." Gut: „Überweisungsbetrug kostet Unternehmen Millionen. Angreifer sind gut darin, Führungskräfte zu imitieren. Ein 2-minütiger Anruf verhindert das."

Wenn Menschen verstehen, warum eine Regel existiert, befolgen sie sie.

Zugeben, dass Sicherheit schwer ist

„Phishing-E-Mails werden besser. Manche sind wirklich überzeugend. Wenn Sie getäuscht werden, bedeutet das nicht, dass Sie dumm sind – es bedeutet, dass die Angreifer gut in ihrem Job sind. Was zählt, ist, dass Sie es sofort melden."

Das ist ehrlich und reduziert Scham.

Schulungsmaterialien-Vorlage

Hier sind Inhalte, die Sie für Ihre eigene Schulung anpassen können.

Neue Mitarbeiter E-Mail-Sicherheits-Einweisung (15 Minuten)

Einführung (2 Min.): „E-Mail ist der Ausgangspunkt der meisten Angriffe. Sie werden Phishing-E-Mails erhalten – jeder tut das. Hier ist, wie man damit umgeht."

Die Grundlagen (5 Min.):

• Wie Phishing aussieht
• Die drei Fragen vor dem Klicken auf einen Link:
  1. Habe ich diese E-Mail erwartet?
  2. Sieht die Absenderadresse richtig aus?
  3. Macht die Anfrage Sinn?

Unser Meldeprozess (3 Min.):

• Wie verdächtige E-Mails gemeldet werden (Schaltfläche/Adresse zeigen)
• Was passiert, wenn Sie melden (wir untersuchen und reagieren)
• Besser melden und falsch liegen als nicht melden und recht haben

Demo (5 Min.):

• 3 E-Mails zeigen: 2 Phishing, 1 legitim
• Durchgehen, worauf zu achten ist
• Erkennen lassen, welche welche ist

Monatliche Sicherheits-Erinnerungs-E-Mail

Subject: Security tip: [specific topic]

Hi team,

This month's security tip: [topic]

[2-3 paragraphs with specific, actionable advice]

Example: [real or realistic example of the threat]

What to do: [specific action items]

Questions? Reply to this email or message me directly.

— [Security Champion name]

Halten Sie es kurz. Menschen lesen keine langen E-Mails.

Kommunikation nach der Simulation

Für Personen, die geklickt haben:

Subject: About the email you clicked earlier...

That was a simulated phishing email from our security team. No harm was done — this was just training.

Here's what the email looked like: [screenshot]

The red flags were:
- [specific red flag 1]
- [specific red flag 2]

For future emails like this:
- [specific advice]

Questions? I'm happy to walk through this with you.

Für das gesamte Unternehmen (nach der Simulation):

Subject: Results from this month's phishing simulation

Hi team,

We ran a phishing simulation this week to test our awareness and help everyone practice spotting attacks.

Results:
- X% of people clicked the link (down from Y% last time)
- Z people reported it as suspicious (great job!)

The simulated email was: [brief description]

Here's what gave it away:
- [red flag 1]
- [red flag 2]

Remember: if you're ever unsure about an email, forward it to [email protected] or click the "Report phishing" button.

— [Security Champion]

Was tun, wenn jemand auf einen echten Phishing-Link klickt

Das ist der Abschnitt, den alle hoffen, nie zu brauchen. Jemand hat auf einen Link geklickt, Zugangsdaten eingegeben oder einen Anhang geöffnet – und das war keine Simulation.

Für Mitarbeiter: Die Sofortreaktion

Wenn Sie auf einen verdächtigen Link geklickt oder Ihr Passwort eingegeben haben:

1. Keine Panik. Schnelles Handeln ist wichtiger als Panik.

2. Vom Netzwerk trennen (wenn möglich). WLAN ausschalten, Ethernet-Kabel ziehen. Das begrenzt, was Malware tun kann.

3. Sofort melden. Ihren Security Champion, IT oder Vorgesetzten benachrichtigen. Nicht warten. Nicht versuchen, es selbst zu beheben.

