Phishing-Awareness mit KI — wie eine ehrliche Simulation in deiner Firma aussieht

Worum es hier geht — und worum nicht

Worum es geht: Wie du in deiner Firma eine sinnvolle Phishing-Simulation aufsetzt, die Mitarbeiter nicht beleidigt, sondern aufweckt. Wie KI dabei hilft, realistische Mails zu schreiben statt der erkennbaren Templates aus 2015. Wie du das messbar machst und was du mit den Ergebnissen tust.

Worum es nicht geht: Anleitung zum tatsächlichen Phishing fremder Personen oder Firmen. Das ist in Deutschland strafbar (§§ 263, 263a StGB plus DSGVO-Verstoß) und wir gehen hier konsequent davon aus, dass du eine schriftliche Beauftragung hast oder die eigene Firma testest. Wenn du diesen Kontext nicht hast, lies hier nur die Defense-Sektion.

Ich hab im März eine vierwöchige Awareness-Kampagne für einen Mittelstands-Kunden mit 80 Mitarbeitern begleitet. Hier die ehrlichen Zahlen und das Setup.

Warum Phishing-Simulationen 2026 anders sind

Drei Faktoren haben sich seit 2023 verschoben:

Erstens: KI-generierte Phishing-Mails sind nicht mehr erkennbar an Tippfehlern oder schlechtem Deutsch. Wer sich darauf verlässt "schau auf die Rechtschreibung", trainiert seine Leute mit veralteten Signalen. Reale Phishing-Mails 2026 lesen sich wie HR-Kommunikation.

Zweitens: Spear-Phishing ist günstiger geworden. Was früher Aufwand pro Ziel war (LinkedIn-Recherche, Tonality-Anpassung), kostet jetzt 2 Cent LLM-Cost pro Mail. Massenhaft personalisiert ist jetzt Standard.

Drittens: Mitarbeiter sind erschöpft von Awareness-Theater. Quartalsweise PowerPoint mit "klick nicht auf verdächtige Links" wird ignoriert. Was funktioniert: konkrete, wiederholbare Trainings die das echte Verhalten messen.

Eine ehrliche Simulation respektiert all das.

Setup — was du brauchst

1. Schriftliche Beauftragung. Vor allem anderen. Das ist nicht optional. Schriftform vom Geschäftsführer oder beauftragten Vorstand. Inhalt: Scope (welche Mitarbeiter), Zeitraum, Datenschutz-Regelung (was wird mit den Klick-Daten gemacht), Eskalations-Path.

Ohne dieses Dokument ist die Aktion strafbar — auch in der eigenen Firma.

2. Gophish-Server. Das ist der Open-Source Standard. Läuft auf einem VPS, schickt die Test-Mails, trackt Klicks und Submissions.

# Auf einem separaten VPS (NICHT auf Firmen-Infrastruktur)
docker run -d --name gophish \
  -p 127.0.0.1:3333:3333 \
  -p 127.0.0.1:8080:8080 \
  -v gophish-data:/opt/gophish \
  gophish/gophish:0.12.1

Der Admin-Port (3333) muss hinter einem VPN oder SSH-Tunnel sein. Der SMTP-Port (8080) ist für die Awareness-Landing-Page nach dem Klick.

3. Separate Awareness-Domain. Niemals von der Firmen-Domain testen. Du brauchst eine Domain wie it-security-info.de oder mein-firmenportal.de, die ähnlich genug aussieht für realistische Tests, aber klar als Test-Infrastruktur dokumentiert ist.

DNS, MX-Records, SPF, DKIM — alles korrekt für die Awareness-Domain. Sonst landet alles im Spam und du misst nichts.

4. Awareness-Landing-Page. Was passiert nach dem Klick? Pflicht: Eine sofortige, ruhige Aufklärung. Kein "GOTCHA!"-Banner, keine öffentliche Liste der Geklickten. Empfehlung: Eine kurze Seite die erklärt was die Test-Mail verraten hat (3-5 Indikatoren), plus ein 90-Sekunden-Video zum Thema.

KI-Einsatz beim Copy-Schreiben

Hier wird der Artikel praktisch. Mein Prompt-Setup für Claude:

Du hilfst mir bei einer AUTORISIERTEN Phishing-Awareness-Simulation. 
Schriftliche Beauftragung von [Firma] liegt vor. 
Ziel: realistische Test-Mails die NICHT triviale Trigger nutzen.

