Phishing abwehren: Mitarbeiter-Awareness & Schulung 2026

Inhalt in Kürze

• Der Mensch ist der Hauptangriffsvektor: Rund 60 Prozent aller Sicherheitsvorfälle haben laut Verizon DBIR 2025 einen menschlichen Faktor — Technik allein schützt nicht, geschulte Mitarbeiter sind die letzte Verteidigungslinie.
• Eine Jahresschulung wirkt nicht: Effektiv sind kurze, regelmäßige Trainings plus Phishing-Simulationen plus ein Melde-Button. Gemessen wird über Klickrate (Ziel unter 5 %) und Meldequote (Ziel über 70 %).
• Phishing-Simulationen sind erlaubt — aber nicht ohne Regeln: Rechtsgrundlage ist § 26 BDSG und Art. 6 Abs. 1 lit. f DSGVO. Mit Betriebsrat greift die Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG, und Einzel-Bloßstellung ist tabu.
• Der Rechtschreibfehler-Mythos ist tot: KI macht Phishing sprachlich perfekt. Neue Maschen wie Quishing (QR-Code) und Vishing (Anruf) umgehen klassische Filter — Awareness muss mitwachsen.

Stand: Juni 2026 · Autor: Jens Hagel · Lesezeit: 11 Minuten

Eine gefälschte Rechnung im PDF-Anhang, ein dringender Zahlungswunsch vom vermeintlichen Chef, ein Link, der angeblich vom Microsoft-365-Support kommt — und ein Klick reicht. Die meisten erfolgreichen Cyberangriffe auf Hamburger Mittelständler beginnen nicht mit einer technischen Schwachstelle, sondern mit einer E-Mail an einen Mitarbeiter. Firewall und Virenscanner helfen hier nur begrenzt. Wer Phishing wirklich abwehren will, muss die Menschen schulen, die täglich auf Links klicken. Dieser Artikel zeigt, wie eine Phishing Mitarbeiter Schulung aussieht, die nachweislich wirkt, woran Sie aktuelle Angriffe erkennen — und worauf Sie bei Phishing-Simulationen rechtlich achten müssen.

Warum eine Phishing Mitarbeiter Schulung über alles entscheidet

Die unbequeme Wahrheit: Der Mensch ist die am häufigsten erfolgreich angegriffene Stelle im Unternehmen. Der Verizon Data Breach Investigations Report 2025 beziffert den menschlichen Faktor — Fehlklicks, Social Engineering, fahrlässiger Umgang — bei rund 60 Prozent aller untersuchten Sicherheitsvorfälle (Verizon DBIR). Phishing ist dabei der mit Abstand häufigste Türöffner.

Das Bundesamt für Sicherheit in der Informationstechnik bestätigt das für Deutschland: Im Jahresrückblick 2024 nennt das BSI Phishing und Datenleaks als die größten Bedrohungen (BSI-Pressemitteilung). Im selben Berichtszeitraum wurden laut BSI täglich rund 309.000 neue Schadprogramm-Varianten bekannt — viele davon werden per Phishing-Mail in Unternehmen getragen.

Sie können die beste Technik installieren — solange ein Mitarbeiter unter Zeitdruck auf einen täuschend echten Link klickt, ist das Geld in der Sicherheitsarchitektur teilweise verbrannt. Genau hier setzt Awareness an. Und sie zahlt sich aus: Studien aus der Praxis zeigen, dass regelmäßige Schulungen kombiniert mit Phishing-Simulationen die Klickrate messbar senken (Proofpoint).

Phishing erkennen: die Merkmale, auf die es 2026 ankommt

Bevor man schult, muss klar sein, was geschult wird. Geben Sie Ihren Mitarbeitern keine Liste mit zwanzig Punkten an die Hand — geben Sie ihnen ein Bauchgefühl für die folgenden Muster.

