Elementrica
03Fallstudien04Referenzen05Unternehmen06Aktuelles07Kontakt
PLENDE

PHISHING-KAMPAGNEN

Phishing-Kampagnen: messen Sie die echte Anfälligkeit der Menschen, nicht ihr Testwissen

Wir führen kontrollierte, realistische Phishing-Kampagnen durch und messen, wer geklickt, wer Daten eingegeben und wer den Angriff gemeldet hat. Sie erhalten harte Zahlen und Material für wirksame Awareness.

Realistische, auf das Unternehmen zugeschnittene SzenarienMessung von Klicks, Dateneingabe und MeldungenSichere, ethische DurchführungEin für Awareness-Arbeit fertiger Bericht

WARUM ES WICHTIG IST

Die besten technischen Maßnahmen umgeht eine gut geschriebene E-Mail

Die meisten ernsten Einbrüche beginnen mit einem Menschen, nicht mit einem Codefehler. Eine Folienschulung sagt, was Menschen wissen. Eine kontrollierte Kampagne zeigt, wie sie sich unter dem Druck einer echten Nachricht wirklich verhalten.

Es geht nicht darum, jemanden zu ertappen. Es geht um harte Daten: welcher Anteil klickt, wie viele geben Daten ein und wie viele Mitarbeitende melden den Angriff an das Sicherheitsteam. Diese Zahlen zeigen, wo sich eine Investition in Awareness wirklich lohnt.

WAS WIR TUN

Eine realistische Kampagne, ein messbares Ergebnis

01
Szenariendesign
Wir bauen glaubwürdige Nachrichten, zugeschnitten auf Ihr Unternehmen und Ihre Branche.
02
Capture-Seiten
Sichere Login-Seiten, die Dateneingabe messen, ohne sie zu speichern.
03
Verhaltensmessung
Wir verfolgen Klicks, Dateneingabe und vor allem Meldungen.
04
Schulungsmaterial
Wir liefern Erkenntnisse und Hinweise als Basis für Ihre weitere Schulung.

Wir führen Kampagnen ethisch und mit Respekt für die Mitarbeitenden durch. Das Ziel ist Lernen, nicht Bloßstellen.

UNSER ANSATZ

Wir messen Verhalten, keine Erklärungen

Awareness, die Sie nicht gemessen haben, ist nur eine Annahme. Statt zu fragen, ob Mitarbeitende Phishing erkennen, testen wir es mit einer echten, aber sicheren Nachricht und zählen die tatsächlichen Reaktionen.

Die wichtigste Kennzahl ist nicht die Klickrate, sondern die Melderate. Ein Unternehmen, in dem Menschen verdächtige Nachrichten schnell melden, ist wirklich sicherer als eines, in dem sie nur seltener klicken.

COMPLIANCE

Nachweis der Awareness-Arbeit, den die Aufsicht erwartet

Regelmäßige Phishing-Tests und Schulung des Personals sind Teil der Sicherheits- und Awareness-Anforderungen.

NIS2
Teil der geforderten Cyberhygiene und Mitarbeiterschulung.
ISO 27001
Nachweis von Aktivitäten zur Sicherheitsawareness (A.6).
DORA
Unterstützung von Awareness-Programmen im ICT-Risikomanagement.

STANDARDS & ZERTIFIZIERUNGEN

Wir arbeiten nach anerkannten Methodiken, nicht nach Bauchgefühl

Jedes Projekt wird von zertifizierten Pentestern durchgeführt und basiert auf öffentlichen Standards. So ist das Ergebnis wiederholbar, auditierbar und zwischen Anbietern vergleichbar.