Mitarbeiter-Profil (öffentlich verfügbar von LinkedIn):
- Name: [Vorname]
- Rolle: [Rolle]
- Abteilung: [Abteilung]
- Bekannte Tools (aus Stack-Listings auf LinkedIn): [Tools]

Schreib eine deutsche Test-Mail im Stil "interne IT-Kommunikation":
- Absender: it-support@[awareness-domain].de
- Betreff: kurz, plausibel, nicht alarmierend
- Body: 3-5 Sätze, höflich, mit einem Call-to-Action
- Indikator-Pflicht: 3 dezente Anzeichen die ein geschulter User 
  erkennen kann (z.B. ungewöhnliche Domain, generische Anrede 
  trotz personalisiertem Setup, ungewohnter Aktions-Druck)
- KEIN: Tippfehler, Drohungen, "Account gesperrt"-Klassiker

Wichtig: Die Mail muss FAIR sein. Sie soll nicht durch Tricks 
funktionieren die ein normaler Mitarbeiter nicht erkennen kann.

Das System produziert für jeden Mitarbeiter individuelle Test-Mails in 30 Sekunden. Beispiel-Output:

Betreff: Bestätigung deines neuen Confluence-Workspaces

Hallo Markus,

die Migration auf den neuen Confluence-Workspace ist für Freitag geplant. Damit dein Account ohne Unterbrechung übernommen wird, bestätige bitte bis Donnerstag deine Daten unter folgendem Link: https://it-support.[awareness-domain].de/confluence-migration?u=[token]

Bei Fragen melde dich beim IT-Helpdesk.

Viele Grüße, IT Operations

Indikatoren die ein wacher User erkennen würde:

1. Domain ist [awareness-domain].de, nicht die echte Firmendomain
2. Generische "IT Operations"-Signatur ohne konkreten Namen
3. Kein interner Ticket-Bezug

Das ist fair. Wer drauf klickt, hat einen lehrreichen Moment. Wer nicht klickt, hat das System richtig gelesen.

Was ich BEWUSST nicht mache

Drei Pattern die ich aus Anstand und Effektivität ausschließe:

Erstens: Personliche Themen als Köder. Keine Mails die "Ihr Kind ist im Krankenhaus" oder ähnliches simulieren. Solche Tests messen Schock-Resilience, nicht Phishing-Awareness, und richten emotionalen Schaden an.

Zweitens: Kollegen-Impersonation. Mails die so tun als kämen sie von echten Kollegen, mit deren Namen. Erstens unfair (Vertrauensbruch), zweitens kompliziert datenschutzrechtlich. Wir nutzen fiktive IT-Operations-Personas oder externe Service-Provider.

Drittens: Drohungen mit Konsequenzen. "Ihr Account wird in 1 Stunde gesperrt" ist keine Phishing-Awareness, das ist Stress-Test. Die echten 2026er Phishing-Mails arbeiten weniger mit Druck und mehr mit Routine-Look.

Erfolgs-Metriken — was misst du wirklich

Aus dem Mittelstands-Engagement, vier Wochen, 80 Mitarbeiter, vier Test-Wellen:

| Welle | Klick-Rate | Submission-Rate | Report-to-IT | |---|---|---|---| | 1 (Standard-Template "PayPal") | 18% | 9% | 22% | | 2 (KI-personalisiert "Confluence") | 31% | 12% | 8% | | 3 (KI-personalisiert "Gehaltsabrechnung") | 24% | 6% | 14% | | 4 (nach Awareness-Schulung) | 11% | 3% | 47% |

Lessons:

• Personalisierung erhöht die Klick-Rate signifikant (Welle 1 vs Welle 2)
• Themen mit höherer Sensitivität (Gehalt) erhöhen Wachsamkeit (Welle 3)
• Eine konkrete Schulung zwischen Welle 3 und 4 hat die Klick-Rate halbiert UND die Report-Rate verdreifacht — das ist das eigentliche Ziel

Wichtigste Metrik ist Report-Rate, nicht Klick-Rate. Eine Firma in der Mitarbeiter selbstbewusst verdächtige Mails an IT melden ist sicherer als eine Firma mit 0% Klick-Rate aber 0% Reporting.

Was nach jedem Test passiert

Im selben Tag, spätestens am Folgetag:

• Wer geklickt hat, bekommt die Awareness-Landing-Page mit Indikator-Erklärung
• Niemand bekommt eine namentliche Erwähnung in einem Public-Channel
• Aggregierte Statistik geht an IT-Leitung und Geschäftsführung (anonym auf Mitarbeiter-Ebene)
• Alle bekommen am Ende des Quartals einen 5-Minuten-Report mit Trendkurve und drei konkreten Empfehlungen

Wichtig: Wer dreimal in Folge klickt, bekommt nicht eine Abmahnung, sondern ein 1-on-1 mit IT — was läuft schief, was braucht die Person an Hilfe.

