Security-Awareness-Programm & Phishing-Simulation im KMU aufbauen: Tool-Vergleich, Ablauf & DSGVO/Betriebsrat

Einmalige Phishing-Tests verpuffen wirkungslos – nachhaltige IT-Sicherheit entsteht nur, wenn du Security-Awareness als wiederkehrendes Programm betreibst. Diese Anleitung zeigt dir, wie du im KMU eine rechtssichere Kampagne mit Phishing-Simulation aufbaust: von der Anbieterauswahl über DSGVO und Betriebsvereinbarung bis hin zur 12-Monats-Kampagnenstruktur und den KPIs, die Auditoren und Cyber-Versicherungen verlangen.

Voraussetzungen

• Microsoft 365 E5 oder Defender for Office 365 Plan 2 (ca. 5,20 EUR/User/Monat als Add-on) – nur für Microsoft Attack Simulation Training
• Für GoPhish: Docker-Host oder Linux-Server (min. 1 vCPU, 512 MB RAM), eigene Test-Domain mit SPF/DKIM/DMARC, SMTP-Relay
• Betriebsvereinbarung nach § 87 Abs. 1 Nr. 6 BetrVG (bei vorhandenem Betriebsrat) – muss vor dem ersten Test unterzeichnet sein
• Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO mit dem gewählten Plattformanbieter
• Datenschutzfolgenabschätzung (DSFA) bei US-Anbietern oder Hochrisikoverarbeitung
• E-Mail-Verteiler aller Mitarbeitenden (CSV: E-Mail, Vorname, Nachname, Abteilung)
• Stakeholder eingebunden: Geschäftsführung, IT-Leitung, Datenschutzbeauftragter (DSB), Betriebsrat
• Budget: 2 EUR/User/Monat (Hornetsecurity) bis ca. 9 EUR/User/Monat (SoSafe Basic)

Schritt 1: Anbieter auswählen – Vergleich SoSafe, Hornetsecurity, Microsoft, GoPhish

Die Wahl des richtigen Tools entscheidet über Aufwand, Kosten und Rechtsrisiko. Die folgende Tabelle fasst die vier marktrelevanten Optionen für den DACH-Raum zusammen:

Anbieter	Preis (EUR/User/Monat)	Sprachen	Hosting	DSGVO-Risiko	Besonderheiten
Hornetsecurity	ab 2,00 (Einzelservice); Plan 4 Compliance & Awareness: 10,00 (Promo bis 06/2026, danach 12,00)	32 (inkl. DE/AT/CH)	EU	gering	M365-integriert, neue KI-Szenarien seit 06/2025, aktives Partnerprogramm
SoSafe	Basic ~9, Pro ~29, Enterprise auf Anfrage	bis 30	EU (ISO 27001)	gering	Gamification, MSP-Plattform seit Mitte 2025, DSGVO-konform
Microsoft Attack Simulation	in M365 E5 enthalten; Add-on Defender Plan 2 ~5,20	mehrere (begrenzt)	MS Cloud	mittel	Tiefe M365-Integration, Automatisierung via PowerShell, E3 nur Testfunktionen
GoPhish (Open Source)	0 (Self-Hosted)	beliebig (eigene Templates)	selbst	eigene Verantwortung	Voller API-Zugriff, hoher Betriebsaufwand, SMTP-Setup erforderlich
KnowBe4	auf Anfrage	sehr viele	USA	hoch (DSFA + SCC nötig)	Größte Template-Bibliothek; DSFA-Pflicht für EU-Kunden

Empfehlung für KMU bis 50 Nutzer: Hornetsecurity ist preislich führend und vollständig M365-integriert. GoPhish ist kostenlos, setzt aber technisches Know-how für Betrieb, SMTP-Konfiguration und Template-Erstellung voraus. Microsoft Attack Simulation lohnt sich, wenn M365 E5 oder Defender Plan 2 bereits lizenziert ist. US-Anbieter (KnowBe4, Proofpoint) erfordern eine vollständige DSFA inkl. Transfer Impact Assessment und Standardvertragsklauseln (SCC).

Schritt 2: Rechtliche Grundlagen schaffen – Betriebsvereinbarung und DSGVO

Bevor du eine einzige Simulation startest, müssen die rechtlichen Weichen gestellt sein. Phishing-Simulationen sind technische Einrichtungen zur Verhaltensüberwachung im Sinne von § 87 Abs. 1 Nr. 6 BetrVG – laut BAG genügt bereits die Eignung zur Auswertung, nicht erst die tatsächliche Auswertung. Ohne Betriebsvereinbarung kann der Betriebsrat die Plattform jederzeit abschalten lassen.

