Case Study · Automotive

Von 34 % auf 8 % Klickrate.

Branche
Automobilzulieferer
Größe
Mittelstand
Leistung
Social Engineering
Dauer
Kampagne + 6 Mon.

Ein Automobilzulieferer hielt sich lange für nicht-phishing-anfällig – „bei uns klickt niemand darauf". Wir haben mit einer dreistufigen Kampagne den Beleg auf den Tisch gelegt: 34 % Klickrate in der ersten Welle, zwei erfolgreiche Vishing-Calls. Sechs Monate später, mit strukturiertem Awareness-Programm dazwischen: 8 %.

Ausgangslage
Warum die Geschäftsführung einen echten Belastungstest wollte.

Die verbreitete Vermutung: „Bei uns klickt niemand darauf." Ohne Beleg.

Der Kunde – ein mittelständischer Automobilzulieferer mit mehreren Werksstandorten – hatte bisher kein strukturiertes Awareness-Programm. Jährliche Compliance-Folien, ein E-Mail-Rundschreiben zum Thema Passwörter, das war's. Die Geschäftsführung ging davon aus, dass die Belegschaft „schon genug Erfahrung hat, um zu erkennen, wenn etwas nicht stimmt".

Auslöser für das Projekt war ein CEO-Fraud-Vorfall bei einem Wettbewerber in der Region – knapp abgewendet, aber deutlich zu knapp. Die Geschäftsführung wollte belastbar wissen, ob sie mit ihrer Vermutung recht hat. Wenn nicht: bevor jemand anders es beweist.

Zielgruppe
Gesamtbelegschaft Büro, Werkstatt, Verwaltung
Bisherige Awareness
gering Compliance-Folien, keine Simulation
Kampagnen-Wellen
3 allgemein, rollenspezifisch, CEO-Fraud
Auslöser
Nachbar-Vorfall CEO-Fraud beim Wettbewerber
Die drei Herausforderungen
Was Social-Engineering-Kampagnen im Betriebsalltag spezifisch schwierig macht.
Herausforderung 01

Rechtlich sauber, nicht heimlich.

Ohne Betriebsrat, Datenschutzbeauftragte und schriftliche Freigabe der Geschäftsführung geht kein Test los. Wir haben früh mit allen Gremien gesprochen und die Rules of Engagement gemeinsam definiert – nicht „drüber", sondern „mit".

Herausforderung 02

Realistisch, ohne Bloßstellen.

Wer klickt, darf sich nicht dumm fühlen. Klare Grenzen: keine Persönlichkeits-Angriffe. Wer reingefallen ist, bekommt sofort eine kurze Aufklärungsseite – ohne Namensnennung.

Herausforderung 03

Anonym auf Person, deutlich auf Rolle.

Berichte wurden auf Rollen-Ebene aggregiert (z. B. „Einkauf: 57 % Klickrate"). Namen haben nur wir während der Kampagne gesehen; die Rohdaten wurden nach Abschluss nachweislich gelöscht. So bleibt die Message: „Wir haben ein System-Thema", nicht „Frau Meier hat einen Fehler gemacht".

Unser Vorgehen
Sieben Phasen — von der Abstimmung mit dem Betriebsrat bis zum Follow-up-Retest.
01

Scoping mit Betriebsrat & DSB

Vor jeder Zeile Code oder Mailversand: Abstimmung mit Geschäftsführung, Betriebsrat und Datenschutzbeauftragter. Schriftliche Freigabe, definierte Grenzen, festgelegte Zeitfenster, Notfall-Kommunikationsweg für Rückfragen aus dem Team.

02

OSINT-Recherche

Was ein realer Angreifer über den Kunden sehen kann: Mitarbeiter auf LinkedIn, Rollen, E-Mail-Konventionen, gebräuchliche Lieferanten und OEM-Namen, Sprachduktus in öffentlichen Ausschreibungen. Alles dokumentiert, um Pretexte realistisch zu bauen.

03

Welle 1 — Breite Kampagne

Klassisches Phishing an die Gesamtbelegschaft. Pretext: „Ihr Passwort läuft in 24 h ab, bitte über diesen Link erneuern." Vertrauenserweckende Domain (nahezu identisch zur echten), täuschend echte Anmelde-Landingpage. Ergebnis: 34 % Klickrate, 12 % Credential-Eingabe.

04

Welle 2 — Rollenspezifisches Spear Phishing

Zielgerichtete Nachrichten an spezifische Rollen. Einkauf: gefälschte Rechnung eines bekannten OEM-Zulieferers. Buchhaltung: Zahlungserinnerung mit angehängter „Rechnungs-PDF". HR: Bewerbung mit präparierter CV-Datei. Klickraten deutlich höher (Einkauf: 57 %, Buchhaltung: 41 %), aber IT-Team bei 11 %.

05

Vishing — Zwei gezielte Anrufe

Ausgabe als „neuer Kollege aus Werk 2" mit einem echten Namen aus dem LinkedIn-Profil, Anruf beim IT-Support. Bitte um Passwort-Reset für einen Kollegen im Urlaub. Beide Anrufe erfolgreich: Passwort telefonisch übermittelt, ohne Rückruf-Verifikation. Der zweite Anruf führte zusätzlich zur Übergabe von Remote-Zugangsdaten.

06

Debrief & Awareness-Programm

Anonymer Bericht an Geschäftsführung mit Rollen-Klickraten und Angriffsketten. Danach: sechsmonatiges Awareness-Programm mit monatlichen 5-Minuten-Micro-Learnings, rollenspezifischen Beispielen und einer 90-Minuten-Live-Session vor Ort. Meldeprozesse für verdächtige Mails vereinfacht (ein Klick, keine Formulare).

07

Retest-Kampagne

Sechs Monate später eine neue, unabhängige Kampagne mit vergleichbarer Struktur. Ergebnis: allgemeine Klickrate auf 8 % gesunken, Credential-Eingabe unter 2 %. Meldequote (verdächtige Mails aktiv gemeldet): um Faktor 6 gestiegen. Vishing-Testanruf wurde nach 30 Sekunden per Callback verifiziert – und damit gestoppt.

Ergebnis
/ Belegte Baseline & messbare Wirkung

Die „Bei uns nicht"-Vermutung war widerlegt – und genau das war die Voraussetzung, dass sich danach etwas geändert hat.

Der wichtigste Wert der ersten Kampagne war nicht die Klickrate – es war der interne Konsens danach. Die Geschäftsführung hatte harte Zahlen statt Vermutungen. Der Betriebsrat hatte einen Prozess, der keinen einzelnen Mitarbeiter bloßstellte. Das IT-Team hatte einen Fahrplan, in welche Rollen gezielt Trainings gehören.

Nach sechs Monaten hatte sich die Klickrate von 34 % auf 8 % reduziert. Wichtiger noch: die aktive Meldequote hat sich versechsfacht. Bei einem realen Angriff fällt heute schneller auf, wenn etwas nicht stimmt – und das ist der eigentliche Fortschritt, nicht die niedrigere Klickrate.

Baseline-Klickrate
34 % Welle 1, breite Kampagne
Nach 6 Monaten
8 % Retest-Kampagne
Vishing-Erfolg
2 / 2 → 0 / 2 im Retest
Meldequote
×6 vs. vor der Kampagne

Klickt bei Ihnen wirklich niemand?

Wenn Sie belastbar wissen wollen, wie widerstandsfähig Ihr Team gegenüber Phishing und Vishing ist: Ein Erstgespräch reicht, um Umfang, rechtliche Rahmenbedingungen und die passenden Szenarien einzuschätzen. Unverbindlich.