Ein interner Phishing-Test zeigt, wie gut das Team auf echte Angriffe vorbereitet ist — ohne Schuldzuweisungen. Ziel ist Lernen, nicht Erwischen. Das Ergebnis bleibt intern und anonym.
Planung des Tests
Zielgruppe (alle / bestimmte Abteilung)
Szenario gewählt (CEO-Fraud / IT-Support / Paketlieferung / anderes)
Die GL und HR müssen vor dem Test informiert sein. Mitarbeitende werden im Nachgang informiert — nicht vorher.
Muster-Phishing-Mail: CEO-Fraud Szenario
Von: [Vorname Nachname GL] <gl@[firma]-group.ch> (ähnliche Domain, nicht die echte!)
An: [Name Mitarbeitende/r]
Betreff: Dringende Zahlung — vertraulich
Hallo [Name],
Ich bin gerade in einem Meeting und brauche deine Hilfe. Wir müssen sofort eine Zahlung über CHF [Betrag] an einen neuen Lieferanten veranlassen. Die Details schicke ich dir gleich.
Bitte sag niemandem davon — das ist vertraulich und zeitkritisch. Kann ich mich auf dich verlassen?
Danke vielmals
[Name GL]
Gesendet vom iPhone
Erkennungsmerkmale die Mitarbeitende lernen sollen: Andere Domain als gewohnt · Druck und Dringlichkeit · Vertraulichkeit als Abschreckung · Kein Rückruf angeboten · Fehlender normaler Dienstweg
Auswertung nach dem Test
| Kennzahl | Ergebnis |
|---|
| Anzahl versendete Mails | |
| Anzahl Link geklickt / Mail geöffnet und reagiert | |
| Anzahl korrekt erkannt und gemeldet | |
| Reaktionszeit erste Meldung | |
Nachbesprechung — Pflicht
Alle Mitarbeitenden informieren: «Wir haben einen Phishing-Test durchgeführt.»
Ergebnisse anonym präsentieren — keine Einzelpersonen bloss stellen.
Erkläre die Erkennungsmerkmale die im Muster versteckt waren.
Bedanke dich bei den Meldenden — positives Verhalten stärken.
Nächsten Test in 3–6 Monaten planen.