Die Betriebsvereinbarung muss mindestens enthalten:

• Zweckbeschränkung: ausschließlich Awareness, keine Leistungskontrolle
• Nutzungsverbot für arbeitsrechtliche Maßnahmen
• Aggregation auf Abteilungsebene (Mindestgruppe: 5 Personen)
• Aufbewahrungsfrist für Rohdaten: 12–24 Monate, danach Löschung
• Einsichtsrecht der betroffenen Person (Art. 15 DSGVO)

Musterparagraph für die Betriebsvereinbarung:

§ 5 Auswertung und Berichterstattung
(1) Ergebnisse der Phishing-Simulationen werden ausschließlich auf
    aggregierter Ebene ausgewertet (Mindestgruppe: 5 Beschäftigte).
(2) Individuelle Ergebnisse sind nur der betroffenen Person sowie
    dem Security-Team zugänglich. HR und direkte Vorgesetzte
    erhalten keinen Zugriff auf personenbezogene Simulationsdaten.
(3) Rohdaten werden nach 12 Monaten gelöscht; aggregierte
    Statistiken können für Audit-Zwecke länger aufbewahrt werden.

DSGVO-Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an IT-Sicherheit) – eine Einwilligung im Arbeitsverhältnis ist ungeeignet, da die erforderliche Freiwilligkeit fehlt. Schließe vor Plattformbuchung zwingend einen AVV nach Art. 28 DSGVO ab und bestehe auf EU-Rechenzentrum. Weitere Hinweise zur DSGVO-konformen Auftragsverarbeitung findest du in der Anleitung DSGVO TOMs und Auftragsverarbeitung in der Praxis.

Kein Betriebsrat vorhanden? Dann entfällt § 87 BetrVG, aber du solltest dennoch eine schriftliche Richtlinie (Dienstanweisung) erstellen, die Zweck, Datenverarbeitung und Anonymisierungsprinzipien dokumentiert – für DSGVO-Nachweise und Versicherungsanfragen.

Schritt 3: GoPhish selbst hosten (kostenlose Alternative)

GoPhish läuft als Docker-Container und ist in wenigen Minuten betriebsbereit. Wichtig: Verwende für Simulationen eine eigene Test-Domain (z. B. it-test-contoso.de), nicht deine Produktivdomain.

# GoPhish: Docker-Start
docker run -d --name gophish \
  -p 3333:3333 \
  -p 8080:8080 \
  gophish/gophish
# Web-Admin-UI: https://localhost:3333
# Phishing-Landingpages: http://localhost:8080
# Standard-Login: admin / [Zufallspasswort aus Startlog]
docker logs gophish

Sending Profile (SMTP) über die REST-API konfigurieren:

# GoPhish: Sending Profile via REST-API
POST /api/sending-profiles/
{
  "name": "Interner Relay",
  "from": "it-support@example.com",
  "host": "smtp.example.com:587",
  "username": "phish-sim@example.com",
  "password": "GEHEIM",
  "ignore_cert_errors": false,
  "headers": [
    {"key": "X-Mailer", "value": "SimulationTest"}
  ]
}

Baseline-Kampagne starten:

# GoPhish: Kampagne starten via API
POST /api/campaigns/
{
  "name": "Baseline Q1 2025",
  "template": {"name": "Teams-Einladung"},
  "url": "http://phish.intern.example.com",
  "page": {"name": "Microsoft-Login-Clone"},
  "smtp": {"name": "Interner Relay"},
  "groups": [{"name": "Alle Mitarbeiter"}],
  "launch_date": "2025-09-01T08:00:00+02:00",
  "send_by_date": "2025-09-05T17:00:00+02:00"
}

Ergebnisse exportieren:

# GoPhish: Phishing-Report exportieren (JSON via API)
GET /api/campaigns/1/results
Authorization: Bearer <API_KEY>
# Ausgabe: JSON mit Feldern sent/opened/clicked/submitted_data/email_reported
# CSV-Export in UI: Campaigns > [Name] > Export Results as CSV

Schritt 4: Microsoft Attack Simulation Training einrichten

Wenn M365 E5 oder Defender for Office 365 Plan 2 bereits lizenziert ist, nutzt du das eingebaute Attack Simulation Training. E3-Kunden erhalten nur eingeschränkten Testzugang (eine Vorlage, keine Automatisierung). Das Portal erreichst du unter https://security.microsoft.com/attacksimulator?viewid=simulations.