Zertifizierungen des Teams
OSCPOSCPOffSec
OSEPOSEPOffSec
OSWEOSWEOffSec
OSEDOSEDOffSec
OSWAOSWAOffSec
OSWPOSWPOffSec
BSCPBSCPPortSwigger
CPTSCPTSHack The Box
CBBHCBBHHack The Box
CWEECWEEHack The Box
CRTOCRTOZero-Point Security
CREST CRTCREST CRTCREST
CREST CPSACREST CPSACREST
ISO 27001 LAISO 27001 LAISO/IEC
Azure Security EngineerAzure Security EngineerMicrosoft
Security Operations AnalystSecurity Operations AnalystMicrosoft
Security AdministratorSecurity AdministratorMicrosoft
OSCPOSCPOffSec
OSEPOSEPOffSec
OSWEOSWEOffSec
OSEDOSEDOffSec
OSWAOSWAOffSec
OSWPOSWPOffSec
BSCPBSCPPortSwigger
CPTSCPTSHack The Box
CBBHCBBHHack The Box
CWEECWEEHack The Box
CRTOCRTOZero-Point Security
CREST CRTCREST CRTCREST
CREST CPSACREST CPSACREST
ISO 27001 LAISO 27001 LAISO/IEC
Azure Security EngineerAzure Security EngineerMicrosoft
Security Operations AnalystSecurity Operations AnalystMicrosoft
Security AdministratorSecurity AdministratorMicrosoft
Methodiken
MITRE ATT&CKOSINTPTES
Zertifizierungen des Teams
OSEPOSCP

Die vollständige Liste der Zertifizierungen und Standards stellen wir auf Anfrage bereit, zusammen mit einem Beispiel-Testumfang.

SO GEHEN WIR VOR

Eine Kampagne in Phasen

01
Planung
Wir vereinbaren Ziele, Gruppen und auf das Unternehmen zugeschnittene Szenarien.
02
Vorbereitung
Wir bauen Nachrichten und sichere Messseiten.
03
Durchführung
Wir führen die Kampagne kontrolliert und ethisch durch.
04
Messung
Wir sammeln Daten zu Klicks, Dateneingabe und Meldungen.
05
Bericht
Wir liefern Erkenntnisse und Empfehlungen für die weitere Schulung.

NACHWEISE

Zahlen hinter jedem Versprechen

Jeder Test wird von zertifizierten Pentestern durchgeführt, und wir dokumentieren das Ergebnis mit Reproduktionsschritten, Nachweisen und einem verifizierten Behebungsweg. Nachweis, kein Versprechen.

500+
durchgeführte Sicherheitstests und Audits
5.0
Durchschnittsbewertung aus 10 verifizierten Clutch-Bewertungen
20+
offensive Zertifizierungen im Team
01
Zertifiziertes Team
20+ offensive Zertifizierungen im Team (OSCP, OSEP, OSWE, CREST). Tests führen unsere Leute durch, keine anonymen Subunternehmer.
02
Manuelle Tests
Wir arbeiten von Hand nach PTES und OWASP und führen scheinbar kleine Fehler zu einem realen, belegten Angriffspfad zusammen.
03
Nachweis statt Versprechen
Jeder Fund mit Reproduktionsschritten und einem funktionierenden Nachweis. Ein Bericht, der vor dem Auditor standhält.
04
Retest inklusive
Nach Umsetzung der Korrekturen bestätigen wir schriftlich, dass die Lücken geschlossen sind. Wir verschwinden nicht nach dem PDF.

WISSEN

Eine kontrollierte Phishing-Kampagne in der Praxis

Was eine kontrollierte Phishing-Kampagne ist

Eine kontrollierte Phishing-Kampagne ist eine sichere Simulation eines echten Angriffs auf Mitarbeitende, durchgeführt mit Ihrer Zustimmung. Ihr Zweck ist zu messen, wie die Organisation auf Manipulation reagiert, nicht einzelne Personen zu ertappen.

Phishing ist nach wie vor der häufigste Weg in ein Unternehmen, weil es technische Schutzmaßnahmen umgeht und den Menschen ins Visier nimmt. Daher lohnt es sich, diese Widerstandsfähigkeit unter sicheren Bedingungen zu prüfen, bevor es ein Angreifer tut.

