4. Februar 2025 | Artikel drucken | |
Herausforderungen, Erfolge, Ausblicke

Phishing-Simulationen: So schulen Sie Mitarbeiter effektiv

5 Min. Lesezeit

Phishing verursacht jährlich Milliardenschäden für Unternehmen. Laut Bitkom beliefen sich die Gesamtschäden durch Cyberangriffe auf deutsche Unternehmen 2022 auf 203 Milliarden Euro. 94 Prozent aller Unternehmen wurden 2024 Opfer mindestens eines Phishing-Angriffs. Traditionelle Schulungen zeigen wenig Wirkung. Eine Alternative bietet msecure, ein Tochterunternehmen der synaforce-Gruppe, mit der Simulation realer Phishing-Szenarien im laufenden Betrieb.

Das Wichtigste in Kürze

  • 94 Prozent der Unternehmen wurden 2024 Opfer von Phishing-Angriffen (Keepnet Labs 2025).
  • KI-generierte Phishing-Mails erzielen 54 Prozent Click-Through-Rate, manuell verfasste nur 12 Prozent.
  • synaforce erhielt im März 2024 die BSI C5-Zertifizierung für Cloud-Dienste, speziell für KRITIS-Kunden.
  • Das NIS2-Umsetzungsgesetz gilt seit 6. Dezember 2025 verbindlich in Deutschland. Registrierungspflicht beim BSI seit Januar 2026.
  • Die strategische Partnerschaft mit TEHTRIS bringt eine KI-gestützte XDR-Plattform für MSPs und Unternehmen.
94 %
der Unternehmen wurden 2024 Opfer mindestens eines Phishing-Angriffs
Quelle: Keepnet Labs, Phishing Statistics 2025

Was ist Phishing-simulationen?

Phishing-simulationen ist 2025 ein konkreter Hebel für Unternehmen, weil das Thema direkt über skalierbare Rechenzentrumsleistung, Energieeffizienz und Compliance entscheidet. Der Beitrag zeigt am Beispiel von synaforce, welche Anforderungen, Kennzahlen und operativen Schritte in der Praxis zählen.

Warum bleibt Phishing gefährlich?

Das Ergaunern von Zugangsdaten durch gefälschte E-Mails bleibt eines der wichtigsten Einfallstore für kriminelle Hacker in deutschen Unternehmen. Rund 20 Prozent aller E-Mails weltweit enthielten 2024 Phishing- oder Spam-Inhalte. Täglich werden zwischen drei und vier Milliarden Phishing-Mails versendet. Im Zusammenhang mit typischen Folgen wie Passwortdiebstahl und Ransomware beliefen sich die Gesamtschäden durch Cyberangriffe auf deutsche Unternehmen laut Bitkom 2022 auf 203 Milliarden Euro.

Ähnlich wie Spam zielt Phishing auf Betrug ab: Täuschend echte E-Mails, Nachrichten, KI-generierte Anrufe oder Websites verleiten Empfänger zur Preisgabe von Benutzer- und Kontoinformationen.

Früher verrieten sich Phishing-Mails durch ungelenke Formulierungen oder Fehler in der Betreffzeile. Spätestens seit trainierbaren KI-Modellen wie ChatGPT ist das vorbei. KI-generierte Phishing-Mails erzielen laut aktuellen Auswertungen eine Click-Through-Rate von 54 Prozent, manuell verfasste nur 12 Prozent. Auch die Erkennung anhand kryptischer URLs wird schwieriger: Wer achtet schon auf .co für Kolumbien statt .com oder entdeckt das „r n“ statt dem „m“ in „rnicrosoft.com“?

Genau diese Fähigkeit zur Erkennung müssen Mitarbeitende trainieren, betont Götz Blechschmidt, Geschäftsführer der IT-Sicherheitsberatung msecure, einem Tochterunternehmen der synaforce-Gruppe.