• Absender genau prüfen. Der angezeigte Name sagt nichts. Entscheidend ist die echte E-Mail-Adresse dahinter — und ob die Domain stimmt. „service@microsoft-support.de" ist nicht Microsoft.
• Druck und Dringlichkeit. „Ihr Konto wird in 24 Stunden gesperrt", „sofort überweisen", „letzte Mahnung". Künstlich erzeugte Eile ist das verlässlichste Warnsignal überhaupt.
• Links vor dem Klick prüfen (Hover). Mit der Maus über den Link fahren, ohne zu klicken — passt das Ziel zur erwarteten Domain? Auf dem Smartphone: Link lange gedrückt halten.
• Unerwartete Anhänge. Rechnungen, Bewerbungen, Lieferscheine im Anhang, die niemand erwartet hat. Besonders gefährlich: Office-Dokumente mit Makros und HTML-Anhänge.
• Der Rechtschreib-Mythos ist tot. Früher entlarvten Tippfehler Phishing. KI-generierte Mails sind heute sprachlich perfekt, oft sogar im internen Tonfall des Unternehmens. Verlassen Sie sich nie mehr auf gutes oder schlechtes Deutsch.
• Persönliche Anrede heißt nicht echt. Spear-Phishing und CEO-Fraud (Fake-President) nutzen recherchierte Details: Ihren Namen, Ihre Projekte, den Namen des Chefs. Je persönlicher, desto vorsichtiger.

Neue Maschen: Quishing und Vishing

Die klassische Phishing-Mail ist nur noch ein Kanal. Zwei Varianten umgehen gezielt die Filter:

Quishing (QR-Code-Phishing): Der bösartige Link steckt in einem QR-Code — in einer Mail, auf einem ausgedruckten Brief, sogar auf überklebten Parkautomaten. Weil der Code meist mit dem privaten Smartphone gescannt wird, greift der Schutz des Firmen-Mailservers nicht. Das BSI berichtet, dass QR-Code-Phishing zuletzt vermehrt finanzielle Schäden verursachte (BSI). Die Verbraucherzentrale warnt vor gefälschten QR-Codes in Mails, Briefen und im öffentlichen Raum (Verbraucherzentrale).

Vishing (Voice-Phishing): Der Angriff kommt per Telefon. Ein vermeintlicher IT-Supporter oder Bankmitarbeiter ruft an und lotst das Opfer durch eine „dringende” Aktion — oft kombiniert mit einer vorher gesendeten Mail, um glaubwürdig zu wirken.

Ein Awareness-Programm, das wirklich wirkt

Der häufigste Fehler: einmal im Jahr eine 90-minütige Frontalschulung, alle nicken, drei Wochen später ist alles vergessen. Awareness funktioniert wie Sport — nur kontinuierlich. So bauen wir es bei Mandanten auf:

1. Baseline messen. Starten Sie mit einer ersten, unangekündigten Phishing-Simulation (Betriebsrat vorher einbinden, siehe unten). Sie liefert die Ausgangs-Klickrate — ohne Schuldzuweisung, nur als Messwert. Ohne Baseline können Sie keinen Fortschritt belegen.
2. Kurze Trainings statt Jahres-Frontalschulung. 5 bis 15 Minuten pro Quartal, ein Thema pro Einheit (heute Absender, nächstes Mal Quishing). Kurz, konkret, alltagsnah. Microlearning bleibt hängen, das Jahres-Webinar nicht.
3. Phishing-Simulationen über das Jahr verteilt. Realistische Test-Mails in zufälligen Abständen. Wer klickt, landet auf einer freundlichen Lernseite statt in einer Falle — Aha-Moment statt Bloßstellung.
4. Meldekultur mit Melde-Button etablieren. Ein Klick im Mailprogramm, der eine verdächtige Mail direkt an die IT meldet. Das senkt die Hürde und macht aus jedem Mitarbeiter einen Sensor. Wichtig: Melden wird gelobt, nie sanktioniert.
5. Messen und nachsteuern. Klickrate, Meldequote und Abschlussquote im Blick behalten, Schwerpunkte anpassen. Awareness ist ein Regelkreis, kein Projekt mit Enddatum.

Welche KPIs zählen wirklich

Viele Verantwortliche starren auf die Klickrate. Die ist wichtig — aber die Meldequote ist der bessere Indikator für eine gesunde Sicherheitskultur. Ein Team, das verdächtige Mails meldet, fängt auch die ab, die durch jeden Filter rutschen.

Zielwerte als grobe Orientierung aus der Praxis (advisori). Entscheidend ist der Trend über die Zeit, nicht der absolute Wert eines einzelnen Tests.

