Lerne, wie du mit dem kostenlosen Open‑Source‑Tool GoPhish realistische Phishing‑Simulationen durchführst. Diese Schritt‑für‑Schritt‑Anleitung zeigt Installation, Konfiguration, Kampagnen‑Erstellung und Auswertung. Mit Praxis‑Tipps, Sicherheitsaspekten und YouTube‑Tutorials.
Kapitel 1: Einführung in GoPhish – was ist das & wie funktioniert es?
GoPhish ist ein kostenloses, Open‑Source‑Tool zur Phishing‑Simulation, mit dem du testen kannst, wie gut deine Mitarbeitenden auf Phishing‑E‑Mails reagieren. Es wurde bewusst einfach gehalten: Download, Konfiguration, Kampagnenerstellung und Ergebnisauswertung passieren alles in einer webbasierten Oberfläche, ohne teure Lizenzen oder komplizierte Dienste.
Warum Simulationen?
Phishing‑Angriffe sind eine der häufigsten Ursachen für Sicherheitsverletzungen weltweit. Mit GoPhish kannst du realistische Tests durchführen, bei denen Mitarbeitende echte E‑Mails bekommen – aber ohne Risiko für die Unternehmensdaten. So lernst du Schwachstellen im Team kennen und kannst gezielt trainieren.
Wie funktioniert GoPhish technisch?
GoPhish läuft als Server‑Applikation:
- Du startest den Server lokal oder auf einem Cloud‑Server.
- Du erstellst E‑Mail‑Templates und Landing‑Pages.
- Du importierst deine Zielgruppe als CSV‑Liste.
- Du startest eine Phishing‑Kampagne und verfolgst die Interaktionen.
- Das System zeigt schließlich an, wer geöffnet, geklickt oder Daten eingegeben hat.
Das Tool ist plattformübergreifend und läuft unter Windows, Linux und macOS – ideal für kleine Teams und große Unternehmen.
Vorteile auf einen Blick
Kostenlos & open source: Perfekt für Security‑Teams ohne Budget.
Einfach zu bedienen: Web‑UI mit klaren Menüs.
Vielseitig: E‑Mail‑ und Landing‑Page‑Templates, detaillierte Reports.
Sicher: Simulierte Angriffe ohne echtes Risiko.
In den folgenden Kapiteln gehen wir Schritt für Schritt durch Download, Installation, Kampagnenerstellung und Auswertung, damit du direkt loslegen kannst.
Kapitel 2: Warum Phishing‑Simulationen unverzichtbar sind
Phishing klingt erstmal wie ein Thema für die IT‑Abteilung – aber genau hier liegt der Denkfehler. In Wirklichkeit betrifft es alle im Unternehmen: Vom Empfang bis zur Geschäftsführung. Denn Angreifer nutzen nicht nur Technik – sie nutzen Menschen. Und genau deshalb sind Phishing‑Simulationen so wichtig.
Was ist überhaupt Phishing?
Phishing bedeutet: Jemand versucht per E‑Mail, an sensible Informationen zu gelangen. Das kann ein Link zu einer gefälschten Login‑Seite sein, eine manipulierte PDF oder eine Mail mit „Dringlichkeit“ à la „Chef braucht sofort eine Überweisung!“. Der Trick ist immer: Täuschung. Und die funktioniert oft – sogar bei Profis.
Warum testen?
Ganz einfach: Weil du nur das verbessern kannst, was du kennst.
Ohne Simulation weißt du nicht, wie dein Team wirklich reagiert. Öffnen sie verdächtige Mails? Klicken sie auf Links? Geben sie Passwörter ein? Oder erkennen sie den Fake?
Mit GoPhish kannst du das unter realen Bedingungen testen – aber ohne Risiko. Du bekommst klare Daten, wer wie reagiert hat – ganz anonymisiert, ohne jemanden bloßzustellen. So kannst du gezielt schulen.
Die Vorteile auf einen Blick
1. Awareness steigern:
Sobald jemand einmal auf eine Phishing‑Simulation hereinfällt, merkt er sich das. Beim nächsten Mal ist er vorsichtiger.
2. Gefahren erkennen:
Mitarbeitende lernen, wie Phishing aussieht – und was sie besser nicht tun sollten.
3. Unternehmenssicherheit verbessern:
Jede erkannte Phishing‑Mail kann ein echter Schutz vor Datenverlust, Betrug oder Image‑Schaden sein.
4. Rechtskonform handeln:
In vielen Branchen (z. B. Finanz, Medizin, Datenschutz) ist es sogar Pflicht, regelmäßig Awareness‑Trainings durchzuführen.