„Die Bedrohungslage war 2024 bereits enorm, sie wird sich 2025 voraussichtlich nicht verbessern. Es kommt auf unsere kollektive Resilienz an, um den immer komplexeren Gefahren zu begegnen.“
Andreas Braidt, CEO synaforce GmbH

Herkömmliche Schulungen wirksam ergänzen

Ziel von Datenschutzschulungen, wie auch msecure sie anbietet, ist es, Beschäftigte dafür zu sensibilisieren, vorsichtig im Umgang mit E-Mails zu sein. Teilnehmer lernen, worauf sie achten müssen und was sie auf keinen Fall anklicken sollten. Aber angesichts der Vielzahl an Informationen, die im Arbeitsalltag auf Mitarbeitende einprasseln, haben herkömmliche Schulungsmaßnahmen nur kurzzeitige Wirkung.

msecure setzt deshalb auf die Simulation realer Phishing-Szenarien im laufenden Betrieb. Statt theoretischer Belehrung erleben Mitarbeitende realitätsnahe Angriffe in ihrem eigenen Arbeitsumfeld. Wer auf eine simulierte Phishing-Mail klickt, erhält sofort eine Erklärung, woran er die Fälschung hätte erkennen können. Dieses praxisorientierte Training verspricht eine direktere und nachhaltigere Sensibilisierung als klassische Schulungsformate.

synaforce 2024: Neue Standards in der IT-Sicherheit

synaforce hat 2024 entscheidende Schritte unternommen, um seine Position als Anbieter fortschrittlicher IT-Sicherheitslösungen zu stärken. Ein zentraler Meilenstein war die C5-Zertifizierung durch das BSI im März 2024. Diese bestätigt, dass die Cloud-Dienste von synaforce höchsten Sicherheitsstandards entsprechen und speziell für KRITIS-Kunden geeignet sind.

Darüber hinaus bereitete sich synaforce gezielt auf die Umsetzung der NIS2-Richtlinie vor. Die bestehende Zertifizierungsbasis, darunter ISO/IEC 27001, ISAE 3402 und EN 50600, wurde durch die C5-Zertifizierung weiter gestärkt. Seit dem 6. Dezember 2025 gilt das NIS2-Umsetzungsgesetz verbindlich in Deutschland. Seit Januar 2026 besteht eine Registrierungspflicht beim BSI für betroffene Einrichtungen.

Modernes Rechenzentrum mit beleuchteten Serverreihen – Symbolbild zum Artikel über phishing-simulationen und synaforce, Abschnitt 1

Tobias Lehner, CTO der synaforce GmbH. Bildquelle: synaforce GmbH.

„Wir sind stolz auf das, was wir 2024 erreicht haben. Die Bedrohungslage zeigt jedoch, wie wichtig es ist, unsere Position konsequent weiter auszubauen. 2025 wird für uns ein weiteres Jahr des Fortschritts sein, in dem wir unser Engagement im Bereich Cybersecurity weiter intensivieren“, sagt Tobias Lehner, CTO von synaforce.

Strategische Partnerschaft mit TEHTRIS

Einen weiteren Höhepunkt bildete die strategische Partnerschaft mit TEHTRIS. Gemeinsam präsentieren beide Unternehmen die TEHTRIS XDR AI PLATFORM, eine KI-gestützte Sicherheitslösung. Sie überwacht sämtliche Endpunkte, Netzwerke und Cloud-Dienste in Echtzeit und steuert alle Sicherheitsmaßnahmen zentral über ein Dashboard. Unternehmen profitieren von ganzheitlichem Schutz, Compliance-Sicherheit sowie der Modularität der Lösung. Managed Service Provider können damit die Effizienz ihrer Sicherheitsmaßnahmen steigern und ihr Portfolio um proaktive Managed Detection and Response (MDR) erweitern, ohne selbst in teure Infrastrukturen investieren zu müssen.

Was 2025 und 2026 auf Unternehmen zukommt

Die IT-Sicherheitslandschaft stellt Unternehmen vor wachsende Herausforderungen. Cyberkriminelle setzen zunehmend auf Deepfake-Technologien, um etwa Stimmerkennungssysteme in Verifizierungsprozessen zu umgehen. Identitätsangriffe werden zur bevorzugten Methode: Statt Systeme zu hacken, loggen sich Angreifer einfach ein.