   • Slack/Teams: Dem Security-Kanal oder Security Champion direkt schreiben
   • E-Mail: Vom Mobiltelefon (nicht dem möglicherweise kompromittierten Computer) an [email protected] senden
   • Telefon: IT oder Security Champion anrufen

4. Aufschreiben, was passiert ist:

   • Was hat die E-Mail gesagt?
   • Welchen Link haben Sie geklickt?
   • Haben Sie Zugangsdaten eingegeben?
   • Haben Sie Dateien heruntergeladen oder geöffnet?
   • Wie spät war es?

5. Diesen Computer für nichts anderes verwenden, bis IT ihn freigegeben hat.

6. Passwörter ändern von einem anderen Gerät:

   • Mit E-Mail beginnen (der Hauptschlüssel zu allem)
   • Dann alle Konten, für die Sie möglicherweise Zugangsdaten eingegeben haben
   • Passwort-Manager auf einem Telefon oder einem anderen Computer verwenden

Wenn Sie einen verdächtigen Anhang geöffnet haben:

Gleiche Schritte, aber gehen Sie davon aus, dass Malware ausgeführt werden könnte. Vom Netzwerk trennen ist noch wichtiger. Versuchen Sie nicht, die Datei zu schließen oder zu löschen – das könnte weitere Aktionen auslösen.

Wenn Sie sensible Informationen gesendet haben:

Sofort melden. Wenn Sie Finanzdaten, Zugangsdaten oder persönliche Informationen gesendet haben, muss das Unternehmen möglicherweise zusätzliche Schritte unternehmen (Konten zurücksetzen, betroffene Parteien benachrichtigen, auf Betrug überwachen).

Für Security Champions: Das Reaktions-Playbook

Wenn ein Mitarbeiter meldet, auf einen Phishing-Link geklickt zu haben, ist das Ihr Prozess:

Erste 15 Minuten:

1. Danken Sie fürs Melden. Ernsthaft – das ist genau das, was Sie trainiert haben. „Danke, dass Sie sofort Bescheid gegeben haben. Sie haben das Richtige getan."

2. Informationen sammeln:

   • Was war die E-Mail? (Kopie bekommen, wenn möglich)
   • Was haben sie geklickt/heruntergeladen/eingegeben?
   • Welches Gerät haben sie verwendet?
   • Wann ist das passiert?
   • Sind sie noch mit dem Netzwerk verbunden?

3. Gerät isolieren:

   • WLAN/Ethernet trennen lassen, wenn noch nicht getan
   • Remote-Wipe, wenn es ein Mobilgerät und unternehmensverwaltetes Gerät ist
   • Für Laptops, IT physisch abholen lassen, wenn nötig

4. Zugangsdaten zurücksetzen:

   • Passwort-Reset für ihr Konto erzwingen
   • Alle aktiven Sitzungen beenden
   • Auf MFA-Bypass prüfen (App-Passwörter, OAuth-Tokens)

Nächste Stunde:

5. Die Bedrohung analysieren:

   • Was war die Phishing-Kampagne? Zugangsdaten-Ernte? Malware? BEC?
   • URL/Anhang mit VirusTotal prüfen
   • Prüfen, ob andere dieselbe E-Mail erhalten haben

6. Ausbreitung prüfen:

   • E-Mail-Protokolle nach der Phishing-E-Mail durchsuchen
   • Andere warnen, die sie erhalten haben
   • Absender-Domain/URL blockieren, wenn möglich

7. Das Konto untersuchen:

   • Login-Verlauf auf unbefugten Zugriff prüfen
   • Gesendeten Ordner auf Angreifer-Aktivität prüfen
   • Auf hinzugefügte Weiterleitungs- oder Postfach-Regeln prüfen
   • OAuth-/App-Verbindungen prüfen

8. Gerät bereinigen:

   • Bei vermuteter Malware nicht versuchen zu bereinigen – Gerät neu aufsetzen
   • Bei reinem Zugangsdaten-Phishing Passwörter ändern und überwachen
   • Im Browser gespeicherte Passwörter prüfen (möglicherweise mehr rotieren nötig)

Folgende Tage:

9. Auf Auswirkungen überwachen:

   • Auf ungewöhnliche Logins achten
   • Auf Datenexfiltrationsversuche prüfen
   • Auf den Angreifer überwachen, der gestohlene Zugangsdaten verwendet