# Microsoft Attack Simulation: Neue Simulation per PowerShell
# Voraussetzung: ExchangeOnlineManagement-Modul + Rolle 'Attack Simulator Administrator'
Connect-ExchangeOnline -UserPrincipalName admin@contoso.com

# Simulationsauftrag (Credential Harvest) starten:
New-AttackSimulationSimulation `
  -DisplayName "Phishing Q1 2025" `
  -SimulationContentType CredentialHarvest `
  -Payload "Free Starbucks gift" `
  -TargetedUsers @{RecipientFilter='all'} `
  -TrainingSetting @{TrainingAssignmentType=AutoAssignment}

Für monatlich wiederkehrende Simulationen nutzt du den Automations-Tab:

# Microsoft 365: Simulation Automation erstellen
# Pfad: https://security.microsoft.com/attacksimulator?viewid=automations
New-AttackSimulationAutomation `
  -DisplayName "Monatliche Phishing-Sim" `
  -SimulationCreationRequest @{
    PayloadSource = 'Tenant';
    RecurrenceInterval = 'Monthly';
    EndDate = '2026-12-31'
  }

Wichtig: Damit Simulationslinks nicht von Microsoft Defender Safe Links blockiert werden, musst du die Simulations-IPs und -Domains unter Microsoft 365 Defender > Richtlinien > Angriffssimulationstraining > Einstellungen > Simulation Delivery IPs eintragen. Mehr zur Defender-Konfiguration findest du in Microsoft Defender for Office 365: Phishing-Schutz einrichten.

Schritt 5: Hornetsecurity Security Awareness Service einrichten

Hornetsecurity ist der einstiegsfreundlichste kommerzielle Anbieter für KMU im DACH-Raum. Ab 2,00 EUR/User/Monat erhältst du fertige Phishing-Templates (seit Juni 2025: 18 neue Szenarien inkl. KI-generierte E-Mails, Zollbetrug, ISO-27001-Audit-Mails), automatisiertes Just-in-Time-Training und Reporting auf Abteilungsebene.

# Hornetsecurity: Nutzer-Synchronisation via CSV
# Verwaltungsportal: https://admin.hornetsecurity.com
# Pfad: Control Panel > Security Awareness > User Management > Import
# CSV-Format:
email;firstname;lastname;department;manager_email
max.mustermann@example.com;Max;Mustermann;IT;chef@example.com
anna.beispiel@example.com;Anna;Beispiel;Buchhaltung;chef@example.com

Alternativ synchronisierst du Nutzer über Azure AD Connect, wenn dein Mandant bereits mit Entra ID verbunden ist. Weitere Hinweise zur Benutzerverwaltung in Entra ID findest du in der Anleitung Entra ID: Benutzer, Gruppen und Lizenzen verwalten.

Schritt 6: 12-Monats-Kampagnenstruktur umsetzen

Ein einmaliger Phishing-Test reicht weder für einen nachhaltigen Lerneffekt noch für NIS2-Nachweise. Die folgende Struktur hat sich als praxistauglich erwiesen:

Phase	Monate	Szenario / Maßnahme	Ziel
Baseline	1–2	Mittelschwere Vorlage (z. B. generische Teams-Einladung); alle Mitarbeitenden	Ausgangswert Klickrate messen
Erstes Training	3–4	Just-in-Time-Training für Klicker:innen (90-Sek.-Video + Quiz unmittelbar nach Klick)	Lernerfolg nach Baseline sichern
Vertiefung	5–8	Szenarien nach Funktionsgruppe (Buchhaltung: CEO-Fraud; IT: Fake-Helpdesk; HR: Bewerbungsmail); steigende Schwierigkeit	Klickrate unter 15 % je Gruppe
Risikoszenarien	9–12	KI-generierte Spear-Phishing-Mails, Passkey-Betrug, NIS2-Compliance-Mails; Jahresbericht für GF und BR	Klickrate < 10 %, Meldequote > 30 %

KPI-Benchmarks: Zu Kampagnenbeginn liegt die Klickrate in Risikobranchen typisch bei 20–35 %. Nach 12 Monaten gelten unter 10 % Klickrate und über 30 % Meldequote (Phishing-Mails korrekt gemeldet) als Benchmark für Audits und Cyber-Versicherungsnachweise.

