FAQS
Phishing-Test: Häufige Fragen und Antworten (FAQ)
Hier finden Sie alles Wichtige rund um Ihren geplanten Phishing-Test mit 8com – vom Ablauf über Datenschutz bis zu Awareness-Schulungen.
Grundverständnis & Nutzen
Ein Phishing-Test ist eine simulierte Cyberangriffsübung, bei der Mitarbeitende gefälschte E-Mails erhalten, um ihre Reaktion auf potenziell gefährliche Phishing-Mails zu testen. Ziel ist es, Sicherheitslücken zu erkennen und die IT-Sicherheitskultur im Unternehmen zu verbessern.
Weil Sie so realistisch und DSGVO-konform prüfen, wie anfällig Ihre Mitarbeitenden für Phishing-Angriffe sind. 8com liefert Ihnen messbare Ergebnisse im BSI-zertifizierten Verfahren, vergleicht Ihre Werte im Benchmarking und gibt konkrete Handlungsempfehlungen, um Ihre Sicherheitskultur gezielt zu stärken. So umfassend und praxisnah testen nur wenige Anbieter.
Zu den häufigsten Phishing-Simulationen gehören E-Mail-Phishing, gezielte Spear-Phishing-Angriffe, Vishing (Telefonbetrug), Smishing (SMS-Phishing) sowie umfassende Social-Engineering-Tests. Auf Wunsch testet 8com auch vor Ort die physische Sicherheit und das Sicherheitsbewusstsein Ihrer Mitarbeitenden.
Wir nutzen keine Standard-Templates: 8com erstellt individuelle, zielgruppenspezifische Phishing-Mails inklusive echter Nachbauten von Login-Seiten — so realistisch, dass sie schwer von den Originalen zu unterscheiden sind. Rechtlich geprüft und DSGVO-konform.
Phishing-Mails sind heute oft täuschend echt. Sie nutzen personalisierte Inhalte, imitieren vertraute Absender oder Kommunikationsstile und erzeugen gezielt Druck oder Neugier, um zu schnellen Handlungen zu verleiten. Typische Warnsignale sind unerwartete Aufforderungen, sensible Daten preiszugeben, Links zu Login-Seiten oder ungewöhnliche Anfragen, die sofortiges Handeln verlangen. Im Zweifel sollte immer über einen bekannten, unabhängigen Kommunikationsweg nachgefragt werden.
Ablauf & Umsetzung
Ein Phishing-Test bei 8com läuft in fünf Schritten ab:
Konfiguration, Festlegung des Zeitraums, Versand realitätsnaher Phishing-Mails, Auswertung mit Management-Report und persönlichem Analysegespräch. Optional folgt ein Awareness-Training zur nachhaltigen Sensibilisierung.
Eine 3-stufige Phishing-Kampagne dauert in der Regel 5 bis 9 Wochen. Dabei sind Planung, Abstimmung mit Datenschutz und Betriebsrat, die Durchführung der drei Wellen sowie die anschließende Berichterstellung enthalten. Kürzere Kampagnen sind nur nach individueller Absprache möglich.
Die Auswertung erfolgt anhand detaillierter Kennzahlen wie Klickrate, Interaktionen und Reaktionsverhalten. Unternehmen erhalten einen Management-Report mit klaren Handlungsempfehlungen, Benchmark-Vergleich sowie ein persönliches Analysegespräch, in dem individuelle Risiken und Optimierungspotenziale besprochen werden.
Bei einer Phishing-Simulation wird das Klickverhalten dokumentiert, jedoch entstehen keine realen Schäden. Häufig folgt eine automatische Lernseite oder Rückmeldung zur Aufklärung – anonym und DSGVO-konform.
Phishing-Tests sollten regelmäßig durchgeführt werden, um die Wirksamkeit von Awareness-Maßnahmen nachhaltig zu sichern. Da 8com in der Regel drei Wellen über mehrere Wochen hinweg durchführt, empfehlen wir, Phishing-Tests ein- bis zweimal pro Jahr zu wiederholen. So lassen sich Lerneffekte festigen und Veränderungen im Sicherheitsbewusstsein messbar machen.
Ja. 8com kann Login-Seiten nachbauen („cloned sites“), um das Eingabeverhalten realistisch zu testen — die Nachbildungen sind so gestaltet, dass sie kaum von den Originalen zu unterscheiden sind.
Alle Tests erfolgen rechtlich geprüft, anonymisiert und DSGVO-konform.
Organisation & Rahmenbedingungen
Ja, Phishing-Tests sind bei 8com vollständig datenschutzkonform. Alle Tests werden DSGVO-konform, anonymisiert und nachvollziehbar dokumentiert durchgeführt. Auf Wunsch werden Datenschutzbeauftragte und Betriebsrat frühzeitig eingebunden, um Transparenz und Akzeptanz im Unternehmen sicherzustellen.
Das ist abhängig von der Unternehmensrichtlinie und den Vorgaben des Betriebsrats. Viele Unternehmen kündigen den Test allgemein an, geben jedoch keine Details zu Zeitpunkt oder Inhalt preis. Für ein neutrales Ergebnis ist eine vorherige Ankündigung nicht zu empfehlen.
In der Regel sollten die IT-Abteilung, Datenschutzbeauftragte und ggf. der Betriebsrat involviert sein – für Planung, Zustimmung und Auswertung der Phishing-Kampagne.
Die Kosten für einen professionellen Phishing-Test variieren je nach Unternehmensgröße, Umfang und Schulungsaufwand. Typischerweise liegen sie zwischen 2.000 € und 5.000 €.
Schulung & Awareness-Maßnahmen
Mitarbeitende sollten praxisnah und wiederkehrend geschult werden, um Phishing-Angriffe sicher zu erkennen. 8com bietet dafür interaktive Awareness-Formate wie E-Learnings, kurze Lernvideos, Live-Trainings, Live-Hacking-Vorträge und Workshops mit realistischen Beispielen. Entscheidend ist, dass die Schulungen Alltagssituationen und echte Angriffsszenarien aufgreifen – so wird das Sicherheitsbewusstsein nachhaltig gestärkt. Unsere Schulungsmaßnahmen lassen sich individuell an das Ergebnis Ihres Phishing-Tests anpassen.
Social-Engineering-Trainings sollten reale Angriffsformen wie Telefonbetrug oder Informationsbeschaffung über Social Media simulieren. Rollenspiele und Praxisbeispiele sind besonders wirkungsvoll, um Manipulationstechniken frühzeitig zu erkennen. 8com bietet praxisnahe Formate an, mit denen Ihre Mitarbeitenden gezielt geschult werden.
Bei 8com können verschiedene Awareness-Maßnahmen gebucht werden – darunter E-Learnings, Awareness-Videos, Live-Hacking-Vorträge, Präsenztrainings und gamifizierte Formate. Diese Maßnahmen ergänzen Phishing-Tests optimal und fördern ein dauerhaft hohes Sicherheitsbewusstsein im Unternehmen.
Die Schulung basiert auf den Testergebnissen und thematisiert erkannte Schwächen. Inhalte sind u. a. das Erkennen von Phishing-Mails, sichere E-Mail-Nutzung und Handlungsoptionen im Ernstfall. So wird das Gelernte aus der Simulation gezielt vertieft.