10. Den Vorfall dokumentieren:

    • Was ist passiert
    • Wie es entdeckt wurde
    • Welche Maßnahmen ergriffen wurden
    • Was die Auswirkung war
    • Was das nächste Mal verhindern kann

11. Angemessen kommunizieren:

    • Dem betroffenen Mitarbeiter: „Das haben wir gefunden und getan"
    • Der Unternehmensleitung: Kurze Zusammenfassung, wenn erheblich
    • Dem Unternehmen: Wenn es eine weitverbreitete Kampagne ist, alle warnen

Das schuldfreie Nachgespräch

Nachdem der Vorfall behandelt wurde, führen Sie ein kurzes Gespräch mit dem Mitarbeiter:

„Nochmals danke fürs schnelle Melden. Das ist genau das, was wir wollen, dass Menschen tun. Lassen Sie mich Ihnen zeigen, was die Warnsignale in diesem Fall waren, damit Sie ähnliche Angriffe in Zukunft erkennen."

Durchgehen:

• Was diese E-Mail überzeugend machte
• Was die Warnsignale waren
• Was Sie in der Reaktion getan haben
• Wie ähnliche Vorfälle zu verhindern sind

Das ist Schulung, keine Strafe. Wenn Menschen Strafe fürchten, verbergen sie Klicks statt sie zu melden – und das ist viel schlimmer.

Schnell-Referenzkarte für Mitarbeiter

Erstellen Sie eine einfache Karte (digital oder physisch), auf die Mitarbeiter zurückgreifen können:

I CLICKED A SUSPICIOUS LINK — WHAT NOW?

1. STOP - Don't click anything else
2. DISCONNECT - Turn off WiFi or unplug network
3. REPORT - Message [Security Champion name] or [email protected] immediately
4. WAIT - Don't use the computer until IT checks it
5. CHANGE PASSWORDS - From a different device

DON'T: Try to fix it yourself, ignore it, or wait until tomorrow

Report to:
- Slack: #security-reports or @security-champion
- Email: [email protected]
- Phone: [Security Champion phone]

Posten Sie das auf Slack, nehmen Sie es ins Onboarding, hängen Sie es in den Büroräumen auf. Wenn jemand in Panik ist, braucht er einfache Schritte.

Leitfaden für Security-Champion-Gespräche

Wenn Sie mit Mitarbeitern über E-Mail-Sicherheit sprechen müssen – ob in einer Gruppenveranstaltung, im Einzelgespräch oder nach einem Vorfall – hier ist ein strukturierter Ansatz.

Das Gespräch eröffnen (2–3 Minuten)

Beginnen Sie nicht mit Regeln oder Drohungen. Beginnen Sie mit Verbindung.

„Ich möchte über etwas sprechen, das uns alle betrifft. E-Mail-Angriffe sind der Ausgangspunkt der meisten Sicherheitsvorfälle – nicht weil Menschen unvorsichtig sind, sondern weil Angreifer wirklich gut in ihrem Job sind. Ich bin nicht hier, um Sie zu belehren. Ich bin hier, um praktische Dinge zu teilen, die Ihnen persönlich helfen und unser Unternehmen schützen."

Warum das funktioniert: Sie positionieren sich nicht als Sicherheitspolizei. Sie sind ein Kollege, der allen hilft.

Es real machen (5–7 Minuten)

Teilen Sie ein konkretes Beispiel. Idealerweise etwas, das Ihrem Unternehmen oder Ihrer Branche passiert ist:

„Letzten Monat wurde ein ähnliches Unternehmen wie unseres getroffen. Jemand im Finanzbereich erhielt eine E-Mail, die genau so aussah, als käme sie von ihrem CEO, mit der Bitte, eine Zahlung für eine dringende Lieferantenrechnung zu überweisen. Sie sah legitim aus – richtige Unterschrift, professionelle Sprache, die richtigen internen Bezüge. Sie überwiesen 40.000 €. Es war Betrug."

Wenn Sie kein echtes Beispiel haben, nutzen Sie einen bekannten Fall. Machen Sie ihn lebendig:

„Oder denken Sie an den Angriff auf [Unternehmen X]. Ein Mitarbeiter klickte auf einen Link in einer E-Mail, die wie eine DocuSign-Benachrichtigung aussah. Innerhalb von 48 Stunden hatten Angreifer Zugang zu Kundendaten, sandten Phishing an alle ihre Kunden, und das Unternehmen musste einen Datenverlust offenlegen."