Ein Blick in die Praxis
Du schickst eine E‑Mail wie „Ihr Passwort läuft ab – jetzt erneuern“ mit einem Link. Der Link führt zu einer nachgebauten Login‑Seite. Wenn der Mitarbeitende dort seine Zugangsdaten eingibt, wird das nicht gespeichert, aber es wird vermerkt: Da hätte jemand seine Daten preisgegeben.
Das Ganze ist vollkommen legal, wenn du intern informierst und transparent vorgehst. (Dazu mehr in Kapitel 9.)
Fazit
Phishing‑Simulationen sind kein Hexenwerk – sondern eine einfache, effektive Maßnahme, um die Sicherheitskultur im Unternehmen zu stärken. GoPhish ist dafür das perfekte Tool: Kostenlos, verständlich und wirkungsvoll.
Kapitel 3: GoPhish herunterladen & Voraussetzungen
Bevor du loslegen kannst, brauchst du natürlich erst mal das Tool. Und hier die gute Nachricht: GoPhish ist superleicht zu installieren. Kein Setup‑Wahnsinn, kein Lizenz‑Dschungel. Du lädst dir einfach eine Datei runter – und los geht’s.
Wo bekommst du GoPhish?
Ganz offiziell und kostenlos auf der GoPhish‑Website:
👉 https://getgophish.com
Oder direkt bei GitHub, falls du lieber die aktuellsten Builds nutzt:
👉 https://github.com/gophish/gophish/releases
Welche Voraussetzungen brauchst du?
Technisch gesehen ist GoPhish ein kleines Web‑Tool. Du brauchst:
- Einen Rechner oder Server mit:
- Windows, Linux oder macOS
- mind. 1 CPU, 1 GB RAM (mehr ist besser)
- Internetverbindung (für Mail‑Versand und Tracking)
- Einen SMTP‑Server (für das Versenden der E‑Mails)
- Adminrechte (um Ports freizugeben, wenn nötig)
Optional, aber nützlich:
- Eine eigene Domain (z. B. für die Landing Pages)
- SSL‑Zertifikate (für HTTPS, z. B. über Let’s Encrypt)
- Mail‑Testkonten oder Demo‑Zielgruppen
Download – Schritt für Schritt
- Gehe zur offiziellen GoPhish Seite.
👉 getgophish.com - Klicke auf “Download”.
Wähle dein Betriebssystem – z. B. „GoPhish-vX.X.X-windows-64bit.zip“ - Entpacke die ZIP-Datei.
Du bekommst einen Ordner mit ausführbarer Datei (gophish.exe oder gophish unter Linux/Mac). - Starte GoPhish.
Einfach Doppelklick oder per Terminal ./gophish.
Es öffnet sich ein Terminalfenster – und GoPhish läuft! - Zugriff auf die Web‑Oberfläche:
Öffne den Browser und gib ein:
👉 https://localhost:3333
(Standard-Login: Benutzer admin, Passwort steht beim ersten Start im Terminal)
Sicherheit und Firewall
GoPhish verwendet standardmäßig die Ports:
- 3333 für Admin‑Zugang (https)
- 80 oder 8080 für die Phishing‑Landing‑Pages
Falls du auf einem Server arbeitest oder in der Cloud: Diese Ports müssen in der Firewall freigeschaltet sein.
Wichtiger Hinweis: Keine echten Phishing‑E‑Mails senden!
Bevor du deine erste Kampagne startest, prüfe bitte genau, wohin du E‑Mails sendest. Niemals an externe Personen ohne Zustimmung! GoPhish ist ein Simulationstool – kein Werkzeug für Angriffe.
Kapitel 4: Installation auf Windows, Linux & macOS
Die Installation von GoPhish ist so einfach, dass man fast sagen könnte: Runterladen, starten, fertig. Aber natürlich schauen wir uns das für jedes Betriebssystem im Detail an – damit auch wirklich nichts schiefgeht.
Windows-Installation
- ZIP-Datei herunterladen:
👉 https://getgophish.com
Wähle die Windows-Version (64-Bit). - Datei entpacken:
Rechter Mausklick → „Alle extrahieren“. - GoPhish starten:
Doppelklick auf gophish.exe.
Ein Terminalfenster öffnet sich – das ist normal. - Browser öffnen:
Gib ein: https://localhost:3333
Logge dich mit dem Standard-Passwort ein (steht beim ersten Start im Terminal). - Optional – als Dienst einrichten:
Du kannst GoPhish auch über den Taskplaner oder als Windows-Dienst starten lassen.
macOS-Installation
- ZIP-Datei herunterladen:
Wähle die macOS-Version.