Defense — was deine Firma einrichten sollte

Falls du diese Simulation NICHT durchführst, sondern nur die Defense-Seite brauchst — die fünf Standardmaßnahmen die jede Firma 2026 aktiv haben sollte:

1. SPF, DKIM, DMARC mit p=reject auf der eigenen Domain. Verhindert dass Phisher von der eigenen Domain spoofen können. Online-Checker: https://mxtoolbox.com/dmarc.aspx

2. Mail-Gateway mit URL-Rewriting. Microsoft Defender for Office 365, Mimecast, Proofpoint. Klickt jemand auf einen Link, wird er erst durch ein Sandbox geleitet.

3. Multi-Factor-Authentication für alle Mitarbeiter-Accounts. Wenn der Klick passiert und das Passwort eingegeben wird, schützt MFA in den meisten Fällen.

4. Phishing-Reporting-Button im Mail-Client. Outlook und Gmail haben das integriert. Mitarbeiter brauchen einen "verdächtige Mail melden"-Knopf der mit einem Klick reportet, ohne dass sie irgendwelche Nachforschungen anstellen müssen.

5. Quartalsweise Refresher-Trainings. 15 Minuten, real-aktuell, mit echten Beispielen aus den letzten 90 Tagen.

Tools die ich empfehle

Open-Source und kostenlos:

• Gophish für Test-Setup
• PhishER (von KnowBe4, Free Tier) für Phishing-Reporting-Workflows
• Have I Been Pwned API um Mitarbeiter über Breach-Vorkommen zu informieren

Kommerziell, wenn Budget vorhanden:

• KnowBe4 Security Awareness Training — Branchenstandard, gute Reports
• Hoxhunt — Gamification-orientiert, höhere Engagement-Raten
• Cofense PhishMe — Enterprise, gute Integration in SIEM

KI-Integration:

• Claude oder GPT-4 für Copy-Generation (mit dem oben gezeigten Prompt-Pattern)
• Promptfoo zur systematischen Variation der Test-Templates

Mein Setup für regelmäßige Awareness-Engagements

Pro Engagement ein neues Verzeichnis:

~/awareness/[customer]-2026-Q1/
├── beauftragung.pdf            # signiertes Mandat
├── scope.md                    # welche User, welcher Zeitraum
├── personas/                   # fiktive Absender (kein Kollegen-Impersonation)
├── templates/                  # KI-generierte Mail-Varianten
├── landing-pages/              # Awareness-Seiten nach Klick
├── reports/
│   ├── welle-1.json
│   ├── welle-2.json
│   └── final-report.pdf
└── .claude/settings.json       # mit Audit-Logging

Alles in einem Git-Repo (private), Backup verschlüsselt. Nach Engagement-Ende: Daten gemäß Beauftragung gelöscht oder dem Kunden übergeben.

Wie wir diesen Artikel geprüft haben

• Tests durchgeführt am: 2026-03-01 bis 2026-03-28
• Engagement: schriftlich beauftragt durch Geschäftsführung des Kunden
• Hardware: eigener VPS für Gophish, separate SMTP-Domain
• Software-Versionen: Gophish 0.12.1, Postfix 3.7, Claude Sonnet 4.6 für Copy
• Targets: 80 Mitarbeiter eines Mittelstands-Kunden, anonymisiert
• Datenschutz: Daten nach Engagement-Ende dem Kunden übergeben, eigene Kopien sicher gelöscht
• Sponsor/Affiliate: keines

---

Rechtlicher Hinweis

Die hier gezeigten Techniken wurden ausschließlich in einem der folgenden Kontexte getestet:

• Eigenes Lab / eigene Hardware (Test-Setup auf eigenem VPS)
• Capture-The-Flag-Umgebung (HackTheBox, TryHackMe, OverTheWire)
• Schulungsumgebung (DVWA, Juice Shop, WebGoat, HackerLab)
• Autorisierter Pentest / Awareness-Engagement mit schriftlichem Auftrag
• Bug-Bounty-Programm im dokumentierten Scope (HackerOne, Intigriti, YesWeHack)

Die Anwendung dieser Techniken gegen Personen oder Firmen ohne ausdrückliche schriftliche Erlaubnis ist in Deutschland nach §§ 202a, 202b, 202c, 263, 263a, 303a, 303b StGB strafbar. Phishing gegen Privatpersonen oder fremde Firmen ist Betrug. Wir übernehmen keine Haftung für Missbrauch.

Du arbeitest als Awareness-Beauftragter, im SOC oder als beauftragter Pentester? Komm in die Zone "Hacking & Security" im Discord — da diskutieren wir Setups und Erfahrungen aus realen Engagements.