NIS2-Relevanz: Seit dem 6. Dezember 2025 gilt NIS2 in Deutschland; betroffene Unternehmen mussten sich bis zum 6. März 2026 beim BSI registrieren. Dokumentierte Awareness-Maßnahmen mit messbaren KPIs sind Bestandteil des nach NIS2 Art. 21 geforderten Risikomanagements. Das BSI nennt Security Awareness explizit als Pflichtmaßnahme. Klickraten-Trends über 12 Monate sind belastbares Audit-Material. Cyber-Versicherungen prüfen ab 2025/2026 dokumentierte Awareness-Maßnahmen als Deckungsvoraussetzung – ein Ransomware-Vorfall kostet laut IBM-Daten im Gesundheitsbereich durchschnittlich 4,88 Mio. USD. Einen Einstieg in die Notfallplanung bietet die Anleitung Ransomware-Notfallplan: Die ersten 60 Minuten.

Troubleshooting / Typische Fehler

• Betriebsvereinbarung fehlt: Simulation läuft bereits, der Betriebsrat erhält Wind davon – sofortiger Stopp, Vertrauensschaden. Fix: BV immer VOR dem ersten Test abschließen; mündliche Absprachen genügen nicht.
• AVV fehlt oder unvollständig: DSGVO-Bußgeld bis 4 % des weltweiten Jahresumsatzes oder 20 Mio. EUR. Fix: AVV vor Plattformbuchung unterzeichnen, auf EU-Rechenzentrum bestehen.
• GoPhish-E-Mails landen im Spam: Fehlende SPF/DKIM/DMARC führen zu Klickrate 0 % (falsches Negativ). Fix: Test-Domain mit SPF/DKIM/DMARC absichern; in Microsoft 365 Advanced Delivery die Simulations-IP als Phishing-Simulation-Ausnahme eintragen.
• Microsoft Attack Simulation startet nicht – „You need an eligible license": E3-Kunden erhalten nur Testfunktionen. Fix: Defender for Office 365 Plan 2 als Add-on hinzufügen (ca. 5,20 EUR/User/Monat).
• Simulationslinks werden von Safe Links blockiert: Microsoft Defender schreibt Links in Echtzeit um und blockiert sie, bevor der Nutzer klicken kann. Fix: In Microsoft 365 Defender > Angriffssimulationstraining > Einstellungen die Simulations-IPs als „Simulation Delivery IPs" eintragen.
• Individuelle Ergebnisse werden weitergegeben: Vorgesetzte fragen nach „Wer hat geklickt?" – führt zu Blame-Kultur, Vertrauensbruch, BetrVG-Verstoß. Fix: Rollenkonzept im Tool so setzen, dass Manager nur Teamaggregate ≥ 5 Personen sehen; BV verbietet individuelle Auswertung durch Führungskräfte.
• Zu schwere Erstvorlage: 60 % Klickrate bei der ersten Simulation erzeugt Panik und Widerstand. Fix: Mit mittelschwerer Vorlage starten (generische Teams-Einladung), Ergebnisse als Lernchance kommunizieren.
• Keine Folge-Schulung nach Klick: Simulation ohne Just-in-Time-Training hat nachweislich geringen Lerneffekt. Fix: Plattform so konfigurieren, dass Klicker:innen unmittelbar nach dem Klick eine kurze Lerneinheit erhalten (90-Sek.-Video + Quiz), nicht erst Wochen später.
• Kampagne wird angekündigt: „Achtung, nächste Woche kommt ein Phishing-Test" – das Ergebnis ist wertlos. Fix: BV erlaubt jederzeit nicht angekündigte Simulationen; einmalige Jahresinformation an die Belegschaft reicht für Transparenz.
• DSFA vergessen bei US-Anbieter: KnowBe4 und Proofpoint hosten Daten in den USA; ohne DSFA + Transfer Impact Assessment + SCC ist die Verarbeitung nach Schrems-II-Rechtsprechung rechtswidrig. Fix: EU-Anbieter bevorzugen (SoSafe, Hornetsecurity) oder vollständige TIA-Dokumentation anlegen.