Terminal öffnen:
Entpacke und navigiere in den Ordner:
unzip gophish-vX.X.X-mac64.zip
cd gophish-vX.X.X-mac64
Starten:
./gophish
- Browser öffnen:
Gehe zu https://localhost:3333 – und los geht’s. - Hinweis:
macOS fragt evtl. nach Berechtigungen („App aus unbekannter Quelle“). Diese kannst du unter „Systemeinstellungen > Sicherheit > Apps“ freigeben.
Linux-Installation (Ubuntu-Beispiel)
ZIP herunterladen und entpacken:
wget https://github.com/gophish/gophish/releases/download/vX.X.X/gophish-vX.X.X-linux-64bit.zip
unzip gophish-vX.X.X-linux-64bit.zip
cd gophish
Starten:
./gophish
Firewall konfigurieren (falls nötig):
sudo ufw allow 3333
sudo ufw allow 80
- Zugriff über Browser:
https://localhost:3333 oder, bei Remote-Servern, die Server-IP mit Port.
Pro-Tipp: GoPhish über Cloud-Server nutzen
Viele setzen GoPhish auf einem Virtual Private Server (VPS) auf, z. B. bei Hetzner, IONOS, AWS oder Azure. Das hat den Vorteil, dass du:
- eine eigene Domain nutzen kannst
- SSL per Let’s Encrypt aktivierst
- realistische Phishing-Szenarien testen kannst
Achte dabei IMMER auf Datenschutz, sichere Konfiguration und genehmigten E-Mail-Versand.
Kapitel 5: Grundkonfiguration & SMTP‑Setup
Jetzt, wo GoPhish läuft, geht’s ans Eingemachte: die erste Konfiguration. Damit du überhaupt E‑Mails versenden kannst, brauchst du einen SMTP‑Server – das ist quasi der Postbote für deine Phishing‑Mails. Und der muss gut eingestellt sein.
Erster Login in die Weboberfläche
- Öffne deinen Browser und gehe zu:
👉 https://localhost:3333 - Logge dich mit dem Standard‑Admin‑Passwort ein (steht beim ersten Start im Terminal).
- Du landest direkt im Dashboard – dem Herzstück von GoPhish.
Admin‑Passwort ändern
Unbedingt beim ersten Login:
Gehe oben rechts auf „Settings“, dann „Change Password“.
Sicheres Passwort wählen! GoPhish ist mächtig – also gut schützen.
SMTP‑Server hinzufügen
Jetzt wird’s spannend: Du musst GoPhish sagen, wie es E‑Mails verschicken soll.
- Klicke links auf „Sending Profiles“
- Klicke auf „New Sending Profile“
Diese Felder musst du ausfüllen:
- Name: z. B. „Interne IT Info“
- From: z. B. it-support@deinefirma.de
- Host: der SMTP‑Server, z. B. smtp.sendgrid.net
- Username/Password: Zugangsdaten deines SMTP‑Dienstes
- SMTP Port: meist 587 (TLS) oder 465 (SSL)
- Ignore Cert Errors: nur ankreuzen, wenn du Self‑Signed Zertifikate nutzt
- Use TLS: unbedingt aktivieren!
Dann klickst du auf „Send Test Email“ – gib deine eigene Mailadresse ein und prüfe, ob was ankommt.
Welche SMTP‑Anbieter kannst du nutzen?
Hier ein paar gängige Optionen:
- SendGrid: Kostenloser Tarif, ideal für Tests
- Mailgun: Ebenfalls beliebt, Entwicklerfreundlich
- Amazon SES: Günstig, aber etwas komplizierter einzurichten
- Eigener Mailserver: z. B. Exchange, Postfix oder über O365
Wichtig: Viele Anbieter blockieren Phishing‑Inhalte. Verwende realistische, aber neutrale Texte und sende nur an erlaubte interne Adressen.
Tipp: Domain & SPF/DKIM einrichten
Wenn du deine eigene Domain nutzt, richte auch SPF, DKIM und DMARC korrekt ein – sonst landen deine E‑Mails direkt im Spam. Viele SMTP‑Anbieter helfen dir dabei mit Setup‑Anleitungen.
Fazit:
Der SMTP‑Versand ist das Rückgrat deiner Phishing‑Simulation. Wenn das sauber läuft, kannst du loslegen – E‑Mails, Landing Pages und Kampagnen aufbauen. Und genau das machen wir im nächsten Kapitel.