Wie wir die Kampagne durchführen

Wir bereiten ein realistisches Szenario und eine auf Ihren Unternehmenskontext zugeschnittene Nachricht vor und senden sie an eine vereinbarte Empfängergruppe. Wir messen, wer die Nachricht öffnete, wer klickte und wer Daten auf der vorbereiteten Seite eingab.

Die Szenarien richten wir am realen Risiko aus: von einfachen Versuchen bis zu ausgefeilten Imitationen bekannter Dienste oder Kollegen. Alles geschieht in sicheren Grenzen, ohne echte Kontoübernahme.

Was wir messen und wie wir ohne Bloßstellen berichten

Wir berichten Kennzahlen auf Organisationsebene: Klickrate, Dateneingabe und, ebenso wichtig, die Melderate verdächtiger Nachrichten. Letztere zeigt, ob Mitarbeitende wissen, wie sie reagieren sollen.

Wir bauen bewusst keine Liste der Beschämung. Ziel ist es, die Widerstandsfähigkeit des gesamten Teams zu verbessern, und das Herausgreifen Einzelner schreckt nur davon ab, künftig Vorfälle zu melden.

Was Sie erhalten und wie Sie es nutzen

Sie erhalten ein klares Bild der Phishing-Anfälligkeit und Empfehlungen, einschließlich der Gruppen und Szenarien, die die meiste Aufmerksamkeit brauchen. Die Ergebnisse fließen direkt in ein Security-Awareness-Programm ein.

Den größten Wert bringt ein Zyklus: Kampagne, Schulung, erneute Kampagne. Dann sehen Sie einen echten Rückgang der Klickrate und einen Anstieg der Meldungen, eine messbare Verbesserung statt eines einmaligen Ergebnisses.

FAQ

Die häufigsten Fragen

Speichern Sie Mitarbeiterpasswörter?

Nein. Die Messseiten erfassen nur die Tatsache der Dateneingabe, ohne die Passwörter selbst zu speichern. Die Kennzahl zählt, nicht der Inhalt.

Schadet das dem Verhältnis zu den Mitarbeitenden?

Wir führen Kampagnen ethisch und lernorientiert durch. Ergebnisse teilen wir aggregiert, und das Ziel ist Awareness, nicht Schuldzuweisung.

Wie oft sollten wir das wiederholen?

Idealerweise zyklisch, denn Awareness lässt nach. Wiederholte Kampagnen zeigen den Trend und die Wirksamkeit der Schulungen über die Zeit.

Verbinden Sie das mit Schulungen?

Ja. Kampagnenergebnisse sind der beste Ausgangspunkt für gezielte Security-Awareness-Schulungen.

VERWANDT

Verwandte Beiträge

REFERENZEN

Referenzen in diesem Bereich

REFERENZEN

“Das Projekt wurde professionell und termingerecht umgesetzt, mit gutem Verständnis für Technik und Geschäft. Ihre Cybersicherheits-Expertise und der partnerschaftliche Ansatz haben uns beeindruckt.”

ERSTER SCHRITT

Starten Sie mit einer kostenlosen Beratung

Sagen Sie uns, was Sie testen möchten. Innerhalb von 24 Stunden erhalten Sie einen Vorschlag zum Umfang und zu den nächsten Schritten. Sie sprechen mit einem Berater, der die technische Seite versteht, nicht mit einem Verkäufer.

Kontakt aufnehmen
Unverbindlich · Antwort innerhalb von 24 Stunden · Ihre Daten bleiben vertraulich
Methodik
PTES · OWASP
Team
20+ Zertifizierungen
Bewertung
5.0 auf Clutch
Das erhalten Sie
Ein auf Ihr Risiko zugeschnittener Umfangsvorschlag
Ein Bericht mit Nachweisen und Reproduktionsschritten
Behebungsprioritäten nach realer Auswirkung
Ein Retest nach Umsetzung der Korrekturen
Asia, ElementricaKacper, ElementricaGrzesiek, Elementrica
Jemand aus unserem Team führt das Gespräch, und wir melden uns innerhalb von 24 Stunden. Keine Bots, kein Callcenter.