Phishing-Simulationen rechtssicher durchführen

Hier wird es heikel — und hier scheitern viele gut gemeinte Programme. Eine Phishing-Simulation verarbeitet personenbezogene Daten Ihrer Beschäftigten (wer hat geklickt, wer gemeldet). Das ist Beschäftigtendatenschutz, und der hat klare Leitplanken.

Vier Grundregeln, die wir jedem Mandanten mitgeben:

• Betriebsrat früh einbinden. Nicht informieren, wenn alles steht — gemeinsam gestalten. Die Zustimmung nach BetrVG ist Pflicht, sobald Verhalten oder Leistung erfasst werden können. Mehr dazu im Beitrag zum Beschäftigtendatenschutz.
• Keine Einzel-Bloßstellung. Werten Sie aggregiert aus — Klickrate der Abteilung, nicht „Frau Meier hat geklickt". Namenslisten von Klickern, Aushänge oder Abmahnungen sind tabu und torpedieren jede Meldekultur.
• Strikte Zweckbindung. Die Daten dienen ausschließlich der Awareness-Messung — nicht der Leistungskontrolle, nicht der Personalakte. Das gehört in die Betriebsvereinbarung.
• Transparenz statt Falle. Mitarbeiter müssen vorab wissen, dass Simulationen stattfinden (nicht wann). Wer klickt, bekommt ein Lernangebot, keine Strafe. Die Botschaft: Wir trainieren gemeinsam, wir prüfen niemanden.

Dass der Betriebsrat einzubeziehen ist, ist auch in der Fachliteratur klar herausgearbeitet: Phishing-Simulationen lösen in Deutschland zuverlässig die Mitbestimmung aus, und die datenschutzrechtlichen Aspekte müssen vor dem Start geklärt sein (datenschutz-praxis.de).

Was tun, wenn jemand geklickt hat?

Es wird passieren. Bei guter Awareness seltener — aber null ist unrealistisch. Entscheidend ist, was in den ersten Minuten danach geschieht. Geben Sie Ihren Mitarbeitern einen einfachen, angstfreien Meldeprozess an die Hand:

1. Sofort melden, nicht verstecken. Lieber einmal zu oft melden. Wer Angst vor Ärger hat, schweigt — und schweigen kostet Zeit, in der sich der Angreifer ausbreitet.
2. Gerät vom Netz trennen. WLAN aus, Netzwerkkabel ziehen. Nichts weiter anklicken, nichts „reparieren", keine weiteren Dateien öffnen.
3. Zugangsdaten ändern. Wurden Passwörter eingegeben, sofort ändern und aktive Sitzungen beenden. MFA-Token zurücksetzen. Genau hier zeigt sich der Wert von MFA im Unternehmen: Sie bremst die Übernahme auch dann, wenn das Passwort schon weg ist.
4. IT und Datenschutzbeauftragten informieren. Beide bewerten, ob personenbezogene Daten abgeflossen sind — und damit, ob eine Meldepflicht greift.

Führt der Klick zu einem Datenabfluss oder gar zu Ransomware, läuft die Uhr: Eine meldepflichtige Datenpanne muss binnen 72 Stunden beim HmbBfDI gemeldet werden (Art. 33 DSGVO). Wie das konkret abläuft, lesen Sie im Beitrag zur 72-Stunden-Frist. Und falls aus dem Klick ein Verschlüsselungsangriff wird, hilft die Schritt-für-Schritt-Anleitung im Beitrag Ransomware — was tun.

Aus der Praxis

Keine Frage ist doof. Oft hilft es schon, wenn Mitarbeiter eine Phishing-Mail schnell weitergeben oder kurz nachfragen können — und zeitnah eine Rückmeldung vom Datenschutzbeauftragten bekommen. Genau diese niedrige Hürde entscheidet darüber, ob ein Angriff im Keim erstickt oder sich ausbreitet. Awareness ist keine einmalige Schulung, sondern eine Kultur, in der Melden selbstverständlich und nie peinlich ist.