Dann personalisieren:

„Das könnte jedem von uns passieren. Ich habe Phishing-E-Mails gesehen, auf die ich fast selbst geklickt hätte. Die Angreifer werden täglich besser."

Das Kernwissen (10–15 Minuten)

Decken Sie die drei Fragen ab, die vor jeder E-Mail-Aktion zu stellen sind:

„Bevor Sie auf einen Link klicken, einen Anhang öffnen oder auf eine Anfrage reagieren, stellen Sie sich drei Fragen:

1. Habe ich diese E-Mail erwartet? Wenn Sie selbst nichts initiiert haben, seien Sie misstrauisch. Zufällige Rechnungen, unerwartete geteilte Dokumente, Passwort-Resets, die Sie nicht angefordert haben – alles Warnsignale.

2. Sieht der Absender richtig aus? Nicht nur der Name – die tatsächliche E-Mail-Adresse. [email protected] ist anders als [email protected] oder [email protected].

3. Macht die Anfrage Sinn? Würde der CEO wirklich einem Praktikanten wegen einer Überweisung mailen? Würde IT per E-Mail nach Ihrem Passwort fragen? Wenn etwas seltsam wirkt, ist es das wahrscheinlich."

Den Verifizierungsprozess durchgehen:

„Wenn etwas verdächtig erscheint, aber legitim sein könnte:

• Antworten Sie nicht auf die E-Mail
• Kontaktieren Sie die Person über einen anderen Kanal – Slack, Telefon, zum Schreibtisch gehen
• Verwenden Sie eine Telefonnummer oder einen Kontakt, den Sie bereits haben, nicht einen aus der verdächtigen E-Mail"

Den Meldeprozess zeigen:

„Wenn Sie unsicher sind, melden Sie es. E-Mail an [email protected] [oder Ihren Kanal] weiterleiten. Ich prüfe lieber 100 legitime E-Mails als einen echten Angriff zu verpassen. Sie werden niemals Ärger bekommen fürs Melden von etwas, das sich als sicher herausstellt."

Interaktive Übung (5–10 Minuten)

3–5 E-Mails auf dem Bildschirm zeigen. Für jede fragen:

„Echt oder Phishing? Was lässt Sie das denken?"

Menschen diskutieren lassen. Warnsignale gemeinsam durchgehen. E-Mails verwenden, die offensichtliche und subtile Hinweise mischen.

Beispiel-Set:

1. Offensichtliches Phishing (schlechte Grammatik, verdächtiger Absender)
2. Legitime E-Mail, die etwas verdächtig wirkt
3. Raffiniertes Phishing (gutes Branding, subtiles Domain-Problem)
4. Legitime automatisierte E-Mail (Passwort-Reset, den sie angefordert haben)
5. BEC-Versuch (Führungskraft imitierend)

Die Aktionspunkte (2–3 Minuten)

Mit konkreten Bitten enden:

„Das brauche ich von Ihnen:

1. Vor dem Klicken auf einen Link – zuerst hovern, URL prüfen
2. Vor der Eingabe von Zugangsdaten – verifizieren, dass Sie auf der echten Website sind
3. Wenn etwas seltsam wirkt – es an [Kanal/E-Mail] melden
4. Wenn Sie auf etwas klicken und merken, dass es schlecht ist – mir sofort sagen, kein Urteil"

Fragen und Abschluss (5 Minuten)

„Welche Fragen haben Sie? Welche Situationen sind verwirrend?"

Häufige Fragen, auf die man sich vorbereiten sollte:

• „Was, wenn ich in Eile bin?"
• „Was, wenn es wirklich von einer Führungskraft ist und ich es ignoriere?"
• „Kann ich Ärger bekommen fürs Klicken?"
• „Woher weiß ich, ob die Website, auf der ich bin, echt ist?"

Abschluss mit:

„Denken Sie daran: Angreifer zählen darauf, dass Sie beschäftigt und abgelenkt sind. 10 Sekunden zu verifizieren kann uns massive Probleme ersparen. Und wenn Sie jemals einen Fehler machen, melden Sie es einfach schnell – das ist das Wichtigste."