Kapitel 6: E‑Mail‑Templates & Landing Pages erstellen
Jetzt kommt der Moment, in dem du deine innere Cyberkriminelle rausholen darfst – natürlich nur zu Testzwecken! Denn was wäre eine Phishing‑Simulation ohne authentische E‑Mails und täuschend echte Login‑Seiten?
Was ist ein E‑Mail‑Template?
Ein Template ist einfach gesagt deine Phishing‑E‑Mail-Vorlage. Du kannst beliebige Texte, Bilder, Links und sogar personalisierte Elemente einfügen. Ziel ist es, möglichst echt zu wirken – ohne bösartig zu sein.
So erstellst du ein Template:
- Klicke links auf „Email Templates“
- Klicke auf „New Template“
Diese Felder füllst du aus:
- Name: z. B. „Passwort läuft ab“
- From: support@deinefirma.de
- Subject: „Ihr Passwort läuft in 24 Stunden ab – jetzt erneuern“
- Template Type: E‑Mail
- Im Body kannst du HTML oder Klartext verwenden. Nutze Platzhalter wie {{.FirstName}} für Personalisierung.
Beispiel (HTML):
<p>Hallo {{.FirstName}},</p>
<p>Ihr Passwort läuft in 24 Stunden ab.</p>
<p><a href=”{{.URL}}”>Hier klicken, um Ihr Passwort zu erneuern</a></p>
<p>Freundliche Grüße<br>IT‑Support</p>
- Tracking aktivieren:
Unter dem Textfeld gibt’s Optionen für Tracking-Pixel und Link-Tracking. Aktivieren!
Landing Page erstellen
Jetzt brauchst du die Seite, auf die die E‑Mail verlinkt – z. B. ein nachgebautes Login‑Formular.
- Klicke links auf „Landing Pages“
- Klicke auf „New Page“
Felder ausfüllen:
- Name: „Fake-Login-Intranet“
- Capture Submitted Data: aktivieren
- Capture Passwords: aktivieren (nur intern!)
- Redirect URL: z. B. https://intranet.deinefirma.de
(So landet der Nutzer nach dem Test auf der echten Seite)
- HTML-Vorlage einfügen:
Du kannst entweder eine eigene Seite hochladen oder von einer echten Seite kopieren und anpassen.
Tipp: Im Browser → Rechtsklick → „Seitenquelltext anzeigen“ → kopieren → einfügen. - Platzhalter wie name=”email” und name=”password” müssen korrekt sein, damit GoPhish sie erkennt.
Testen & Vorschau
Vor dem Einsatz: E‑Mail und Landing Page testen!
- Klicke auf „Send Test Email“
- Öffne die Landing Page über „View Site“
So siehst du, ob alles aussieht wie geplant – und ob es „echt genug“ wirkt.
Kreativ, oder? Aber keine Sorge – im nächsten Schritt zeigen wir dir, wie du daraus eine vollständige Kampagne baust.
Weiter mit Kapitel 7: Kampagne erstellen, Gruppen & Ziele importieren?
weiter
Dann schnappen wir uns jetzt den spannendsten Part – deine erste Phishing-Kampagne!
Kapitel 7: Kampagne erstellen, Gruppen & Ziele importieren
Jetzt wird’s ernst: Du hast dein Template, die Landing Page und den SMTP‑Versand eingerichtet – Zeit, das Ganze zu kombinieren und eine richtige Phishing‑Kampagne zu starten. Keine Sorge: Es ist einfacher als du denkst.
Schritt 1: Zielgruppe erstellen
Bevor du die Kampagne startest, brauchst du eine Zielgruppe – also die Mitarbeitenden, die die Phishing‑Mail bekommen sollen.
- Klicke links auf „Users & Groups“
- Klicke auf „New Group“
Felder ausfüllen:
- Group Name: z. B. „IT-Team“ oder „Muster GmbH – Vertrieb“
- Users hinzufügen: Du kannst die Daten manuell eintragen oder eine CSV-Datei importieren.
Beispiel für CSV-Datei:
First Name,Last Name,Email
Max,Muster,max.muster@firma.de
Julia,Beispiel,julia.beispiel@firma.de
Diese Infos kannst du später im E-Mail-Text personalisieren: {{.FirstName}}, {{.LastName}}, {{.Email}}.
Schritt 2: Neue Kampagne erstellen
Jetzt wird alles zusammengeführt:
- Klicke links auf „Campaigns“
- Klicke auf „New Campaign“
Felder ausfüllen:
- Name: z. B. „Q1 Security Test – IT“
- Email Template: Wähle dein Template aus Kapitel 6
- Landing Page: Wähle deine vorbereitete Seite
- URL: Die Domain oder IP, unter der deine Landing Page erreichbar ist (z. B. http://phish.deinefirma.de)
- Sending Profile: Dein SMTP‑Profil von Kapitel 5
- Group: Deine erstellte Zielgruppe
- Zeitpunkt festlegen:
Du kannst die Kampagne sofort starten oder zeitlich planen. - Klicke auf „Launch Campaign“ – und los geht’s.