Nils OehmichenExterner Datenschutzbeauftragter bei frag.hugo

So unterstützt frag.hugo bei Awareness und Phishing-Schutz

Awareness lässt sich nicht auf einer Folie kaufen. In unserer Plattform Hugo DSB ist die Phishing-Simulation ab dem Tarif Pro enthalten — inklusive realistischer Test-Mails, aggregierter Auswertung ohne Einzel-Bloßstellung und Vorlagen für die Betriebsvereinbarung. Dazu kommen KI-gestützte Schulungen, mit denen Mitarbeiter in kurzen, wiederkehrenden Einheiten lernen, statt einmal im Jahr ein Webinar abzusitzen.

Den passenden Tarif wählen Sie nach Unternehmensgröße:

Alle Tarife laufen mit Datenverarbeitung zu 100 Prozent in Deutschland und sind in der Regel in sieben Werktagen startklar. Den Festpreis für Ihre Mitarbeiterzahl ermitteln Sie direkt über unseren Angebotsrechner.

Häufige Fragen (FAQ)

Wie oft sollten Mitarbeiter zu Phishing geschult werden?

Eine einmalige Jahresschulung reicht nicht. Wirksam sind regelmäßige Kurz-Trainings von 5 bis 15 Minuten pro Quartal, kombiniert mit Phishing-Simulationen über das Jahr verteilt. Awareness ist ein laufender Prozess, kein Termin. Neue Mitarbeiter sollten direkt im Onboarding geschult werden, bevor sie Zugriff auf E-Mail und Systeme bekommen.

Sind Phishing-Simulationen rechtlich erlaubt?

Ja, simulierte Phishing-Kampagnen sind in Deutschland grundsätzlich zulässig. Rechtsgrundlage ist das berechtigte Interesse an IT-Sicherheit nach Art. 6 Abs. 1 lit. f DSGVO und § 26 BDSG. Wichtig: Gibt es einen Betriebsrat, ist die Maßnahme nach § 87 Abs. 1 Nr. 6 BetrVG mitbestimmungspflichtig. Die Auswertung muss zweckgebunden und ohne Einzel-Bloßstellung erfolgen — keine Namenslisten der Klicker.

Woran erkenne ich eine Phishing-Mail?

Typische Merkmale sind ein erzeugter Zeitdruck oder eine Drohung, ein abweichender Absender hinter dem angezeigten Namen, Links, deren Ziel beim Mouseover nicht zur erwarteten Domain passt, sowie unerwartete Anhänge. Der Mythos vom schlechten Deutsch stimmt nicht mehr: KI-generierte Phishing-Mails sind sprachlich perfekt. Verlassen Sie sich auf Kontext und Absender, nicht auf Rechtschreibung.

Was ist Quishing?

Quishing ist Phishing über QR-Codes. Angreifer drucken oder mailen einen QR-Code, der auf eine gefälschte Login-Seite führt. Da der Code meist mit dem privaten Smartphone gescannt wird, greifen die Schutzmechanismen des Firmen-Mailservers nicht. Laut BSI verursachte QR-Code-Phishing zuletzt vermehrt finanzielle Schäden. Mitarbeiter sollten QR-Codes aus E-Mails grundsätzlich misstrauisch begegnen.

Was soll ein Mitarbeiter tun, der auf einen Phishing-Link geklickt hat?

Sofort melden, nicht verstecken. Der Mitarbeiter trennt das Gerät vom Netz, ändert nichts auf eigene Faust und informiert IT und Datenschutzbeauftragten umgehend. Wer Zugangsdaten eingegeben hat, muss das betroffene Passwort sofort ändern und MFA-Sitzungen zurücksetzen. Entscheidend ist eine angstfreie Meldekultur — je schneller die Meldung, desto kleiner der Schaden.

Bringt Security-Awareness-Training wirklich messbar etwas?

Ja, wenn man es richtig aufsetzt und misst. Übliche KPIs sind die Phishing-Klickrate (Zielwert unter 5 Prozent), die Meldequote über den Melde-Button (Ziel über 70 Prozent) und die Abschlussquote der Trainings. Über regelmäßige Simulationen sinkt die Klickrate messbar, und die Meldequote steigt — das ist der eigentliche Erfolgsindikator, nicht nur weniger Klicks.

Recherche-Stand: verifiziert am 6. Juni 2026 über BSI (Lagebericht 2024, Jahresrückblick, Phishing-Webseiten), Verizon DBIR 2025, Verbraucherzentrale, datenschutz-praxis.de und advisori.