Gesprächsleitfaden: Schnell-Referenz

Phase	Dauer	Kernpunkte
Eröffnung	2–3 Min.	Verbindung aufbauen, keine Angst
Es real machen	5–7 Min.	Konkretes Beispiel, personalisieren
Kernwissen	10–15 Min.	Drei Fragen, Verifizierung, Melden
Übung	5–10 Min.	Interaktive E-Mail-Prüfung
Aktionspunkte	2–3 Min.	Konkrete Bitten
Q&A und Abschluss	5 Min.	Bedenken behandeln
Gesamt	30–45 Min.

Mitarbeiter-Wissenstest

Verwenden Sie diesen Test nach der Schulung, um das Verständnis zu überprüfen. Mitarbeiter, die unter 70 % erzielen (mehr als 3 Fragen falsch beantworten), sollten ein zusätzliches Einzelgespräch erhalten.

Der Test (10 Fragen)

Teilen Sie ihn als Google-Formular, Typeform oder welches Umfragetool Sie auch verwenden.

---

E-Mail-Sicherheits-Bewusstseinstest

Beantworten Sie alle Fragen. Sie müssen mindestens 7 von 10 richtig beantworten.

---

Frage 1: Szenario

Sie erhalten eine E-Mail vom „IT-Support", in der Sie aufgefordert werden, Ihr Konto zu verifizieren, indem Sie auf einen Link klicken und Ihr Passwort eingeben. Die E-Mail-Adresse ist [email protected]. Was sollten Sie tun?

• A) Auf den Link klicken und Ihr Passwort eingeben, um Ihr Konto zu verifizieren
• B) Auf die E-Mail antworten und fragen, ob sie legitim ist
• C) Die E-Mail als verdächtig melden und IT über einen bekannten Kanal kontaktieren (Slack, Telefon)
• D) Sie ignorieren und hoffen, dass sie verschwindet

Richtige Antwort: C

---

Frage 2: Szenario

Der CFO mailt Ihnen und bittet Sie, dringend 15.000 € an einen neuen Lieferanten zu überweisen. Die E-Mail-Adresse sieht korrekt aus. Was sollten Sie zuerst tun?

• A) Die Überweisung sofort veranlassen – sie kommt vom CFO
• B) Auf die E-Mail antworten und um mehr Details bitten
• C) Den CFO unter einer Telefonnummer anrufen, die Sie bereits kennen (nicht aus der E-Mail), um zu verifizieren
• D) Die E-Mail an Ihren Vorgesetzten weiterleiten und ihn entscheiden lassen

Richtige Antwort: C

---

Frage 3: Wissen

Was ist das Wichtigste, wenn Sie versehentlich auf einen verdächtigen Link klicken?

• A) Versuchen, den Browser zu schließen und es zu vergessen
• B) Antivirus ausführen und hoffen, dass es alles Schlimme erkennt
• C) Es sofort dem Security Champion oder IT melden
• D) Bis zum Ende des Tages warten, es zu erwähnen

Richtige Antwort: C

---

Frage 4: Fähigkeit

Sie hovern über einen Link in einer E-Mail. Der Link-Text sagt „https://drive.google.com/share/document", aber die URL zeigt „http://drive-google.malicious-site.com/doc". Was zeigt das?

• A) Der Link ist sicher – er erwähnt Google
• B) Das ist ein Phishing-Versuch – die tatsächliche URL unterscheidet sich von der angezeigten
• C) Das ist normales Verhalten für geteilte Dokumente
• D) Das E-Mail-System hat technische Probleme

Richtige Antwort: B

---

Frage 5: Szenario

Sie erhalten eine E-Mail von Ihrer Kollegin Sarah, die ein Dokument teilt. Sie haben das nicht erwartet. Die E-Mail-Adresse ist [email protected], aber Sarahs Arbeits-E-Mail ist [email protected]. Was sollten Sie tun?

• A) Das Dokument öffnen – Sie kennen Sarah
• B) Sarah via Slack oder persönlich fragen, ob sie diese E-Mail gesendet hat
• C) Auf die E-Mail antworten und fragen, ob sie wirklich Sarah ist
• D) Die E-Mail löschen, ohne jemandem davon zu erzählen

Richtige Antwort: B

---

Frage 6: Wissen

Welches ist KEIN häufiges Warnsignal für Phishing-E-Mails?