Live‑Monitoring der Kampagne
Nach dem Start zeigt dir GoPhish in Echtzeit an:
- Wer die E‑Mail geöffnet hat
- Wer auf den Link geklickt hat
- Wer Daten eingegeben hat
Du bekommst ein Dashboard mit allen Aktionen – übersichtlich und direkt nutzbar für das Training danach.
Datenschutz & Fairness
Wichtig: Phishing‑Simulationen sind nur dann sinnvoll, wenn sie nicht zum Bloßstellen dienen. Informiere dein Team im Vorfeld (z. B. in der Datenschutzvereinbarung oder als Awareness‑Kampagne), dass simulierte Mails vorkommen können – aber ohne vorher anzukündigen, wann.
Fazit:
Mit wenigen Klicks kannst du eine komplette Phishing‑Kampagne starten. Kein Hexenwerk – und der Erkenntnisgewinn ist riesig. Im nächsten Schritt lernst du, wie du die Daten auswertest und die richtigen Schlüsse ziehst.
Kapitel 8: Simulation starten & Daten auswerten
Du hast deine Kampagne gestartet, die Mails sind raus – und jetzt? Jetzt wird’s spannend! Denn GoPhish zeigt dir ganz genau, was passiert: Wer hat geklickt? Wer hat Daten eingegeben? Und wer hat die Mail direkt gelöscht?
Echtzeit‑Dashboard
Nach dem Start der Kampagne findest du unter „Campaigns“ eine Liste aller laufenden und vergangenen Simulationen. Klickst du auf eine Kampagne, öffnet sich ein Live‑Dashboard mit folgenden Infos:
- Total Sent: Anzahl gesendeter E‑Mails
- Emails Opened: Wer die E‑Mail geöffnet hat
- Clicked Links: Wer auf den Link geklickt hat
- Submitted Data: Wer Login‑Daten eingegeben hat
- Reported Emails (optional): Wer die Mail weitergeleitet hat (z. B. an IT)
Beispiel für Analyse:
| Name | Geöffnet | Geklickt | Daten eingegeben |
| Max Muster | ✅ | ✅ | ❌ |
| Julia Beispiel | ✅ | ✅ | ✅ |
| Sven Sicherheit | ❌ | ❌ | ❌ |
Interpretation:
- Julia ist gefährdet: Sie hat geklickt und Daten eingegeben → braucht gezieltes Awareness-Training.
- Max hat zwar geklickt, aber keine Daten preisgegeben → ein Teilerfolg.
- Sven hat die Mail ignoriert → vermutlich sicher oder in Urlaub 😄
Was du daraus lernen kannst:
- Klickrate: Gibt Hinweise, wie glaubwürdig deine Mail war.
- Dateneingabe: Zeigt, wie leichtsinnig Mitarbeitende reagieren.
- Öffnungsrate: Zeigt, ob deine Mails überhaupt ankommen.
- Technische Fehler: Wenn z. B. alles geblockt wird – SMTP oder Firewalls prüfen.
Export & Bericht
Du kannst die Ergebnisse als CSV oder PDF exportieren, z. B. für Management‑Reports oder zur Dokumentation für interne Schulungen.
- Kampagne öffnen
- Rechts oben auf „Export Results“
- Wähle dein Format – fertig!
Optional: Berichte anonymisieren, um keine Namen preiszugeben.
Fazit
Die Auswertung ist der wichtigste Teil deiner Simulation. Sie zeigt dir, wo dein Team steht – und wie du mit gezielten Maßnahmen besser wirst. Denn das Ziel ist nie, jemanden bloßzustellen, sondern gemeinsam sicherer zu werden.
Im nächsten Kapitel geht’s um rechtliche Aspekte, Sicherheit und Best Practices – also das, was du unbedingt beachten solltest, bevor du mit GoPhish „in echt“ arbeitest.
Weiter mit Kapitel 9: Best Practices & rechtliche Aspekte?
weiter
Sehr gut – jetzt kommt der vielleicht wichtigste Abschnitt in Sachen Verantwortung:
Kapitel 9: Best Practices & rechtliche Aspekte
GoPhish ist mächtig – und wie bei jedem mächtigen Werkzeug gilt: Große Macht bringt große Verantwortung. Du simulierst gezielt Täuschung. Das ist heikel, wenn du nicht sauber arbeitest. In diesem Kapitel zeigen wir dir, wie du rechtssicher, transparent und fair bleibst.
