Es war eine gewöhnliche Dienstagmorgen-Mail. Absender: "IT-Support", Betreff: "Dringende Passwortänderung erforderlich", Link zu einer täuschend echten Login-Seite. Verschickt an 45 Mitarbeiter eines mittelständischen Produktionsunternehmens aus dem Raum Stuttgart — mit ausdrücklichem Einverständnis der Geschäftsführung und ohne Vorankündigung an die Belegschaft.
Solche simulierten Phishing-Tests gehören zu unserer Standard-Security-Analyse. Die Klickraten sind meist ernüchternd. Nicht weil die Menschen unvorsichtig wären — sondern weil gut gemachte Phishing-Mails schlicht schwer zu erkennen sind, besonders wenn man unter Zeitdruck arbeitet und 80 weitere ungelesene Mails im Postfach hat.
Was passierte
Zwölf Mitarbeiter haben auf den Link geklickt. Das ist im Branchenvergleich kein schlechter Wert — liegt leicht unter dem Durchschnitt, den wir in ähnlichen Unternehmen messen.
Aber was uns wirklich interessiert hat, war nicht die Klickrate. Es war, was danach passierte.
Drei Mitarbeiter haben die Mail still geschlossen und nichts unternommen — was menschlich verständlich ist, aber im Ernstfall das Problem verlängert.
Neunundzwanzig Mitarbeiter haben die Mail ignoriert oder gelöscht. Auch das ist keine optimale Reaktion — weil eine gemeldete Phishing-Mail die IT-Abteilung in Alarmbereitschaft versetzen kann, eine ignorierte nicht.
Und dann war da noch einer. Ein Mitarbeiter aus der Buchhaltung, seit zwölf Jahren im Unternehmen, keine IT-Ausbildung, keine Security-Schulung in den letzten drei Jahren. Er hatte die Mail geöffnet, kurz gelesen — und dann weitergeleitet an die interne IT-Abteilung mit dem Kommentar: "Sieht komisch aus, bitte prüfen."
Dieser eine Satz hätte im Ernstfall das Unternehmen gerettet.
Was das bedeutet
Eine frühzeitige Meldung gibt der IT-Abteilung Zeit zu handeln — bevor Zugangsdaten abgegriffen, Systeme kompromittiert oder Daten exfiltriert werden. In realen Angriffsszenarien ist das Zeitfenster zwischen erstem Klick und vollständiger Kompromittierung eines Netzwerks oft kleiner als eine Stunde. Eine einzige Meldung kann dieses Fenster öffnen.
Das Problem in den meisten Unternehmen ist nicht fehlendes Wissen. Die meisten Menschen wissen, dass Phishing existiert und dass man vorsichtig sein soll. Das Problem ist die Hemmschwelle: Was, wenn ich mich irre? Was, wenn ich damit jemanden aufhalte? Was, wenn ich mich blamiere, weil es doch eine echte Mail war?
In einem Umfeld, in dem Security-Meldungen als lästig gelten oder in dem Mitarbeiter bei Fehlalarmen eine Reaktion fürchten, meldet niemand. Und das ist gefährlicher als jede schlechte Klickrate.
Was wir empfohlen haben
Keine verpflichtende Schulungsreihe. Keine monatlichen Pflicht-E-Learnings, die jeder wegklickt.
Stattdessen drei konkrete Maßnahmen.
Erstens: Einen einfachen Meldeweg einrichten. Ein dedizierter "Verdächtige Mail melden"-Button im E-Mail-Client, der mit einem Klick die IT-Abteilung informiert — ohne lange Erklärung, ohne Formular. So niedrigschwellig wie möglich.
Zweitens: Fehlalarme aktiv entnormalisieren. Wenn jemand eine echte interne Mail als verdächtig meldet, bekommt er keine Rüge — sondern eine kurze freundliche Rückmeldung: "War in Ordnung, danke fürs Melden." Das Signal ist wichtiger als der Aufwand.
Drittens: Den Mitarbeiter aus der Buchhaltung beim nächsten Teammeeting öffentlich loben. Namentlich, mit Erklärung warum. Der Geschäftsführer hat das persönlich übernommen.
Was danach passierte
Drei Monate nach dem Test haben wir eine zweite Simulation durchgeführt. Die Klickrate war marginal gesunken — das war nicht überraschend und auch nicht das Ziel.
Aber die Melderate hatte sich vervierfacht. Acht Mitarbeiter haben die simulierte Mail gemeldet, bevor überhaupt jemand geklickt hatte. Das bedeutet: Im Ernstfall wäre die IT-Abteilung informiert gewesen, bevor der erste Schaden entstanden ist.
Security-Kultur entsteht nicht durch Schulungen. Sie entsteht durch ein Umfeld, in dem das Richtige einfach und das Falsche verzeihlich ist.