• A) Dringende Sprache, die sofortiges Handeln fordert
• B) Eine Absenderadresse, die nicht zum Unternehmen passt
• C) Eine E-Mail, die während der Geschäftszeiten gesendet wurde
• D) Unerwartete Anhänge oder Anfragen

Richtige Antwort: C

---

Frage 7: Szenario

Sie haben auf einen Link in einer E-Mail geklickt und Ihr Passwort auf einer gefälschten Anmeldeseite eingegeben, die Sie nun erkennen. Was sollten Sie tun? (Wählen Sie alle zutreffenden aus)

• A) Security Champion/IT sofort melden
• B) Ihr Passwort von einem anderen Gerät ändern
• C) Abwarten, ob etwas Schlimmes passiert
• D) Vom Netzwerk trennen, wenn angewiesen

Richtige Antworten: A, B, D

---

Frage 8: Fähigkeit

Eine E-Mail behauptet, von Microsoft bezüglich Ihres Kontos zu sein. Welche Absender-E-Mail-Adresse ist am wahrscheinlichsten legitim?

• A) [email protected]
• B) [email protected]
• C) [email protected]
• D) [email protected]

Richtige Antwort: A

---

Frage 9: Wissen

Warum ist es wichtig, Phishing-Versuche zu melden, auch wenn Sie nicht geklickt haben?

• A) Damit Sicherheit den Absender für alle blockieren kann
• B) Um Angriffsmuster zu verfolgen
• C) Andere könnten dieselbe E-Mail erhalten
• D) All das oben Genannte

Richtige Antwort: D

---

Frage 10: Szenario

Sie erhalten eine E-Mail, die wie eine Passwort-Reset-E-Mail von einem Dienst aussieht, den Sie nutzen. Sie haben keinen Passwort-Reset angefordert. Was sollten Sie tun?

• A) Auf den Link klicken, nur um sicher zu sein
• B) Die E-Mail ignorieren – jemand hat wahrscheinlich die falsche E-Mail-Adresse eingegeben
• C) Nicht auf den Link klicken, direkt zum Dienst gehen, indem Sie die URL eingeben, Ihr Konto prüfen
• D) Antworten und fragen, wer den Reset angefordert hat

Richtige Antwort: C

---

Bewertung und Nachbereitung

7–10 richtig (70 %+): Bestanden. Mitarbeiter versteht die Grundlagen.

4–6 richtig (40–69 %): Benötigt zusätzliche Schulung. 15-minütiges Einzelgespräch planen, um verpasste Konzepte zu besprechen.

0–3 richtig (unter 40 %): Erfordert besondere Aufmerksamkeit. 30-minütiges Einzelgespräch planen, Szenarien im Detail durchgehen.

Einzelgespräch für schwache Ergebnisse

Machen Sie das nicht bestrafend. Rahmen Sie es als Hilfe:

„Danke fürs Machen des Tests. Ich habe einige Bereiche bemerkt, wo Sie etwas mehr Übung gebrauchen könnten. Ich möchte sicherstellen, dass Sie sich beim Umgang mit diesen Situationen sicher fühlen. Können wir 15 Minuten gemeinsam einige Szenarien durchgehen?"

Während der Sitzung:

1. Fragen überprüfen, die sie falsch beantwortet haben
2. Erklären, warum die richtige Antwort richtig ist
3. Mit zusätzlichen Beispielen üben lassen
4. Sie bitten, es Ihnen zurückzuerklären: „Was würden Sie tun, wenn..."
5. Einen Nachfolgetest in 2 Wochen planen

Für wiederholte schwache Ergebnisse:

Einige Menschen kämpfen wirklich damit. Erwägen Sie:

• Häufigere Einzelgespräche
• Einfachere Referenzmaterialien zum Nachschlagen
• Ein Buddy-System (sie mit einem sicherheitsbewussten Kollegen zusammenstellen)
• Ihren Zugriff auf Hochrisikoaktionen einzuschränken (wenn angemessen)

Geben Sie niemals jemanden auf. Schulen Sie weiter, üben Sie weiter.