Rechtliche Grundlagen in Deutschland
In Deutschland ist Phishing-Simulation grundsätzlich legal, wenn sie intern, transparent und im Sinne der IT-Sicherheit durchgeführt wird. Aber:
- Es darf kein Mitarbeiter bloßgestellt werden.
- Datenschutzgesetze (DSGVO) müssen eingehalten werden.
- Es muss eine Einwilligung oder eine klare Rechtsgrundlage (z. B. IT-Sicherheitsrichtlinie, Betriebsvereinbarung) geben.
Tipp: Beziehe frühzeitig Datenschutzbeauftragte und Betriebsrat ein.
Fairness & Vertrauen – das A und O
Wenn deine Phishing-Simulation Mitarbeiter in die Falle lockt, müssen sie am Ende mehr lernen als verlieren. Deshalb:
✅ Keine Namensnennung in Berichten
✅ Individuelles Feedback statt öffentlicher Pranger
✅ Nachbereitung durch Schulung, nicht durch Vorwürfe
✅ Transparente Kommunikation vorab
✅ Simulationen als Lernchance verkaufen – nicht als Test
Best Practices für realistische & faire Simulationen
1. Beginne sanft:
Starte mit einfachen Mails („Ihr Paket ist da“) – keine Hardcore-Fakes wie Chef-Betrug oder Bankdaten in Runde 1.
2. Nutze interne Domains:
z. B. mail-intern.deinefirma.de statt „paypal-support.com“ – das schützt dich vor Missverständnissen.
3. Max. 1 Kampagne pro Quartal:
Nicht übertreiben. Qualität vor Quantität. Weniger ist mehr.
4. Kein Fingerpointing:
Auch die Geschäftsführung kann klicken – wichtig ist der Lerneffekt, nicht der Schuldige.
5. Binde Führungskräfte ein:
Wenn Vorgesetzte mitmachen, steigt die Akzeptanz enorm.
6. Technische Sicherheit beachten:
- Nutze SSL-Zertifikate
- Schütze dein GoPhish-Interface mit starkem Passwort
- Keine Daten speichern, die du nicht brauchst!
Dokumentation & Nachvollziehbarkeit
Halte schriftlich fest:
- Was simuliert wurde
- Wer beteiligt war
- Wie Daten verarbeitet werden
- Wann gelöscht wird
- Welche Maßnahmen daraus folgen
Das schützt dich bei Rückfragen von Datenschutzbehörde, Mitarbeitenden oder Betriebsrat.
Fazit
GoPhish ist kein Spielzeug – es ist ein Trainingswerkzeug mit psychologischer Wirkung. Wenn du es mit Bedacht, Fairness und Transparenz einsetzt, kannst du Großes erreichen: ein sichereres, aufgeklärteres Unternehmen.
Im letzten Kapitel zeigen wir dir, wie du aus den Ergebnissen ein nachhaltiges Awareness-Training entwickelst.
Weiter mit Kapitel 10: Tipps für Awareness‑Training nach der Simulation?
weiter
Dann schließen wir die Reise mit einem starken letzten Kapitel ab:
Kapitel 10: Tipps für Awareness‑Training nach der Simulation
Du hast die Kampagne erfolgreich durchgeführt, alle Daten ausgewertet – und jetzt? Jetzt kommt der entscheidende Schritt: Das Verhalten nachhaltig verbessern. Und das gelingt nur durch cleveres, zielgerichtetes Awareness-Training.
Denn eine Phishing-Simulation allein macht noch niemanden sicher – sie zeigt nur, wo es hakt. Jetzt geht es darum, Wissen aufzubauen, Ängste zu nehmen und Verhalten zu verändern.
1. Ergebnisse anonymisiert besprechen
Statt zu sagen: „Herr Müller hat 3× geklickt“, sag lieber:
„35 % der Teilnehmer haben auf den Link geklickt – das zeigt, wie überzeugend solche Mails sein können.“
So vermeidest du Schuldzuweisungen – und fokussierst auf den Lerneffekt.
2. Interaktive Schulungen statt trockener Vorträge
Niemand will 60 Folien über „IT-Sicherheit“. Mach es lebendig!
- Zeige echte Phishing-Beispiele
- Diskutiere mit dem Team: „Was hättet ihr getan?“
- Lass Mitarbeitende eigene Mails einschätzen (Fake oder echt?)
