Von 34 % auf 8 % Klickrate.
Ein Automobilzulieferer hielt sich lange für nicht-phishing-anfällig – „bei uns klickt niemand darauf". Wir haben mit einer dreistufigen Kampagne den Beleg auf den Tisch gelegt: 34 % Klickrate in der ersten Welle, zwei erfolgreiche Vishing-Calls. Sechs Monate später, mit strukturiertem Awareness-Programm dazwischen: 8 %.
Die verbreitete Vermutung: „Bei uns klickt niemand darauf." Ohne Beleg.
Der Kunde – ein mittelständischer Automobilzulieferer mit mehreren Werksstandorten – hatte bisher kein strukturiertes Awareness-Programm. Jährliche Compliance-Folien, ein E-Mail-Rundschreiben zum Thema Passwörter, das war's. Die Geschäftsführung ging davon aus, dass die Belegschaft „schon genug Erfahrung hat, um zu erkennen, wenn etwas nicht stimmt".
Auslöser für das Projekt war ein CEO-Fraud-Vorfall bei einem Wettbewerber in der Region – knapp abgewendet, aber deutlich zu knapp. Die Geschäftsführung wollte belastbar wissen, ob sie mit ihrer Vermutung recht hat. Wenn nicht: bevor jemand anders es beweist.
- Zielgruppe
- Gesamtbelegschaft Büro, Werkstatt, Verwaltung
- Bisherige Awareness
- gering Compliance-Folien, keine Simulation
- Kampagnen-Wellen
- 3 allgemein, rollenspezifisch, CEO-Fraud
- Auslöser
- Nachbar-Vorfall CEO-Fraud beim Wettbewerber
Rechtlich sauber, nicht heimlich.
Ohne Betriebsrat, Datenschutzbeauftragte und schriftliche Freigabe der Geschäftsführung geht kein Test los. Wir haben früh mit allen Gremien gesprochen und die Rules of Engagement gemeinsam definiert – nicht „drüber", sondern „mit".
Realistisch, ohne Bloßstellen.
Wer klickt, darf sich nicht dumm fühlen. Klare Grenzen: keine Persönlichkeits-Angriffe. Wer reingefallen ist, bekommt sofort eine kurze Aufklärungsseite – ohne Namensnennung.
Anonym auf Person, deutlich auf Rolle.
Berichte wurden auf Rollen-Ebene aggregiert (z. B. „Einkauf: 57 % Klickrate"). Namen haben nur wir während der Kampagne gesehen; die Rohdaten wurden nach Abschluss nachweislich gelöscht. So bleibt die Message: „Wir haben ein System-Thema", nicht „Frau Meier hat einen Fehler gemacht".
Scoping mit Betriebsrat & DSB
Vor jeder Zeile Code oder Mailversand: Abstimmung mit Geschäftsführung, Betriebsrat und Datenschutzbeauftragter. Schriftliche Freigabe, definierte Grenzen, festgelegte Zeitfenster, Notfall-Kommunikationsweg für Rückfragen aus dem Team.
OSINT-Recherche
Was ein realer Angreifer über den Kunden sehen kann: Mitarbeiter auf LinkedIn, Rollen, E-Mail-Konventionen, gebräuchliche Lieferanten und OEM-Namen, Sprachduktus in öffentlichen Ausschreibungen. Alles dokumentiert, um Pretexte realistisch zu bauen.
Welle 1 — Breite Kampagne
Klassisches Phishing an die Gesamtbelegschaft. Pretext: „Ihr Passwort läuft in 24 h ab, bitte über diesen Link erneuern." Vertrauenserweckende Domain (nahezu identisch zur echten), täuschend echte Anmelde-Landingpage. Ergebnis: 34 % Klickrate, 12 % Credential-Eingabe.
Welle 2 — Rollenspezifisches Spear Phishing
Zielgerichtete Nachrichten an spezifische Rollen. Einkauf: gefälschte Rechnung eines bekannten OEM-Zulieferers. Buchhaltung: Zahlungserinnerung mit angehängter „Rechnungs-PDF". HR: Bewerbung mit präparierter CV-Datei. Klickraten deutlich höher (Einkauf: 57 %, Buchhaltung: 41 %), aber IT-Team bei 11 %.
Vishing — Zwei gezielte Anrufe
Ausgabe als „neuer Kollege aus Werk 2" mit einem echten Namen aus dem LinkedIn-Profil, Anruf beim IT-Support. Bitte um Passwort-Reset für einen Kollegen im Urlaub. Beide Anrufe erfolgreich: Passwort telefonisch übermittelt, ohne Rückruf-Verifikation. Der zweite Anruf führte zusätzlich zur Übergabe von Remote-Zugangsdaten.
Debrief & Awareness-Programm
Anonymer Bericht an Geschäftsführung mit Rollen-Klickraten und Angriffsketten. Danach: sechsmonatiges Awareness-Programm mit monatlichen 5-Minuten-Micro-Learnings, rollenspezifischen Beispielen und einer 90-Minuten-Live-Session vor Ort. Meldeprozesse für verdächtige Mails vereinfacht (ein Klick, keine Formulare).
Retest-Kampagne
Sechs Monate später eine neue, unabhängige Kampagne mit vergleichbarer Struktur. Ergebnis: allgemeine Klickrate auf 8 % gesunken, Credential-Eingabe unter 2 %. Meldequote (verdächtige Mails aktiv gemeldet): um Faktor 6 gestiegen. Vishing-Testanruf wurde nach 30 Sekunden per Callback verifiziert – und damit gestoppt.
Die „Bei uns nicht"-Vermutung war widerlegt – und genau das war die Voraussetzung, dass sich danach etwas geändert hat.
Der wichtigste Wert der ersten Kampagne war nicht die Klickrate – es war der interne Konsens danach. Die Geschäftsführung hatte harte Zahlen statt Vermutungen. Der Betriebsrat hatte einen Prozess, der keinen einzelnen Mitarbeiter bloßstellte. Das IT-Team hatte einen Fahrplan, in welche Rollen gezielt Trainings gehören.
Nach sechs Monaten hatte sich die Klickrate von 34 % auf 8 % reduziert. Wichtiger noch: die aktive Meldequote hat sich versechsfacht. Bei einem realen Angriff fällt heute schneller auf, wenn etwas nicht stimmt – und das ist der eigentliche Fortschritt, nicht die niedrigere Klickrate.
- Baseline-Klickrate
- 34 % Welle 1, breite Kampagne
- Nach 6 Monaten
- 8 % Retest-Kampagne
- Vishing-Erfolg
- 2 / 2 → 0 / 2 im Retest
- Meldequote
- ×6 vs. vor der Kampagne
Klickt bei Ihnen wirklich niemand?
Wenn Sie belastbar wissen wollen, wie widerstandsfähig Ihr Team gegenüber Phishing und Vishing ist: Ein Erstgespräch reicht, um Umfang, rechtliche Rahmenbedingungen und die passenden Szenarien einzuschätzen. Unverbindlich.