Spezielle Schulungen für Hochrisikorollen

Einige Personen benötigen besondere Aufmerksamkeit.

Finanzteam

Sie sind das primäre Ziel für Überweisungsbetrug. Spezifisch schulen auf:

• Zahlungsänderungsanfragen müssen telefonisch verifiziert werden
• Neue Lieferanten-Einrichtung erfordert Verifizierung
• Dringlichkeit ist ein Warnsignal, kein Grund, die Verifizierung zu überspringen
• Es ist in Ordnung zu verlangsamen und zu verifizieren, selbst bei Führungskräften

Simulationen speziell auf Finance mit gefälschten Zahlungsanfragen ausrichten.

Führungskräfte

Sie werden bei Angriffen imitiert und als Hochwertziele anvisiert. Schulen auf:

• Angreifer werden sie imitieren, um Mitarbeiter zu täuschen
• Ihre Konten sind Hochwertziele – besondere Vorsicht nötig
• Sie geben den Ton an – wenn sie Abkürzungen nehmen, tun es andere auch

Führungskräfte überspringen oft Schulungen. Halten Sie sie kurz und relevant.

Neue Mitarbeiter

Onboarding ist die beste Zeit – sie lernen sowieso Prozesse. Einschließen:

• E-Mail-Sicherheitsgrundlagen in der Tag-1-Einführung
• Wie verdächtige E-Mails gemeldet werden
• An wen man sich bei Sicherheitsfragen wenden kann
• Erste Phishing-Simulation innerhalb des ersten Monats

IT und Administratoren

Sie haben erhöhte Rechte und werden gezielt angegriffen. Schulen auf:

• Spear-Phishing, das auf interne Systeme verweist
• Angreifer führen Aufklärung durch (fragen nach Systemen, Versionen)
• Social Engineering per Telefon/Chat, nicht nur E-Mail
• Zugangsdaten niemals über irgendeinen Kanal herausgeben

Schulungseffektivität messen

Phishing-Simulations-Metriken

Im Laufe der Zeit verfolgen:

• Klickrate pro Kampagne
• Melderate pro Kampagne
• Zeit bis zum ersten Klick vs. Zeit bis zur ersten Meldung
• Wiederholungsklicker (dieselben Personen klicken mehrfach)

Nach Trends suchen, nicht nach einzelnen Datenpunkten. Eine schlechte Simulation bedeutet kein Scheitern.

Qualitative Indikatoren

• Stellen Menschen Sicherheitsfragen? (Gutes Zeichen)
• Nehmen Meldungen zu? (Gutes Zeichen)
• Teilen Menschen verdächtige E-Mails miteinander? (Gutes Zeichen)
• Beschweren sich Menschen über Sicherheitsschulungen? (Ansatz möglicherweise anpassen)

Ziele setzen

Vernünftige Ziele für ein kleines Unternehmen:

• Phishing-Klickrate unter 10 % (unter 5 % ist ausgezeichnet)
• Melderate über 30 % (über 50 % ist ausgezeichnet)
• 100 % der neuen Mitarbeiter innerhalb der ersten Woche geschult
• Vierteljährliche Simulationen laufen konsequent

Tools und Ressourcen

Phishing-Simulations-Plattformen

Kostenlos/Open Source:

• Gophish — Beste kostenlose Option, vollständig funktionsfähig
• King Phisher — Gute Alternative

Kommerziell:

• KnowBe4 — Marktführer, umfangreiche Bibliothek
• Cofense — Gute Berichtsintegration
• Proofpoint Security Awareness — Enterprise-fokussiert
• Hoxhunt — Gamifizierter Ansatz

Schulungsinhalte

Kostenlose Ressourcen:

• NIST Phishing Guidance — Regierungsressourcen
• Google Phishing Quiz — Interaktives Quiz, gut für Schulungen
• SANS Security Awareness Resources — Kostenlose Poster und Tipps
• Cofense Free Resources — Infografiken und Leitfäden

Phishing-Beispiele:

• PhishTank — Datenbank echter Phishing-Sites
• VirusTotal — Verdächtige URLs und Dateien prüfen

E-Mail-Analyse-Tools

• MXToolbox Header Analyzer
• Google Admin Toolbox

Workshop: Ihr Schulungsprogramm starten

Reservieren Sie 3–4 Stunden, um das Fundament aufzubauen.