- Nutze kleine Quizformate oder Gamification
3. Inhalte regelmäßig wiederholen
Einmal schulen = schnell vergessen. Besser:
- Kleine Mikro-Lernhäppchen (z. B. kurze Videos oder Infografiken)
- 1x pro Quartal ein Reminder oder Mini-Kurs
- Wiederkehrende Phishing-Simulationen mit Lernziel-Verknüpfung
4. Positive Fehlerkultur fördern
Niemand klickt aus Dummheit – sondern weil Phishing psychologisch clever gemacht ist. Wenn Mitarbeitende wissen, dass Fehler okay sind, melden sie echte Phishing-Mails in Zukunft schneller.
Baue z. B. einen internen Button oder Prozess ein:
„Diese E-Mail sieht verdächtig aus? → Weiterleiten an security@deinefirma.de“
5. Erfolg messbar machen
Tracke deine Fortschritte:
- Klickrate bei Phishing-Mails vorher/nachher
- Mehr gemeldete Mails an IT?
- Weniger Datenverluste durch Social Engineering?
Das motiviert – und überzeugt auch das Management.
6. Führungskräfte vorleben lassen
Wenn der Chef selbst auf eine Mail hereinfällt – kein Problem. Wenn er danach darüber spricht, ist das ein starkes Signal. Führungskräfte sollten mit gutem Beispiel vorangehen.
7. Awareness ist kein Projekt – es ist Kultur
Langfristige Sicherheit entsteht nicht durch ein einzelnes Tool, sondern durch eine gelebte Kultur. Und die beginnt mit:
- Regelmäßiger Kommunikation
- Wertschätzung für aufmerksames Verhalten
- Integration in Onboarding-Prozesse
Fazit
GoPhish ist mehr als ein Test – es ist ein Weckruf. Und das echte Ziel beginnt danach: Ein Team, das Phishing erkennt, meldet und verhindert. Mit gutem Training, klarer Kommunikation und einem Augenzwinkern wird dein Unternehmen nicht nur sicherer – sondern auch digital reifer.
Häufig gestellte Fragen (FAQ)
<script type=”application/ld+json”>
{
“@context”: “https://schema.org”,
“@type”: “FAQPage”,
“mainEntity”: [
{
“@type”: “Question”,
“name”: “Was ist GoPhish?”,
“acceptedAnswer”: {
“@type”: “Answer”,
“text”: “GoPhish ist ein kostenloses Open-Source-Tool zur Durchführung von Phishing-Simulationen in Unternehmen. Es hilft, Mitarbeitende auf Cyberangriffe vorzubereiten.”
}
},
{
“@type”: “Question”,
“name”: “Ist die Nutzung von GoPhish legal?”,
“acceptedAnswer”: {
“@type”: “Answer”,
“text”: “Ja, solange die Simulation intern, transparent und mit Zustimmung der Beteiligten erfolgt – z. B. über eine Betriebsvereinbarung oder IT-Sicherheitsrichtlinie.”
}
},
{
“@type”: “Question”,
“name”: “Ist GoPhish wirklich kostenlos?”,
“acceptedAnswer”: {
“@type”: “Answer”,
“text”: “Ja, GoPhish ist Open Source und kann ohne Lizenzkosten genutzt werden.”
}
},
{
“@type”: “Question”,
“name”: “Welche technischen Voraussetzungen brauche ich?”,
“acceptedAnswer”: {
“@type”: “Answer”,
“text”: “Einen Rechner oder Server mit Windows, macOS oder Linux, Internetzugang, einen SMTP-Server und Adminrechte.”
}
},
{
“@type”: “Question”,
“name”: “Was brauche ich, um E-Mails mit GoPhish zu versenden?”,
“acceptedAnswer”: {
“@type”: “Answer”,
“text”: “Du brauchst ein SMTP-Profil – z. B. über SendGrid, Mailgun, Amazon SES oder deinen eigenen Mailserver.”
}
},
{
“@type”: “Question”,
“name”: “Können echte Daten bei der Simulation verloren gehen?”,
“acceptedAnswer”: {
“@type”: “Answer”,
“text”: “Nein, bei korrekter Konfiguration werden keine realen Zugangsdaten gespeichert oder weitergegeben.”
}
},
{
“@type”: “Question”,
“name”: “Kann ich Phishing-Simulationen anonym durchführen?”,
“acceptedAnswer”: {
“@type”: “Answer”,
“text”: “Die Auswertung kann anonymisiert erfolgen, aber die Simulation sollte vorher intern transparent angekündigt werden.”