Häufige Fragen

Brauche ich als KMU ohne Betriebsrat eine Betriebsvereinbarung?

Nein – wenn kein Betriebsrat existiert, entfällt die Mitbestimmungspflicht nach § 87 BetrVG. Dennoch empfiehlt sich eine schriftliche Richtlinie (Dienstanweisung), die Zweck, Datenverarbeitung und Anonymisierungsprinzipien dokumentiert – auch für DSGVO-Nachweiszwecke und Versicherungsanfragen.

Welcher Anbieter eignet sich für KMU bis 50 Nutzer?

Hornetsecurity Security Awareness Service (ab 2 EUR/User/Monat) ist preisführend und vollständig M365-integriert. GoPhish ist kostenlos, erfordert aber technisches Know-how für Betrieb, SMTP-Konfiguration und Template-Erstellung. Microsoft Attack Simulation ist sinnvoll, wenn M365 E5 oder Defender Plan 2 bereits lizenziert ist.

Dürfen Mitarbeitende erfahren, ob sie auf eine Simulation hereingefallen sind?

Ja – die betroffene Person hat das Recht, ihre eigenen Ergebnisse einzusehen (Art. 15 DSGVO). Was verboten ist: die individuelle Weitergabe an Vorgesetzte oder HR für personalrechtliche Zwecke.

Wie oft sollte eine Phishing-Simulation durchgeführt werden?

Empfehlung: 4 bis 6 Simulationen pro Jahr (alle 6–8 Wochen), kombiniert mit monatlichen Micro-Learning-Modulen. Nur einmal jährlich zu simulieren genügt weder für einen nachhaltigen Lerneffekt noch für einen NIS2-Nachweis.

Zählt Phishing-Simulation als NIS2-Nachweis?

Ja – dokumentierte Awareness-Maßnahmen mit messbaren KPIs (Klickrate, Schulungsquote, Meldequote) sind Bestandteil des nach NIS2 Art. 21 geforderten Risikomanagements. Das BSI nennt Security Awareness explizit als Pflichtmaßnahme. Klickraten-Trends über 12 Monate sind belastbares Audit-Material.

Wie verhindere ich, dass Simulationsmails als Spam gefiltert werden?

Drei Maßnahmen: (1) Absender-Domain mit SPF, DKIM und DMARC absichern, (2) Simulations-IP/-Domain in Microsoft 365 „Advanced Delivery" (Phishing-Simulation-Ausnahme) als vertrauenswürdig markieren, (3) bei SaaS-Anbietern immer die offiziell bereitgestellten Whitelist-IPs des Dienstleisters verwenden.

Fazit

Ein Security-Awareness-Programm ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess. Der größte Fehler in der Praxis ist nicht die falsche Toolwahl, sondern das Überspringen der rechtlichen Grundlagen: Ohne Betriebsvereinbarung und AVV bist du im DACH-Raum angreifbar – egal wie gut die Phishing-Simulation technisch konfiguriert ist. Wenn die Rechtsbasis steht, entscheidet die konsequente Umsetzung der 12-Monats-Struktur über den messbaren Erfolg. Eine Klickrate unter 10 % nach einem Jahr ist erreichbar – und öffnet Türen bei Auditoren, beim BSI und bei der Cyber-Versicherung.

Weiterführende Anleitungen und Quellen

• Phishing erkennen und melden: Leitfaden für das Team
• DSGVO TOMs und Auftragsverarbeitung in der Praxis
• Microsoft Defender for Office 365: Phishing-Schutz einrichten
• Ransomware-Notfallplan: Die ersten 60 Minuten
• Zwei-Faktor-Authentifizierung (2FA/MFA) einführen

Quellen: Microsoft Learn: Simulieren eines Phishing-Angriffs – Attack Simulation Training (learn.microsoft.com); Hornetsecurity Release Notes: Security Awareness Service, neue Szenarien ab 23.06.2025 (hornetsecurity.com); GoPhish auf GitHub – Open-Source Phishing Toolkit (github.com/gophish/gophish); SoSafe: NIS2-Checkliste für Deutschland 2025/2026 (sosafe-awareness.com); Entropy Cybersecurity: Phishing-Simulation rechtssicher – BetrVG, DSGVO, Betriebsrat (entropy-cybersecurity.com); BSI IT-Grundschutz-Kompendium, Baustein ORP.3 (bsi.bund.de).