Teil 1: Schulungsmaterialien erstellen (60 Minuten)

1. Ihre neue Mitarbeiter-Sicherheitseinweisung schreiben (obige Vorlage anpassen)
2. Eine monatliche Sicherheitstipps-E-Mail-Vorlage erstellen
3. Den #security-reports-Slack/Teams-Kanal einrichten
4. Ihren Meldeprozess dokumentieren

Teil 2: Phishing-Simulationen einrichten (60 Minuten)

1. Gophish installieren oder für ein kommerzielles Tool anmelden
2. 3 Phishing-Vorlagen mit unterschiedlichem Schwierigkeitsgrad erstellen
3. Mitarbeiter-E-Mail-Liste importieren
4. Erste Simulation für 1–2 Wochen im Voraus planen

Teil 3: Reaktionsmaterialien vorbereiten (45 Minuten)

1. Die „Sie haben auf einen Phishing-Link geklickt"-E-Mail schreiben
2. Die unternehmensweite Nachsimulations-Zusammenfassung schreiben
3. Eine einfache Tracking-Tabelle für Metriken erstellen

Teil 4: Starten und kommunizieren (45 Minuten)

1. Das Sicherheitsschulungsprogramm dem Unternehmen ankündigen
2. Erklären, dass Simulationen stattfinden werden und warum
3. Mitteilen, wie verdächtige E-Mails gemeldet werden
4. Die erste Simulation durchführen

Ergebnisse:

• Neue Mitarbeiter-Schulungsmaterialien
• Monatliche Tipp-E-Mail-Vorlage
• Meldeprozess dokumentiert und kommuniziert
• Erste Phishing-Simulation eingeplant
• Metrik-Tracking eingerichtet

Gespräch mit der Unternehmensleitung

Wenn jemand fragt, warum Sie Zeit mit Schulungen verbringen:

„Technische E-Mail-Sicherheit fängt viele Angriffe ab, aber raffiniertes Phishing kommt trotzdem durch. Mitarbeiter zu schulen, Phishing zu erkennen und zu melden, ist unsere letzte Verteidigungslinie. Wir führen Simulationen durch, um zu messen und zu verbessern. Unsere aktuelle Klickrate beträgt X %, und wir arbeiten daran, sie unter 5 % zu bringen. Jede Person, die nicht klickt, ist ein potenzieller Vorfall weniger."

Kurzfassung: „Ich schule das Team, Phishing zu erkennen – die Angriffe, die unsere technischen Filter nicht abfangen."

Selbstcheck: Haben Sie es wirklich getan?

Schulungsmaterialien

• Neue Mitarbeiter-Sicherheitseinweisung erstellt
• Monatliche Sicherheitstipps-Vorlage fertig
• Kommunikationsvorlagen nach Simulationen erstellt
• Meldeprozess dokumentiert

Infrastruktur

• Phishing-Simulations-Tool eingerichtet (Gophish oder kommerziell)
• Mindestens 3 Phishing-Vorlagen erstellt
• Melde-Schaltfläche im E-Mail-Client aktiviert
• Melde-E-Mail-Adresse oder Slack-Kanal eingerichtet

Prozess

• Erste Simulation eingeplant oder abgeschlossen
• Metrik-Tracking gestartet
• Simulationskalender gesetzt (mindestens vierteljährlich)
• Finanzteam hat spezifische Schulung zu Überweisungsbetrug

Kultur

• Melden wird ermutigt und anerkannt
• Keine-Schuld-Richtlinie kommuniziert
• Unternehmensleitung unterstützt das Programm

Wenn Sie mindestens 10 dieser 14 Punkte abhaken können, sind Sie bereit, weiterzumachen.

Was kommt als Nächstes

Sie haben E-Mail von allen Seiten abgedeckt: technische Authentifizierung, Sicherheitskontrollen und menschliche Schulung. Das ist einer der wichtigsten Angriffsvektoren abgedeckt.

Nächstes Kapitel: Sicherungsstrategie – denn egal wie gut Ihre Sicherheit ist, Sie müssen in der Lage sein, sich zu erholen, wenn etwas schiefgeht.