}
},
{
“@type”: “Question”,
“name”: “Wie oft sollte man Phishing-Tests durchführen?”,
“acceptedAnswer”: {
“@type”: “Answer”,
“text”: “Empfohlen wird 1–2 Mal pro Jahr, kombiniert mit Awareness-Trainings. Zu häufige Tests wirken abschreckend.”
}
},
{
“@type”: “Question”,
“name”: “Wie realistisch sollten Phishing-Mails sein?”,
“acceptedAnswer”: {
“@type”: “Answer”,
“text”: “Sie sollten echt wirken, aber nicht so täuschend sein, dass sie Panik oder Misstrauen gegenüber echter interner Kommunikation auslösen.”
}
},
{
“@type”: “Question”,
“name”: “Was passiert, wenn Mitarbeitende auf die Mail hereinfallen?”,
“acceptedAnswer”: {
“@type”: “Answer”,
“text”: “Sie landen auf einer simulierten Landing Page. Dort kann eine Schulungsnachricht angezeigt werden. Die Aktion wird für den Report vermerkt.”
}
},
{
“@type”: “Question”,
“name”: “Wie kann ich Mitarbeitende sensibilisieren?”,
“acceptedAnswer”: {
“@type”: “Answer”,
“text”: “Mit Schulungen, echten Beispielen, Dialogformaten, Quizzen und regelmäßigen Wiederholungen – nicht mit Druck oder Angst.”
}
},
{
“@type”: “Question”,
“name”: “Kann man GoPhish in der Cloud betreiben?”,
“acceptedAnswer”: {
“@type”: “Answer”,
“text”: “Ja, GoPhish kann auf einem VPS oder Cloud-Server (z. B. AWS, Hetzner, Azure) betrieben werden.”
}
},
{
“@type”: “Question”,
“name”: “Was ist ein Landing Page Template?”,
“acceptedAnswer”: {
“@type”: “Answer”,
“text”: “Das ist die Seite, auf die der Link in der Phishing-Mail führt – z. B. ein gefälschtes Login-Formular zur Simulation.”
}
},
{
“@type”: “Question”,
“name”: “Was sind typische Fehler bei der Nutzung von GoPhish?”,
“acceptedAnswer”: {
“@type”: “Answer”,
“text”: “Unrealistische Mails, fehlende Kommunikation mit Mitarbeitenden, rechtlich unsaubere Durchführung oder falscher SMTP-Einsatz.”
}
},
{
“@type”: “Question”,
“name”: “Wie exportiere ich Ergebnisse in GoPhish?”,
“acceptedAnswer”: {
“@type”: “Answer”,
“text”: “Im Kampagnen-Dashboard auf „Export Results“ klicken – dann als CSV oder PDF speichern.”
}
},
{
“@type”: “Question”,
“name”: “Wie lange sollte ich eine Kampagne laufen lassen?”,
“acceptedAnswer”: {
“@type”: “Answer”,
“text”: “2–5 Tage reichen in der Regel. Danach nimmt die Aufmerksamkeit und Effektivität ab.”
}
},
{
“@type”: “Question”,
“name”: “Wie kann ich die Mails personalisieren?”,
“acceptedAnswer”: {
“@type”: “Answer”,
“text”: “Mit Platzhaltern wie {{.FirstName}} oder {{.Email}} in den Templates. Diese werden beim Versand automatisch ersetzt.”
}
},
{
“@type”: “Question”,
“name”: “Kann ich GoPhish automatisieren?”,
“acceptedAnswer”: {
“@type”: “Answer”,
“text”: “Ja, über die GoPhish API lassen sich Kampagnen automatisieren, z. B. für wiederkehrende Schulungszyklen.”
}
},
{
“@type”: “Question”,
“name”: “Welche Schulungsinhalte sollte ich anbieten?”,
“acceptedAnswer”: {
“@type”: “Answer”,
“text”: “Erkennung von Phishing, sichere Passwörter, Social Engineering, sichere Links und interne Meldeprozesse.”
}
},
{
“@type”: “Question”,
“name”: “Gibt es Alternativen zu GoPhish?”,
“acceptedAnswer”: {
“@type”: “Answer”,
“text”: “Ja, z. B. Lucy Security, KnowBe4, PhishMe – allerdings kostenpflichtig. GoPhish bleibt eine starke Open-Source-Alternative.”
}
}
]
}
</script>
Damit ist dein kompletter SEO‑optimierter Blogartikel inklusive Gliederung, 10 Kapiteln und FAQ fertig.
Wenn du möchtest, kann ich jetzt auch noch eine Druckversion, eine PDF, oder eine Variante mit Call‑to‑Action für eure Agenturwebseite erstellen. Sag einfach Bescheid!