Zudem kehren Advanced Persistent Threats (APTs) verstärkt ins Bewusstsein zurück. Diese zeichnen sich durch ihre Langlebigkeit und Zielgenauigkeit aus und ermöglichen Angreifern langfristigen Zugriff auf wertvolle Informationen. Ziel sind dabei vermehrt KRITIS-Unternehmen, die durch die wachsende OT-Angriffsfläche zusätzlich exponiert sind.

Modernes Rechenzentrum mit beleuchteten Serverreihen – Symbolbild zum Artikel über phishing-simulationen und synaforce, Abschnitt 2

Andreas Braidt, CEO der synaforce GmbH. Bildquelle: synaforce GmbH.

„Die Umsetzung der NIS2-Richtlinie spielt eine entscheidende Rolle. synaforce unterstützt Unternehmen dabei aktiv mit umfassender Beratung sowie der Planung und Implementierung gezielter Maßnahmen, um Cyberrisiken zu minimieren und nachhaltige Sicherheitsstrategien zu etablieren“, sagt Andreas Braidt, CEO von synaforce.

Häufige Fragen

Was sind Phishing-Simulationen und warum sind sie effektiver als klassische Schulungen?

Phishing-Simulationen setzen Mitarbeitende realitätsnahen, aber harmlosen Phishing-Angriffen im Arbeitsalltag aus. Wer auf eine simulierte Mail klickt, erhält sofort eine Erklärung, woran er die Fälschung hätte erkennen können. Im Gegensatz zu theoretischen Schulungen, deren Wirkung schnell nachlässt, erzeugen Simulationen einen nachhaltigen Lerneffekt durch direkte Erfahrung.

Was ist die BSI C5-Zertifizierung und warum ist sie für KRITIS relevant?

C5 (Cloud Computing Compliance Controls Catalogue) ist ein Prüfstandard des BSI für Cloud-Dienste. Die Zertifizierung bestätigt, dass ein Cloud-Anbieter höchste Sicherheitsstandards erfüllt. Für KRITIS-Unternehmen ist sie besonders relevant, weil sie die Anforderungen an Informationssicherheit, Verfügbarkeit und Compliance nachweisbar abdeckt.

Was ist die TEHTRIS XDR AI Platform?

Die TEHTRIS XDR AI Platform ist eine KI-gestützte Sicherheitslösung, die Endpunkte, Netzwerke und Cloud-Dienste in Echtzeit überwacht. Sie kombiniert EDR, EPP und SIEM in einer Plattform. Für Managed Service Provider bietet sie die Möglichkeit, proaktive Managed Detection and Response (MDR) als Service anzubieten, ohne eigene Infrastruktur aufbauen zu müssen.

Seit wann gilt NIS2 in Deutschland?

Das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz wurde am 13. November 2025 vom Bundestag verabschiedet und trat am 6. Dezember 2025 in Kraft. Seit Januar 2026 besteht eine Registrierungspflicht beim BSI für betroffene Einrichtungen. Es gibt keine Übergangsfrist.

Was ist msecure und welche Verbindung besteht zu synaforce?

msecure GmbH mit Sitz in Oberhaching bei München bietet IT-Sicherheitsberatung, CISO-Services, Phishing-Simulationen und Awareness-Trainings an. Geschäftsführer sind Götz Blechschmidt und Horst Nadjafi. msecure ist ein Tochterunternehmen der synaforce-Gruppe und damit Teil des Konzernverbunds.

Weiterführende Lektüre

Mehr aus dem MBF Media Netzwerk

Quelle Titelbild: Pixabay / AhmedAlMaslamani

Mehr zu diesem synaforce-Thema

Weiterführende Einordnungen, Services und Praxisbeispiele bündelt synaforce bei Rechenzentrums- und Infrastrukturleistungen.

Artikel drucken
166ea8824a024c521295a69a77ea380b9f719b9d110742ef8e27ffbba0eb36c9

Hier schreibt Sonja für Sie

Mehr Artikel vom Autor

Auch verfügbar in

FrançaisEspañolEnglish

Lesen Sie weiter

Ein Magazin der Evernine Media GmbH